Grenzüberschreitende Cloud-Zugriffe: E-Evidence-Gesetz tritt in Kraft

Die digitale Beweiskette in der EU und Deutschland wird deutlich gestrafft. Am 12. März wurde das Gesetz zur Umsetzung der E-Evidence-Richtlinie im Bundesgesetzblatt verkündet. Dahinter verbirgt sich das sogenannte Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz (EBewMG). Es soll die Art und Weise, wie Strafverfolgungsbehörden auf Daten in der Cloud zugreifen, grundlegend erneuern. Seit Freitag sind die ersten Teile bereits in Kraft getreten. Der restliche Normenkomplex wird zum 18. August 2026 voll wirksam. Damit endet eine Ära, in der langwierige Rechtshilfeersuchen oft die Ermittlungen gegen Cyberkriminalität ausbremsten.

In der Vergangenheit standen Ermittler vor einem Dilemma: Straftaten werden zunehmend im digitalen Raum geplant und ausgeführt, doch die Beweismittel liegen oft auf Servern in anderen Mitgliedstaaten. Bisherige Rechtshilfeformate galten als schwerfällig und zeitintensiv. Nicht selten waren relevante Daten bereits gelöscht, bevor das offizielle Gesuch den zuständigen Provider im Ausland erreichte. Das neue E-Evidence-Paket setzt hier an und ermöglicht es Behörden, sich direkt an Diensteanbieter in anderen EU-Ländern zu wenden. Dieser direkte Zugriff soll sicherstellen, dass digitale Spuren gesichert werden, bevor sie im digitalen Äther verschwinden.

Neue Befugnisse für die Strafverfolgung

Bundesjustizministerin Stefanie Hubig (SPD) betonte anlässlich des Inkrafttretens: Die Strafverfolgungsbehörden benötigten in einer hochvernetzten Welt Mittel, um schnell zu reagieren und Verantwortliche zur Rechenschaft ziehen zu können. Das Gesetz sei ein entscheidender Baustein einer Strategie, die internetbasierte Kriminalität effektiver bekämpfen will. Damit würden rechtsstaatliche Standards und der Schutz sensibler Daten aber nicht geopfert.

Kritiker sahen dagegen bei der parlamentarischen Debatte die Balance zwischen effizienter Verfolgung und dem Absichern der Privatsphäre nicht gewahrt. Die Beschleunigung der Ermittlungen sorgte für heftigen Gegenwind bei der Opposition und Bürgerrechtlern. Die Missbilligung nährt sich vor allem durch die Befürchtung, dass rechtsstaatliche Standards auf dem Altar der europäischen Kooperation geopfert werden. Es bestehe die Gefahr, heißt es, dass autoritär agierende Regierungen wie etwa in Ungarn das System nutzen könnten, um gegen Journalisten, Oppositionelle oder Anwälte vorzugehen.

Die praktischen Auswirkungen für Diensteanbieter sind hoch. Das Regelwerk sieht vor, dass Provider auf eine Sicherungsanordnung unverzüglich reagieren müssen. Geht es um die tatsächliche Herausgabe von Daten, bleibt eine Frist von zehn Tagen. In definierten Notfällen verkürzt sich dieses Zeitfenster drastisch: Hier müssen die Informationen innerhalb von nur acht Stunden geliefert werden. Um diese Kommunikation sicherzustellen, sind die in der EU tätigen Diensteanbieter verpflichtet, offizielle Empfangsbevollmächtigte zu benennen. Diese sogenannten Adressaten fungieren als feste Ansprechpartner für die Justizbehörden.

Pflichten und Sanktionen für Provider

Als zentrale Überwachungsinstanz fungiert hierzulande das Bundesamt für Justiz (BfJ). Die Behörde kontrolliert, ob die Provider ihren neuen Pflichten nachkommen. Sollten Unternehmen die Anordnungen ignorieren oder die Zusammenarbeit verweigern, drohen empfindliche Konsequenzen, da solche Verstöße nun als Ordnungswidrigkeiten geahndet werden können. Die Geldbußen betragen bei schwerwiegenden Verstößen bis zu 500.000 Euro. Bei besonders großen Diensteanbietern mit einem Gesamtumsatz von mehr als 25 Millionen Euro kann die Strafe sogar bis zu zwei Prozent des weltweiten Jahresumsatzes erreichen.

Technisch wird der Datenaustausch über eine von der EU und den Mitgliedstaaten etablierte Software abgewickelt. Diensteanbieter müssen sich dafür auf einer speziellen Plattform, der sogenannten Notification Platform, registrieren, um für die Ermittler überhaupt erreichbar zu sein. Bedenkenträgern sucht das BfJ durch spezifische Schutzmechanismen für besonders sensible Datenkategorien Rechnung zu tragen.

Dennoch markiert das EBewMG einen Paradigmenwechsel: Der physische Standort eines Servers verliert für die Strafverfolgung innerhalb Europas an Bedeutung. Ob die technischen Infrastrukturen der Anbieter und die personellen Ressourcen der Behörden dem neuen Tempo gewachsen sind, wird sich in den kommenden Monaten zeigen.

(nen)