e–Evidence–Richtlinie: Umsetzungsfrist abgelaufen – Implementierungsstatus und Handlungsbedarf

Die Richtlinie (EU) 2023/1544 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren ("e-Evidence-Richtlinie") musste bis zum 18. Februar 2026 von den EU-Mitgliedstaaten umgesetzt werden. Gemeinsam mit der Verordnung (EU) 2023/1543 ("e-Evidence-Verordnung") schafft sie einen neuen Rechtsrahmen für den grenzüberschreitenden Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel. 

Mit Ablauf der Umsetzungsfrist und mit Blick auf die Anwendbarkeit der e-Evidence-Verordnung ab dem 18. August 2026 stellt sich für die betroffenen Unternehmen die Frage, welche konkreten Auswirkungen sich hieraus für ihre Geschäftstätigkeit ergeben.

Das e-Evidence-Paket im Überblick

Mechanismus

Die e-Evidence-Verordnung führt zwei neue Ermittlungsinstrumente ein: 

• Die Europäische Herausgabeanordnung ermöglicht es Behörden in einem EU-Mitgliedstaat, Diensteanbieter in einem anderen EU-Mitgliedstaat – über deren benannte Niederlassung oder bestellten Vertreter („Adressat“) – direkt zur Herausgabe von elektronischen Beweismitteln zu verpflichten. Der Adressat muss die Europäische Herausgabeanordnung grundsätzlich innerhalb von zehn Tagen, in Notfällen innerhalb von acht Stunden umzusetzen, d.h., die angeforderten Daten innerhalb dieses Knapp bemessenen Zeitraums an die anfragende Behörde übermittteln.
• Die Europäische Sicherungsanordnung ermöglicht es Behörden, Diensteanbieter zu verpflichten, elektronische Beweismittel 60 Tage lang vorzuhalten, um deren Verfügbarkeit für eine spätere Herausgabe sicherzustellen.

Diese Instrumente umgehen die traditionellen Kanäle der Rechtshilfe und sollen den Zugang zu elektronischen Beweismitteln erheblich beschleunigen. Die Übermittlung erfolgt über ein neues „dezentrales IT-System“, das die zuständigen nationalen Behörden mit den Adressaten der Diensteanbieter verbindet.

Anwendungsbereich

Das e-Evidence-Paket gilt für:

• elektronische Kommunikationsdienste (z. B. VOIP, Instant Messaging, E-Mail),
• Internet-Domainnamen- und IP-Nummerierungsdienste (z. B. Domainnamen-Registrierungsstellen, regionale Registrierungsstellen für IP-Adressen) und
• andere Dienste der Informationsgesellschaft (d.h. Digitale Dienste), die
  • die Kommunikation zwischen Nutzern ermöglichen (z. B. Online-Marktplätze) oder
  • Daten im Auftrag von Nutzern speichern oder verarbeiten (z. B. Hosting-Dienste im Sinne des Digital Services Act).

Der räumliche Anwendungsbereich erfasst alle Diensteanbieter, die Dienste in der EU anbieten - unabhänig vom ihrem Sitz. Erfasst sind damit auch Diensteanbieter ohne Niederlassung in der EU. Ein „Anbieten in der EU“ liegt vor, wenn die Nutzung in einem oder mehreren Mitgliedstaaten ermöglicht wird und eine wesentliche Verbindung besteht (z. B. Niederlassung, gezielte Ausrichtung auf den Markt oder erhebliche Nutzerbasis).

Gerade die Einordnung, ob ein konkreter Dienst in den Anwendungsbereich fällt, ist in der Praxis häufig komplex. Für eine erste unverbindliche Einschätzung kann unser interaktives e-Evidence Regulation Scoping Tool (in englischer Sprache) herangezogen werden.

Kernpflichten der e-Evidence-Richtlinie

Benennung bzw. Bestellung von Adressaten

In der Union niedergelassene Diensteanbieter müssen eine ihrer Niederlassungen benennen. Diensteanbieter ohne EU-Niederlassung müssen einen Vertreter bestellen. Dieser Adressat ist mit den notwendigen Befugnissen und Ressourcen auszustatten, sodass er seiner Verpflichtung, Europäische Herausgabe- und Sicherungsanordnungen entgegenzunehmen und auszuführen, nachkommen kann.

Mitteilungspflichten

Diensteanbieter müssen der zentralen Behörde des Mitgliedstaats, in dem sich der Adressat befindet, dessen Kontaktdaten und die von ihm akzeptierten Amtssprachen mitteilen. Die Mitteilung hat bis zum 18. August 2026 oder innerhalb von sechs Monaten nach Beginn des Diensteangebots in der EU zu erfolgen.

Sanktionen

Diensteanbieter und ihre Adressaten haften gesamtschuldnerisch für Verstöße. Es drohen Geldbußen von bis zu 2 % des weltweiten Jahresumsatzes des Diensteanbieters; nationale Umsetzungsgesetze können darüber hinausgehende Sanktionen vorsehen.

Stand der Umsetzung in der EU

Im Februar 2026 ist der Stand der Umsetzung der e-Evidence-Richtlinie in den EU-Mitgliedstaaten uneinheitlich.

Dänemark, Kroatien, Italien, Litauen und die Slowakei haben Umsetzungsvorschriften erlassen. Deutschland hat das e-Evidence-Umsetzungs-und-Durchführungsgesetz verabschiedet, die Veröffentlichung im Bundesgestzblatt wird in Kürze erwartet (weitere Informationen zur deutschen Umsetzung und zum neuen Elektronische-Beweismittel-Umsetzungs-und-Durchführungsgesetz (EBewMG): e-Evidence-Umsetzungs- und Durchführungsgesetz Erste Lesung im Bundestag - Bird & Bird). In Belgien, der Tschechischen Republik, Finnland, Irland, den Niederlanden und Schweden liegen Gesetzesentwürfe vor. In den übrigen Mitgliedstaaten sind bislang keine öffentlich zugänglichen Entwicklungen erkennbar.

Diese fragmentierte Umsetzung führt zu erheblicher Rechtsunsicherheit, da in einzelnen Mitgliedstaaten zentrale Fragen – etwa zu zuständigen Behörden, Verfahrensregeln und Sanktionen – weiterhin ungeklärt sind.

Zentrale Herausforderungen für Diensteanbieter

Diensteanbieter sehen sich derzeit mit einer Reihe praktischer Herausforderungen konfrontiert. Zwar existieren erste Informationsmaterialien auf nationaler Ebene – darunter aus Irland, die Niederlande und Deutschland – sowie von Eurojust. Diese sind jedoch nur in den jeweiligen Landessprachen verfügbar und bieten inhaltlich nur begrenzten Mehrwert, da sie lediglich den Wortlaut der Verordnung bzw. der Richtlinie einschließlich der Erwägungsgründe zusammenfassen.

Angesichts des zunehmenden Zeitdrucks bis zur Anwendbarkeit der Verordnung besteht ein deutlicher Bedarf an weitergehenden, praxisorientierten Leitlinien, die konkrete Compliance-Fragen adressieren. Solange solche Klarstellungen fehlen, sehen sich Diensteanbieter insbesondere mit folgenden Schwierigkeiten konfrontiert:

Bestimmung der Anwendbarkeit

Die Bestimmung des richtigen Diensteanbieters innerhalb einer Unternehmensgruppe ist komplex, da die Verpflichtungen an einzelne Rechtsträger anknüpfen. Dies wirft praktische Fragen zur Zentralisierung von Compliance-Funktionen auf.

Zudem ist zu klären, in welchem Mitgliedstaat ein Adressat zu benennen ist und in welchem Umfang diese Benennung Tätigkeiten in anderen Mitgliedstaaten abdeckt.

Technische Anbindung

Die Mitteilung der Adressatendaten soll über eine spezielle Anwendung der Kommission erfolgen, die bislang noch nicht vollständig bereitgestellt wurde.

Die technischen Spezifikationen des dezentralen IT-Systems sind in der ETSI-Spezifikation TS 104 144 festgelegt, wesentliche Anforderungen wurden durch die Durchführungsverordnung (EU) 2025/1550 verbindlich gemacht wurden. Zu den praktischen Einschränkungen zählen eine maximale Übertragungskapazität von 25 MB sowie die Pflicht zur Vorhaltung alternativer Übertragungswege. Das System befindet sich weiterhin im Aufbau.

Operative Anpassungen

Diensteanbieter müssen interne Compliance-Strukturen einrichten oder anpassen, bestehende Prozesse zur Bearbeitung von Strafverfolgungsersuchen überprüfen und relevante Mitarbeitende zu neuen Instrumenten, Fristen und Schutzmechanismen schulen.

Die Prüfung durch den Adressaten beschränkt sich auf die in der Anordnung enthaltenen Angaben. Zwar besteht keine allgemeine Pflicht zur materiellen Rechtmäßigkeitsprüfung; offensichtliche Mängel – etwa im Hinblick auf Immunitäten, Grundrechtsbedenken, Unvollständigkeit oder faktische Unmöglichkeit – sind jedoch zu identifizieren.

Handlungsempfehlungen

Vor dem Hintergrund des skizzierten Umsetzungsstandes und der nahenden Anwendbarkeit der e-Evidence-Verordnung sollten Diensteanbieter insbesondere:  

• prüfen, ob sie in den Anwendungsbereich der e-Evidence-Verordnung fallen,

• die betroffenen juristischen Personen innerhalb der Unternehmensstruktur identifizieren,

• eine strategische Entscheidung über Standort und Struktur der Adressatenbenennung treffen,

• die Mitteilung an die zuständigen Behörden vorbereiten,

• interne Prüf- und Bearbeitungsprozesse etablieren,

• die IT-Anbindung an das dezentrale System vorbereiten und

• relevante Teams gezielt schulen.

Das e-Evidence-Paket markiert einen grundlegenden Wandel im Umgang mit grenzüberschreitenden Strafverfolgungsersuchen. Eine frühzeitige und strukturierte Vorbereitung ist daher essenziell, um rechtliche und operative Risiken zu minimieren.

Wie Bird & Bird Ihr Unternehmen unterstützen kann

Bird & Bird begleitet Sie umfassend bei der Umsetzung der e-Evidence-Vorgaben – von der Scope-Analyse und der strategischen Ausgestaltung der Benennung bis hin zur operativen Implementierung und laufenden Compliance. Kontaktieren Sie gerne unsere e-Evidence-Ansprechpartner – Bird & Bird.

Für eine erste strukturierte Einschätzung der Betroffenheit haben wir interaktives e-Evidence Regulation Scoping Tool (in englischer Sprache) entwickelt. Mithilfe eines geführten Fragebogens können Unternehmen prüfen, ob sie voraussichtlich in den Anwendungsbereich der Verordnung fallen: Bird & Bird e-Evidence Regulation Scoping Tool.

Weitere Ressourcen und aktuelle Informationen zur Umsetzung in den Mitgliedstaaten stellen wir Ihnen auf unserem EU e-Evidence Package Hub in englischer Sprache zur Verfügung.

Zudem haben wir am 3. Februar 2026 ein Webinar in englischer Sprache zu den zentralen Compliance-Anforderungen, zum Umsetzungsstand in den Mitgliedstaaten sowie zu strategischen und technischen Herausforderungen durchgeführt. Die Aufzeichnung können sie her einsehen: Understanding the EU e-Evidence Package - Compliance and Challenges - Bird & Bird.