Bundestag beschließt E-Evidence-Gesetz: Europäische Ermittler erhalten direkten Zugriff auf digitale Daten

Der Deutsche Bundestag hat Ende Januar 2026 das Gesetz zur Umsetzung der europäischen E-Evidence-Regelungen verabschiedet. Damit schafft Deutschland die rechtlichen Voraussetzungen für einen grundlegenden Wandel in der grenzüberschreitenden Strafverfolgung innerhalb der Europäischen Union und ab dem 18. August 2026 können Ermittlungsbehörden eines Mitgliedstaates erstmals direkt bei Diensteanbietern in anderen EU-Ländern elektronische Beweismittel anfordern – und zwar ohne den umständlichen Weg der klassischen Rechtshilfe beschreiten zu müssen.

Hinweis: Digitale Beweismittel sind mein Spezialgebiet und ich publiziere regelmäßig dazu – in Kürze wird von mir zur Umsetzung der eEvidence-VO ein detaillierter Fachaufsatz in der STRR erscheinen.

Neuausrichtung der europäischen Strafverfolgung

Die neue Regelung markiert eine echte Neuausrichtung in der bisherigen Praxis digitaler Beweiserhebung: Während strafrechtliche Ermittlungen über Grenzen hinweg traditionell eine langwierige Abstimmung zwischen den beteiligten Staaten erforderten, ermöglicht das E-Evidence-Paket nun einen direkten Durchgriff. Ermittlungsbehörden eines EU-Staates können Telekommunikationsanbieter, Cloud-Dienste oder soziale Netzwerke in anderen Mitgliedstaaten ohne deren nationale Justizbehörden zur Herausgabe von Daten verpflichten. Hoheitliche Akte entfalten damit erstmals unmittelbare Wirkung auf fremdem Hoheitsgebiet, in vielen Fällen sogar ohne Kenntnis oder Einflussmöglichkeit des betroffenen Staates.

Das deutsche Umsetzungsgesetz, das Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz, implementiert zwei zentrale europäische Rechtsakte: die Verordnung über Europäische Herausgabe- und Sicherungsanordnungen sowie die Richtlinie über die Bestellung von Vertretern zur Entgegennahme solcher Anordnungen. Die Verordnung gilt unmittelbar in allen Mitgliedstaaten, während die Richtlinie bis zum 18. Februar 2026 in nationales Recht hätte umgesetzt werden müssen (ich vermute, man wird es hierzulande knapp reissen).

Adressatenpflicht und Fristen setzen Unternehmen unter Druck

Im Kern verpflichtet das neue Gesetz Diensteanbieter, sogenannte Adressaten in der EU zu benennen oder zu bestellen. Diese benannten Niederlassungen oder gesetzlichen Vertreter fungieren als zentrale Anlaufstellen für Herausgabe- und Sicherungsanordnungen ausländischer Ermittlungsbehörden. Unternehmen mit Niederlassungen in mehreren EU-Staaten müssen für jedes in ihrem Geschäftsbereich relevante Rechtsinstrument individuell prüfen, wo sie einen Adressaten einrichten. Diese Präzisierung erfolgte auf Drängen des Rechtsausschusses, um Rechtsunsicherheiten zu vermeiden.

Die zeitlichen Vorgaben sind ambitioniert. Diensteanbieter, die bereits am 18. Februar 2026 in der EU tätig waren, müssen bis zum 18. August 2026 ihre Adressaten benennen. Neue Anbieter haben ab Aufnahme ihrer Tätigkeit sechs Monate Zeit. Die Kontaktdaten dieser Adressaten müssen dem Bundesamt für Justiz als zentraler Behörde gemeldet werden, das diese Informationen über das Europäische Justizielle Netz öffentlich zugänglich macht.

Noch strenger sind die Reaktionsfristen bei eingehenden Anordnungen. Nach Erhalt einer Europäischen Herausgabeanordnung müssen die betroffenen Daten umgehend gesichert werden. Die Herausgabe selbst hat innerhalb von zehn Tagen zu erfolgen. In hinreichend begründeten Notfällen verkürzt sich diese Frist auf lediglich sechs bis acht Stunden. Bei Nichtbefolgung drohen erhebliche Sanktionen: Geldbußen von bis zu 500.000 Euro oder bei größeren Unternehmen bis zu zwei Prozent des weltweiten Jahresumsatzes.

EU-weiter Hunger nach digitalen Daten

Der jährlich erscheinende SIRIUS-Report dokumentiert eine drastische Zunahme grenzüberschreitender Datenanfragen europäischer Strafverfolgungsbehörden an ausländische Diensteanbieter. So hat sich das Volumen regulärer Anfragen innerhalb von fünf Jahren nahezu verdreifacht – von 87.015 im Jahr 2018 auf 266.855 im Jahr 2023.

Noch deutlicher fällt die Entwicklung bei Notfallanfragen aus: Sie sind im gleichen Zeitraum von 2.657 auf 21.746 angestiegen, was einer Verachtfachung entspricht. Bemerkenswert ist dabei die kontinuierliche Steigerung der Erfolgsquote von 58 auf 74 Prozent, was auf professionalisierte Prozesse und verbesserte Kooperationsstrukturen zwischen Behörden und Industrie hindeutet.

Mit 125.758 Anfragen im Jahr 2023 führt Deutschland die europäische Statistik übrigens deutlich an – mehr als dreimal so viele wie Frankreich auf dem zweiten Platz. Bei den angefragten Diensteanbietern dominieren Google und Meta mit zusammen 227 724 Anfragen das Feld. Google reagiert mit einer Erfolgsquote von 82 Prozent dabei deutlich zuverlässiger als Meta mit 70 Prozent.

Differenzierung nach Datenkategorien und Unterrichtungspflicht

Das Gesetz unterscheidet zwischen verschiedenen Kategorien elektronischer Beweismittel. Teilnehmerdaten umfassen Bestandsinformationen wie Namen und Adressen von Kunden. Identifizierungsdaten dienen ausschließlich der Zuordnung einer bestimmten Nutzung zu einer Person. Verkehrsdaten erfassen Metainformationen über Kommunikationsvorgänge, etwa wer wann mit wem kommuniziert hat. Inhaltsdaten schließlich sind die eigentlichen Nachrichten, E-Mails oder gespeicherten Dokumente.

Diese Abstufung spiegelt sich in den Verfahrensanforderungen wider: Während Staatsanwaltschaften Europäische Herausgabeanordnungen für Teilnehmer- und Identifizierungsdaten grundsätzlich selbst erlassen können, ist bei Verkehrs- und Inhaltsdaten zwingend eine gerichtliche Anordnung erforderlich. Zudem greift bei sensibleren Datenkategorien ein Unterrichtungsmechanismus dergestalt, dass, wenn eine Ermittlungsbehörde Inhaltsdaten anfordert und hinreichende Gründe für die Annahme hat, dass sich die betroffene Person im Vollstreckungsstaat aufhält, die dortige Vollstreckungsbehörde informiert werden muss.

Diese Vollstreckungsbehörde prüft anhand eines Katalogs von Ablehnungsgründen, ob die Anordnung zu vollstrecken ist. Erfasst sind etwa Verstöße gegen Immunitäten und Vorrechte, offensichtliche Grundrechtsverletzungen, Verstöße gegen den Grundsatz „ne bis in idem“ oder fehlende Strafbarkeit nach dem Recht des Vollstreckungsstaates. Macht die Vollstreckungsbehörde einen Ablehnungsgrund geltend, muss die anordnende Behörde die Anordnung widerrufen und der Diensteanbieter darf die Daten nicht übermitteln.

Rechtsschutzlücken und verfassungsrechtliche Bedenken

Gerade dieser Unterrichtungsmechanismus offenbart eine mögliche Schwäche der Regelung, denn die Unterrichtung erfolgt nur bei Inhaltsdaten und auch dort nur unter bestimmten Voraussetzungen. Bei einer Vielzahl von Anordnungen, insbesondere solchen betreffend Verkehrsdaten, bleibt die Vollstreckungsbehörde außen vor. Der betroffene Staat erfährt in diesen Fällen nichts von der Datenanforderung und kann folglich auch keine Prüfung vornehmen.

Die Betroffenen selbst haben zwar grundsätzlich ein Recht auf Rechtsbehelfe, dieses besteht jedoch ausschließlich im Anordnungsstaat. Wer in Deutschland lebt und dessen Daten eine polnische Ermittlungsbehörde bei einem deutschen Anbieter anfordert, muss seine Rechte vor polnischen Gerichten geltend machen. Eine nachträgliche Überprüfung im Vollstreckungsstaat, also in Deutschland, sieht das Gesetz nicht vor. Diese Konzeption stand im Zentrum der Kritik während der parlamentarischen Beratungen.

Die Bundesrechtsanwaltskammer bemängelte in ihrer Stellungnahme, dass der Gesetzgeber den europarechtlich zulässigen Umsetzungsspielraum nicht genutzt habe, um stärkere Rechtsschutzgarantien zu verankern. Besonders kritisch sieht die Kammer die auf Drängen der Justizministerkonferenz erfolgte Einschränkung der Rechtsbehelfe. Ursprünglich war vorgesehen, dass auch gegen Ermessensentscheidungen der Vollstreckungsbehörde bei der Geltendmachung von Ablehnungsgründen nachträglich Rechtsschutz gewährt werden sollte. Diese Möglichkeit wurde gestrichen.

Digitale Beweismittel

Bei uns im Blog finden Sie eine Vielzahl von Beiträgen zu digitalen Beweismitteln, Rechtsanwalt Jens Ferner ist auf das Thema spezialisiert:

• Zugriffe der Polizei: WhatsApp-Nachrichten, Mails, TOR-Netzwerk, File-Carving, Predictive Policing und Kryptowährungen
• Zugriff auf Smartphones: Warum sind PINs gefährlich, wie arbeiten Ermittler und biometrische Merkmale dürfen erzwungen werden
• Digitale Beweismittel im deutschen Strafprozess
• Strafbarkeit wenn man sein Passwort nicht verrät?
• Foto von Fingerabdruck führt zu Encrochat-Nutzer
• Beiträge zu Encrochat
• Blackbox im PKW
• IT-Forensik: Welche Software nutzen Ermittler?
• Nachweis von Software-Urheberrechtsverletzung
• Wann ist eine Mail zugegangen?
• SIRIUS Report: Statistiken zur Verwendung digitaler Beweismittel in der EU
• EGMR zu digitalen Beweismitteln
• EUGH: Beweisverwertungsverbot bei mangelnder Verteidigung
• e-Evidence-Verordnung: Grenzüberschreitender Zugriff auf digitale Beweise in der EU ab 2026

Schutz von Berufsgeheimnisträgern unzureichend geregelt

Ein weiterer Kritikpunkt betrifft den Schutz von Berufsgeheimnissen. Rechtsanwälte, Ärzte oder Journalisten genießen in Deutschland besondere Vertraulichkeitsrechte. Beschlagnahmeverbote schützen ihre berufliche Kommunikation vor staatlichem Zugriff. Bei Europäischen Herausgabeanordnungen verweist das Gesetz zwar auf diese bestehenden nationalen Schutzvorschriften, regelt aber nicht, wie diese praktisch durchgesetzt werden sollen. Das Problem liegt in der Struktur des Verfahrens: Die Daten werden direkt an die ausländische Anordnungsbehörde übermittelt. Eine Sichtung der Daten durch deutsche Behörden, bei der Berufsgeheimnisträger oder ihre Vertreter anwesend sein könnten, ist nicht vorgesehen. Die Auswertung erfolgt im Ausland, ohne dass der betroffene Berufsgeheimnisträger darauf Einfluss nehmen könnte. Der Deutsche Anwaltverein warnte, die Auswertung der übermittelten Daten gleiche damit einer Black Box, in der wesentliche Schutzrechte de facto ausgehebelt würden.

Die Bundesregierung versuchte, diese Bedenken durch eine Entschließung des Bundestages zu adressieren. Darin wird das Bundesjustizministerium aufgefordert zu prüfen, ob in den Richtlinien für den Verkehr mit dem Ausland in strafrechtlichen Angelegenheiten eine fakultative Kommunikationsmöglichkeit zwischen Vollstreckungsbehörde und Diensteanbieter aufgenommen werden kann. Vollstreckungsbehörden könnten dann bei Unklarheiten über das Vorliegen von Ablehnungsgründen mündlich Kontakt zum Adressaten aufnehmen. Eine verbindliche gesetzliche Regelung scheitert daran, dass die Verordnung abschließend festlegt, wer wann mit wem kommuniziert. Der deutsche Gesetzgeber kann diese Kommunikationswege nicht einseitig erweitern.

Effizienzgewinn steht Grundrechtsbedenken gegenüber

Aus Sicht der Strafverfolgungsbehörden stellt das E-Evidence-Paket einen erheblichen Fortschritt dar. Die bisherigen Rechtshilfeverfahren waren langwierig und ressourcenintensiv. Bei der Ermittlung grenzüberschreitender Straftaten, insbesondere im Bereich der Cyberkriminalität oder des Terrorismus, sind digitale Beweismittel häufig von entscheidender Bedeutung. Die neue Regelung ermöglicht einen schnelleren Zugriff auf diese Daten und trägt damit der Realität Rechnung, dass Kriminalität längst nicht mehr an nationalstaatlichen Grenzen haltmacht.

Die Bundesregierung geht davon aus, dass durch die Verordnung jährlich etwa 2,7 Millionen Euro eingespart werden können, weil zukünftig weniger Stellen in das Verfahren eingebunden werden müssen. Zugleich entstehen allerdings auch neue Kosten: Der Bund rechnet mit dauerhaften jährlichen Personalausgaben von rund 741.000 Euro, die Länder mit zusätzlichen Bedarfen von etwa 273.000 Euro. Für die Wirtschaft ergibt sich eine Erhöhung des jährlichen Erfüllungsaufwands um rund 126.000 Euro sowie einmaliger Aufwand von circa 1,3 Millionen Euro.

Kritiker sehen das territoriale Souveränitätsprinzip und damit auch den Grundrechtsschutz geschwächt. Strafverfolgungsbehörden eines Mitgliedstaates können auf Daten zugreifen, die in einem anderen Mitgliedstaat gespeichert sind, auch wenn die zugrunde liegende Handlung dort möglicherweise gar nicht strafbar ist. Die deutschen Datenschutzbeauftragten von Bund und Ländern sehen die Grundrechte der Nutzer und der Anbieter ausgehebelt. Ich versuche an dieser Stelle eine differenzierte Position einzunehmen, da es abwegig wäre, als Praktiker die derzeit grenzbezogenen Lücken in der Beweisführung zu ignorieren – wobei die bisherige Handhabung der Rechtsprechung nur mehr Unsicherheit schafft als ein geordneter Rechtsrahmen.

Konflikte mit Drittstaaten vorprogrammiert?

Eine besondere Herausforderung ergibt sich aus möglichen Konflikten mit dem Recht von Drittstaaten. Viele Diensteanbieter haben ihre Konzernzentralen in den Vereinigten Staaten und unterliegen dort eigenen gesetzlichen Verpflichtungen.

Der US-amerikanische CLOUD Act ermächtigt US-Behörden zum Zugriff auf Daten amerikanischer Anbieter, unabhängig vom Speicherort. Die E-Evidence-Verordnung geht noch weiter, indem sie auch außereuropäische Unternehmen zur Befolgung verpflichtet, sofern sie Dienste in der EU anbieten.

Wenn ein Diensteanbieter der Ansicht ist, durch Befolgung einer Herausgabeanordnung gegen das Recht eines Drittstaates zu verstoßen, kann er ein Überprüfungsverfahren nach Artikel 17 der Verordnung einleiten. Er muss dann der Anordnungsbehörde alle sachdienlichen Angaben zu den betreffenden Rechtsvorschriften des Drittstaates und ihrer Anwendbarkeit mitteilen. Die Anordnungsbehörde überprüft ihrerseits die Anordnung und entscheidet gegebenenfalls über deren Aufrechterhaltung. Hält sie daran fest, entscheidet ein Gericht des Anordnungsstaates anhand einer umfangreichen Abwägung.

Dieser Mechanismus bietet zwar einen Konfliktlösungsansatz, beseitigt aber nicht die grundsätzliche Rechtsunsicherheit für die Diensteanbieter. Sie befinden sich in einer Zwickmühle: Befolgen sie die Europäische Herausgabeanordnung, riskieren sie Sanktionen nach dem Recht des Drittstaates. Verweigern sie die Herausgabe, drohen ihnen empfindliche Bußgelder nach europäischem Recht. Die Verordnung sieht zwar vor, dass sich der Einwand nicht darauf stützen darf, dass in den Rechtsvorschriften des Drittstaates keine vergleichbaren Bestimmungen existieren. Doch selbst wenn dieser formale Maßstab erfüllt ist, bleibt die Frage, welche Rechtspflicht letztlich vorgeht.

CLOUD Act und EU-eEvidence VO im Vergleich

Was kommt nun auf Nutzer zu?

Mit der Verabschiedung des Umsetzungsgesetzes hat Deutschland einen wichtigen Schritt zur Implementierung des E-Evidence-Pakets vollzogen. Natürlich kann man immer kritisieren, aber diese Entwicklung war Sie war überfällig. Der bisherige grenzbezogene Zustand war nicht mehr tragbar. und Erste Gerichte begannen ja auch bereits. auf nationaler Rechtsgrundlage (bei uns: § 110 StPO). grenzüberschreitende Zugriffe zu tolerieren. Die verbindliche gesetzliche Regelung war schlichtweg überfällig.

Doch damit beginnen die Probleme erst, denn bald wird die Verordnung praktisch anwendbar sein. Bis dahin müssen Diensteanbieter ihre internen Prozesse angepasst, Adressaten benannt und die technischen Voraussetzungen für die fristgerechte Bearbeitung von Anordnungen geschaffen haben. Gleichzeitig arbeiten Strafverfolger erstmals mit dem neuen Instrument, wobei nicht absehbar ist, wie intensiv es genutzt wird – auch wenn die Daten von Sirius eine hohe Nutzung erwarten lassen.

Rechtsstreitigkeiten sind vorprogrammiert – nicht nur, weil Betroffene ihre Rechte einklagen und sich Diensteanbieter gegen Sanktionen wehren werden. Das größte Problem ist der Zugriff auf Daten von Berufsgeheimnisträgern wie Strafverteidigern. Es wird de facto darauf hinauslaufen, dass diese eine eigene Verschlüsselungsstufe hinzufügen müssen. ehrlich gesagt jetzt schon haben sollte). Der Deutsche Anwaltverein hat vollkommen zu Recht gewarnt, dass die Streichung zentraler Rechtsschutzmechanismen essenzielle rechtsstaatliche Garantien untergrabe. Absehbar wird das Thema Gegenstand verfassungsgerichtlicher und europarechtlicher Überprüfung sein, nur wird es bis dahin Jahre dauern, da unsere Rechtsschutzmechanismen die Notwendigkeit schneller Klärung bei solchen Fragen nicht vorsehen.

Das E-Evidence-Paket steht exemplarisch für ein Spannungsverhältnis, das die europäische Integrationspolitik zunehmend prägt: Einerseits besteht das berechtigte Bedürfnis nach effektiver Verbrechensbekämpfung in einem Raum ohne Binnengrenzen. Andererseits sind Grundrechtsstandards und rechtsstaatliche Sicherungen tief in den nationalen Verfassungen verankert. Das Vertrauen in die Rechtsstaatlichkeit anderer Mitgliedstaaten ist also eine notwendige Voraussetzung für das Funktionieren des neuen Systems. Es ist absehbar, dass Kritiker mit Sorge auf Ungarn blicken, wenn es darum geht.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Urheberrecht an KI-generierten Logos? - 14. Februar 2026
• Ransomware: Lösegeld an die Erpresser bezahlen? - 13. Februar 2026
• NPSG: Lachgas und GBL zukünftig erfasst (2026) - 13. Februar 2026