Die E-Evidence-Verordnung soll es ermöglichen, dass nationale Polizei- und Strafverfolgungsbehörden in Europa schnell und direkt bei Diensteanbietern in anderen Staaten auf Daten zugreifen können, um Straftaten aufklären zu können. Die EU will also die grenzüberschreitende Strafverfolgung effektiver gestalten. Dafür ist der Zugriff auf elektronische Beweismittel entscheidend, denn moderne Formen der Kriminalität organisieren sich auch in Messengern, Apps oder über Social Media. Der Strafverfolgung müssen Mittel zur Verfügung stehen, um auf Beweismittel hinter diesen Kommunikationsformen zugreifen zu können.

Die Behörde im Ausgangsstaat kann zu diesem Zweck eine sogenannte „Europäische Herausgabeanordnung“ erlassen. Einer Zustimmung der Behörden oder der Gerichte im „Zielland“ bedarf es nicht. Die Herausgabeanordnung ermöglicht den Zugriff auf Daten wie zum Beispiel Namen und Anschrift des Betroffenen oder auf Metadaten der Nutzung des jeweiligen Web-Dienstes. Die Verordnung spricht insoweit von Teilnehmer- und Zugangsdaten. Die Herausgabeanordnung ermöglicht aber auch den Zugriff auf Inhaltsdaten. Die Behörden können bei schweren Straftaten also auch die Kommunikation einschließlich versandter Videos und Bilder einsehen. Wollen die Behörden auf solche sensiblen Daten zugreifen, benötigen sie die Genehmigung durch ein Gericht im Ausgangsland.

Der Diensteanbieter muss der Strafverfolgungsbehörde, also der Staatsanwaltschaft oder Polizei, die geforderten Daten im Regelfall innerhalb von zehn Tagen übermitteln. Allerdings müssen Diensteanbieter in Notfällen deutlich schneller handeln: Sie müssen die Daten dann unverzüglich und spätestens sechs Stunden nach Erhalt des Herausgabeverlangens an die Behörde herausgeben. Neben der Herausgabeanordnung können die Behörden auch Sicherungsanordnungen durchsetzen, um Daten in jedem Fall vorläufig über die normale Aufbewahrungszeit hinaus zu speichern. Dabei geht es darum, zu verhindern, dass die Daten vor Start eines Hauptsacheverfahrens gelöscht werden. So wird sichergestellt, dass sie zu einem späteren Zeitpunkt Gegenstand einer Herausgabeanordnung sein können, weil sie eben zwischenzeitlich nicht gelöscht werden durften. Bei Verstößen gegen die Verordnung drohen den Diensteanbietern letztlich Strafen von bis zu zwei Prozent des weltweiten Jahresumsatzes. Hier können also schnell dreistellige Millionenbeiträge im Raum stehen.

In den USA besteht mit dem US Cloud Act seit März dieses Jahres eine vergleichbare Regelung. Der „Clarifying Lawful Overseas Use of Data“-Act verpflichtet US-amerikanische IT-Unternehmen, US-Behörden auf Verlangen Daten offenzulegen, unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind.

Wie entsprechende Anordnungen auf Grundlage des Cloud-Act – der gegen Art. 48 DSGVO verstößt – in Zukunft von betroffenen Unternehmen, die auch unter die DSGVO fallen, gehandhabt werden, bleibt ebenso abzuwarten. Auch ist unklar, ob und wann mögliche Exekutivabkommen mit einzelnen Staaten oder der EU abgeschlossen werden. Die USA lehnen es bislang ab, mit der EU ein Durchführungsabkommen zu vereinbaren.

Ähnlich wie der US-Cloud-Act sieht auch der Entwurf der E-Evidence-Verordnung eine Herausgabe- oder Sicherungsverpflichtung von Daten unabhängig vom Ort der Datenspeicherung vor. Zudem sind von der Verpflichtung ebenfalls Unternehmen erfasst, die ihren Sitz nicht in der EU haben, ihre Dienste jedoch auf dem europäischen Markt anbieten. Für letztere sieht ein zeitgleich zum Verordnungsentwurf vorgelegter Richtlinienentwurf die Benennung eines Vertreters in der EU vor, über den Herausgabeanordnungen leichter durchgesetzt werden können. In der Reichweite steht die geplante Verordnung dem amerikanischen Cloud-Act damit in nichts nach.

Der EU-Justizministerrat hat die E-Evidence-Verordnung am 7. Dezember 2018 gebilligt. Sowohl Politik als auch Wirtschaft haben jedoch bereits Bedenken gegen die geplante Verordnung geäußert. So haben neben Deutschland beispielsweise auch Finnland, Lettland und die Niederlande gegen die Verordnung gestimmt. Justizministerin Barley merkte an, dass „rechtsstaatliche Prinzipien […] in der Europäischen Union nicht überall gleichermaßen gewahrt“ würden.

Kritisiert wird insbesondere, dass der Vollstreckungsstaat, also der Staat, in dem das IT-Unternehmen sitzt, keine Möglichkeit zur Prüfung der Rechtmäßigkeit der Anordnung sowie keine Widerspruchsmöglichkeit hat. Vielmehr sieht die Verordnung vor, die Prüfung möglicher, der Anordnung widersprechender Grundrechtsverletzungen ausschließlich dem verpflichteten Unternehmen zu überlassen. Hierdurch wird die Verantwortung zum Grundrechtsschutz – einmal mehr, denkt man auf nationaler Ebene an das Netzwerkdurchsetzungsgesetz – in die Hände privater Unternehmen gegeben.

Ein Problem stellen auch die unterschiedlichen Besonderheiten des Strafrechts der Mitgliedstaaten dar. Voraussetzung für die Herausgabe von Transaktions- und Inhaltsdaten ist eine Strafandrohung von mindestens drei Jahren im Höchstmaß, die in Deutschland beispielsweise bereits beim einfachen Diebstahl erreicht wird. In anderen europäischen Ländern wird diese Strafbarkeitsgrenze dagegen auch bei Taten erreicht, die in Deutschland nicht einmal strafbar wären – beispielsweise bei der Abtreibung in Polen.

Letzteres verdeutlicht ein weiteres Problem des Verordnungsentwurfes: Dieser sieht vor, dass die zu verfolgende Tat nur im anfragenden Staat strafbar sein muss. Auf das Prinzip der doppelten Strafbarkeit, wie sie beispielsweise bei der Prüfung von Auslieferungsverlangen in der EU vorgesehen ist, wird also verzichtet.

Die EU hat sich selbst auf die Fahnen geschrieben, dass die Verordnung Rechtssicherheit für Unternehmen bringen soll. Tatsächlich gibt es verschiedene Bereiche, bei denen der Gesetzgeber die Verordnung nachbessern sollte, um Rechtstaatlichkeit und Rechtssicherheit sicherzustellen. Die Verordnung gilt allerdings noch lange nicht. Mit Änderungen im weiteren Gesetzgebungsverfahren kann man also rechnen. Unternehmen sollten daher zunächst den weiteren Verlauf des Gesetzgebungsverfahrens verfolgen. Derzeit scheinen folgende Aspekte der Verordnung für Unternehmen besonders wichtig:

Sie sieht keine Bereichsausnahme für kleine Unternehmen vor. Ob Apple, Google oder der App-Entwickler im Hinterhof – die Verordnung macht keine Unterschiede. Jeder Diensteanbieter, der Daten seiner Kunden verarbeitet, fällt in den Anwendungsbereich der Verordnung. Unternehmen sollten sich also – Stichwort Compliance – auf die Geltung der Verordnung auch für sich einstellen und entsprechend organisatorisch, finanziell und personell planen.

Unternehmen müssen in Notfällen besonders schnell reagieren. Daher müssen sie den administrativen Aufwand, der sich aus der Verordnung ergibt, bei ihrer Personalplanung berücksichtigen.

Insbesondere kleine Unternehmen ohne eigene Rechtsabteilung müssen sich fragen, wie eine möglicherweise notwendige Prüfung von Grundrechtsverletzungen bewerkstelligt werden kann, um so den Balanceakt zwischen der schnellen Reaktion auf Herausgabeanordnungen und dem Schutz der Vertraulichkeit von Kundendaten bewältigen zu können.

Bleibt die Hoffnung, dass der Entwurf zur E-Evidence-Verordnung im EU-Parlament noch die dringend erforderlichen Änderungen erfährt, um den bislang unzureichend sichergestellten Grundsätzen der Rechtsstaatlichkeit und des Grundrechtsschutzes zur Geltung zu verhelfen und die erhoffte Rechtssicherheit für Unternehmen zu bringen.