EU-Regulierung für digitale Dienste: Neue Pflichten ab 2026
Auf Anbieter digitaler Dienste kommt eine tiefgreifende europäische Regulierung zu. Ab dem 18. August 2026 gilt die neue EU-Verordnung zur Vorlage und Sicherung elektronischer Beweismittel in Strafverfahren. Sie verpflichtet Anbieter digitaler Dienste dazu, auf Anordnung von Behörden anderer EU-Mitgliedstaaten elektronische Beweise vorzulegen oder zu sichern. Das gilt unabhängig davon, wo sich die Daten physisch befinden. Das berichten unsere Kollegen von Äripäev. Nach Einschätzung von Janar Pilve, Jurist der Kanzlei Ellex Raidla, rückt die Verordnung die Bedeutung elektronischer Beweise für die Strafverfolgung deutlich in den Mittelpunkt. Gleichzeitig verlagert sie Verantwortung von staatlichen Stellen auf private Unternehmen. Dienstanbieter müssen künftig selbst prüfen, ob eine eingehende europäische Anordnung zur Vorlage oder Sicherung elektronischer Beweise rechtmäßig ist. Sie werden damit zur ersten Prüfungsinstanz.
Der August 2026 markiert den tatsächlichen Startpunkt dieser neuen Ordnung. Die Regelung ist Teil einer breiteren EU-Strategie, die auf schnellere und effizientere grenzüberschreitende Zusammenarbeit bei der Strafverfolgung setzt. Elektronische Beweise sollen schneller verfügbar sein, insbesondere bei grenzüberschreitender Cyberkriminalität. Juristen sprechen von einer der weitreichendsten Reformen der internationalen Zusammenarbeit in Strafsachen der vergangenen Jahre.
Welche Unternehmen betroffen sind
Die neue EU-Regulierung erfasst ein breites Spektrum digitaler Dienste. Dazu zählen klassische Anbieter elektronischer Kommunikationsdienste wie Telekommunikationsunternehmen ebenso wie Internet-Infrastrukturbetreiber. Betroffen sind unter anderem Domain-Registry-Anbieter sowie Unternehmen, die Webhosting-, Cloud- oder Datenspeicherdienste anbieten. Die Verordnung gilt nicht nur für große Konzerne. Sie erstreckt sich auf alle Dienstanbieter, die innerhalb der Europäischen Union tätig sind oder ihre Dienste Nutzern in der EU anbieten. Dabei spielt es keine Rolle, in welchem Staat das Unternehmen seinen Sitz hat oder wie groß es ist. Entscheidend ist allein der Zugang europäischer Nutzer zu den angebotenen digitalen Diensten.
Vorbereitung auf neue Pflichten: Rechtliche und organisatorische Anforderungen
Unternehmen sollten sich frühzeitig auf die neuen Anforderungen einstellen. Zentrale Voraussetzung ist ein vollständiger Überblick über die verarbeiteten Daten. Dienstanbieter müssen wissen, welche Daten sie speichern, wo diese liegen und in welcher Form sie abrufbar sind. Ohne diese Transparenz lassen sich europäische Anordnungen zur Datensicherung oder Herausgabe kaum fristgerecht erfüllen. Die Verordnung verlangt unter anderem die Bereitstellung von Kundendaten, Angaben zur Art und Dauer der Nutzung sowie Verkehrs- und Inhaltsdaten. Ebenso wichtig sind klare interne Zuständigkeiten. Unternehmen sollten interne Prozesse überprüfen oder neu aufsetzen, um eingehende Anordnungen rechtlich bewerten und technisch umsetzen zu können. In der Praxis empfiehlt sich ein festes Team, etwa aus Rechtsabteilung und IT, das für die Prüfung der Rechtmäßigkeit sowie für die Datenerhebung und Übermittlung zuständig ist. Auch die technische Lösung zur sicheren Datenübertragung sollte vorab festgelegt und mit den zuständigen Behörden abgestimmt werden.
Darüber hinaus verlangt die Verordnung eine ständige Reaktionsfähigkeit. Dringliche Anordnungen können auch außerhalb der üblichen Geschäftszeiten eingehen. Unternehmen müssen daher prüfen, ob eine 24 Stunden erreichbare Bereitschaft gewährleistet ist. Zudem ist ein offizieller Kontaktpunkt zu benennen, an den ausländische Behörden ihre Anordnungen richten können. Diese Informationen müssen den zuständigen Ministerien mitgeteilt und transparent kommuniziert werden, etwa über die eigene Internetseite. Nicht zuletzt sollten Verträge und Datenschutzerklärungen überprüft und gegebenenfalls angepasst werden. Sie müssen klar regeln, unter welchen Voraussetzungen Daten an Behörden weitergegeben werden dürfen und wie lange diese zu diesem Zweck gespeichert werden. Besondere Aufmerksamkeit erfordert die Situation, wenn Daten außerhalb der Europäischen Union gespeichert werden. In solchen Fällen können Konflikte mit dem Recht von Drittstaaten entstehen. Unternehmen müssen diese Risiken analysieren und gegebenenfalls begründen, warum eine europäische Anordnung ganz oder teilweise nicht umgesetzt werden kann. Die Verordnung sieht bei Verstößen empfindliche Sanktionen vor. Erfüllt ein Dienstanbieter seine Pflichten nicht, kann die zuständige Behörde Geldbußen verhängen. Diese können bis zu zwei Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Die Regelung gilt gleichermaßen für deutsche Telekommunikations-, Cloud- und Hosting-Anbieter. Auch sie müssen ihre internen Prozesse, technischen Systeme und rechtlichen Bewertungen an die neue EU-Regulierung anpassen, um ab 2026 rechtskonform agieren zu können.
