1.     Einleitung zur neuen VO und Regelungsinhalt

Bisher gab es keine spezifischen bzw. für die Strafverfolgung effektive Regelungen, wie Strafbehörden innerhalb der EU an Daten von Dienstanbietern gelangen können. Dies führte zu erheblichen Hürden bei der Informationsbeschaffung. Nun wurde jedoch eine neue Regelung eingeführt, die den Strafbehörden innerhalb der EU die Beschaffung dieser Daten unter bestimmten gesetzlichen Voraussetzungen erleichtern soll. Diese Regelung tritt erst am 18.08.2026 unmittelbar in Kraft.

Die Verordnung (VO 2023/1543), die am 28.07.2023 im Amtsblatt der Europäischen Union veröffentlicht wurde, regelt die Beschlagnahme und Herausgabe von elektronischen Beweismitteln bei Diensteanbietern in der EU.

2.     Definition der Diensteanbieter

Zu solchen Diensteanbietern zählen natürliche und juristische Personen als Anbieter von elektronischen Kommunikationsdiensten, Internetdomänennamen- und IP-Nummerierungsdiensten oder anderen Diensten der Informationsgesellschaft, wobei Finanzdienstleistungen im Sinne des Art 2 Abs 2 lit b RL 2006/123/EG ausgenommen sind, und dies im grenzüberschreitenden Kontext, unabhängig davon, wo sich die Daten befinden.

3.     Kernstücke der Verordnung: EPOC und EPOC-PR

Kernstücke der Verordnung sind die „Europäische Herausgabeanordnung“ (European Production Order Certificate - EPOC) und die „Europäische Sicherungsanordnung“ (European Preservation Order Certificate - EPOC-PR) zur Herausgabe und Sicherung von Daten. Diese Maßnahmen sind nur unter gewissen gesetzlichen Voraussetzungen zulässig, etwa wenn ein Strafverfahren anhängig ist oder bei Vollstreckung einer mindestens viermonatigen Freiheitsstrafe oder freiheitsentziehenden Maßnahme aufgrund eines in Anwesenheit des Beschuldigten ergangenen Urteils (Art 2 Abs 2 S 1). Zudem können die Anordnungen auch juristische Personen treffen, welche einer Verbandsverantwortlichkeit unterliegen und somit selbst für allfällige Straftaten direkt verantwortlich gemacht werden können (Art 2 Abs 2 S 2).

4.     Verfahrensrechtliches

Diese Anordnungen können von Richtern, Gerichten, Ermittlungsrichtern, Staatsanwälten oder anderen vom Staat benannten Ermittlungsbehörden erlassen werden. Letztere müssen jedoch eine nachträgliche Bestätigung durch die Justiz einholen (Art 4). In dringenden Notfällen können diese Behörden eine Anordnung auch ohne vorherige Genehmigung erlassen, müssen jedoch innerhalb von 48 Stunden eine nachträgliche Genehmigung anfordern. Wenn die Genehmigung nicht gewährt wird, muss die Anordnung sofort zurückgezogen und die erlangten Daten gelöscht oder in ihrer Verwendung eingeschränkt werden.

Diese Regelung stärkt auch die Verteidigungsrechte, da nicht nur Behörden, sondern auch Verdächtige oder Beschuldigte und ihre Verteidiger eine EPOC oder EPOC-PR beantragen können (Art 1 Abs 2).

5.     Durchsetzung der Anordnungen

Für die Durchsetzung dieser Anordnungen sind die Diensteanbieter direkt verantwortlich. Sie müssen Anordnungen grundsätzlich innerhalb der festgelegten Fristen erfüllen. Bei Versäumnissen müssen Diensteanbieter ihre Gründe auf einem Formblatt darlegen, und es können erhebliche Bußgelder verhängt werden, die bis zu 2 % ihres weltweiten Jahresgesamtumsatzes aus dem vorhergehenden Geschäftsjahr erreichen können.

Die zuständigen nationalen (Vollstreckungs)Behörden überwachen die Einhaltung dieser Verordnung und haben das Recht, Herausgabeanordnungen zu prüfen und gegebenenfalls abzulehnen. Wenn eine Herausgabeanordnung abgelehnt wird, muss der Diensteanbieter die Ausführung sofort beenden und darf die Daten nicht an die Anordnungsbehörde übermitteln.

6.     Sicherheitsvorgaben und rechtliche Hürden

Ein weiteres wichtiges Element der Verordnung ist die Vorgabe, dass alle Kommunikationen und Datenübertragungen zwischen den Diensteanbietern und den Behörden über ein sicheres und zuverlässiges dezentrales IT-System erfolgen müssen. Diese Systeme werden von den Mitgliedstaaten sowie von Einrichtungen und Stellen der EU betrieben und zur Verfügung gestellt.

Die EU bzw. im Rahmen der VO werden auch im Allgemeinen Verschwiegenheitsverpflichtungen anerkannt. Ein Problempunkt der Verordnung ist allerdings, das Fehlen eines bindenden Schutzes für Daten, die unter das Verschwiegenheitsgebot eines anderen Staates, dh eines Mitgliedstaates oder eines Drittstaates, fallen. Diese Regelungslücke könnte rechtliche Konflikte für Diensteanbieter schaffen, die einer Anordnung zur Herausgabe folgen und so möglicherweise gegen Gesetze eines anderen Staates verstoßen. Folglich steht der Diensteanbieter im Konflikt zwischen der Einhaltung der Herausgabeanordnung einerseits und der Beachtung von gesetzlichen Verschwiegenheitsverpflichtungen in einem anderen Staat andererseits, ohne dass eine klare Lösung für solche Konflikte vorgegeben wird.

7.     Fazit

Die Verordnung sieht das Recht auf ein Rechtsmittel vor, dies allerdings im ausstellenden Mitgliedstaat (Art 18). Zusammenfassend lässt sich sagen, dass die EU-Verordnung zu elektronischen Beweismitteln wichtige Fortschritte bietet, um die europaweite einheitliche Einholung und Sicherung von elektronischen Beweismitteln zur Kriminalitätsbekämpfung in grenzüberschreitenden Konstellationen zu gewährleisten, allerdings ohne eine umfassende Lösung für die damit verbundenen rechtlichen Herausforderungen zu erreichen. Die zahlreichen Reaktionen der Mitgliedstaaten und die vorgesehenen Prüfverfahren weisen auf die Komplexität hin.