e-Evidence für Online-Marktplätze und Cloud-Plattformen: Was Sie wissen müssen

Von /
Darstellung der e-Evidence Compliance für Online-Marktplätze und Cloud-Plattformen in der EU

Die EU-Verordnung über elektronische Beweismittel (EU) 2023/1543 wird oft so diskutiert, als ob dies nur ein Problem der Telekommunikation wäre. Das ist es aber nicht. Von 18. August 2026, Online-Marktplätze, SaaS-Plattformen, Cloud-Speicher- und IaaS-Anbieter, Hosting-Unternehmen, soziale Netzwerke und Kollaborationstools fallen alle ausdrücklich in den Anwendungsbereich. Wenn Ihre Plattform Nutzerdaten speichert, verarbeitet oder überträgt und Sie Dienste für Nutzer in der EU anbieten, müssen Sie bereit sein, Europäische Herstellungsanordnungen (EPAs) und Europäische Aufbewahrungsanordnungen (EPOC-PRs) zu empfangen und auszuführen - direkt, ohne diplomatische Vermittler, innerhalb enger gesetzlicher Fristen.

Für Plattformen, die bisher nur gelegentlich und ad hoc mit Datenanfragen konfrontiert wurden, ist dies ein großer Fortschritt. Allein das deutsche Bundesjustizministerium schätzt, dass etwa 9.000 Unternehmen in Deutschland fallen in den Anwendungsbereich, und ähnliche Zahlen gelten für den Rest der EU. In diesem Leitfaden wird genau erklärt, welche Plattformen betroffen sind, welche Arten von Aufträgen zu erwarten sind, was die Verordnung insbesondere von Marktplätzen und Cloud-Anbietern verlangt und wie man rechtzeitig ein konformes Betriebsmodell aufbaut.

Welche Online-Plattformen fallen in den Anwendungsbereich von e-Evidence?

In der Verordnung werden bewusst weit gefasste, technologieneutrale Definitionen verwendet, um die Realitäten moderner Online-Dienste zu erfassen. Zu den Kategorien, die für Plattformbetreiber am unmittelbarsten relevant sind, gehören:

  • Online-Marktplätze - jede Plattform, die es Dritten ermöglicht, Verbrauchern Waren oder Dienstleistungen anzubieten, einschließlich B2C-Marktplätzen, Peer-to-Peer-Handelsplattformen, Ticketing-Plattformen, Gig- und On-Demand-Marktplätzen und Mietplattformen.
  • Anbieter von Cloud Computing und Speicherplatz - IaaS-, PaaS- und SaaS-Anbieter, Objekt-/Dateispeicherdienste, Anbieter von Backup- und Disaster-Recovery-Diensten sowie verwaltete Datenbankdienste.
  • Hosting-Anbieter - Managed Hosting, dedizierte Server, VPS, Content Delivery Networks und Edge-Plattformen.
  • Soziale Netzwerke und Online-Gemeinschaften - Dazu gehören Foren, Dating-Apps, berufliche Netzwerke, Spieleplattformen mit sozialen Funktionen und Urheber-/Streaming-Plattformen.
  • Dienste der Informationsgesellschaft, die Nutzerdaten speichern - Kollaborations-Suites, Tools für die gemeinsame Nutzung von Dateien, Projektmanagement-Plattformen, Low-Code/No-Code-Plattformen und KI-Produkte, die Eingabeaufforderungen oder Ausgaben beibehalten.
  • Internet-Domain und IP-Nummerierungsdienste - Register, Registrierstellen, Datenschutz-/Proxy-Dienste, RIRs und DNS-Anbieter.
  • Zahlenunabhängige zwischenmenschliche Kommunikation - Over-the-Top-Messaging, Videokonferenzen und Chat-Funktionen, die in größere Produkte eingebettet sind.

Entscheidend ist, dass die Verordnung die “Prüfung der ”wesentlichen Verbindung"Wenn Sie Ihre Dienstleistung Nutzern in der EU anbieten und auf den EU-Markt abzielen - zum Beispiel durch lokalisierte Preise, Sprache oder Marketing -, fallen Sie in den Geltungsbereich, unabhängig davon, wo Ihr Unternehmen registriert ist.

Welche Art von Daten werden von den Behörden angefordert?

In der Verordnung wird zwischen vier Kategorien elektronischer Beweismittel unterschieden, für die jeweils unterschiedliche Schwellenwerte und Sicherheitsvorkehrungen gelten:

  1. Daten des Teilnehmers - Identität, Kontaktdaten, Rechnungsdaten, die Art des in Anspruch genommenen Dienstes und das Datum der Registrierung.
  2. Daten, die ausschließlich zum Zweck der Identifizierung des Nutzers angefordert werden - IP-Adressen und Zugriffsprotokolle, die ausschließlich zur Identifizierung einer Person dienen.
  3. Verkehrsdaten (außer Identifikationsdaten) - Verbindungsprotokolle, Transaktions-Metadaten, Geräte-IDs, Zeitstempel und Routing-Informationen.
  4. Inhaltliche Daten - Listen, Nachrichten, hochgeladene Dateien, Fotos, Dokumente, Transaktionsaufzeichnungen und andere wesentliche Inhalte.

Teilnehmer- und Identifizierungsdaten können für jede Straftat angefordert werden. Verkehrs- und Inhaltsdaten sind Straftaten vorbehalten, die mit einer Freiheitsstrafe von mindestens drei Jahren geahndet werden können, oder einer definierten Liste von schwerer Cyberkriminalität, Terrorismus, sexuellem Missbrauch von Kindern und organisierter Kriminalität. Auf Marktplätzen und Cloud-Plattformen finden sich in der Regel alle vier Kategorien, weshalb eine genaue Datenzuordnung eine grundlegende Compliance-Aufgabe darstellt.

Typische e-Evidence-Szenarien auf Marktplätzen und Cloud-Plattformen

Betrug auf dem Online-Marktplatz

Ein Ermittler, der einen Betrugsring verfolgt, fragt einen Marktplatzbetreiber nach der Identität des Verkäufers, der Registrierungs-IP, dem Transaktionsverlauf und den Nachrichten mit den Opfern. Teilnehmer- und Verkehrsdaten können im Rahmen des standardmäßigen 10-Tage-Fensters fließen; Inhaltsdaten wie Nachrichten und Fotos sind schweren Straftaten vorbehalten und erfordern zusätzliche Schutzmaßnahmen.

Ransomware und Infrastrukturmissbrauch auf Cloud-Plattformen

Ein Staatsanwalt, der eine Ransomware-Operation untersucht, bittet einen Cloud-Anbieter um Control-Plane-Protokolle, Instanz-Metadaten, Abrechnungsidentität und Speicherzugriffsprotokolle für einen verdächtigen Mandanten. Dies sind zeitkritische Anfragen, die in der Regel als Notfall-EPAs mit einer Frist von 8 Stunden.

Untersuchungen zur Sicherheit von Kindern im Internet

Bei Ermittlungen im Zusammenhang mit Material über sexuellen Kindesmissbrauch auf sozialen oder Inhaltsplattformen werden in der Regel Identifizierungsanordnungen mit Anordnungen zur Produktion und Aufbewahrung von Inhalten kombiniert. Diese Fälle profitieren von den beschleunigten Kanälen der Verordnung, erfordern aber auch die höchsten Standards in Bezug auf Integrität und Überwachungskette.

Kontoübernahme und Phishing im großen Stil

Die Behörden können bereits zu Beginn einer Untersuchung Aufbewahrungsanordnungen (EPOC-PRs) erlassen, um Protokolle und Kontodaten zu sperren, während eine Produktionsanordnung vorbereitet wird. Die Plattformen müssen in der Lage sein, bestimmte Datensätze 60 Tage lang aufzubewahren, was um weitere 30 Tage verlängert werden kann, ohne die normalen Aufbewahrungs- oder Analyseabläufe zu stören.

Die Herausforderung für Nicht-EU-Anbieter: Bezeichnete Niederlassung

Für Plattformen mit Hauptsitz außerhalb der EU ist eine der folgenreichsten Anforderungen die Verpflichtung gemäß der Richtlinie (EU) 2023/1544 zur Benennung eines offizielle Einrichtung oder gesetzlicher Vertreter in einem Mitgliedstaat. Diese benannte Stelle ist die Zustelladresse für alle EPA und EPOC-PR - und ist selbst für die Einhaltung der Vorschriften verantwortlich.

  • Ohne eine benannte Niederlassung können Sie keine Anordnungen rechtmäßig entgegennehmen, keine Einwände erheben und riskieren automatisch die Nichteinhaltung der Vorschriften und Strafen von bis zu 2% des weltweiten Jahresumsatzes.
  • Die benannte Stelle muss bei der zuständigen nationalen Behörde registriert sein (in Deutschland ist dies die Bundesamt für Justiz; andere Mitgliedstaaten haben entsprechende Regelungen).
  • Sie muss befugt und in der Lage sein, die Aufträge innerhalb der vorgeschriebenen Fristen auszuführen.
  • Es muss nahtlos mit Ihren globalen Rechts-, Sicherheits- und Technikteams koordiniert werden, oft über Zeitzonen hinweg.

Für viele Nicht-EU-Plattformen ist die effizienteste Lösung eine Ausgewiesene Einrichtung-as-a-Service Arrangement: Ein regulierter EU-Partner fungiert als Ihr Ansprechpartner, kümmert sich rund um die Uhr um die Annahme von Aufträgen, validiert und triagiert diese und leitet nur die inhaltlichen Entscheidungen, die plattformspezifisches Wissen erfordern, an Ihre internen Teams weiter.

Betriebliche Anforderungen für Marktplätze und Cloud-Plattformen

Die Einhaltung der Vorschriften ist nicht nur eine Übung in Papierkram. Um die 10-Tage-Standardfristen und die 8-Stunden-Notfallfristen zuverlässig einzuhalten, benötigen die Plattformen in der Regel:

  • Sichere Ansaugschnittstelle verbunden mit e-CODEX, mit automatischer Validierung der digitalen Signaturen und der Berechtigungsnachweise der ausstellenden Behörde.
  • Systemübergreifende Datenermittlung die in der Lage sind, Teilnehmer-, Identifikations-, Verkehrs- und Inhaltsdaten in alten und modernen Datenspeichern zu finden.
  • Standardisierte Exportformate Anpassung an die Durchführungsrechtsakte der Kommission über Datenformate.
  • Verschlüsselte Zustellung zurück über e-CODEX, mit überprüfbarem Eingang und revisionssicherer Protokollierung.
  • Manipulationssichere Prüfpfade die jeden Vorgang vom Eingang bis zur Zustellung abdecken - unerlässlich für die Beweiskraft und die nachträgliche behördliche Überprüfung.
  • 24/7 Bereitschaftsdienst für juristische und technische Fragen, mit einstudierten Ablaufplänen für Notfallaufträge.
  • Kontrollen zur Datenminimierung Sie stellen sicher, dass Sie im Einklang mit Artikel 5 der Datenschutz-Grundverordnung nur das weitergeben, was ausdrücklich bestellt wurde.
  • Transparente Berichterstattung an das Gesetz über digitale Dienste für sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs) angepasst.

Für die größten Plattformen ist es machbar, all dies intern zu entwickeln, aber die meisten Marktplätze und Cloud-Anbieter profitieren von einer speziell entwickelten Lösung. Die ICS e-Evidence Compliance Plattform deckt den gesamten Lebenszyklus ab - von der Erfassung über die Validierung, Extraktion, Überprüfung und Bereitstellung - und lässt sich in bestehende Identitäts-, Protokollierungs- und Speichersysteme integrieren.

Besondere Überlegungen für Cloud-Service-Anbieter

Cloud-Anbieter stehen vor mehreren Herausforderungen, die bei reinen Inhaltsplattformen nicht gegeben sind:

  • Mehrmandantenfähigkeit und Isolierung: Die Produktion muss auf die Daten eines einzelnen Kunden abzielen, ohne andere Mieter zu gefährden - sowohl technisch als auch vertraglich.
  • Kundengesteuerte Verschlüsselung: Wenn Kunden ihre eigenen Schlüssel besitzen (BYOK/HYOK), kann der Anbieter tatsächlich nicht in der Lage sein, Inhaltsdaten zu produzieren, und diese Einschränkung muss dokumentiert und mitgeteilt werden.
  • Gemeinsame Verantwortung: In Verträgen und Datenverarbeitungsvereinbarungen sollte eindeutig festgelegt werden, welche Partei für den Erhalt und die Ausführung von Strafverfolgungsanordnungen für welche Daten zuständig ist.
  • Benachrichtigung der Kunden: Kommerzielle Kunden - insbesondere B2B-Unternehmen - haben oft ein vertragliches Recht darauf, über Zugangsanträge informiert zu werden, vorbehaltlich der von der ausstellenden Behörde auferlegten Geheimhaltungspflichten.
  • Regionenübergreifende Replikation: Daten können sich in mehreren Mitgliedstaaten oder Drittländern befinden, was zu potenziellen Konflikten zwischen EU-Anordnungen und dem Recht von Drittländern führen kann (die “Überprüfung nach Artikel 17”).

Besondere Überlegungen für Online-Marktplätze

  • Daten zur Überprüfung des Verkäufers (KYC, Gewerbeanmeldung, Steuer-IDs) sind häufig die wertvollsten Teilnehmerdaten für Ermittler und müssen leicht extrahierbar sein.
  • Inserate und Nachrichten sind in der Regel Inhaltsdaten und erfordern den höheren Schwellenwert für die Schwere des Verstoßes.
  • Zahlungsdaten kann eher bei den PSPs als beim Marktplatz selbst liegen - Klarheit darüber, wer auf welchen Auftrag antwortet, ist von entscheidender Bedeutung.
  • Grenzüberschreitende Verkäufer zu Überschneidungen mit Verbraucherschutz-, Mehrwertsteuer- und DSA-Verpflichtungen führen; e-Evidence sollte in diese Programme integriert werden und sich nicht mit ihnen überschneiden.

Sanktionen bei Nichteinhaltung der Vorschriften

Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen verhängen. In der Verordnung werden die Bußgelder auf folgende Werte festgesetzt bis zu 2% des weltweiten Jahresumsatzes des Anbieters. Für eine mittelgroße SaaS-Plattform kann das mehrere zehn Millionen Euro bedeuten; für Hyperscaler und große Marktplätze werden die Schlagzeilen schnell zu einem wichtigen Faktor in der Finanzberichterstattung. Abgesehen von Geldstrafen können wiederholte Versäumnisse gerichtliche Anordnungen, behördliche Maßnahmen und einen erheblichen Imageschaden bei Unternehmenskunden, Partnern und Investoren nach sich ziehen.

Ein 6-monatiger Fahrplan bis August 2026 für Plattformen

  1. Monate 1-2 - Umfang und Datenzuordnung. Bestätigen, welche Einrichtungen und Dienste in den Geltungsbereich fallen, Teilnehmer-/Kennzeichnungs-/Verkehrs-/Inhaltsdaten systemübergreifend abbilden, Lücken ermitteln.
  2. Monate 2-3 - Rechtliche Grundlagen. Benennen Sie eine EU-Niederlassung, lassen Sie sich bei der zuständigen Behörde registrieren, aktualisieren Sie Verträge, Datenschutzvereinbarungen, Geschäftsbedingungen und Leitlinien für die Rechtsdurchsetzung.
  3. Monate 3-4 - Technischer Aufbau. Integration mit e-CODEX, Einsatz von Aufnahme-/Validierungs-/Extraktionswerkzeugen, Härtung der Audit-Protokollierung.
  4. Monate 4-5 - Einsatzbereitschaft. Rekrutierung und Schulung des 24/7-Reaktionsteams, Fertigstellung der Ablaufpläne, Durchführung von Notfallübungen.
  5. Monat 6 - Zusicherung. Unabhängige Prüfung der Einhaltung der Vorschriften, Absegnung durch den Verwaltungsrat und Probebetrieb vor dem 18. August 2026.

Häufig gestellte Fragen

Eine längere Referenz finden Sie in unserer speziellen e-Evidence FAQ.

Gilt e-Evidence auch für kleine Marktplätze und Cloud-Start-ups?

Ja. Es gibt keine allgemeine Ausnahme für KMU. Wenn Sie Nutzern in der EU einen unter den Geltungsbereich fallenden Dienst anbieten, fallen Sie in den Geltungsbereich, unabhängig von der Anzahl der Mitarbeiter oder den Einnahmen. Kleinere Plattformen können die Einhaltung der Vorschriften anteilig einschränken, aber die Kernpflichten - benannte Niederlassung, Aufnahme, Reaktionsfähigkeit - gelten weiterhin.

Können wir uns auf unsere bestehenden Arbeitsabläufe bei der Strafverfolgung verlassen?

Wahrscheinlich nicht. Die meisten bestehenden Arbeitsabläufe gehen von einer manuellen E-Mail-/Portaleingabe und wochenlangen Bearbeitungszeiten aus. Die e-Evidence-Verordnung verlangt eine e-CODEX-basierte Aufnahme, eine stundengenaue Notfallreaktion und manipulationssichere Prüfprotokolle, die herkömmliche Arbeitsabläufe normalerweise nicht bieten.

Was ist, wenn die Daten von einem Unterauftragsverarbeiter oder einem anderen Teil unserer Gruppe gespeichert werden?

Der Anbieter, der den Auftrag erhält, ist für dessen Ausführung verantwortlich. Interne Verträge und Datenverarbeitungsvereinbarungen müssen aufeinander abgestimmt sein, damit Sie einen Unterauftragsverarbeiter oder ein verbundenes Unternehmen zwingen können, Daten innerhalb der vorgeschriebenen Fristen zu liefern.

Was ist mit Ende-zu-Ende-verschlüsselten Diensten?

Die Verordnung verpflichtet die Anbieter nicht, die Verschlüsselung zu schwächen. Wenn Sie aufgrund von Schlüsseln im Besitz des Kunden oder einer echten E2E-Architektur tatsächlich nicht auf Inhaltsdaten zugreifen können, kann diese Einschränkung mitgeteilt werden, aber Sie müssen dennoch Teilnehmer-, Identifizierungs- und Metadaten vorlegen, zu denen Sie Zugang haben.

Wie ICS Plattformen bei der Vorbereitung hilft

ICS bietet sowohl die Plattform zur Einhaltung der technischen Vorschriften und benannte Niederlassungsdienste für Plattformen jeder Größe - von schnell wachsenden SaaS-Scale-ups bis hin zu globalen Marktplätzen und Hyperscale-Cloud-Anbietern. Unser kombiniertes Angebot umfasst die Aufnahme von e-CODEX, die automatische Validierung, die Extraktion von Daten aus mehreren Systemen, die verschlüsselte Zustellung, die manipulationssichere Protokollierung und den rund um die Uhr verwalteten Betrieb - alles im Rahmen eines integrierten e-Evidence-Programm zur Einhaltung der Vorschriften.

Kontaktieren Sie ICS heute für eine unabhängige E-Evidence-Readiness-Bewertung Ihrer Plattform mit einem klaren Fahrplan bis zum Stichtag 18. August 2026.

Verwandte Beiträge

Nach oben scrollen
ICS
Angetrieben durch  GDPR Cookie-Einhaltung
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.