12.01.2024Fachbeitrag

Update Datenschutz Nr. 166

E-Evidence Act: Herausgabe- und Prüfpflichten für Anbieter von Onlinediensten in europaweiten Strafverfahren

Mit der Verordnung über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren (E-Evidence-Verordnung), die am 18. August 2023 in Kraft getreten ist, wird der Zugang zu elektronischen Beweismitteln europaweit einheitlich geregelt. Um den Zugang zu digitalen Daten, die zur Ermittlung und Verfolgung von Straftaten benötigt werden, zu beschleunigen, können sich die Strafverfolgungsbehörden aller EU-Mitgliedsstaaten nach Ablauf der Übergangsfrist am 18. August 2026 direkt an die Anbieter der digitalen Dienste wenden. Diese stehen dann vor der schwierigen Aufgabe, die Anfragen selbst zu prüfen und in eiligen Fällen in gerade einmal acht Stunden zu beantworten – eine Aufgabe, die insbesondere für kleiner Unternehmen oftmals nur unter Einbindung externer Dienstleister zu bewältigen ist.

I. Hintergrund

Der Fokus der E-Evidence-VO liegt auf der Europäischen Herausgabeanordnung (EPOC) und der Europäischen Sicherungsanordnung (EPOC-PR), durch die Diensteanbieter verpflichtet werden können, digitale Daten herauszugeben bzw. zu sichern, um eine spätere Herausgabeanordnung zu ermöglichen, wenn diese als elektronische Beweismittel in einem laufenden Strafverfahren oder für die Vollstreckung benötigt werden. Diensteanbieter können dann zur Herausgabe von Daten an die Behörden eines anderen Mitgliedsstaates der Union verpflichtet werden, ohne dass dies von einem nationalen Gericht oder der Staatsanwaltschaft bestätigt werden muss. Allerdings definiert die E-Evidence-VO auch Ablehnungsgründe sowie Fälle, in denen die nationalen Vollstreckungsbehörden eingebunden werden müssen.

Weitere Inhalte der E-Evidence-VO betreffen die Einrichtung eines dezentralen IT-Systems zur Kommunikation der Behörden mit den Adressaten (den Diensteanbietern) und zwischen den Behörden untereinander sowie die Rechtsschutzmöglichkeiten der betroffenen Personen gegen Herausgabeanordnungen (Art. 18 E-Evidence-VO).

II. Wer muss handeln?

Von den Herausgabeanordnungen unter der E-Evidence-VO betroffen sind Diensteanbieter im Sinne von Art. 3 Nr. 3 E-Evidence-VO. Der weite Anwendungsbereich erfasst alle Anbieter von elektronischen Kommunikationsdiensten, von Internetdomänenamen- und IP-Nummerierungsdiensten sowie andere Dienste der Informationsgesellschaft, die es ihren Nutzern ermöglichen, miteinander zu kommunizieren, oder für ihre Nutzer Daten speichern oder auf sonstige Weise verarbeiten, bei der die Speicherung von Daten ein bestimmender Bestandteil der Dienstleistung ist. Eine Größenbegrenzung oder Ausnahme für kleine und Kleinstunternehmen gibt es nicht. Die Dienste müssen außerdem in der EU angeboten werden. Indizien sind etwa eine Niederlassung in der EU, die Verfügbarkeit von Anwendungen in nationalen App-Stores, lokale Werbung oder die Verfügbarkeit des Kundendienstes vor Ort bzw. in der Sprache des Mitgliedsstaates.

Elektronische Kommunikationsdienste, deren Angebot von der Verordnung erfasst ist, sind insbesondere Festnetz-, Mobilfunk- oder Satellitenzugängen, Internet-Telefonie (Voice-over-IP) oder E-Mail-Dienste sowie Messenger wie WhatsApp und Telegram (sog. OTT-Dienste). Nicht erfasst sind hingegen Videoabrufdienste wie YouTube und Netflix, Musikstreamingdienste, Blogs und die Kommunikation mit Sprachassistenten oder Chatbots.

Zu den anderen Diensten der Informationsgesellschaft gehören außerdem Datenspeicherungsdienste ohne Kommunikationsfunktion, bei denen die Datenspeicherung oder anderweitige Datenverarbeitung einen nicht nur unwesentlichen Bestandteil des Dienstes darstellt, aber auch sämtliche Dienste mit einer (auch untergeordneten) Kommunikationsfunktion. Dies gilt allerdings nicht, wenn die Kommunikationsfunktion nur der Kommunikation zwischen dem Nutzer und dem Diensteanbieter dient. Erfasst sind hiernach zum Beispiel sämtliche (Kauf-)Plattformen mit Nachrichtenfunktion (eBay, Vinted), Plattformen für Online-Spiele oder Cloud-Computing-Dienste, sowie alle anderen Anbieter, die deren Leistung zu einem bestimmenden Teil darin besteht, digitale Daten zu speichern oder zu verarbeiten.

Empfänger der Anordnungen nach der E-Evidence-VO sind in der Regel diejenigen Diensteanbieter, die zugleich Verantwortliche im Sinne der DSGVO sind („Data Controller“, Art. 5 Abs. 6 E-Evidence-VO), und nur in Ausnahmefällen deren Auftragsverarbeiter („Data Processor“).

III. Vorgehen bei Erhalt einer EPOC/EPOC-PR

Bei Erhalt einer EPOC/EPOC-PR ist schnelles Handeln gefragt. Erhält ein Diensteanbieter eine Herausgabeanordnung der Behörden eines (anderen) Mitgliedsstaates muss er innerhalb von zehn Tagen reagieren und den Zugang zu den elektronischen Beweismitteln gewähren. In Notfällen verkürzt sich die Reaktionszeit auf lediglich acht Stunden. Diensteanbieter müssen in diesem Fall umgehend Maßnahmen zur Sicherung der angeforderten Daten ergreifen. Sodann sollte geprüft werden, ob die Anordnung im Widerspruch zu den Verpflichtungen des Dienstanbieters steht, die sich aus dem anwendbaren Recht eines Drittlandes ergeben. Ist dies der Fall oder ist die Herausgabe unmöglich oder kann aus anderen Gründen nicht oder nicht fristgerecht erfolgen, muss eine Mitteilung an die Anordnungsbehörde erfolgen (siehe unten). Anderenfalls müssen die Daten fristgerecht an die Anordnungsbehörde übermittelt werden.

Insbesondere wegen der sehr kurzen Frist in Notfällen ist es für betroffene Unternehmen essentiell, sich schon vor der ersten Herausgabeanordnung mit den Voraussetzungen der E-Evidence-VO auseinanderzusetzen und schon jetzt Prozesse zum Umgang mit Herausgabeanordnungen zu entwickeln.

Betrifft eine EPOC Inhaltsdaten oder Verkehrsdaten, die nicht ausschließlich zum Zweck der Identifizierung des Nutzers angefordert werden, wird gleichzeitig mit dem Diensteanbieter auch die nationale Vollstreckungsbehörde unterrichtet, es sei denn, die Straftat wurde oder wird im Anordnungsstaat begangen und die betroffene Person ist im Anordnungsstaat ansässig. In diesem Fall tritt ein Suspensiveffekt ein und die Daten dürfen erst übermittelt werden, wenn die Vollstreckungsbehörde innerhalb der zehntägigen Frist keine Ablehnungsgründe nach Art. 12 E-Evidence-VO geltend gemacht hat oder schon vorher bestätigt, dass sie einen Ablehnungsgrund nicht geltend machen wird. In dringenden Fällen verkürzt sich diese Frist auf 96 Stunden. Macht die Vollstreckungsbehörde einen Ablehnungsgrund geltend, darf der Diensteanbieter der Anordnung nicht nachkommen.

Auch nach Erhalt einer EPOC-PR (Art. 11 E-Evidence-VO) sind unverzüglich Sicherungsmaßnahmen zu ergreifen. Ab diesem Moment dürfen die Daten für einen Zeitraum von 60 Tagen nicht gelöscht werden. Diese Frist kann sich um 30 Tage verlängern. Bei Eingang einer EPOC-PR müssen Diensteanbieter ebenfalls prüfen, ob eine Befolgung wegen Gesetzeskollision, Unmöglichkeit oder anderen Gründen nicht erfolgen kann und gegebenenfalls eine entsprechende Mitteilung an die Anordnungsbehörde machen.

Eine Erstattung der Kosten für die Befolgung der EPOC/EPOC-PR durch den Staat der Anordnungsbehörde erfolgt gemäß Art. 14 E-Evidence-VO nur, wenn das Recht dieses Staates eine Kostenerstattung für vergleichbare Situationen vorsieht. Die verschiedenen nationalen Vorschriften zur Kostenerstattung sollen künftig bei der EU-Kommission einsehbar sein.

1. Klarstellung

Wenn die EPOC oder die EPOC-PR unvollständig ist, offensichtliche Fehler oder keine ausreichenden Informationen zur Ausführung enthält, müssen Diensteanbieter die Anordnungsbehörde (und ggf. die Vollstreckungsbehörde) informieren und um Klarstellung ersuchen. Erst wenn die Klarstellung oder Berichtigung erfolgt ist, besteht die Pflicht zur Herausgabe bzw. Sicherung der digitalen Daten und die jeweiligen Fristen beginnen zu laufen. Reagiert die Anordnungsbehörde nicht innerhalb von fünf Tagen, entfällt die Pflicht zur Datensicherung.

2. Unmöglichkeit oder Widerspruch zu gesetzlichen Verpflichtungen

Art. 10 und 11 E-Evidence-VO enthalten verschiedene Ausnahmetatbestände, in denen der Adressat die Herausgabe- oder Sicherungsanordnung nicht befolgen muss, etwa bei Unmöglichkeit, Unzuständigkeit der anordnenden Behörde oder bei Widerspruch zu Verpflichtungen des Diensteanbieters aus dem Recht eines Drittlandes. Dies muss er der Anordnungsbehörde unverzüglich mitteilen und unter Verwendung des Formulars in Anhang III zur E-Evidence-VO begründen. Die Anordnungsbehörde wird dem Diensteanbieter, wenn sie seiner Einschätzung folgt, mitteilen, dass die EPOC/EPOC-PR nicht mehr ausgeführt werden muss.

Ansonsten wird das Verfahren an die nationale Vollstreckungsbehörde abgegeben. Diese prüft die Ablehnungsgründe und fordert den Diensteanbieter gegebenenfalls zum Tätigwerden auf, wogegen dieser Einwände erheben kann. Unter Umständen schließt sich ein gerichtliches Verfahren an. Hat der Diensteanbieter das Tätigwerden zu Unrecht verweigert, kann eine Geldbuße von bis zu 2 % des weltweiten Jahresumsatzes verhängt werden (Art. 15, 16 E-Evidence-VO).

Eine Ablehnung kann insbesondere gerechtfertigt sein,

  • (a) wenn die Herausgabe oder Sicherung der betroffenen Daten faktisch unmöglich ist und dies auf Umständen beruht, die nicht dem Diensteanbieter angelastet werden können
  • (b) wenn die Anordnungsbehörde für die Herausgabe- oder Sicherungsanordnung nicht das Formular in Anhang I bzw. Anhang II der Verordnung verwendet oder wenn die Anordnung nicht von einer nach Art. 4 E-Evidence-VO berechtigten Behörde stammt, also nicht von einem Gericht, Ermittlungsrichter, Staatsanwalt oder einer sonstigen Vollstreckungsbehörde
  • (c) wenn die Daten, die nur zur Identifizierung der betroffenen Person dienen, nicht Strafverfahren oder der Verfolgung oder Vollstreckung bzgl. der in der E-Evidence-VO genannten Straftaten dienen (mindestens viermonatigen Freiheitsstrafe/freiheitsentziehende Maßregel der Sicherung; Straftaten, die im Anordnungsstaat mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren geahndet werden; Straftaten zur betrügerischen Verwendung von Zahlungsinstrumenten, im Zusammenhang mit sexuellem Missbrauch, sexueller Ausbeutung, Kinderpornografie, Kontaktaufnahme zu Kindern für sexuelle Zwecke, im Zusammenhang mit rechtswidrigem Zugang zu Informationssystemen, mit rechtswidrigem Eingriff in Daten und rechtswidrigem Abfangen von Daten sowie mit terroristischen Straftaten)
  • (d) wenn die Daten durch Immunitäten oder Vorrechte nach dem Recht des Vollstreckungsstaates geschützt sind oder die angeforderten Daten Vorschriften über die Bestimmung oder Beschränkung der strafrechtlichen Verantwortlichkeit unterliegen, die sich auf die Pressefreiheit oder die freie Meinungsäußerung in anderen Medien beziehen
  • (e) wenn ein Diensteanbieter der Ansicht ist, dass eine Herausgabeanordnung im Widerspruch zu seinen Verpflichtungen aus dem anwendbaren Recht eines Drittlandes steht. Er muss dann unter Verwendung von Anhang III einen begründeten Einwand bei der Anordnungs- oder Vollstreckungsbehörde einlegen, der alle rechtlichen und tatsächlichen Einzelheiten zu den sich widersprechenden Verpflichtungen enthält

Kommt der Dienstanbieter der Anordnung aus anderen Gründen nicht oder nicht fristgerecht nach, muss er der Anordnungsbehörde die Gründe hierfür ebenfalls unter Verwendung des Anhangs III mitteilen.

Viele dieser Ablehnungsgründe sind ohne juristische Beratung nur schwierig oder gar nicht zu überprüfen, weshalb die interne Rechtsabteilung oder spezialisierte Rechtsanwälte im Falle einer Anordnung hinzugezogen werden sollten.

3. Was muss herausgegeben werden?

Zu den elektronischen Beweismitteln, die nach der Verordnung angefordert werden können, zählen alle digitalen Teilnehmer-, Verkehrs- oder Inhaltsdaten, die bei der Ermittlung und Verfolgung von Straftaten verwendet werden. Im Detail:

  • (a) Teilnehmerdaten: Daten zur Identität der betroffenen Person, etwa Name, Geburtsdatum, Anschrift und andere Kontaktdaten sowie Daten zu der Art und Dauer der Dienstleistung
  • (b) Verkehrsdaten: Daten zu der angebotenen Dienstleistung, beispielsweise Ursprung und Ziel einer Nachricht, der Standort eines Gerätes, das Format oder das verwendete Protokoll sowie andere Metadaten der Kommunikation über und Nutzung des Dienstes
  • (c) Inhaltsdaten: alle anderen in einem digitalen Format verfügbaren Daten, wie Texte, Videos und Bilder.

4. Einfach Umsetzung durch Einrichtung von Behördenschnittstellen

Ist ein unvorbereitetes Unternehmen erstmalig mit einer Herausgabe- oder Sicherungsanordnung konfrontiert, wird es erhebliche Probleme damit haben, diese innerhalb der kurzen Fristen der E-Evidence-Verordnung umzusetzen. In weniger als zehn Tagen (oder sogar acht Stunden) müssen Unternehmen eine rechtliche Prüfung der Anordnung sowie ihrer eigenen potentiell damit kollidierenden Pflichten durchführen, die herauszugebenden Daten müssen identifiziert, extrahiert und gesichert werden und auch die Übermittlung selbst muss technisch über sichere Kommunikationswege umgesetzt werden. Darüber hinaus muss darauf geachtet werden, dass die Daten bei Einbindung der nationalen Behörden nicht vorzeitig herausgegeben werden, bei Einwänden gegen die EPOC oder EPOC-PR kommt außerdem noch die Kommunikation mit den Behörden hinzu.

Unternehmen haben jedoch die Möglichkeit, diese Pflichten auszulagern, indem sie einen spezialisierten IT-Dienstleister mit der Einrichtung einer Behördenschnittstelle beauftragen. Dieser übernimmt dann in enger Abstimmung mit dem Unternehmen die vollständige Kommunikation mit den Behörden und die rechtskonforme Bereitstellung der Daten, ohne dass im Unternehmen selbst eine aufwändige Prüfung stattfinden muss. Gerade für kleiner Unternehmen ohne eigene Abteilung zur Bearbeitung solcher Anfragen wird dies häufig der vorzugswürdige Weg sein, um Bußgelder oder sogar strafrechtliche Sanktionen zu verhindern.

IV. Weitere Pflichten

Weitere Pflichten der Diensteanbieter betreffen etwa die Ergreifung der erforderlichen, dem neuesten Stand der Technik entsprechenden betrieblichen und technischen Maßnahmen, um die Vertraulichkeit, Geheimhaltung und Integrität der jeweiligen Anordnung sowie der betroffenen Daten sicherzustellen (Art. 13 Abs. 4 E-Evidence-VO) oder die Einrichtung eines Ansprechpunktes (Diensteanbieter aus Drittstaaten) bzw. Benennung einer Niederlassung (Provider, die in der EU niedergelassen sind) zur Bearbeitung der jeweiligen Anordnungen.

Der Diensteanbieter, der bloß als Auftragsverarbeiter im Sinne von Art. 28 DSGVO agiert, nicht aber als Verantwortlicher, muss außerdem den Verantwortlichen über die Datenherausgabe informieren. Die Unterrichtung der betroffenen Personen darf allerdings ausschließlich durch die Anordnungsbehörde erfolgen.

V. Checkliste & Ausblick

Die E-Evidence-VO wird erst Mitte 2026 in Kraft treten. Allerdings sollten bis zu diesem Zeitpunkt alle Diensteanbieter im Sinne der E-Evidence-VO in der Lage sein, Herausgabe- und Sicherungsanordnungen kurzfristig und innerhalb weniger Stunden umzusetzen. Dazu sollten mindestens die folgenden Maßnahmen ergriffen werden:

  • Zuständigkeiten für die Bearbeitung von EPOC und EPOC-PR festlegen;
  • Prozesse zur rechtlichen Prüfung und Umsetzung von EPOC und EPOC-PR unter Berücksichtigung der verschiedenen Bearbeitungsfristen definieren;
  • Möglichkeit der kurzfristigen Herausgabe und Sicherung von Daten technisch sicherstellen (ggf. Beauftragung eines Drittanbieters mit technischer Unterstützung);
  • Bei häufigen Anfragen Übersicht mit besonders häufig auftretenden kollidierenden Verpflichtungen aus dem Recht der Drittstaaten erstellen, sodass diese schnell und automatisiert geprüft werden können;
  • Maßnahmen zu Vertraulichkeit, Geheimhaltung und Integrität evaluieren und ggf. dem neuesten Stand der Technik anpassen.

Für viele Unternehmen ist es jedoch schwierig, die rechtliche Prüfung der Anordnungen oder die Identifizierung und Sicherung aller betroffenen Daten ohne externe Hilfe durchzuführen. Auch die Kommunikation mit den Behörden bei Unmöglichkeit der Umsetzung der Anordnung kann herausfordernd sein. Deshalb wird der sinnvollste Weg oftmals in der Beauftragung eines externen Dienstleisters liegen, der eine Schnittstelle für behördliche Anordnung einrichtet und die technische Abwicklung, die rechtliche Prüfung (durch externe Rechtsanwälte), die Einholung der Daten sowie deren fristgerechte (jedoch nicht vorzeitige) Übermittlung an die Behörde sicherstellt.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.