Europa bekommt die eEvidence-Verordnung, mit der auch grenzüberschreitende Zugriffe auf Daten möglich sind. Nun darf man fragen, ob das mit dem US Cloud Act vergleichbar ist … und vor allem: Taugt das zur Entschärfung der Kritik am US Cloud Act? Zwar bewegen sich der US CLOUD Act und die EU-eEvidence-Verordnung im selben Themenkomplex, dem grenzüberschreitenden Zugriff auf elektronische Beweismittel, in ihrer Logik und in ihren Folgen für die Datensouveränität sind sie jedoch grundverschieden. Gerade deshalb verbietet sich eine Gleichsetzung, wie ich in einem Nebensatz kürzlich auch in einem Beitrag bei BeckNews klargestellt habe. Der CLOUD Act bleibt für europäische Akteure deutlich gefährlicher, auch wenn eEvidence die Schwelle für staatlichen Zugriff innerhalb der EU absenkt.
Was regeln CLOUD Act und eEvidence?
Der CLOUD Act (der Name hat weniger mit „Cloud“ als mit einem Akronym zu tun: „Clarifying Lawful Overseas Use of Data Act“, seit 2018) modifiziert den Stored Communications Act und stellt klar, dass US‑Strafverfolgungsbehörden Daten von Anbietern elektronischer Kommunikations‑ und Clouddienste verlangen können, wenn sich diese Daten in deren „possession, custody or control“ befinden – unabhängig davon, wo sie physisch gespeichert sind. Er schafft zugleich die Grundlage für bilaterale „Executive Agreements“ mit Drittstaaten, über die sich Staaten gegenseitig direkten Zugriff auf Provider in der jeweils anderen Jurisdiktion einräumen können.
Die eEvidence‑Verordnung (VO (EU) 2023/1543) schafft mit der Europäischen Herausgabeanordnung (EPOC) und der Europäischen Sicherungsanordnung (EPOC‑PR) ein neues Instrumentarium, mit dem Strafverfolgungsbehörden eines EU‑Mitgliedstaats elektronische Beweise unmittelbar bei Dienstanbietern in einem anderen Mitgliedstaat anfordern können. Betroffen sind Teilnehmer‑, Verkehrs‑, Inhalts‑ und bestimmte Identifikationsdaten; flankiert wird das System durch eine Richtlinie, die Anbieter zur Benennung eines gesetzlichen Vertreters in der EU verpflichtet.
Beide Instrumente greifen also in den „Territorialitätsklassiker“ des Strafverfahrensrechts ein, indem sie Datenzugriff über Grenzen hinweg ohne klassischen Rechtshilfeweg ermöglichen – aber sie tun dies auf sehr unterschiedliche Weise.
Vorsicht bei komplexen Themen
Ich habe diesen Beitrag auch geschrieben, weil ich seit einiger Zeit sogar juristische Fachpublikationen finde, in denen sehr bemüht zu argumentieren versucht wird, warum der US-Cloud-Act gar nicht so schlimm ist und dass ja die EU-eEvidence-VO das Gleiche ist. Die Argumentation scheint regelmäßig im Kontext der Legitimität der Nutzung von US-Diensten stattzufinden, die ebenso bemüht ist und meistens auf nervtötende Anleitungen hinausläuft, was man alles an Funktionen deaktivieren muss, damit dann ein rechtssicherer Einsatz denkbar ist. Derlei Ansinnen ist bestenfalls unseriös und kann allenfalls kurzfristig über die Wahrheit hinwegtäuschen: Was die US-Regierung sich ausnimmt bei digitalen Daten steht in keinem Verhältnis zu dem, was wir in Europa tun. Und europäische Juristen sollten sich weniger aus wahrscheinlich monetären Gründen zu unseriöser Argumentation als zu fachlichem Austausch berufen sehen.
Es gibt einige strukturelle Gemeinsamkeiten, die für mich erklären, warum beide Instrumente oft in einem Atemzug genannt werden. Diese Gemeinsamkeiten erklären, warum die eEvidence-VO im Diskurs gerne als „europäische Antwort“ auf die US‑Strategie gelesen wird. Sie sagen aber eben noch nichts darüber, ob der Überwachungs‑ und Souveränitätsimpact vergleichbar ist – und genau dort liegen die entscheidenden Unterschiede.
Gemeinsame Elemente von eEvidence-VO und CloudAct
Speicherort
Erstens verabschieden sich beide ausdrücklich vom Speicherort als Anknüpfungspunkt. Der CLOUD Act stellt klar, dass SCA‑Anordnungen gegenüber betroffenen Providern unabhängig davon wirken, ob die Daten „within or outside of the United States“ gespeichert sind – maßgeblich ist allein „possession, custody or control“. Die eEvidence‑Verordnung wiederum erfasst „electronic evidence … provided within the territory of the European Union … regardless of whether the data are stored inside or outside the EU“. In beiden Fällen schützt also reine Datenlokalisierung in einem anderen Staat nicht vor Zugriff.
Beschleunigung
Zweitens zielen beide Normwerke auf eine Beschleunigung des Zugriffs im Verhältnis zu klassischen Mutual Legal Assistance Treaties (MLAT). Der CLOUD Act will mit seiner Kombination aus extraterritorialer Anordnungsbefugnis und Executive Agreements langwierige Rechtshilfeverfahren ersetzen und einen direkt justiziellen Weg zu Providern eröffnen. Die eEvidence‑VO verfolgt denselben Zweck im Binnenraum der EU: EPOC/EPOC‑PR sollen den Umweg über die Behörden des Providerstaats entbehrlich machen und stattdessen einen unmittelbaren, IT‑gestützten Kommunikationskanal zwischen Ermittlungsbehörden und Providern schaffen.
Konfliktlage
Drittens erzeugen beide Mechanismen Konflikte mit anderen Rechtsordnungen. Beim CLOUD Act kollidiert die extraterritoriale Herausgabepflicht von US‑Providern mit Drittstaatenrecht, insbesondere mit der DSGVO und deren Einschränkungen für Datenübermittlungen in die USA. Die eEvidence‑VO führt ihrerseits zu Konflikten, wenn ein EU‑Anbieter Daten in einem Drittstaat wie den USA speichert und dortige Blocking‑Statutes (etwa der Stored Communications Act) einer Herausgabe an EU‑Behörden entgegenstehen.
Kurzum: Der Speicherort ist als Kriterium tot … Provider und Markt sind die neuen Schlüssel.
Unterschiede im Fokus
Kernunterschied 1: Jurisdiktionslogik – „Kontrolle“ vs. „Markt“
Der für mich wichtigste Unterschied ist die territoriale Anknüpfung: Der CLOUD Act knüpft an die Jurisdiktion der USA über den Provider an. Nach der inzwischen etablierten Lesart gilt er für alle Anbieter elektronischer Kommunikations‑ oder Remoteservices, die entweder in den USA ansässig sind oder dort eine „legal presence“ haben und damit US‑Gerichtsbarkeit unterliegen. Die Frage lautet: Steht der Provider oder die relevante Unternehmensgruppe unter US‑Kontrolle („possession, custody, or control“), nicht: Wo sitzt der Kunde oder wo steht der Server. Die Daten eines europäischen Unternehmens, das seine Mail‑Infrastruktur bei einem US‑Cloudanbieter mit Rechenzentren in Frankfurt hostet, können daher über CLOUD‑Act‑Anordnungen erfasst werden, ohne dass die EU hierauf Einfluss nehmen könnte.
Die eEvidence‑Verordnung knüpft dagegen primär an das Anbieten von Diensten im EU‑Markt an. Sie gilt für Provider, die Dienste „in der Union“ bereitstellen und entweder in einem Mitgliedstaat niedergelassen sind oder einen gesetzlichen Vertreter in der EU benennen. Der Zugriff erfolgt also über die Marktteilnahme im Binnenmarkt, nicht über globale Unternehmenskontrolle. Die Jurisdiktionsentscheidung ist: Welche Anbieter adressiert die EU über ihr Binnenmarktrecht, nicht: Wen kann sie weltweit zwingen. Dass der Speicherort der Daten keine Rolle spielt, ändert nichts daran, dass der Kreis der verpflichteten Provider enger gezogen ist als beim CLOUD Act.
Mit Blick auf Datensouveränität heißt das: Der CLOUD Act entfaltet eine global extraterritoriale Wirkung überall dort, wo US‑Kontrollstrukturen existieren; eEvidence wirkt „nur“ im Binnenmarkt und gegenüber jenen Akteuren, die den Marktzugang zur EU als Gegenleistung akzeptieren.
Kernunterschied 2: Verfahrensgarantien und Rechtsschutz
Auch auf der Eingriffsebene unterscheiden sich beide Instrumente deutlich: Beim CLOUD Act richtet sich die Eingriffsschwelle nach der Systematik des Stored Communications Act. Für Inhaltsdaten ist ein richterlicher Warrant erforderlich, für Verkehrsdaten genügt in der Regel eine court order mit abgesenkten Anforderungen, für Teilnehmerdaten reichen oft administrative subpoenas ohne gerichtliche Kontrolle. Benachrichtigungspflichten gegenüber Betroffenen sind begrenzt und können durch „gag orders“ weitgehend suspendiert werden; ein eigenständiger Rechtsschutz für Nicht‑US‑Bürger vor US‑Gerichten existiert faktisch nicht. Das einzige explizite Konfliktventil ist das sogenannte „comity“‑Verfahren, bei dem der Provider eine Anordnung anfechten kann, wenn sie mit ausländischem Recht kollidiert; entschieden wird aber durch US‑Gerichte nach US‑Maßstäben.
Die eEvidence‑Verordnung ist demgegenüber deutlich dichter mit Verfahrensgarantien versehen. Für Verkehrs‑ und Inhaltsdaten ist durchgängig eine richterliche oder gerichtliche Anordnung bzw. eine Validierung durch ein Gericht oder Untersuchungsrichter vorgesehen, für Teilnehmerdaten reicht – in Grenzen – auch eine staatsanwaltschaftliche Anordnung. Für die schwerwiegenderen Datenkategorien gelten zudem materielle Schwellen, etwa ein Mindesthöchststrafmaß von drei Jahren oder bestimmte Katalogstraftaten. Betroffene haben einen Anspruch auf Information über die Anordnung (mit der Möglichkeit zeitlicher Beschränkung) und einen effektiven Rechtsbehelf vor einem Gericht des Anordnungsstaats. Hinzu kommt – bei Verkehrs‑ und Inhaltsdaten – grundsätzlich eine Notifizierungspflicht gegenüber dem Vollstreckungsstaat, der die Möglichkeit hat, die Anordnung auf katalogisierte Ablehnungsgründe (Grundrechte, Privilegien, doppelte Strafbarkeit etc.) zu prüfen.
Aus grundrechtlicher Perspektive mag man die eEvidence‑VO gleichwohl kritisch sehen, etwa wegen des Wohnsitzkriteriums, der teilweisen „Privatisierung“ von Rechtshilfe durch direkte Provideradressierung und der engen Fristen. Und da bin ich noch nicht bei den handwerklichen Mängeln im Gesetzestext. Doch im direkten Vergleich mit dem CLOUD Act ist das Niveau an Transparenz, ex ante Kontrolle und Rechtsbehelfsmöglichkeiten halt klar höher.
Kernunterschied 3: Daten‑ und Staatensouveränität
Datensouveränität bedeutet letzten Endes zu fragen, wer faktisch und rechtlich kontrolliert, wer wann worauf zugreifen darf. Hier ist der CLOUD Act strukturell problematischer für europäische Akteure.
Der CLOUD Act verschiebt die Hoheitsfrage klar zugunsten der USA: Wo immer US‑Recht Jurisdiktion über einen Provider beansprucht, kann dieser zur Herausgabe von Daten verpflichtet werden, auch wenn diese Daten aus Sicht eines anderen Staates „auf seinem Territorium“ liegen oder dessen Bürger betreffen. Die EU‑Datenschutzbehörden haben in einer gemeinsamen Stellungnahme ausdrücklich darauf hingewiesen, dass CLOUD‑Act‑Anordnungen gegenüber in der EU gespeicherten personenbezogenen Daten regelmäßig im Widerspruch zu Art. 48 DSGVO stehen, der unmittelbare Anordnungen ausländischer Behörden ohne völkerrechtliche Grundlage untersagt. Dies führt dazu, dass europäische Organisationen, die auf US‑Cloudanbieter setzen, faktisch einen Teil ihrer Datensouveränität abgeben: Weder sie selbst noch europäische Gerichte können effektiv verhindern, dass US‑Behörden auf deren Daten zugreifen.
Die eEvidence‑Verordnung verschiebt Souveränität ebenfalls, aber innerhalb des europäischen Mehrebenensystems. Sie stärkt die Durchgriffsmöglichkeiten des Anordnungsstaats gegenüber Providern in anderen Mitgliedstaaten und reduziert die Rolle der Behörden des Providerstaats; der Vollstreckungsstaat behält aber zumindest bei Verkehrs‑ und Inhaltsdaten ein Mitspracherecht über die Notifizierungsschiene. Aus Sicht der Mitgliedstaaten mag dies ein Souveränitätsverlust sein, aus Sicht der EU‑Ebene handelt es sich um eine Stärkung der unionsrechtlichen Kompetenz; jedenfalls bleibt die Entscheidung „im Haus EU“ und unterliegt der Grundrechtecharta sowie der EMRK. Im Ergebnis handelt es sich um eine interne Neujustierung, nicht um eine einseitige Durchbrechung europäischer Standards von außen.
Hinzu kommt, dass die eEvidence‑VO Konflikte mit Drittstaatenrecht – insbesondere US‑Blocking‑Normen – in Art. 17 über ein formelles Konfliktlösungsverfahren adressiert, bei dem ein Gericht des Anordnungsstaats eine Abwägung zwischen den Interessen vornimmt. Man kann dieses Modell aus dogmatischer oder praktischer Sicht kritisieren; es bleibt aber in einer rechtsstaatlichen Logik wechselseitiger Abwägung. Beim CLOUD Act bleibt dem Drittstaat de facto nur die Möglichkeit politisch‑diplomatischer Reaktion – justiziell ist er außen vor.
Keine Entwarnung beim CLOUD Act
Auch wenn beide Instrumente den staatlichen Zugriff auf elektronische Beweise grenzüberschreitend beschleunigen und erleichtern und den Serverstandort als Schutzfaktor weitgehend obsolet machen, gibt es die aufgezeigten gravierenden Unterschiede. Eine Gleichsetzung im Sinne von „Das ist doch am Ende dasselbe wie eEvidence“ ist nicht zutreffend und wirkt im Zweifel verharmlosend.
Der entscheidende Unterschied dürfte darin liegen, dass der CLOUD Act extraterritoriale Zugriffsrechte eines Drittstaats – der USA – auf europäische Daten etabliert, ohne dass europäische Rechtsmaßstäbe und europäische Gerichte in diese Entscheidungen eingebunden wären. Er verschiebt die faktische Herrschaft über Daten dorthin, wo die Konzernzentralen großer Plattform‑ und Cloudanbieter sitzen – und diese sitzen überwiegend in den USA. eEvidence dagegen operiert innerhalb des europäischen Rechtsraums, unterliegt unionsrechtlicher Grundrechtsbindung und kann – wenn auch nachträglich – durch den EuGH und nationale Gerichte kontrolliert werden.
Der CLOUD Act lässt sich nicht durch Verweise auf eEvidence relativieren, jedenfalls wenn man thematisch eingearbeitet ist und nicht nur oberflächlich Vergleiche zieht. Die Tatsache, dass Europa seinerseits nun ein beschleunigtes Instrument für den grenzüberschreitenden Datenzugriff geschaffen hat, macht den US-CLOUD-Act weder harmloser noch weniger gefährlich für die Datensouveränität in Europa. Im Gegenteil: In der Zusammenschau zeigt sich, wie stark sich der klassische Territorialitätsgedanke bereits verschoben hat und wie sehr die Wahl der technischen und organisatorischen Infrastruktur (US-Cloud vs. souveräne EU-Cloud) zu einer genuin strategischen Souveränitätsfrage geworden ist.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Urheberrecht an KI-generierten Logos? - 14. Februar 2026
- Ransomware: Lösegeld an die Erpresser bezahlen? - 13. Februar 2026
- NPSG: Lachgas und GBL zukünftig erfasst (2026) - 13. Februar 2026
