Die „Verordnung (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über die Europäische Herausgabeanordnung und Europäische Sicherungsanordnung für elektronische Beweismittel in Strafverfahren“, auch E-Evidenz-Verordnung genannt, markiert einen weiteren Schritt in der Digitalisierung der justiziellen Zusammenarbeit innerhalb der Europäischen Union (EU). Die Verordnung zielt darauf ab, den grenzüberschreitenden Zugang zu elektronischen Beweismitteln in Strafsachen zu erleichtern.
Ziele der E-Evidenz-Verordnung
Einerseits ist Ziel der Verordnung, eine effektivere Strafverfolgung innerhalb der EU (über Grenzen hinweg) in Bezug auf elektronische Beweismittel zu gewährleisten. Andererseits soll durch klare Vorschriften die Einhaltung datenschutzrechtlicher Regelungen zum Umgang mit personenbezogenen Daten vereinfacht werden.
Der Fokus liegt auf der Europäischen Herausgabeanordnung (EPOC) und der Europäischen Sicherungsanordnung (EPOC-PR), durch die Diensteanbieter verpflichtet werden können, digitale Daten entweder herauszugeben oder für eine spätere Herausgabeanordnung zu speichern. Eine Herausgabe oder Sicherung darf nur erfolgen, wenn die Daten als elektronisches Beweismittel im Rahmen eines laufenden Strafverfahrens dienen.
Wer gilt als Diensteanbieter?
Laut Verordnung gelten als „Diensteanbieter“ natürliche oder juristische Personen, die eine oder mehrere der folgenden Dienstleistungskategorien anbieten:
- elektronische Kommunikationsdienste
- Internetdomänennamen- und IP-Nummerierungsdienste
- Andere Dienste der Informationsgesellschaft,
-
- die es ihren Nutzern ermöglichen miteinander zu kommunizieren, oder
- die es ermöglichen, für Nutzer, für welche die Dienstleistung erbracht wird, Daten zu speichern oder auf sonstige Weise zu verarbeiten, sofern die Speicherung von Daten ein bestimmter Bestandteil der für den Nutzer erbrachten Dienstleistung ist.
Im Ergebnis lässt sich zusammenfassen, dass insbesondere folgende Dienste betroffen sein werden:
- Festnetz, Mobilfunk- oder Satellitenzugänge,
- Messengerdienste (z. B. WhatsApp, Telegram),
- Internet-Telefonie (z. B. Skype),
- Online-Marktplätze mit Möglichkeiten einer Kommunikation zwischen Nutzern,
- E-Mail-Dienste (z. B. Web.de) sowie
- Hosting-Dienste.
Gerade im Hinblick auf den doch offen formulierten dritten Punkte der Definition „Andere Dienste der Informationsgesellschaft“, muss der Anwendungsbereich der Verordnung jedoch immer im Einzelfall geprüft werden.
Instrumente der Verordnung
Durch die EPOC können Justizbehörden die Herausgabe von elektronischen Beweismitteln direkt von den entsprechenden Diensteanbietern verlangen, selbst wenn sich diese im Ausland befinden. Die Diensteanbieter werden in der Folge dazu verpflichtet, innerhalb von zehn Tagen (in Notfällen auch innerhalb von acht Stunden) entsprechend auf die Anfrage zu antworten. Solche Herausgabeanordnungen können sich grundsätzlich auf alle Datenarten beziehen. Darunter fallen u. a. Teilnehmer-, Verkehrs- und Inhaltsdaten. Jedoch wurde die Herausgabe von Verkehrsdaten (die über eine ausschließliche Identifizierung des Nutzers hinausgehen) und Inhaltsdaten dahingehend beschränkt, dass diese nur bei Ermittlungen zu Straftaten mit einer Mindestfreiheitsstrafe von drei Jahren herausgegeben werden dürfen. Einige wenige Ausnahmen gelten für Straftaten in Verbindung mit bspw. Cyberkriminalität oder Terrorismus. Außerdem muss für die Herausgabe von Verkehrs- und Inhaltsdaten eine Vollstreckungsbehörde im Vollstreckungsstaat eingeschalten werden, welche innerhalb von zehn Tagen (bei Notfällen innerhalb von 96 Stunden) die in Art. 12 der Verordnung genannten Ablehnungsgründe prüft. Bestätigt die Vollstreckungsbehörde, dass keiner dieser Ablehnungsgründe geltend gemacht wird, muss der Adressat die Daten gemäß den vorgenannten Fristen herausgeben.
Wird einer entsprechenden Anordnung nicht nachgekommen wird, können Sanktionen von bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Eine EPOC-PR dient zunächst der Sicherung der elektronischen Beweismittel bei den jeweiligen Diensteanbietern. Somit soll eine Entfernung, Löschung oder Änderung der entsprechenden Daten durch die Diensteanbieter verhindert werden, um eine ggf. erforderliche Herausgabe der Daten im Original zu ermöglichen.
Diensteanbieter müssen benannte Niederlassungen und deren Vertreter bestellen, die für die Entgegennahme und Erledigung besagter Anordnungen zuständig sind. Dem liegt zugrunde, dass Diensteanbieter aus Drittländern grundsätzlich nicht physisch in der EU präsent sein müssen. Mit dieser Regelung wird die Möglichkeit geschaffen, die benannten Vertreter oder Niederlassungen in nationale Verfahren miteinzubeziehen.
Kritik an der Verordnung
Bei europäischen Datenschutzbehörden stieß der Entwurf der Verordnung damals bereits auf Kritik, wie sich aus der Entschließung der Datenschutzkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) ergibt.
In beiden Dokumenten wurden u. a. folgende Kritikpunkte geäußert:
- Der Anwendungsbereich der Verordnung sollte auf Verantwortliche im Sinne der DSGVO beschränkt werden oder die Verordnung sollte zumindest eine Klausel für den Fall enthalten, dass der angesprochene Diensteanbieter nicht der Verantwortliche ist, sondern als Auftragsverarbeiter agiert. Und dieser entsprechend verpflichtet wäre den Verantwortlichen über eine Anordnung zu informieren.
- Die Verordnung sollte zusätzliche Garantien enthalten für den Fall, dass der Diensteanbieter in einem Drittland ohne Angemessenheitsbeschluss niedergelassen ist.
- Die Verordnung sollte den Zugang zu Teilnehmer- und Zugangsdaten auf eine Liste von Straftaten beschränken oder zumindest auf „schwere Straftaten“ beschränken.
Fazit
Die Tatsache, dass die Herausgabe von Daten hier grds. ohne ordentliche und richterliche Prüfung im betroffenen Staat herausgegeben werden können, kann in der Praxis besonders problematisch sein. Diensteanbieter können im Zweifel nicht ausreichend beurteilen, inwiefern die Rechte der betroffenen Personen geschützt sind oder welche Benachrichtigungspflichten bestehen könnten. Aufgrund dessen, dass die E-Evidence-Verordnung erst Mitte 2026 in Kraft tritt, bleibt zudem in der Praxis abzuwarten, ob die geplanten Schutzmechanismen gegen ungerechtfertigte Anordnungen ausreichend sind.