Was ist e-Evidence?

E-Evidence - kurz für elektronische Beweise - ist ein weit gefasster Begriff für alle digitalen Informationen, die zur Ermittlung, Verfolgung oder Verurteilung von Straftaten verwendet werden. Im weitesten Sinne umfasst der Begriff alles von E-Mail-Korrespondenz, Chat-Nachrichten und in der Cloud gespeicherten Dokumenten bis hin zu IP-Verbindungsprotokollen, Teilnehmerdaten und Geolokalisierungsdaten. Wenn Daten in elektronischer Form vorliegen und für ein Strafverfahren relevant sind, gelten sie als elektronische Beweismittel.

Im Kontext des EU-Rechts hat der Begriff seit 2023 eine sehr viel spezifischere Bedeutung erhalten. Wenn Gesetzgeber, Regulierungsbehörden und die Telekommunikationsbranche heute von “e-Evidence” sprechen, meinen sie fast immer den rechtlichen und technischen Rahmen, der durch Verordnung (EU) 2023/1543 - die Europäische Produktions- und Aufbewahrungsanordnung für elektronische Beweismittel in Strafverfahren - und die dazugehörige Richtlinie (EU) 2023/1544, die zusammen einen neuen Mechanismus für die grenzüberschreitende Beweiserhebung in allen 27 EU-Mitgliedstaaten schaffen.

Die Bedeutung dieses Rahmens kann gar nicht hoch genug eingeschätzt werden. Vor der e-Evidence-Verordnung war für die Beschaffung von in einem anderen EU-Land gespeicherten digitalen Beweismitteln ein Rechtshilfeersuchen erforderlich - ein diplomatischer Prozess, der zehn Monate oder länger dauern konnte. Die neue Verordnung ermöglicht es einem Staatsanwalt oder Richter in einem Mitgliedstaat, eine Anordnung direkt an einen Diensteanbieter in einem anderen Mitgliedstaat zu richten, wobei die Antwortfristen in Tagen statt in Monaten gemessen werden. In dringenden Fällen, in denen es um Terrorismus oder unmittelbare Bedrohung des Lebens geht, beträgt die Frist nur acht Stunden.

Der e-Evidence-Rahmen stellt einen grundlegenden Wandel in der Art und Weise dar, wie digitale Beweise grenzüberschreitend gesammelt werden. Er verlagert die Verpflichtung von der zwischenstaatlichen Diplomatie zu einer direkten Beziehung zwischen Justizbehörden und Dienstleistern und stellt erhebliche operative und technische Anforderungen an jedes Unternehmen, das elektronische Kommunikationsdienste, Cloud-Speicher, soziale Netzwerke oder Online-Marktplätze in der Europäischen Union anbietet.

Eine kurze Geschichte von e-Evidence in Europa

Der Weg zu einem einheitlichen europäischen e-Evidence-Rahmen begann lange vor der förmlichen Annahme der Verordnung. Das Verständnis dieser Geschichte ist wichtig, um zu verstehen, warum es die derzeitigen Vorschriften gibt und wohin sie sich entwickeln.

Jahrzehntelang stützte sich der grenzüberschreitende Zugang zu elektronischen Beweismitteln auf das Übereinkommen des Europarats über die Rechtshilfe in Strafsachen (2000) und das Budapester Übereinkommen über Cyberkriminalität (2001). Diese Instrumente legten den Grundsatz fest, dass ein Land ein anderes Land um Hilfe bei der Beschaffung digitaler Beweismittel bitten kann, aber das Verfahren war umständlich. Ersuchen liefen über zentrale Regierungsbehörden, mussten übersetzt werden und unterlagen den nationalen Verfahren des antwortenden Landes. Die durchschnittlichen Antwortzeiten betrugen mehr als zehn Monate - eine Ewigkeit bei strafrechtlichen Ermittlungen, bei denen Verdächtige Beweise in Sekundenschnelle vernichten können.

Die mit der Richtlinie 2014/41/EU eingeführte Europäische Ermittlungsanordnung (EEA) verbesserte die Situation innerhalb der EU durch die Schaffung eines stärker standardisierten Instruments zur gegenseitigen Anerkennung. Die EIO verkürzte zwar die Bearbeitungszeiten auf etwa 120 Tage, aber sie beruhte immer noch auf zwischenstaatlichen Kanälen und erwies sich als unzureichend für die Geschwindigkeit der modernen digitalen Kriminalität. Die Folgenabschätzung der Europäischen Kommission ergab, dass mehr als 85 Prozent der strafrechtlichen Ermittlungen den Zugang zu elektronischen Beweismitteln erfordern und dass in etwa zwei Dritteln dieser Fälle die relevanten Daten in einer anderen Rechtsordnung gespeichert waren.

Im April 2018 veröffentlichte die Europäische Kommission ihre Legislativvorschläge zu e-Evidence. Nach fünfjährigen Verhandlungen zwischen dem Europäischen Parlament und dem Rat wurden die endgültigen Texte am 12. Juli 2023 angenommen und im Amtsblatt als Verordnung (EU) 2023/1543 und Richtlinie (EU) 2023/1544 veröffentlicht. Die Verordnung gilt ab dem 18. August 2026 unmittelbar in jedem Mitgliedstaat. Die Richtlinie, die die Mitgliedstaaten verpflichtet, die Behörden und Kanäle für die Auftragsausführung zu benennen, hatte eine Umsetzungsfrist bis zum 18. Februar 2026.

In Deutschland wurden die Durchführungsvorschriften - das Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG) - im März 2026 im Bundesgesetzblatt veröffentlicht und treten schrittweise in Kraft. Das Bundesamt für Justiz wurde als zentrale Behörde für die Entgegennahme und Validierung eingehender Anordnungen benannt, während die Bundesnetzagentur ihre etablierte Rolle als technische Regulierungsbehörde für rechtmäßige Abhör- und Vorratsdatenspeicherungspflichten beibehält.

Die EU-Verordnung über den elektronischen Nachweis (e-Evidence) erklärt

Mit der Verordnung (EU) 2023/1543 werden zwei neue Rechtsinstrumente eingeführt, die es Justizbehörden in einem EU-Mitgliedstaat ermöglichen, Diensteanbieter in einem anderen Mitgliedstaat zur Vorlage oder Aufbewahrung elektronischer Beweismittel zu zwingen. Diese Instrumente umgehen den traditionellen diplomatischen Weg vollständig und schaffen eine direkte Rechtsbeziehung zwischen der anordnenden Behörde und dem Diensteanbieter.

Europäischer Produktionsauftrag (EPOC)

Mit der Europäischen Vorlageverfügung wird ein Diensteanbieter verpflichtet, der ersuchenden Justizbehörde bestimmte elektronische Beweismittel zu übergeben. Eine EPOC kann auf vier Datenkategorien abzielen, die jeweils unterschiedliche Schwellenwerte für die Herausgabe haben. Teilnehmerdaten und Zugangsdaten (z. B. Anmeldedaten und mit einem Konto verknüpfte IP-Adressen) können bei jeder Straftat angefordert werden. Transaktionsdaten (Metadaten über die Kommunikation, z. B. Zeitstempel, Absender- und Empfängerkennungen und Sitzungsdauer) und Inhaltsdaten (der eigentliche Inhalt von Nachrichten, E-Mails, gespeicherten Dateien oder Sprachaufzeichnungen) können nur bei Straftaten angefordert werden, die mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren bedroht sind, oder bei bestimmten aufgelisteten Straftaten wie Cyberkriminalität, Terrorismus, sexuelle Ausbeutung von Kindern und Betrug.

Standardproduktionsaufträge müssen innerhalb von zehn Tagen nach Eingang ausgeführt werden. In definierten Notfallsituationen - wenn eine unmittelbare Bedrohung für das Leben, die körperliche Unversehrtheit oder kritische Infrastrukturen besteht - wird die Reaktionsfrist auf nur acht Stunden verkürzt. Diese Fristen sind nicht verhandelbar und gelten unabhängig von der Menge der angeforderten Daten oder der Komplexität der internen Systeme des Anbieters.

Europäische Erhaltungsanordnung (EPOC-PR)

Die Europäische Vorratsdatenspeicherungsanordnung verpflichtet einen Diensteanbieter, bestimmte Daten einzufrieren und ihre Löschung oder Veränderung zu verhindern. Die Vorratsdatenspeicherung verpflichtet den Anbieter nicht zur sofortigen Herausgabe der Daten; stattdessen werden die Beweismittel gesichert, während die ausstellende Behörde eine vollständige Herausgabeanordnung oder ein herkömmliches Rechtshilfeersuchen vorbereitet. Eine Aufbewahrungsanordnung bleibt 60 Tage in Kraft, mit der Möglichkeit einer Verlängerung um 30 Tage. Geht innerhalb dieses Zeitraums kein weiteres Herausgabeersuchen ein, muss der Anbieter die Aufbewahrung aufheben und kann die Daten gemäß seinen normalen Aufbewahrungsrichtlinien löschen.

Schutzmaßnahmen und Einspruchsmechanismen

Die Verordnung enthält eine Reihe von Garantien zum Schutz der Grundrechte und zur Verhinderung von Missbrauch. Jede Herausgabeanordnung für Transaktions- oder Inhaltsdaten muss von einer Justizbehörde des ausstellenden Staates bestätigt werden, und dem Vollstreckungsstaat (dem Mitgliedstaat, in dem sich die benannte Niederlassung des Anbieters befindet) wird eine Mitteilung übermittelt. Die Behörden des Vollstreckungsstaates können innerhalb von zehn Tagen Einspruch erheben, wenn die Anordnung im Widerspruch zu den Immunitäten, Vorrechten, Vorschriften zur Pressefreiheit oder den Grundrechten gemäß der Charta der Europäischen Union steht. Auch die Diensteanbieter selbst können Einspruch erheben, wenn die Befolgung der Anordnung mit den Verpflichtungen nach dem Recht eines Drittlandes kollidieren würde - eine Bestimmung, mit der potenzielle Konflikte mit Datenschutzgesetzen von Nicht-EU-Staaten vermieden werden sollen.

Rechtliche Rahmenbedingungen außerhalb der EU

Die EU-Verordnung über elektronische Beweismittel ist zwar der umfassendste und technisch anspruchsvollste Rahmen für grenzüberschreitende elektronische Beweismittel, doch steht sie nicht für sich allein. Mehrere andere internationale Instrumente prägen die globale Landschaft für die Sammlung digitaler Beweise.

Die Budapester Übereinkommen über Cyberkriminalität, Der vom Europarat verwaltete Europäische Datenschutzbeauftragte ist nach wie vor der am weitesten verbreitete internationale Vertrag über Computerkriminalität und elektronische Beweismittel. Das Zweite Zusatzprotokoll, das 2022 zur Unterzeichnung aufgelegt wird, führt die direkte Zusammenarbeit mit Diensteanbietern, die beschleunigte Offenlegung von Teilnehmerinformationen und gemeinsame Ermittlungsteams ein - Mechanismen, die mit Elementen der EU-Verordnung übereinstimmen, aber für eine breitere Gruppe von Unterzeichnerstaaten gelten, darunter die Vereinigten Staaten, Kanada, Japan, Australien und mehrere lateinamerikanische Länder.

In den Vereinigten Staaten wurde mit dem Clarifying Lawful Overseas Use of Data (CLOUD) Act von 2018 ein Rahmen für bilaterale Exekutivabkommen geschaffen, die es den Strafverfolgungsbehörden eines Landes ermöglichen, Daten direkt von Anbietern im anderen Land anzufordern. Die EU und die USA verhandeln über ein Exekutivabkommen nach dem CLOUD Act, das festlegen würde, wie in den USA ansässige Anbieter auf europäische Produktionsanordnungen reagieren und umgekehrt - ein entscheidendes Puzzleteil angesichts der Tatsache, dass viele der weltweit größten Cloud- und Kommunikationsplattformen ihren Hauptsitz in den USA haben.

Das Vereinigte Königreich hat mit dem Crime (Overseas Production Orders) Act 2019 einen eigenen Rahmen für grenzüberschreitende Beweismittel geschaffen, der es britischen Gerichten ermöglicht, Dienstleister in Ländern, mit denen das Vereinigte Königreich ein bilaterales Abkommen geschlossen hat, zur Vorlage elektronischer Beweismittel anzuweisen. Nach dem Brexit fällt das Vereinigte Königreich nicht mehr in den Anwendungsbereich der EU-Verordnung über elektronische Beweismittel, sodass bilaterale Abkommen der wichtigste Mechanismus für die Zusammenarbeit zwischen dem Vereinigten Königreich und der EU im Bereich der Beweismittel sind.

Einführung von e-Evidence in Deutschland

Deutschland nimmt eine zentrale Stellung in der europäischen e-Evidence-Landschaft ein, sowohl als große digitale Wirtschaft mit Tausenden von betroffenen Dienstleistern als auch als Rechtsordnung mit besonders strengen Datenschutz- und Telekommunikationsvorschriften.

Das Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG) setzt die Richtlinie (EU) 2023/1544 in deutsches Recht um und legt die innerstaatlichen Verfahren zur Bearbeitung eingehender und ausgehender elektronischer Beweisanordnungen fest. Das Bundesamt für Justiz ist die zentrale Behörde für eingehende Europäische Produktions- und Aufbewahrungsanordnungen, die an Diensteanbieter mit einer Niederlassung in Deutschland gerichtet sind. Die Bundesnetzagentur behält ihre bewährte Rolle bei der Zertifizierung der von den Diensteanbietern betriebenen technischen Abhör- und Datenübermittlungsinfrastruktur.

Nach Angaben des deutschen Bundesjustizministeriums fallen in Deutschland schätzungsweise 9.000 Unternehmen in den Anwendungsbereich der e-Evidence-Verordnung. Diese Zahl geht weit über die traditionellen Telekommunikationsanbieter hinaus und umfasst auch Cloud-Service-Anbieter, Hosting-Unternehmen, E-Commerce-Plattformen, soziale Netzwerke und alle anderen Unternehmen, die elektronische Kommunikationsdaten als Teil ihres Dienstleistungsangebots speichern oder verarbeiten. Jeder betroffene Anbieter muss eine offizielle Kontaktstelle in der EU benennen, die für die Entgegennahme, Validierung und Ausführung von Herausgabe- und Aufbewahrungsanordnungen zuständig ist (Adressat). Die Anbieter müssen sich außerdem beim Bundesamt für Justiz registrieren lassen und interne Arbeitsabläufe einrichten, um die strengen Antwortfristen der Verordnung einhalten zu können.

ETSI-Normen für e-Evidence: TS 104 144 Erläutert

Das Europäische Institut für Telekommunikationsnormen (ETSI) hat eine spezielle technische Norm entwickelt, um die operative Umsetzung der e-Evidence-Verordnung zu unterstützen. ETSI TS 104 144, Die im Juni 2025 unter dem Titel “Schnittstellendefinition für die e-Evidence-Verordnung (EU) 2023/1543 für nationale Behörden und Diensteanbieter” veröffentlichte Studie definiert die standardisierten Schnittstellen und Datenformate, die nationale Behörden und Diensteanbieter beim Austausch von Production Orders, Preservation Orders und den zugehörigen elektronischen Beweismitteln verwenden müssen.

Die ETSI-Norm TS 104 144 fügt sich in das breitere Ökosystem der ETSI-Normen für die rechtmäßige Überwachung und Vorratsdatenspeicherung ein, zu denen die weit verbreiteten Normen TS 102 232 (für die rechtmäßige Echtzeit-Überwachung), TS 102 657 (für die Vorratsdatenspeicherung) und TS 103 707 (für die Überwachung von OTT-Diensten) gehören. Während sich diese früheren Normen auf die Echtzeitüberwachung und historische Metadaten konzentrieren, befasst sich TS 104 144 mit den spezifischen Anforderungen an den Arbeitsablauf und den Datenaustausch, die sich aus den in der e-Evidence-Verordnung vorgesehenen Mechanismen für die Herstellung und Aufbewahrung von Beweismitteln ergeben.

Was wird in ETSI TS 104 144 definiert?

Die Norm spezifiziert die technische Schnittstelle zwischen den Systemen der nationalen Behörden (die Anordnungen erteilen, übermitteln und verfolgen) und den Systemen der Diensteanbieter (die diese Anordnungen empfangen, validieren, ausführen und beantworten). Sie definiert die Datenstrukturen für jeden Auftragstyp - Herstellungsauftrag, Erhaltungsauftrag und die zugehörigen Bestätigungen, Einwände und Antworten - unter Verwendung formaler Datenbeschreibungssprachen, die eine automatische Verarbeitung ermöglichen.

Die Norm deckt den gesamten Lebenszyklus einer e-Evidence-Anordnung ab: die anfängliche Ausstellung und sichere Übermittlung der Anordnung an den Diensteanbieter, die Empfangsbestätigung des Anbieters, den Validierungs- und Ausführungsworkflow, die strukturierte Übermittlung der angeforderten elektronischen Nachweise zurück an die ausstellende Behörde und die Behandlung von Einwänden, Erweiterungen und Stornierungen. Durch die Definition dieser Interaktionen als standardisierte Schnittstellen gewährleistet die TS 104 144 die Interoperabilität zwischen den verschiedenen IT-Systemen der Behörden und Dienstleister in allen 27 EU-Mitgliedstaaten.

Die Norm soll mit der EU-Plattform e-CODEX (e-Justice Communication via Online Data Exchange) zusammenarbeiten, die als sicheres digitales Kommunikations-Backbone für die Übermittlung von Anordnungen und Beweismitteln zwischen Justizbehörden und Dienstleistern in der EU dient. ETSI TS 104 144 definiert die Nutzdatenformate und Interaktionsmuster, während e-CODEX die Transport- und Routing-Infrastruktur bereitstellt.

Beziehung zwischen TS 104 144 und bestehenden ETSI LI-Normen

Diensteanbieter, die bereits eine ETSI-konforme Infrastruktur für die rechtmäßige Überwachung und Vorratsdatenspeicherung betreiben, werden viele Architekturprinzipien aus TS 104 144 wiedererkennen. Die Norm folgt dem bewährten ETSI-Muster der Trennung zwischen der Anforderungsschnittstelle (wie Aufträge entgegengenommen werden) und der Lieferschnittstelle (wie Beweise übergeben werden) und verwendet ähnliche Sicherheitsmechanismen für die Authentifizierung, Verschlüsselung und Integritätsprüfung. Anbieter mit bestehenden Implementierungen von TS 102 232 und TS 102 657 können e-Evidence-Funktionen in ihre Compliance-Plattformen integrieren, ohne ihre Kerninfrastruktur neu aufbauen zu müssen - ein erheblicher Vorteil für Betreiber, die bereits in standardbasierte Systeme zur rechtmäßigen Überwachung investiert haben.

Wie funktioniert das e-Evidence-Verfahren? Ein technischer Überblick

Das e-Evidence-Verfahren umfasst eine festgelegte Abfolge von Interaktionen zwischen Justizbehörden, nationalen Zentralbehörden und Diensteanbietern. Während die Rechtsinstrumente neu sind, folgt der zugrunde liegende Arbeitsablauf einem logischen Muster, das den Fachleuten für die Einhaltung der Telekommunikationsvorschriften aus den bestehenden Verfahren zur rechtmäßigen Überwachung und Vorratsdatenspeicherung bekannt sein dürfte.

Schritt 1: Erlass des Beschlusses

Eine Justizbehörde in einem EU-Mitgliedstaat - in der Regel ein Staatsanwalt oder Richter - stellt fest, dass elektronische Beweismittel, die sich im Besitz eines Diensteanbieters befinden, für eine strafrechtliche Untersuchung erforderlich sind. Die Behörde füllt eine Europäische Bescheinigung über die Vorlage von Beweismitteln (European Production Order Certificate, EPOC) oder eine Europäische Bescheinigung über die Vorratsdatenspeicherung (European Preservation Order Certificate, EPOC-PR) unter Verwendung der der Verordnung beigefügten Standardformulare aus. In der Bescheinigung werden die Zielperson (identifiziert durch Konto, E-Mail-Adresse, Telefonnummer, IP-Adresse, Gerätekennung oder Ähnliches), die angeforderten Datenkategorien, die Rechtsgrundlage und die geltende Frist angegeben.

Schritt 2: Übermittlung an den Dienstanbieter

Der Auftrag wird an die benannte Niederlassung oder den gesetzlichen Vertreter des Dienstleisters in der EU übermittelt. Die Übermittlung erfolgt über das in der Verordnung vorgesehene dezentrale IT-System, das auf der e-CODEX-Infrastruktur aufbaut. Parallel dazu wird eine Mitteilung an die zentrale Behörde des Vollstreckungsstaates (z. B. das Bundesamt für Justiz in Deutschland) gesandt, damit diese die Kontrolle ausüben und gegebenenfalls Einwände erheben kann.

Schritt 3: Eingang, Validierung und Quittierung

Das Konformitätssystem des Diensteanbieters empfängt den Auftrag über die in ETSI TS 104 144 definierte standardisierte Schnittstelle. Der Anbieter muss den Empfang unverzüglich bestätigen und mit dem Validierungsprozess beginnen. Bei der Validierung wird geprüft, ob der Auftrag formell vollständig ist, ob die ersuchende Behörde zuständig ist, ob die Datenkategorien mit den Anforderungen an die Schwellenwerte für Straftaten übereinstimmen und ob die Einhaltung der Vorschriften nicht mit den rechtlichen Verpflichtungen von Drittländern kollidieren würde. Wenn die Anordnung gültig ist, fährt der Anbieter mit der Ausführung fort. Gibt es Gründe für Einwände, muss der Anbieter diese innerhalb der vorgeschriebenen Frist mitteilen.

Schritt 4: Datenextraktion und -übermittlung

Bei Produktionsaufträgen extrahiert der Anbieter die angeforderten Daten aus seinen Systemen - Teilnehmeraufzeichnungen, Zugriffsprotokolle, transaktionale Metadaten oder Inhaltsdaten, je nach Umfang des Auftrags -, formatiert sie gemäß den geltenden technischen Standards und liefert sie sicher über die e-CODEX-Plattform an die ausstellende Behörde. Die Lieferung muss innerhalb der für den Auftrag festgelegten Frist erfolgen: zehn Tage für Standardaufträge, acht Stunden für Notfälle. Bei Aufbewahrungsaufträgen friert der Anbieter die angegebenen Daten ein und stellt sicher, dass sie nicht gelöscht, geändert oder unzugänglich gemacht werden, und bestätigt die Aufbewahrung gegenüber der ausstellenden Behörde.

Schritt 5: Beaufsichtigung, Einspruch und Abschluss

Während des gesamten Verfahrens übt die Behörde des Vollstreckungsstaates die Aufsicht aus. Stellt die Behörde fest, dass die Anordnung mit Grundrechten, Immunitäten, Vorrechten oder nationalen Sicherheitsinteressen kollidiert, kann sie einen förmlichen Einspruch erheben, der die Vollstreckung aussetzt. Die anordnende Behörde muss dann die Anordnung überprüfen, zurückziehen oder abändern. Sobald die Beweismittel geliefert wurden (oder die Aufbewahrungsfrist ohne ein Folgeersuchen abläuft), ist die Anordnung abgeschlossen und die Verpflichtungen des Anbieters erlöschen - allerdings müssen die Prüfungsunterlagen zur Dokumentation der Einhaltung der Vorschriften aufbewahrt werden.

Wer muss die e-Evidence-Verordnung einhalten?

Der Anwendungsbereich der e-Evidence-Verordnung ist wesentlich weiter gefasst als die herkömmlichen Verpflichtungen zur rechtmäßigen Überwachung. Während die rechtmäßige Überwachung in der Vergangenheit in erster Linie für Telekommunikationsbetreiber und Internet-Diensteanbieter galt, erstreckt sich die e-Evidence-Verordnung auf jede Einrichtung, die innerhalb der EU Dienste anbietet, die die Speicherung oder Verarbeitung elektronischer Daten im Namen von Nutzern beinhalten. In der Verordnung werden ausdrücklich die folgenden Kategorien von Dienstleistern genannt.

Anbieter von elektronischen Kommunikationsdiensten

Alle Anbieter von elektronischen Kommunikationsdiensten im Sinne des Europäischen Kodex für elektronische Kommunikation (EECC, Richtlinie 2018/1972). Dazu gehören herkömmliche Telefonanbieter, Mobilfunknetzbetreiber, VoIP-Anbieter, E-Mail-Dienste und interpersonelle Messaging-Plattformen wie WhatsApp, Telegram, Signal und Microsoft Teams. Diese Anbieter sind bereits mit den Verpflichtungen zur rechtmäßigen Überwachung und Vorratsdatenspeicherung vertraut, aber die e-Evidence-Verordnung fügt ihren bestehenden Compliance-Anforderungen einen neuen grenzüberschreitenden Arbeitsablauf zur Herstellung und Aufbewahrung von Daten hinzu.

Anbieter von Diensten der Informationsgesellschaft

Eine viel breitere Kategorie, die Cloud-Speicher- und Computing-Plattformen (wie AWS, Microsoft Azure, Google Cloud und kleinere europäische Hosting-Anbieter), Social-Media-Netzwerke, Online-Marktplätze, Domain-Namen-Register und -Registrierer sowie alle anderen Dienste umfasst, die Nutzerdaten elektronisch speichern oder verarbeiten. Mit dieser Kategorie fallen Tausende von Unternehmen in den Anwendungsbereich, die bisher noch nie mit Verpflichtungen konfrontiert waren, die mit einer rechtmäßigen Überwachung vergleichbar sind.

Internet-Domänennamen und IP-Nummerierungsdienste

Anbieter von Diensten für die Registrierung von Domänennamen, die DNS-Auflösung und die Zuweisung von IP-Adressen - einschließlich der Betreiber von WHOIS/RDAP-Datenbanken - sind ausdrücklich erfasst. Diese Anbieter verfügen über Teilnehmer- und technische Daten, die für die Identifizierung von Verdächtigen bei Ermittlungen im Bereich der Cyberkriminalität oft entscheidend sind.

Nicht-EU-Anbieter, die Dienstleistungen in der EU anbieten

Die Verordnung hat eine extraterritoriale Reichweite. Jeder Dienstleister, der Nutzern in der Europäischen Union Dienstleistungen anbietet, fällt in den Anwendungsbereich, unabhängig davon, wo der Anbieter seinen Sitz hat oder wo die Daten physisch gespeichert sind. Anbieter aus Nicht-EU-Ländern müssen eine Niederlassung oder einen gesetzlichen Vertreter in der EU benennen, um Bestellungen entgegenzunehmen und zu bearbeiten - eine Anforderung, die der Vertreterpflicht der Datenschutz-Grundverordnung nachempfunden ist. Das Versäumnis, einen Vertreter zu benennen, entbindet den Anbieter nicht von den Verpflichtungen der Verordnung; es bedeutet lediglich, dass Bestellungen über alternative Kanäle übermittelt werden können und der Anbieter für die Nichteinhaltung haftet.

Sanktionen bei Nichteinhaltung der Vorschriften

Die E-Evidence-Verordnung sieht einen abgestuften Strafrahmen vor, den die Mitgliedstaaten in nationales Recht umsetzen müssen. Bei Nichteinhaltung einer Vorlageverfügung innerhalb der vorgeschriebenen Frist oder bei Nichtaufbewahrung von Daten gemäß einer Aufbewahrungsanordnung drohen den Anbietern Geldbußen von bis zu 500 000 EUR pro Verstoß. Bei großen Dienstleistern - mit einem weltweiten Jahresumsatz von mehr als 25 Millionen Euro - steigt die Höchststrafe auf 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Diese Sanktionsstruktur spiegelt den Ansatz der Datenschutz-Grundverordnung wider und soll sicherstellen, dass die Nichteinhaltung auch für die größten globalen Technologieunternehmen finanziell bedeutsam ist.

Abgesehen von den direkten finanziellen Sanktionen birgt die Nichteinhaltung der Vorschriften auch erhebliche Risiken für den Ruf und den Betrieb. Die Justizbehörden können die Durchsetzung über das Rechtssystem des durchsetzenden Staates eskalieren, und eine anhaltende Nichteinhaltung könnte zu Einschränkungen der Fähigkeit des Anbieters führen, in der EU tätig zu sein. Bei Anbietern, die bereits der Verpflichtung zur rechtmäßigen Überwachung und Vorratsdatenspeicherung unterliegen, kann die Nichteinhaltung von e-Evidence auch zu einer Überprüfung ihrer allgemeinen rechtlichen Situation führen.

e-Evidence vs. Rechtmäßiges Abfangen vs. Vorratsdatenspeicherung

E-Evidence, rechtmäßiges Abfangen und Vorratsdatenspeicherung sind drei unterschiedliche, aber eng miteinander verbundene Disziplinen innerhalb des umfassenderen Bereichs der Einhaltung von Telekommunikationsvorschriften. Das Verständnis der Unterschiede - und der Überschneidungen - ist für den Aufbau einer effizienten und integrierten Compliance-Infrastruktur unerlässlich.

Rechtmäßige Überwachung ist die Echtzeit-Erfassung und -Übermittlung von Kommunikationsinhalten und Metadaten für ein bestimmtes Ziel auf der Grundlage einer richterlichen Anordnung oder eines Gerichtsbeschlusses. Sie erfolgt kontinuierlich für die Dauer der Genehmigung und liefert den Strafverfolgungsbehörden Daten nahezu in Echtzeit. Die technischen Normen für die rechtmäßige Überwachung - in erster Linie die ETSI TS 102 232-Familie - legen fest, wie die abgefangenen Daten formatiert, verschlüsselt und an die Überwachungseinrichtung übermittelt werden.

Bei der Vorratsdatenspeicherung handelt es sich um die obligatorische Speicherung von Kommunikations-Metadaten (wer hat mit wem, wann, wie lange und von wo aus kommuniziert) für einen bestimmten Zeitraum, in der Regel sechs bis zwölf Monate, je nach nationalem Recht. Die auf Vorrat gespeicherten Daten werden nicht in Echtzeit übermittelt; stattdessen werden sie vom Anbieter gespeichert und den Strafverfolgungsbehörden auf Anfrage über standardisierte Schnittstellen wie ETSI TS 102 657 zur Verfügung gestellt.

e-Evidence arbeitet auf einer anderen Ebene. Es schreibt keine Echtzeitüberwachung oder pauschale Speicherung von Metadaten vor, sondern schafft einen Mechanismus für die Offenlegung gespeicherter Daten - Teilnehmeraufzeichnungen, Zugriffsprotokolle, Transaktionsmetadaten und Inhalte - auf Anfrage durch grenzüberschreitende Produktions- und Aufbewahrungsanordnungen. Die Datentypen können sich mit denen überschneiden, die von Systemen zur rechtmäßigen Überwachung und Vorratsdatenspeicherung erfasst werden, aber die Rechtsinstrumente, Arbeitsabläufe, Fristen und Übermittlungsmechanismen sind unterschiedlich.

Für Diensteanbieter bedeutet dies in der Praxis, dass die Einhaltung der e-Evidence-Vorschriften nicht einfach auf ein bestehendes System zur rechtmäßigen Überwachung oder Vorratsdatenspeicherung aufgeschraubt werden kann. Sie erfordert spezielle Arbeitsabläufe für die Auftragsverwaltung, Validierung, Extraktion und Übermittlung, die mit den spezifischen Anforderungen der Verordnung und den in ETSI TS 104 144 definierten technischen Schnittstellen übereinstimmen. Anbieter, die bereits in eine ETSI-konforme LI- und Vorratsdatenspeicherungsinfrastruktur investiert haben, verfügen jedoch über einen beträchtlichen Vorsprung, da die Architekturprinzipien und Sicherheitsmechanismen in allen drei Bereichen einheitlich sind.

Vorbereitungen für die Einhaltung von e-Evidence: Die wichtigsten Schritte

Angesichts des nahenden Anwendungsdatums der Verordnung (18. August 2026) müssen Dienstleister, die ihre Programme zur Einhaltung der Vorschriften noch nicht begonnen haben, dringend einen Zeitplan erstellen. Die folgenden Bereiche erfordern sofortige Aufmerksamkeit.

Zunächst müssen die Anbieter feststellen, ob sie in den Anwendungsbereich fallen. Die weit gefasste Definition der Verordnung für erfasste Diensteanbieter bedeutet, dass viele Unternehmen - insbesondere Cloud-Plattformen, Hosting-Anbieter und Online-Marktplätze - möglicherweise nicht erkennen, dass sie betroffen sind, bis die Durchsetzung beginnt. Eine gründliche Scoping-Bewertung sollte der Ausgangspunkt für jedes Compliance-Programm sein.

Zweitens muss jeder unter den Geltungsbereich fallende Anbieter eine offizielle Kontaktstelle in der EU benennen. Bei Anbietern mit Sitz in der EU kann dies eine bestehende Rechts- oder Compliance-Funktion sein. Für Anbieter aus Nicht-EU-Ländern muss eine Niederlassung oder ein rechtlicher Vertreter benannt werden. Diese Einrichtung muss bei der zuständigen nationalen Behörde - in Deutschland das Bundesamt für Justiz - registriert sein und angesichts der achtstündigen Notfallfrist rund um die Uhr Bestellungen entgegennehmen und bearbeiten können.

Drittens müssen die Anbieter die technische Infrastruktur für den Empfang, die Validierung, die Ausführung und die Beantwortung von Produktions- und Aufbewahrungsaufträgen innerhalb der in der Verordnung festgelegten Fristen einrichten. Dazu gehören die Integration mit der e-CODEX-Kommunikationsplattform, die Implementierung der in ETSI TS 104 144 definierten Schnittstellen und die Entwicklung interner Arbeitsabläufe für die Auftragsverwaltung, Datenextraktion und sichere Zustellung. Anbieter, die bereits ETSI-konforme Systeme zur rechtmäßigen Überwachung betreiben, können ihre bestehende Architektur nutzen; für Anbieter ohne eine solche Infrastruktur ist der Implementierungsaufwand größer.

Viertens müssen die Anbieter interne Governance-Strukturen einrichten, einschließlich klarer Eskalationspfade für dringende Anordnungen, rechtlicher Überprüfungsprozesse für Anordnungen, die möglicherweise einen Einspruch erfordern, Audit-Protokollierung für jede getroffene Maßnahme und Mitarbeiterschulung, um sicherzustellen, dass alle am e-Evidence-Workflow beteiligten Mitarbeiter ihre Verantwortlichkeiten und die geltenden Fristen kennen.

Die ICS e-Evidence-Compliance-Plattform automatisiert den gesamten Lebenszyklus von europäischen Produktions- und Aufbewahrungsaufträgen - vom sicheren Eingang über die e-CODEX-Infrastruktur, über die rechtliche Validierung und Datenextraktion bis hin zur verschlüsselten Übermittlung an die ersuchende Behörde. Die Plattform lässt sich nahtlos in das ICS Lawful Interception Management System (LIMS) und die Lösungen zur Vorratsdatenspeicherung integrieren, so dass die Anbieter alle drei Compliance-Bereiche über eine einzige, einheitliche Schnittstelle verwalten können.

ICS bietet auch Unterstützung bei der Niederlassung von Nicht-EU-Anbietern, die einen rechtlichen Vertreter in Deutschland benennen müssen, Beratungsdienste für die Auslegung von Vorschriften und die Gestaltung von Compliance-Programmen sowie Managed Operations für Anbieter, die die tägliche Abwicklung von E-Evidence-Aufträgen an einen spezialisierten Partner auslagern möchten.

Unsere Lösungen basieren auf ETSI-konformen Architekturen, die TS 104 144, TS 102 232, TS 102 657 und TS 103 707 unterstützen, und sind von der deutschen Bundesnetzagentur zertifiziert. Ganz gleich, ob Sie ein Telekommunikationsnetz, eine Cloud-Plattform, eine Messaging-Anwendung oder einen Online-Marktplatz betreiben, ICS bietet Ihnen die Technologie, das Fachwissen und die betriebliche Unterstützung, um sicherzustellen, dass Sie Ihre e-Evidence-Verpflichtungen erfüllen - pünktlich und mit voller Prüfbarkeit.