Die E-Evidence-Verordnung: Unternehmen müssen sich wappnen!
A. Einleitung
Elektronische Beweismittel sind aus dem Strafprozess mittlerweile nicht mehr wegzudenken. Heutzutage lässt sich kaum ein Strafverfahren mehr mit rein physischen Beweismitteln führen. E-Mail-Korrespondenz, Chat-Kommunikation und Foren-Einträge spielen nahezu in jedem Strafverfahren eine Rolle und werden von Ermittlungsbehörden umfangreich ermittelt. Hinter all diesen Daten stehen immer Unternehmen, die die Daten verarbeiten und speichern.
Während den deutschen Ermittlungsbehörden über Beschlagnahmen bereits Mittel zur Verfügung standen, Daten von Unternehmen mit Sitz in Deutschland zu bekommen, so gestaltete sich dies bislang bei europäischen Unternehmen eher schwierig. Entsprechende Rechtshilfeersuchen sind aus Sicht der Ermittlungsbehörden zu langsam, aufwändig und „beschwerlich“. Auch Europäische Ermittlungsanordnungen1 – trotz dort vorgesehener enger zeitlicher Fristen zur Umsetzung – haben aus Sicht des europäischen Gesetzgebers gerade bei elektronischen Beweismitteln nicht den gewünschten Erfolg gebracht. Die Sorge der Behörden war, dass infolge zeitlicher Verzögerungen möglicherweise Beweismittel „verloren“ gehen könnten.
Diesen Befund nahm die EU-Kommission schon im Jahr 2018 zum Anlass, einen Vorschlag für eine Verordnung zu Europäischen Sicherungs- und Herausgabeanordnungen für elektronische Beweismittel vorzulegen. Das Gesetzgebungsverfahren zog sich über mehrere Jahre, auch wegen teils vehementen Widerstands gegen den Vorschlag der EU-Kommission seitens der Mitgliedstaaten. Der Kompromissvorschlag, auf den sich EU-Kommission, EU-Parlament und Rat einigen konnten, trat dann erst knapp fünf Jahre später im Juli 2023 in Kraft.
Die wesentlichen Vorschriften der Verordnung sind ab dem 18. August 2026 – und somit in sehr absehbarer Zukunft – unmittelbar geltendes Recht in Deutschland und der EU.
Dieser Beitrag stellt überblicksartig die wesentlichen Regelungen der E-Evidence-Verordnung2dar, wobei ein besonderer Fokus auf den Pflichten von Unternehmen liegt, die in Zukunft Gegenstand von Europäischen Sicherungs- und Herausgabeanordnungen sein können und sein werden.
B. Was kommt dadurch auf Unternehmen zu?
Jedenfalls mehr als der unscheinbare Name der Verordnung über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren zunächst vermuten lässt. Denn was strafprozessuale Besonderheiten bei elektronischen Beweismitteln mit Pflichten von Unternehmen zu tun haben sollen, mag sich nicht auf den ersten Blick erschließen.
Der zweite Blick in den Verordnungstext zeigt aber, dass Unternehmen gut beraten sind, sich eingehend mit den Vorschriften der E-Evidence-VO und dem deutschen Umsetzungs- und Durchführungsgesetz zur Verordnung (das Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz – „EBewMG“) zu beschäftigen.3 Die E-Evidence-VO regelt nunmehr EU-weit Pflichten von sog. Diensteanbietern (siehe C.), auf Anordnung europäischer Behörden Daten zu bestimmten Personen zu sichern und ggf. an diese herauszugeben (siehe I. und II.) – nach Vorstellung der Verordnung innerhalb weniger Stunden.
Die Verordnung geht weit über eine Modernisierung des europäischen Beweisbeschaffungsrechts hinaus. Sie ist letztlich eine gänzlich neue Form der grenzüberschreitenden Zusammenarbeit – ein Paradigmenwechsel vom Konzept der „klassischen Rechtshilfe“, d.h. Zusammenarbeit zwischen den Behörden zweier Mitgliedsstaaten, zu einer Teilprivatisierung der Rechtshilfe, bei der Behörden unmittelbar auf private Unternehmen in anderen Mitgliedsstaaten zugehen können.4 Dass dies in einem Staatenverbund mit 27 Mitgliedsstaaten und unterschiedlichen politischen und rechtlichen Systemen das Risiko auch missbräuchlicher Anordnungen umfasst, liegt auf der Hand.
C. Welche Unternehmen sind betroffen?
Nach Art. 2 Abs. 1 gilt die Verordnung „für Diensteanbieter, die Dienste in der Union anbieten“. Konkretisiert wird dies in Art. 3 Abs. 1 Nr. 3 dahingehend, dass Diensteanbieter jede natürliche oder juristische Person ist, die eine oder mehrere Dienstleistungskategorien anbietet – u.a. elektronische Kommunikationsdienste, Dienste der IP-Adressenzuweisung und der Domänennamen-Registrierung sowie „Dienste der Informationsgesellschaft“, die den Nutzern ermöglichen, miteinander zu kommunizieren oder für Nutzer Daten zu speichern. Damit dürften unzählige Unternehmen aus unterschiedlichsten Geschäftsbereichen angesprochen sein: z.B. Messenger-Dienste, Videokonferenzplattformen, Online-Shops, Online-Foren-Betreiber, Cloud- und Hosting-Dienste, Gaming-Anbieter.5 Neben den marktbekannten „großen“ Unternehmen aus diesen Bereichen werden aber auch kleine und mittelständische Unternehmen sich auf die Verordnung einstellen müssen. Unternehmen müssen daher sehr sorgfältig prüfen, ob sie als sog. Diensteanbieter gelten und dementsprechend in den Anwendungsbereich der Verordnung fallen.
I. Europäische Sicherungsanordnungen
Die E-Evidence-VO differenziert zwischen zwei Arten von Anordnungen:
Europäischen Sicherungsanordnungen (Art. 6) und
Europäischen Herausgabeanordnungen (Art. 5).
Erstere dienen dem Zweck, einen Verlust der Daten zu verhindern und werden praktisch regelmäßig eine Vorstufe für eine Herausgabeanordnung sein. Das Unternehmen ist verpflichtet, die Daten unverzüglich und für eine Dauer von 60 Tagen zu sichern; die anordnende Behörde kann die Dauer um weitere 30 Tage verlängern (Art. 11 Abs. 1). Sofern die anordnende Behörde innerhalb dieser Fristen bestätigt, dass eine Herausgabeanordnung gestellt wurde, so hat das Unternehmen die Daten so lange zu sichern „wie dies erforderlich ist“ (Art. 11 Abs. 2).
Bei Europäischen Sicherungsanordnungen muss das Unternehmen nicht zwischen unterschiedlichen Datenkategorien (Teilnehmer-, Verkehrs- und Inhaltsdaten und Daten ausschließlich zur Identifizierung des Nutzers) differenzieren, sondern alle Kategorien auf Anfrage der Behörde unverzüglich sichern (zu den Rechtsschutzmöglichkeiten s.u.).
II. Europäische Herausgabeanordnungen
Bei Europäischen Herausgabeanordnungen gelten – insbesondere wegen der höheren Eingriffsintensität – ausdifferenziertere Regelungen. Herausgabeanordnungen betreffend Teilnehmerdaten (z.B. Name, Anschrift und Anmeldedaten des Nutzers) und Daten ausschließlich zur Identifizierung des Nutzers (z.B. letzte Login-IP-Adresse mit Zeitstempel und Portnummer) können für alle Straftaten erlassen werden. Dagegen dürfen Herausgabeanordnungen betreffend Verkehrsdaten (z.B. Verbindungs- und Standortdaten) und Inhaltsdaten (z.B. Kommunikationsinhalte, Chat-Nachrichten, Foren-Beiträge) nur erlassen werden bei Straftaten, die im Anordnungsstaat mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren geahndet werden oder bei einer der in Art. 5 Abs. 4 lit. b-c genannten Straftaten.
Anders als Europäische Sicherungsanordnungen und Europäische Herausgabeanordnungen betreffend Teilnehmerdaten und Daten ausschließlich zur Identifizierung des Nutzers dürfen Europäische Herausgabeanordnungen betreffend Verkehrsdaten und Inhaltsdaten nur von einem Gericht angeordnet werden (Art. 4 Abs. 2). Wird eine solche erlassen, dann ist nach Art. 8 Abs. 1 auch die Behörde im vollstreckenden Staat zu unterrichten.6Im Umkehrschluss bedeutet dies, dass bei allen anderen Anordnungen keine Meldung an die Vollstreckungsbehörde zu erfolgen hat – die „Kommunikation“ in Form der Anordnung erfolgt dann ausschließlich zwischen der anordnenden ausländischen Behörde und dem Unternehmen.
Die Verordnung schreibt enge zeitliche Fristen zur Herausgabe der angeforderten Daten vor. Wenn keine Unterrichtung der Vollstreckungsbehörde erforderlich ist (s.o.), dann hat der Diensteanbieter die Daten „unmittelbar“, aber „spätestens innerhalb von zehn Tagen“ an die anordnende Behörde zu übermitteln (Art. 10 Abs. 3). In Notfällen sind die Daten sogar „unverzüglich“, „spätestens jedoch innerhalb von acht Stunden“ nach Erhalt der Anordnung zu übermitteln (Art. 10 Abs. 4). Der Begriff des Notfalls ist im Verordnungstext nicht näher definiert, aber Erwägungsgrund 35 der Verordnung beschreibt als Notfälle insbesondere Situationen, in denen eine unmittelbare Gefahr für das Leben, die körperliche Unversehrtheit oder die Sicherheit einer Person besteht.
Ist eine Unterrichtung der Vollstreckungsbehörde nach Art. 8 Abs. 1 erforderlich, so kann diese innerhalb von zehn Tagen (in Notfällen innerhalb von 96 Stunden) Ablehnungsgründe gegen die Anordnung vorbringen. Art. 12 Abs. 1 normiert die möglichen Ablehnungsgründe, darunter Immunitäten und Vorrechte nach dem Recht des Vollstreckungsstaats, offensichtliche Verletzungen der in Art. 6 EUV und der Grundrechtecharta verankerten Grundrechte, Verstöße gegen den Grundsatz ne bis in idem und fehlende Strafbarkeit nach dem Recht des Vollstreckungsstaats. Macht die Vollstreckungsbehörde solche Gründe geltend, so hat das Unternehmen die Umsetzung der Anordnung zu beenden und darf die Daten nicht übermitteln (Art. 12 Abs. 2). Wurden Ablehnungsgründe nicht geltend gemacht, so hat spätestens nach Ablauf der zehn Tage der Diensteanbieter die Daten unmittelbar zu übermitteln (Art. 10 Abs. 2). Für Notfälle wird man die Verordnung so verstehen müssen, dass Diensteanbieter nicht die Geltendmachung von Ablehnungsgründen durch die Vollstreckungsbehörden abwarten dürfen, sondern die Daten unmittelbar übermitteln müssen. Art. 10 Abs. 4 S. 3 verpflichtet die Anordnungsbehörde daher die Daten zu löschen, wenn noch vor Geltendmachung von Ablehnungsgründen Daten bereits übermittelt wurden.
D. Was kann man als Unternehmen gegen die Anordnungen tun?
Die E-Evidence-VO und das EBewMG sehen für Unternehmen keinen formalen Rechtsbehelf gegen Europäische Herausgabe- und Sicherungsanordnungen und deren Vollstreckung im Vollstreckungsstaat vor.7 Stattdessen etabliert die E-Evidence-VO ein System aus Konsultationsmechanismen (siehe I. und II.), das den Unternehmen allerdings nur begrenzte Einflussmöglichkeiten einräumt. Den Unternehmen werden Pflichten auferlegt, die sie nur in begrenzten Konstellationen überprüfen können.8 Das ist insoweit bedenklich, als dass die Unternehmen Adressaten einer belastenden Anordnung sind.9 Es fehlt somit an einem effektiven Rechtsschutz nach Art. 47 der Grundrechtecharta.10 Dieser Aspekt wird auch von Anwaltsverbänden stark kritisiert.11
I. Das Konsultationsverfahren nach Art. 10 Abs. 5 bis 7
Die E-Evidence-VO räumt Unternehmen in Art. 10 Abs. 5 bis Abs. 7 eine (beschränkte) Überprüfungsbefugnis der Herausgabeanordnung ein. Unternehmen können wegen eines Verstoßes gegen Immunitäten, Vorrechte, Presse- und/oder Meinungsfreiheit (siehe 1.), Unvollständigkeit, Fehlerhaftigkeit oder fehlenden Informationen (siehe 2.), faktischer Unmöglichkeit der Herausgabe (siehe 3.) oder aus anderen Gründen (siehe 4.) die Anordnungsbehörde verpflichten, die Herausgabeanordnung erneut zu überprüfen und ggf. zu zurückzunehmen.
1. Art. 10 Abs. 5: Überprüfung wegen Verstoß gegen Immunitäten, Vorrechte, Presse- und/oder die Meinungsfreiheit
Nach Art. 10 Abs. 5 besteht die Möglichkeit, die Herausgabeanordnung (zu sämtlichen Kategorien) von der Anordnungsbehörde erneut überprüfen zu lassen. Hiervon können Unternehmen Gebrauch machen, wenn sie der Meinung sind, dass die Vollstreckung der Herausgabeanordnung gegen Immunitäten, Vorrechte, Presse- und/oder Meinungsfreiheit verstoßen würde.12Unter Verwendung des in Anhang III der Verordnung festgelegten Formulars („Standardformular“) müssen Unternehmen die Anordnungsbehörde und die Vollstreckungsbehörde über den Verstoß in Kenntnis setzen.
Die Anordnungsbehörde prüft sodann von sich aus (oder auf Ersuchen der Vollstreckungsbehörde, Art. 10 Abs. 5 UAbs. 1), ob die Herausgabeanordnung zurückgenommen, angepasst oder aufrechterhalten wird. Während dieser „Prüfphase“ wird die zehntägige Frist zur Herausgabe der Daten nicht suspendiert, so dass Unternehmen zunächst weiterhin verpflichtet sind, der Herausgabeanordnung Folge zu leisten.
2. Art. 10 Abs. 6: Überprüfung wegen Unvollständigkeit, Fehlerhaftigkeit oder fehlender Informationen
Auch nach Art. 10 Abs. 6 besteht unter Verwendung des Standardformulars die Möglichkeit, die Herausgabeanordnung erneut von der Anordnungsbehörde überprüfen zu lassen. Hiervon können Unternehmen Gebrauch machen, wenn die Herausgabeanordnung unvollständig, offensichtlich fehlerhaft ist oder keine ausreichenden Informationen zur Ausführung enthält. Die Anordnungsbehörde ist verpflichtet, innerhalb von fünf Tagen zu reagieren, Art. 10 Abs. 6 UAbs. 1.
Anders als bei einer Überprüfung nach Art. 10 Abs. 5, ist bei einer Überprüfung nach Art. 10 Abs. 6 die aufschiebende Wirkung vorgesehen. Unternehmen müssen also den Verpflichtungen nach Art. 10 Abs. 1 bis Abs. 4, insbesondere der Herausgabe von Daten, erst dann nachkommen, wenn die Herausgabeanordnung klargestellt oder berichtigt ist, Art. 10 Abs. 6 UAbs. 1.
3. Art. 10 Abs. 7: Überprüfung wegen faktischer Unmöglichkeit
Eine weitere Möglichkeit der Überprüfung sieht Art. 10 Abs. 7 vor. Bei faktischer Unmöglichkeit infolge von Umständen, die nicht dem Unternehmen angelastet werden können, setzt das Unternehmen die Anordnungsbehörde in Kenntnis und legt unter Verwendung des Standardformulars die Gründe der faktischen Unmöglichkeit dar. Aus Erwägungsgrund 59 der E-Evidence-VO ergibt sich, dass von faktischer Unmöglichkeit ausgegangen werden soll, wenn
[…] die Person, deren Daten angefordert wurden, nicht Kunde des Diensteanbieters ist oder selbst nach Anforderung weiterer Informationen bei der Anordnungsbehörde nicht als solcher identifiziert werden kann oder wenn die Daten vor Eingang der betreffenden Anordnung rechtmäßig gelöscht wurden […].
Die Anordnungsbehörde prüft sodann, ob eine faktische Unmöglichkeit tatsächlich besteht oder nicht, Art. 10 Abs. 7. Geht auch sie von einer faktischen Unmöglichkeit aus, teilt sie den Unternehmen mit, dass die Herausgabeanordnung nicht mehr ausgeführt werden muss. Eine (temporäre) Suspension ist nicht vorgesehen.
4. Art. 10 Abs. 8: Überprüfung aus anderen Gründen
Soweit Unternehmen der Herausgabeanordnung aus anderen als den in Art. 10 Abs. 5 bis 7 genannten Gründen überhaupt nicht, nicht vollständig oder nicht innerhalb der genannten Frist nachkommen können, muss auch hier die Anordnungsbehörde konsultiert (in der Regel in zehn Tagen, in Notfällen in acht Stunden) und unter Verwendung des Standardformulars die Gründe dargelegt werden. Die Herausgabeanordnung wird sodann erneut geprüft. Erforderlichenfalls kann die Anordnungsbehörde eine neue Frist zur Herausgabe der Daten bestimmen.
Entsprechende Regelungen finden sich für die Sicherungsanordnung in Art. 11 Abs. 4 bis 7.
II. Das Konsultationsverfahren nach Art. 17 Abs. 1
Ein weiteres Konsultationsverfahren findet sich in Art. 17. Hierbei handelt es sich um ein Überprüfungsverfahren bei widersprechenden Verpflichtungen. Zur Veranschaulichung folgendes Beispiel:
Die Staatsanwaltschaft E in Deutschland führt gegen O und C ein Ermittlungsverfahren wegen des Verdachts des gewerbsmäßigen Computerbetrugs. Die Ermittlungen deuten darauf hin, dass beweisrelevante Inhaltsdaten in einer Cloud des Dienstanbieters AB gespeichert sind. AB hat seinen Hauptsitz in Portugal und bietet seine Dienste in der Europäischen Union an. Die beweisrelevanten Inhaltsdaten speichert AB allerdings in den USA. Nachdem AB aus Deutschland eine Europäische Herausgabeanordnung hinsichtlich der Inhaltsdaten erhält, erklärt er, dass die Herausgabe der Inhaltsdaten gegen US-Recht verstoße.
Der Fall verdeutlicht den Anwendungsbereich des Art. 17 Abs. 1. Hiernach soll den Unternehmen ein Konsultationsverfahren an die Hand gegeben werden, wenn sie der Auffassung sind, die Befolgung stehe im Widerspruch zu einer Verpflichtung, die sich aus dem anwendbaren Recht eines Drittlandes ergibt.13
Wie auch in den o.g. Verfahren sind Unternehmen verpflichtet, unter Verwendung des Standardformulars innerhalb von zehn Tagen die Gründe für die Nichtausführung gegenüber der Anordnungsbehörde als auch der Vollstreckungsbehörde darzulegen.14
Art. 17 Abs. 2 qualifiziert die Anforderungen an die Kollisionsnorm im Wege einer Negativabgrenzung. Hiernach genügen insbesondere nicht der Einwand, dass die Daten im Drittland gespeichert sind oder das Drittland keine vergleichbare Herausgaberegelung enthält.
Im nächsten Schritt prüft die Anordnungsbehörde den Einwand des Unternehmens. Will sie an der Anordnung festhalten, so muss sie die Überprüfung eines gerichtlichen Verfahrens beantragen, Art. 17 Abs. 3.15 Wenn das Gericht einen Verstoß feststellt, kann sie trotzdem entscheiden, die Anordnung aufrechtzuerhalten, Art. 17 Abs. 4 und Abs. 6. Dem Gericht steht insoweit ein Ermessen zu. Die Ausführung der Europäischen Herausgabeanordnung wird bis zum Abschluss des Überprüfungsverfahrens suspendiert, Art. 17 Abs. 3.
Das Konsultationsverfahren nach Art. 17 Abs. 1 stellt für Unternehmen kein effektives Rechtsschutzinstrument dar. Zum einen wird den Unternehmen die Prüfung drittstaatlicher Rechte auferlegt, die diese in kürzester Zeit erkennen und darlegen sollen.16 Zum anderen überzeugt es nicht, dass die gerichtliche Überprüfung nach Art. 17 Abs. 6 dazu führen kann, dass Unternehmen ausdrücklich zum Rechtsbruch verpflichtet werden, soweit das Gericht eine Kollision mit dem Recht eines Drittstaates erkennt, diese aber im Rahmen der Abwägung hinzunehmen ist.17
E. Welche Sanktionen drohen Unternehmen bei Nichtbeachtung der Anordnungen?
Verstoßen Unternehmen gegen ihre Pflichten zur Herausgabe und Sicherung von Daten, droht die Vollstreckung der entsprechenden Anordnungen durch die zuständige Vollstreckungsbehörde. Diese wird zuvor von der Anordnungsbehörde zur Durchführung der Vollstreckung ersucht. Die Vollstreckungsbehörde kann die Vollstreckung aber auch aus den in Art. 16 Abs. 4 und Abs. 5 genannten Gründen ablehnen. Ein solcher Ablehnungsgrund wäre beispielsweise, dass das Unternehmen kein Dienstanbieter im Sinne der Verordnung ist, Art. 16 Abs. 4 lit. e. Wird kein Ablehnungsgrund geltend gemacht, folgen Sanktionen durch die Vollstreckungsbehörde. Art. 15 Abs. 1 i. V. m. § 18 Abs. 4 und Abs. 5 EBewMG sehen Geldbußen bis zu 2 % des weltweiten Gesamtumsatzes vor, wenn das Unternehmen einen Gesamtumsatz von mehr als EUR 5 Mio. (§ 18 Abs. 5 EBewMG) bzw. von mehr als EUR 25 Mio. (§ 18 Abs. 4 EBewMG) erzielt hat. In allen anderen Fällen sieht § 18 Abs. 3 EBewMG Geldbußen von maximal EUR 500.000 vor. Der Gesamtumsatz eines Unternehmens kann geschätzt werden, § 18 Abs. 6 EBewMG.
Anders als gegen die Europäischen Herausgabe- und Sicherungsanordnungen sieht die E-Evidence-VO gegen den Sanktionsbeschluss einen Rechtsbehelf vor, Art. 16 Abs. 10. Aus § 17 EBewMG ergibt sich diesbezüglich, dass die Vorschriften zum Einspruch gegen einen Bußgeldbescheid (§§ 67 ff. OWiG) entsprechend gelten. Sanktionsbeschlüsse gegen Unternehmen lassen sich damit jedenfalls nach dem Ordnungswidrigkeitenverfahren überprüfen. Ob im Rahmen des Einspruchsverfahrens ausschließlich der Sanktionsbeschluss oder darüber hinaus auch die zugrunde liegende Anordnung überprüft wird, lässt sich dem Wortlaut nicht eindeutig entnehmen. Zur Gewährleistung effektiven Rechtsschutzes sowie unter Berücksichtigung der zu erwartenden hohen Geldbußen erscheint es jedoch zwingend, auch die Rechtmäßigkeit der jeweiligen Anordnungen zu prüfen.
F. Zusammenfassung und Ausblick
Unternehmen stehen spätestens ab dem 18. August 2026 vor erheblichem Druck, den strengen Vorgaben der E-Evidence-VO Rechnung zu tragen, auch zur Vermeidung der finanziell nicht unerheblichen Sanktionen.
Unternehmen müssen unter Aufwendung von Kosten und Ressourcen daher unternehmensinterne Prozesse einrichten und anpassen, um sich auf die kurzen Reaktionsfristen vorzubereiten. Das wird auch Prüfungen des Datenmanagements (z.B. Gewährleistung der schnellen Identifizierung und Zuordnung der angefragten Daten) und der Archivierungspraktiken mit umfassen, Mitarbeiter in den Bereichen IT-Sicherheit und Datenschutz müssen geschult und sensibilisiert werden. Auch müssen alle Schritte im Umgang mit den zu sichernden und herauszugebenden Daten – schon auch zum eigenen Schutz des Unternehmens – umfangreich dokumentiert werden.
Das Konzept der Verordnung stellt Unternehmen vor die (kaum lösbare) Herausforderung, die Rechtmäßigkeit einer Anordnung in den engen zeitlichen Fristen der Verordnung zu prüfen. Mitarbeitende, die mit der Entgegennahme und Bearbeitung der Anordnung im Unternehmen befasst sind, müssen daher für die rechtlichen Voraussetzungen der Anordnungen (auch nach dem jeweiligen Recht des Anordnungsstaats) sensibilisiert werden. Auch müssen Unternehmen das Know-how zum Umgang mit den oben beschriebenen Konsultationsmöglichkeiten schulen, damit diese – wenngleich im Ergebnis eher schwachen Rechte – von Unternehmen genutzt werden können, um sich gegen Anordnungen zur Wehr zu setzen.
Die die Verordnung begleitende Richtlinie 2023/1544/EU verpflichtet Unternehmen zudem dazu, Vertreter bzw. Adressaten zu benennen, an welche Anordnungen nach der Verordnung zu richten sind. Dies gilt sowohl für Unternehmen, die mehrere Niederlassungen in der EU haben als auch für Unternehmen, die ihre Dienste zwar in der EU anbieten, dort aber keine Niederlassung haben.18
Weiter werden Unternehmen auch ihr Datenschutzkonzept auf Vereinbarkeit mit den Vorgaben der Verordnung prüfen und entsprechende Datenschutzmaßnahmen treffen müssen.
Letztlich müssen Unternehmen – neben der E-Evidence-VO – auch „parallele“ Entwicklungen auf Ebene des Europarats19 und der UNO20im Blick behalten. Denn auch diese Instrumente sollen den Zugriff auf (private) Diensteanbieter erleichtern und gehen über die Grenzen der EU hinaus.
Das eigentliche Ausmaß der Folgen der Verordnung wird sich nach dem 18. August 2026 zeigen. Es ist davon auszugehen, dass die Verordnung die deutschen und europäischen Gerichte in den nächsten Jahren stark beschäftigen wird. Mit einer großen Flut an Anordnungen gegen Unternehmen ist jedenfalls zu rechnen.
1 Vgl. hierzu Richtlinie 2014/41/EU vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen; umgesetzt in deutsches Recht in den §§ 91a ff. IRG.
2 Alle nicht bezeichneten Artikel sind solche der E-Evidence-Verordnung 2023/1543/EU vom 12. Juli 2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren (kurz: E-Evidence-VO).
3 Vgl. Weiß, ZRP 2025, 218 ff. zum Referentenentwurf eines Gesetzes zur Umsetzung und Durchführung des E-Evidence-Pakets.
4 Vgl. Hüttemann, NZWiSt 2024, 81 (88 f.), die von einem „echten Paradigmenwechsel“ und einer weitgehenden Privatisierung bzw. Hybridisierung der Rechtshilfe spricht.
5 Lt. Regierungsentwurf zum EBewMG sind in Deutschland in etwa 10.000 Unternehmen betroffen, davon etwa 10% auslandskontrollierte Diensteanbieter; teilweise wird mit einer deutlich höheren Anzahl an betroffenen Unternehmen gerechnet.
6 Art. 8 Abs. 2 normiert eine – im Gesetzgebungsverfahren sehr kontrovers diskutierte – Ausnahme von der Unterrichtungspflicht, wenn die Anordnungsbehörde zum Zeitpunkt des Erlasses der Anordnung hinreichende Gründe zu der Annahme hat, dass (a) die Straftat im Anordnungsstaat begangen wurde, begangen wird oder wahrscheinlich begangen werden wird und (b) die Person, deren Daten angefordert werden, im Anordnungsstaat ansässig ist.
7 Eine Überprüfung der Anordnung selbst ist nach der Vorstellung der Verordnung nur im anordnenden Staat möglich; der Person, dessen Daten von der Anordnung betroffen sind stehen nach Art. 18 insoweit Rechtsbehelfe zu. Ein solches Recht ist für Unternehmen als Adressat der Anordnung nicht vorgesehen.
8 Schaar, MMR 2018, 705 (706).
9 Hüttemann, NZWiSt 2024, 81 (92).
10 Hüttemann, NZWiSt 2024, 81 (92); Ambos, Zfistw 2025, 204 (215).
11 Vgl. https://anwaltsblatt.anwaltverein.de/de/themen/recht-gesetz/e-evidence-verordnung(zuletzt abgerufen am 29.05.2026).
12 Ambos, Zfistw 2025, 204 (215).
13 Petersen, StraFo 2023, 426 (431); Meyer in: Groeben/Schwarze/Hatje/Terhechte, Europäisches Unionsrecht, 8. Auflage 2025, Art. 82 AEUV, Rn. 66.
14 Petersen, StraFo 2023, 426 (431).
15 Sachlich zuständig wäre in Deutschland gemäß § 15 Abs. 2 EBewMG das OLG in dessen Bezirk die Anordnungsbehörde ihren Sitz hat oder der BGH, soweit die Anordnung der Generalbundesanwalt oder der Ermittlungsrichter des BGH erlassen hat. Der Beschluss des Gerichts ist unanfechtbar (§ 16 EBewMG).
16 So auch Hüttemann, NZWiSt 2024, 81 (88); Meyer in: Groeben/Schwarze/Hatje/Terhechte, Europäisches Unionsrecht, 8. Auflage 2025, Art. 82 AEUV, Rn. 67.
17 Weiß/Brinkel, RDi 2023, 522 (529).
18 Vgl. hierzu auch § 3 EBewMG.
19 Europäisches Übereinkommen über Computerkriminalität (sog. Budapest Konvention) sowie das Zweite Zusatzprotokoll dazu.
20 United Nations Convention against Cybercrime.
