FAQ zur E-Evidence-Verordnung

Die Verordnung (EU) 2023/1543 schafft einen einheitlichen EU-Rechtsrahmen für den grenzüberschreitenden Zugang zu elektronischen Beweismitteln in Strafverfahren und Ermittlungsverfahren zur Vollstreckung einer Freiheitsstrafe. Strafverfolgungsbehörden eines EU-Mitgliedstaats können damit direkt bei Diensteanbietern in einem anderen Mitgliedstaat Daten anfordern — ohne den bisherigen Umweg über Rechtshilfeverfahren.

Die Verordnung gilt ab dem 18. August 2026 in allen EU-Mitgliedstaaten unmittelbar. Eine nationale Umsetzung ist für die Verordnung selbst nicht erforderlich; die Mitgliedstaaten müssen jedoch begleitende nationale Vorschriften (z. B. das deutsche EBewMG) rechtzeitig in Kraft setzen.

Bisherige Rechtshilfeverfahren (MLAT — Mutual Legal Assistance Treaties) sind langwierig: Sie laufen über Zentralbehörden, können Monate oder Jahre dauern und scheitern häufig an bürokratischen Hürden. Die E-Evidence-Verordnung ermöglicht die direkte Anordnung an den Diensteanbieter durch eine Justizbehörde des Anordnungsstaats — mit Fristen von 8 Stunden bis 10 Tagen. Das ist ein fundamentaler Systemwechsel.

Das EPOC (European Production Order Certificate) ist eine Herausgabeanordnung: Der Diensteanbieter muss die angeforderten Daten tatsächlich übermitteln. Das EPOC-PR (European Preservation Order Certificate) ist eine Sicherungsanordnung: Die Daten müssen 60 Tage lang (verlängerbar um 30 Tage) aufbewahrt werden, ohne sie sofort herauszugeben. Das EPOC-PR gibt den Behörden Zeit, anschließend ein reguläres EPOC oder ein anderes Herausgabeinstrument zu beantragen.

Die Standardfrist beträgt 10 Tage ab Zugang der EPOC. Bei Eilfällen — wenn keine unmittelbare Gefahr für Leib und Leben besteht, aber besondere Dringlichkeit vorliegt — reduziert sich die Frist auf 72 Stunden. Bei Notfällen (unmittelbare Gefahr für das Leben einer Person oder Gefahr für die nationale Sicherheit) beträgt die Frist 8 Stunden.

Die Verordnung unterscheidet vier Datenkategorien: Subscriber-Daten (Identifikationsdaten des Nutzers), Zugangsdaten (technische Sitzungsdaten wie Login-Zeitstempel und IP-Adressen), Transaktionsdaten (Kommunikationsmetadaten ohne Inhalt) und Inhaltsdaten (der eigentliche Inhalt von Nachrichten oder gespeicherten Dateien). Für Inhaltsdaten gelten die strengsten Anforderungen an die richterliche Genehmigung.

Betroffen sind Diensteanbieter gemäß Art. 3 Nr. 2 der Verordnung, die Dienste in der EU anbieten — unabhängig vom Unternehmenssitz. Dazu gehören: Anbieter elektronischer Kommunikationsdienste (E-Mail, Messaging, Telefonie), Plattformen sozialer Netzwerke, Online-Marktplätze, Cloud-Dienste (IaaS, PaaS, SaaS), Internetdienstanbieter sowie Hosting- und Domain-Anbieter.

Ja. Die Verordnung enthält keine Ausnahmen für kleine Unternehmen oder Start-ups. Jeder Diensteanbieter, der Dienste in der EU anbietet und unter die Definition des Art. 3 Nr. 2 fällt, ist verpflichtet, EPOC und EPOC-PR fristgerecht zu bearbeiten. Einzig die Pflicht zur Benennung eines gesetzlichen Vertreters nach Art. 10 gilt nur für Anbieter ohne Niederlassung in der EU.

Ja, das ist gemäß Art. 10 der Verordnung verpflichtend. Diensteanbieter ohne Niederlassung in einem EU-Mitgliedstaat, die aber Dienste in der EU anbieten, müssen schriftlich eine natürliche oder juristische Person in der EU als gesetzlichen Vertreter benennen. Dieser Vertreter ist für den Empfang, die Weiterleitung und die Bearbeitung von EPOC und EPOC-PR zuständig. Die Nichtbenennung kann zu empfindlichen Sanktionen führen.

Ja, unter bestimmten Voraussetzungen. Art. 14 der Verordnung listet abschließend die Ablehnungsgründe auf: fehlerhafte Ausstellung, fehlende richterliche Genehmigung bei Inhaltsdaten, offensichtliche Verletzung der EU-Grundrechtecharta oder des Grundsatzes ne bis in idem. Eine Ablehnung muss unverzüglich und begründet erfolgen. Darüber hinaus können Diensteanbieter und betroffene Personen im Vollstreckungsstaat Rechtsmittel einlegen.

Die Verordnung verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen festzulegen. In Deutschland sieht das EBewMG hierfür entsprechende Regelungen vor. Sanktionen können empfindliche Bußgelder umfassen. Bei wiederholter Nichterfüllung oder systematischer Verweigerung sind auch weitergehende Maßnahmen möglich.

Grundsätzlich ja — jedoch kann die ausstellende Behörde im EPOC eine Benachrichtigungssperre anordnen, wenn die Benachrichtigung die Ermittlung gefährden würde. In diesem Fall darf und muss der Diensteanbieter die betroffene Person zunächst nicht informieren. Nach Aufhebung der Sperre gelten die allgemeinen Transparenzpflichten.

Das EBewMG (Gesetz zur Umsetzung der Verordnung (EU) 2023/1543) ist das deutsche Begleitgesetz zur E-Evidence-Verordnung. Es benennt die zuständigen deutschen Vollstreckungsbehörden, regelt die Prüfung auf Vollstreckungshindernisse, schafft die verfahrensrechtliche Grundlage für Rechtsbehelfe und legt den nationalen Sanktionsrahmen fest.

Die Verordnung verpflichtet Diensteanbieter, die bei ihnen gespeicherten oder verarbeiteten Daten herauszugeben — also diejenigen Daten, auf die sie selbst Zugriff haben. Eine Pflicht zur Entschlüsselung von Ende-zu-Ende-verschlüsselter Kommunikation, auf die der Anbieter keinen Zugriff hat, ergibt sich aus der Verordnung nicht. Die Verordnung ändert nichts an den technischen Möglichkeiten der Anbieter.