Ab Sommer 2026 neue Pflichten für digitale Dienste bei grenzüberschreitenden Ermittlungen

 Ab dem 18. August 2026 gilt in der EU die neue E-Evidence-Verordnung. Sie verpflichtet viele Unternehmen – darunter auch kleine und mittlere Anbieter digitaler Dienste – dazu, auf Anfragen von Strafverfolgungsbehörden aus anderen EU-Ländern bestimmte Nutzerdaten herauszugeben oder zu speichern.

Breite Betroffenheit: Wer Daten herausgeben muss

Mit Ablauf der Übergangsfristen im Sommer 2026 wird sie für hunderttausende Unternehmen allein in Deutschland in vollem Umfang verbindlich: die europäische E-Evidence-Verordnung für grenzüberschreitende Ermittlungshilfeersuchen bei Straftaten. Ab dann sind Telekommunikationsdienste und Internet-Provider, aber auch alle Cloudservicebetreiber, Online-Shops, Portale, Foren oder sonstige für Nutzer zugängliche elektronische Dienste verpflichtet, auf Anordnung von Strafverfolgungsbehörden aus allen EU-Mitgliedsländern bestimmte Daten ihrer Nutzer herauszugeben oder vorübergehend zu speichern.

Zugriffsrechte für EU-Strafverfolger

Zu den berechtigten Stellen gehören Staatsanwaltschaften, Polizei oder andere Behörden im Ausland, die in einem standardisierten Verfahren die Übermittlung elektronischer Beweismittel verlangen dürfen. Gegenstand solcher Abfragen können Bestandsdaten zu Namen, Konten und Anschriften sein, aber auch Verkehrsdaten und die Ausleitung von Inhalten.

Kurze Fristen für Datenherausgabe

Eng gesetzt sind die Fristen, binnen derer die Beantwortung der Herausgabeanordnungen zu erfolgen hat: acht Stunden bei Lebensgefahr oder Gefährdungen kritischer Infrastrukturen, maximal zehn Tage im Regelfall. Und vor Ablauf dieser Zeiträume muss auch geklärt sein, ob die Herausgabe überhaupt rechtlich zulässig ist: Weil die Anfrage nach der Gesetzeslage im Ursprungsland gestellt wird, ist eine rechtsförmliche Prüfung im Zielland unerlässlich, wenn man sich nicht dem Risiko aussetzen will, personenbezogene Daten widerrechtlich herauszugeben. Bevor also die Übermittlung fristgerecht erfolgen kann, um Bußgelder zu vermeiden, müssten die Herausgabeverpflichteten sich erst einmal rückversichern, ob sie dadurch nicht unbeabsichtigt einen Datenschutzvorfall heraufbeschwören.

Der Sinn der Regelung ist die einheitliche Abwicklung von Ermittlungen in Strafverfahren über alle EU-Mitgliedsländer hinweg – aber die konkrete Umsetzung gestaltet sich wenig harmonisch.

Technische und rechtliche Hürden

Insbesondere die technischen Maßnahmen, um automatisierte Anordnungen und Herausgaben zu ermöglichen, sind bislang nicht richtig etabliert. Vergleichbare Verfahren existieren zwar für die Rechtshilfeersuchen zwischen staatlichen Institutionen, aber die direkte Abfrage bei potenziell rund 300.000 Unternehmen allein in Deutschland ist eine völlig andere Dimension – und offenbar völlig unerwartet: Alle Schätzungen der EU-Kommission und der beteiligten Justizministerien der Mitgliedsstaaten kamen auf viel geringere Zahlen.

Datenanfragen in Millionenhöhe erwartet

Providerverbände und andere Betroffene schlagen deshalb zu Recht Alarm: Die schiere Anzahl potenzieller Herausgabeanordnungen steigt in schwindelerregende Höhen. Schon jetzt gibt es jährlich über 100 Millionen Bestandsdatenabfragen allein in Deutschland. Wenn in Zukunft die Strafverfolgungsbehörden anderer Länder ebenfalls darauf Zugriff bekommen sollen, explodiert das dadurch generierte Abfragevolumen. In einigen Ländern soll es dafür immerhin eine Aufwandsentschädigung geben. Deutschland gehört nicht dazu.

Nicht nur große Anbieter betroffen

Und es kann jeden treffen, nicht nur ein paar hundert TK-Unternehmen. Die E-Evidence-Verordnung betrachtet alles als Gegenstand für Herausgabeanordnungen, was im Strafverfahren als elektronisches Beweismittel verwendet werden kann. Und die Zielgruppe der Adressaten ist breit gefächert. Alle Datenspuren, die deutsche Bürger im Ausland hinterlassen, können Ermittlungsanlass und gegebenenfalls Beweismittel sein. Bei Katalogstraftaten wie Kinderpornografie sind es dann eben nicht immer die Großen der Branche, über deren Plattformen die Straftaten begangen wurden – Datenspeicherung kann auch über das schwarze Brett des Fußballvereins oder das Studienportal der Universität stattfinden, die alle auch aus dem Ausland erreichbar sind. Dank Roaming in der EU dürften auch die Versuche kleinerer Dienstleister aussichtslos sein, sich als rein „nationales Angebot“ aus dem Anwendungsbereich der Verordnung herauszureden.

Autor: Ulrich Plate ist Berater für Informationssicherheit bei nGENn GmbH und Leiter der Kompetenzgruppe Kritische Infrastruktur des Verbands der Internetwirtschaft eco e.V.

Quelle: DIHK