🇪🇺 EU: eEvidence-Verordnung
Die eEvidence-Verordnung (EU-Verordnung 2023/1543) ist ein supranationales Instrument zur grenzüberschreitenden Herausgabe und Sicherung elektronischer Beweismittel in Strafverfahren. Sie wurde am 12. Juli 2023 verabschiedet und tritt ab August 2026 vollautomatisiert in Kraft.
🧠 Kernlogik der Verordnung
Ziel: Ermittlungsbehörden in einem EU-Staat können direkt bei Diensteanbietern in anderen EU-Staaten digitale Beweise anfordern – ohne richterliche Kontrolle im Empfängerland.
Instrumente:
- EPOC (European Production Order Certificate): Herausgabeanordnung
- EPOC-PR (Preservation Order): Sicherungsanordnung zur Datenbewahrung
Fristen:
- Antwortzeit: 8 Stunden bis max. 10 Tage – je nach Dringlichkeit
📦 Welche Daten sind betroffen?
| Datentyp | Beispielhafte Inhalte |
|---|---|
| Subscriber Data | Name, Adresse, Zahlungsdaten, gebuchte Dienste |
| Access Data | IP-Adresse, Login-Zeitpunkt, User-ID |
| Transactional Data | Kommunikationsmetadaten: Absender/Empfänger, Geolokation, Protokolle |
| Content Data | Inhalte von E-Mails, Messenger-Nachrichten, VoIP, Online-Games, Marktplatz-Kommunikation |
Quelle: BfDI – E-Evidence Fachthema
⚠️ Kritikpunkte
- Grundrechte ausgehebelt: Kein Richtervorbehalt im Empfängerland
- Automatisierte Datenübermittlung: Ab 2026 ohne manuelle Prüfung
- Providerpflichten: Auch außereuropäische Anbieter müssen EU-Anordnungen befolgen, wenn sie Dienste in der EU anbieten
- Missbrauchsrisiko: Datenherausgabe auch bei Straftaten, die im Herkunftsland des Nutzers nicht strafbar sind
🛡️ Handlungsempfehlungen für sichere Kommunikation
Angesichts der eEvidence-Verordnung und systemischer Zugriffsmöglichkeiten durch US- und EU-Infrastrukturgesetze empfiehlt sich ein vollständiger Umstieg auf auditierbare, lokal kontrollierte Kommunikationsarchitektur. Konkret:
- GrapheneOS auf Pixel-Geräten: Keine Google-Telemetrie, Modem-Isolation, Verified Boot – ideal für mobile Endpunkte ohne Cloudbindung.
- Selbstgehostete Messenger-Infrastruktur: Matrix, XMPP oder Signal-Server mit eigener Domain und TLS-Zertifikat – keine Drittanbieter, keine Metadatenweitergabe.
- Air-Gap für strategische Kommunikation: Geräte ohne Internetzugang, mit kontrollierter Schnittstelle für Datentransfer (z. B. QR-basiert oder via USB mit Hash-Verifikation).
- App-Verteilung über internes Repository: Signaturprüfung, Hash-Check, keine App-Stores – verhindert Backdoor-Updates.
- Vermeidung proprietärer Sicherheitsmodule: Intel ME, Apple Secure Enclave, Google Titan M2 sind strukturell nicht auditierbar – RISC-V-Boards mit quelloffener Firmware sind vorzuziehen.
- MDM-Frameworks mit Hardware-Whitelisting: Für institutionelle Kommunikation – dokumentierte Kontrolle über Geräteflotten und Schlüsselverwaltung.
Diese Maßnahmen sind nicht paranoid, sondern strukturell notwendig, um Kommunikationshoheit zurückzugewinnen und strategische Selbstbestimmung zu sichern.