E-EVIDENCE-VO DER EU

E-Evidence-Verordnung ab 2026:

Warum der direkte Zugriff ausländischer Ermittlungsbehörden auf digitale Beweismittel mehr ist als nur eine technische Verfahrensvereinfachung

Ab dem 18. August 2026 wird in der Europäischen Union ein neues Instrument praktisch wirksam, das in der öffentlichen Debatte erstaunlich wenig Aufmerksamkeit bekommt: die E-Evidence-Verordnung. Sie soll Ermittlungsbehörden den Zugriff auf elektronische Beweismittel erleichtern. Das klingt zunächst harmlos, fast bürokratisch. Elektronische Beweise gibt es heute nun einmal überall: E-Mails, Chatnachrichten, Cloud-Dateien, Nutzungsdaten, IP-Adressen, Kundendaten. Wer Straftaten verfolgt, wird solche Daten haben wollen. So weit, so nachvollziehbar.

Die entscheidende Frage lautet aber nicht, ob Strafverfolgung im digitalen Raum möglich sein muss. Natürlich muss sie das. Die entscheidende Frage lautet: Wer kontrolliert den Zugriff? Wer prüft die Verhältnismäßigkeit? Wo kann sich der Betroffene wehren? Und bleibt der nationale Richter noch ein echter Schutzschild - oder wird er zu einer Randfigur in einem europäischen Direktzugriffssystem?

Worum geht es rechtlich?

Die E-Evidence-Verordnung, amtlich die Verordnung (EU) 2023/1543, wird ergänzt durch die Richtlinie (EU) 2023/1544. Die Verordnung gilt unmittelbar in den Mitgliedstaaten; die Richtlinie regelt vor allem die Benennung von Niederlassungen oder gesetzlichen Vertretern der Anbieter. Das deutsche Durchführungsgesetz ist im Bundesgesetzblatt veröffentlicht worden. Nach der Darstellung des Bundesamts für Justiz und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit soll die Verordnung ab dem 18. August 2026 angewendet werden.

Kern der Regelung sind zwei Instrumente: die Europäische Herausgabeanordnung und die Europäische Sicherungsanordnung. Eine Behörde in einem Mitgliedstaat kann damit einen Diensteanbieter in einem anderen Mitgliedstaat unmittelbar verpflichten, bereits vorhandene Daten herauszugeben oder zu sichern. Betroffen sein können etwa Telekommunikationsunternehmen, Cloud-Anbieter, Messenger-Dienste, Plattformen und andere digitale Dienstleister.

Wichtig ist eine juristische Präzisierung: Es geht nicht darum, dass ein polnischer oder spanischer Ermittler technisch direkt in Ihr Handy hineinschaut. Die Verordnung regelt Anordnungen an Anbieter. Der Zugriff läuft also über den Dienstleister. Das macht die Sache aber nicht harmlos. Im Gegenteil: Gerade diese Konstruktion verschiebt staatliche Eingriffe in eine private Infrastruktur. Der Provider wird zum Vollzugshelfer der Ermittlungsbehörde. Und wenn man staatliche Macht über private Schaltstellen organisiert, sollte man besonders genau hinsehen.

Was ändert sich praktisch?

Bisher war die grenzüberschreitende Beschaffung von Beweismitteln typischerweise ein Verfahren zwischen Staaten. Man sprach von Rechtshilfe oder, innerhalb der EU, von Instrumenten wie der Europäischen Ermittlungsanordnung. Das war langsam, manchmal schwerfällig, aber es hatte einen rechtsstaatlichen Sinn: Der Staat, in dessen Gebiet der Zugriff vollzogen wurde, blieb in das Verfahren eingebunden. Künftig tritt daneben ein Direktweg. Die ausländische Behörde wendet sich nicht zuerst an die deutsche Justiz, sondern unmittelbar an den Anbieter.

Die Fristen sind kurz. Einer Herausgabeanordnung ist grundsätzlich innerhalb von zehn Tagen nachzukommen, in Notfällen innerhalb von acht Stunden. Bei Sicherungsanordnungen geht es noch schneller; die Daten sollen gesichert werden, bevor sie gelöscht oder verändert werden. Für die Anbieter ist das kein freundliches Auskunftsersuchen, sondern eine Pflicht. Bei Verstößen drohen Sanktionen. Das Bundesamt für Justiz weist auf empfindliche Geldbußen hin. Damit entsteht erheblicher Druck, schnell zu liefern und nicht zu lange über Grundrechte, Zustellungsfragen oder ausländische Verfahrensbesonderheiten nachzudenken. Acht Stunden sind für rechtsstaatliche Sorgfalt nicht gerade eine komfortable Frist. Mancher Handwerker bekommt für ein Angebot mehr Zeit.

Die Datenkategorien sind unterschiedlich - aber die Richtung ist klar

Die Verordnung unterscheidet verschiedene Datenarten: Teilnehmerdaten, Daten zur Identifizierung eines Nutzers, Verkehrsdaten und Inhaltsdaten. Teilnehmer- und Identifizierungsdaten sind weniger eingriffsintensiv als Inhaltsdaten, also etwa der Inhalt einer Nachricht. Für Verkehrs- und Inhaltsdaten gelten strengere Voraussetzungen. Es geht regelmäßig um Straftaten, die im Anordnungsstaat mit einem Höchstmaß von mindestens drei Jahren Freiheitsstrafe bedroht sind, oder um bestimmte katalogisierte Delikte. Diese Differenzierung ist wichtig. Wer so tut, als könnte wegen jeder Bagatelle jede Chatnachricht ohne jede Kontrolle abgegriffen werden, formuliert zu grob.

Aber auch wenn man sauber differenziert, bleibt das Problem: Die Kontrolle wird nicht beseitigt, aber sie wird verschoben. Der deutsche Richter ist nicht mehr in jedem Fall der naheliegende erste Prüfer. Der Betroffene muss seine Rechte häufig im Anordnungsstaat geltend machen. Wer also in Deutschland lebt und von einer Maßnahme aus einem anderen EU-Staat betroffen ist, soll sich möglicherweise dort wehren: in anderer Sprache, mit anderem Verfahrensrecht, mit anderen Kostenrisiken. Das ist Rechtsschutz auf dem Papier. Praktisch kann daraus ein Hindernislauf werden, bei dem der Bürger schon müde ist, bevor er überhaupt die erste Schranke erreicht hat.

Warum die Kritik ernst zu nehmen ist

Die Kritik kommt nicht nur von Menschen, die aus Prinzip gegen Europa oder gegen Strafverfolgung sind. Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss haben schon früh auf Defizite bei Kontrolle, Datenschutz und Grundrechtsschutz hingewiesen. Die Bürgerrechtsorganisation EDRi kritisierte, dass der Kompromiss im Gesetzgebungsverfahren zentrale Schutzmechanismen ausdünne. Auch netzpolitik.org hat die datenschutzrechtliche Kritik aufgegriffen. Der Deutsche Anwaltverein und die Bundesrechtsanwaltskammer sehen ebenfalls Probleme, insbesondere beim Rechtsschutz, beim Schutz von Berufsgeheimnissen und bei den Verteidigungsrechten.

Gerade für Berufsgeheimnisträger ist das brisant. Anwaltliche Kommunikation, journalistische Quellen, ärztliche Unterlagen oder interne Unternehmenskommunikation sind keine beliebigen Daten. Wenn solche Daten vorschnell herausgegeben werden, ist der Schaden oft nicht reparabel. Man kann eine Information nicht wieder geheim machen, wenn sie erst einmal draußen ist. Datenschutz ist insoweit wie Zahnpasta: Wenn sie aus der Tube ist, hilft auch kein Beschluss mehr, sie wieder hineinzudrücken.

In der wissenschaftlichen Diskussion wird deshalb zu Recht von einer teilweisen Privatisierung der Rechtshilfe gesprochen. Der Strafrechtler Kai Ambos hat diese Entwicklung kritisch eingeordnet. Auch Laurin Krumwiede analysiert die Schutzlücken des neuen Systems. Die Unternehmen entscheiden zwar nicht endgültig über die Rechtmäßigkeit staatlicher Eingriffe. Sie werden aber zum operativen Knotenpunkt. Sie müssen empfangen, prüfen, reagieren, Daten sichern, Daten herausgeben - und das alles unter Zeitdruck. Der Rechtsstaat arbeitet dann nicht mehr nur durch Gerichte und Behörden, sondern durch Meldepostfächer, Compliance-Abteilungen und automatisierte Abläufe. Das ist effizient. Aber Effizienz ist kein Verfassungsprinzip.

Wer ist betroffen?

Betroffen sind zunächst die Diensteanbieter. Große Konzerne werden Abteilungen en?dafür haben. Kleine Anbieter, IT-Dienstleister, Hosting-Unternehmen oder spezialisierte Plattformbetreiber werden sich schwerer tun. Sie müssen wissen, wer Anordnungen entgegennimmt, wer prüft, welche Fristen laufen und wann eine deutsche Stelle einzubeziehen ist. Wer hier keine Struktur hat, steht im Ernstfall allein vor einem europäischen Formular mit kurzer Frist und langer Haftung.

Betroffen sind aber auch Unternehmen, die ihre Daten in der Cloud speichern. Kundenlisten, interne E-Mails, Projektunterlagen, Vertragsdaten, Geschäftsgeheimnisse - alles, was bei einem Anbieter liegt, kann in den Anwendungsbereich geraten, wenn die rechtlichen Voraussetzungen vorliegen. Und natürlich ist jeder Bürger betroffen, der digitale Dienste nutzt. Nicht weil jeder überwacht wird. Das wäre zu grob. Aber weil die Infrastruktur geschaffen wird, die einen grenzüberschreitenden Zugriff erheblich erleichtert. Es ist ein Unterschied, ob eine Tür theoretisch existiert, oder ob sie gut geölt, beschriftet und mit automatischer Öffnung versehen ist.

Ein Blick auf die EU-Sanktionspraxis

Man sollte die E-Evidence-Verordnung nicht mit der EU-Sanktionspraxis gleichsetzen. Das eine betrifft Strafverfolgung und elektronische Beweismittel, das andere außenpolitische und wirtschaftliche Zwangsmaßnahmen, etwa Kontensperren, Einreiseverbote oder Bereitstellungsverbote. Trotzdem gibt es eine gemeinsame rechtsstaatliche Frage: In welchem Umfang verlagert die EU wirksame Eingriffe in Verfahren, die schnell, administrativ und exekutiv geprägt sind, während der Rechtsschutz erst nachträglich und unter erheblichen praktischen Hürden greift?

Diese Entwicklung halte ich für gefährlich. Nicht weil jede einzelne Maßnahme unberechtigt wäre. Es gibt schwere Kriminalität, es gibt Terrorismus, es gibt internationale Konflikte, es gibt Sanktionsanlässe. Aber der moderne Staat begründet fast jeden Machtzuwachs mit einem guten Zweck. Terrorismusbekämpfung, Geldwäschebekämpfung, Hassbekämpfung, Sanktionsdurchsetzung, Kriegstüchtigkeit. Der gute Zweck ist die Eintrittskarte. Die Kontrolle kommt später. Und später ist im Rechtsstaat manchmal ein anderes Wort für zu spät.

Was kann man praktisch tun?

Bürger und Unternehmen können diese Entwicklung nicht allein aufhalten. Aber sie können sich darauf einstellen. Datensparsamkeit bleibt eine sehr einfache und sehr wirksame Regel: Was nicht gespeichert ist, kann nicht herausgegeben werden. Verschlüsselung ist ebenfalls zentral. Wer sensible Daten in der Cloud speichert, sollte wissen, wer den Schlüssel hat. Wenn der Anbieter selbst entschlüsseln kann, kann er im Zweifel auch verwertbare Daten herausgeben. Bei echter Ende-zu-Ende-Verschlüsselung sieht das anders aus.

Unternehmen sollten außerdem prüfen, welche Daten sie wo speichern, welche Anbieter sie nutzen und ob ihre Verträge, technischen Konzepte und internen Zuständigkeiten noch zur neuen Rechtslage passen. Für IT-Dienstleister wird es besonders wichtig, interne Verfahren für E-Evidence-Anordnungen zu schaffen. Und wer als Beschuldigter oder Unternehmer bemerkt, dass staatliche Ermittlungen laufen, sollte nicht warten, bis der Datenzugriff längst erfolgt ist. Im Strafverfahren gilt nach wie vor: Früher Rat ist Gold wert.

Mein Fazit

Die E-Evidence-Verordnung ist kein offener Abschied vom Rechtsstaat. So einfach ist es nicht. Sie ist etwas Leiseres und vielleicht gerade deshalb Problematischeres: ein weiterer Baustein in einer Ordnung, in der staatliche Zugriffsbefugnisse technisch schneller, grenzüberschreitend einfacher und für den einzelnen Bürger schwerer durchschaubar werden. Der Rechtsstaat verschwindet nicht. Nicht vollends, nicht sofort, aber es ist ein Abbau.

Das muss man nicht dramatisieren. Aber man sollte es auch nicht verniedlichen. Wer Freiheit ernst nimmt, darf sich nicht erst melden, wenn die Tür schon verschlossen ist. Man muss hinsehen, solange sie noch gebaut wird.

Wenn Sie als Unternehmer, IT-Dienstleister oder Beschuldigter von solchen Fragen betroffen sind, sollten Sie die rechtliche und technische Seite frühzeitig prüfen lassen. Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er soll einordnen, aufmerksam machen und dazu ermutigen, den eigenen Rechtsschutz nicht erst dann zu bedenken, wenn die Daten bereits unterwegs sind.

Quellen und weiterführende Links

• Verordnung (EU) 2023/1543

• Richtlinie (EU) 2023/1544

• BfDI zur E-Evidence-Verordnung

• Bundesamt für Justiz: E-Evidence

• Bundesamt für Justiz: FAQ

• Bundesgesetzblatt 2026 Nr. 64

• Bundestag: Anhörung zu elektronischen Beweismitteln

• EU-Kommission: E-evidence

• EDPS Opinion 7/2019

• EDPB Opinion 23/2018

• EDRi: e-evidence compromise

• netzpolitik.org zur E-Evidence-Kritik

• DAV Stellungnahme 87/24

• BRAK zur deutschen Umsetzung

• Laurin Krumwiede, ZfIStw 2024

• Kai Ambos, ZfIStw 2025

• EU-Sanktionen, Übersicht des Rates