EER (Electronic Evidence Regulation)

Die Verordnung (EU) 2023/1543, auch bekannt als Electronic Evidence Regulation (EER), wurde am 12. Juli 2023 vom Europäischen Parlament und dem Rat verabschiedet. Sie regelt die grenzüberschreitende Sicherung und Herausgabe elektronischer Beweismittel in Strafverfahren innerhalb der Europäischen Union. Die Verordnung verfolgt das Ziel, den Raum der Freiheit, der Sicherheit und des Rechts zu stärken, indem sie einheitliche Regeln für den Zugriff auf elektronische Daten schafft, die für Strafverfolgungszwecke benötigt werden.

In einer zunehmend digitalen Welt wird ein Großteil der Kommunikation online abgewickelt, wodurch elektronische Beweismittel wie E-Mails, IP-Adressen, Chatverläufe oder Cloud-Daten immer wichtiger für Ermittlungen und Strafverfahren werden. Gleichzeitig sind diese Daten oft bei privaten Dienstleistern gespeichert, die sich in einem anderen EU-Mitgliedstaat befinden. Die EER schafft nun erstmals ein direktes Verfahren für Behörden, um auf solche Daten zuzugreifen.

Zentrale Instrumente: Herausgabe- und Sicherungsanordnung

Die Verordnung sieht zwei Hauptinstrumente vor:

• Europäische Herausgabeanordnung (European Production Order – EPOC): Ermöglicht einer Justiz- oder Strafverfolgungsbehörde in einem Mitgliedstaat, die Herausgabe bestimmter elektronischer Beweismittel direkt bei einem Diensteanbieter in einem anderen Mitgliedstaat zu verlangen.
• Europäische Sicherungsanordnung (European Preservation Order – EPOC-PR): Dient dazu, elektronische Daten vorläufig zu sichern, damit sie nicht gelöscht oder verändert werden, bevor eine Herausgabeanordnung erfolgen kann.

Diese Anordnungen sind direkt und unmittelbar an den jeweiligen Anbieter zu richten, ohne dass ein langwieriges Rechtshilfeverfahren über staatliche Stellen notwendig ist.

Betroffene Diensteanbieter und Datenkategorien

Die Verordnung gilt für Anbieter, die in der EU Dienste bereitstellen, unabhängig vom Sitz des Unternehmens. Dazu zählen unter anderem:

• Anbieter elektronischer Kommunikationsdienste (z. B. Messenger, VoIP),
• Hosting- und Cloud-Services,
• soziale Netzwerke,
• Online-Marktplätze,
• E-Mail-Provider.
• Die Daten werden in drei Kategorien unterteilt:
• Teilnehmerdaten: z. B. Name, Adresse, Telefonnummer.
• Verkehrsdaten: z. B. IP-Adressen, Zeitstempel, Login-Informationen.
• Inhaltsdaten: z. B. der eigentliche Inhalt einer E-Mail oder Nachricht.

Für jede Datenart gelten spezifische Anforderungen an die Herausgabe, insbesondere bei sensibleren Daten wie Inhalts- oder Verkehrsdaten, bei denen zusätzliche Garantien greifen.

Rechtmäßigkeit, Datenschutz und Grundrechte

Die Verordnung enthält umfassende Schutzvorschriften für die Grundrechte der betroffenen Personen:

• Die Datenverarbeitung muss notwendig, verhältnismäßig und gerechtfertigt sein.
• Ein Richtervorbehalt ist für die Herausgabe sensibler Daten verpflichtend.
• Die Datenschutz-Grundverordnung (DSGVO) sowie die Richtlinie (EU) 2016/680 finden weiterhin Anwendung.
• Der Zugang zu Daten ist nur autorisierten Behörden und Personen erlaubt.
• Die Verordnung wahrt besondere Schutzrechte für Berufsgeheimnisträger wie Anwälte oder Ärzte.

Auch die Rechte der betroffenen Personen – insbesondere das Recht auf ein faires Verfahren, das Recht auf Verteidigung sowie die Achtung der Privatsphäre – werden ausdrücklich betont und gewahrt.

Verfahren, Fristen und Ablehnungsgründe

Für die Herausgabe der Daten beträgt die Frist grundsätzlich 10 Tage, in Notfällen sogar nur 8 Stunden.

Bei einer Sicherungsanordnung dürfen die Daten für maximal 60 Tage gesichert werden, sofern keine Herausgabe erfolgt.

Die Vollstreckungsbehörde im Mitgliedstaat des Diensteanbieters kann unter bestimmten Bedingungen Einspruch erheben oder die Herausgabe ablehnen – z. B. bei drohender Verletzung von Grundrechten, Immunitäten oder Vorrechten.

Die Anbieter müssen die Anordnungen ausführen, können sich aber in bestimmten Fällen auf Unmöglichkeit oder Rechtskonflikte mit Drittstaaten berufen. In solchen Fällen ist eine Rückmeldung an die anordnende Behörde erforderlich.