Auch Kriminelle nutzen die Cloud und das Internet. Ob sie nun Dokumente speichern, sich per Chat verabreden, Videos posten oder einfach nur im Netz surfen. Bislang ist es für Ermittlungsbehörden äußerst schwierig, an Daten zu kommen, die auf Servern in anderen Ländern gespeichert sind. Damit sind einige Konsequenzen verbunden.
Diesen Begriff werden wir in Zukunft wohl öfter hören und lesen: E-Evidence-Verordnung. Dahinter steckt ein Plan der EU-Kommission, die Sicherheitsbehörden – also etwa Polizei, Justiz, Verfassungsschutz – in allen europäischen Ländern einen mehr oder weniger unkomplizierten Zugriff auf Cloud-Daten in Europa ermöglichen will. Und zwar völlig unbürokratisch: Die Anordnung eines Gerichts reicht – schon müssten die Daten herausgegeben werden.
Seit der ursprünglichen Diskussion hat sich einiges getan. Die EU-Kommission hat 2025 eine überarbeitete Fassung vorgelegt, die einige der größten Kritikpunkte aufgreift. Doch die grundsätzlichen Bedenken bleiben bestehen.
Verordnung soll die Arbeit von Ermittlern vereinfachen
Klingt erst mal vernünftig und sinnvoll. Will man zum Beispiel einer Wiener Polizeibehörde zumuten, dass sie in Frankreich, Deutschland, Ungarn und Portugal um Amtshilfe bittet, weil ein Verdächtiger auf verschiedenen Servern in diesen Ländern Daten gespeichert hat? Es dauert oft zehn Monate und mehr, bevor so ein Amtshilfeersuchen Wirkung zeigt und die begehrten Daten oder Dokument ausgeliefert werden. Das muss schneller gehen, denkt sich die EU-Kommission (und hat natürlich Recht).
Inzwischen haben mehrere Pilotprojekte gezeigt, wie langsam grenzüberschreitende Ermittlungen tatsächlich ablaufen. Bei Cybercrime-Fällen sind oft Server in fünf oder mehr EU-Ländern beteiligt – da kann eine Ermittlung Jahre dauern, während längst alle Spuren verwischt sind.
Rechtliche Grauzonen und ihre Folgen
So weit, so verständlich. Nur herrscht in Europa keine einheitliche Rechtssprechung. Was in Polen verboten ist, das ist in Deutschland erlaubt – und umgekehrt. Abtreibung zum Beispiel ist in Polen verboten. Nun könnten polnische Behörden dank E-Evidence die Daten von Kliniken in Deutschland beschlagnahmen, die Abtreibungen durchführen. Ein folgenreiches Risiko. Andere befürchten, dass auf diese Weise Journalisten oder Politiker ausspioniert werden. Man stelle sich vor, die Türkei wäre EU-Mitglied. Da müssten nicht wenige in Deutschland lebende Türken Schlimmstes befürchten.
Besonders brisant wird es bei der Meinungsfreiheit. In Ungarn stehen LGBTQ+-Aktivisten unter Druck, in anderen EU-Ländern genießen sie vollen Schutz. Mit E-Evidence könnten ungarische Behörden theoretisch Chat-Verläufe oder Social-Media-Daten von Aktivisten abrufen, die auf deutschen oder französischen Servern liegen.
Es mangelt an rechtsstaatlichen Standards
So, wie die E-Evidence-Verordnung geplant ist, kann man nur den Kopf schütteln. Deutsche Behörden würden bestenfalls über das Abrufen der Daten und Dokumente informiert, könnten aber nichts dagegen unternehmen. Deshalb schlagen Kritiker Alarm: Wenn von Rechtsstaatlichkeit die Rede sein soll, müssen die Behörden vor Ort zumindest ein Veto-Recht haben. Beschleunigen. Ja. Aber es braucht ein Vier-Augen-Prinzip.
Die überarbeitete Fassung von 2025 sieht immerhin vor, dass bei „politisch sensitiven“ Fällen eine Benachrichtigung 72 Stunden vor dem Datenabruf erfolgen muss. Kritiker halten das für einen Tropfen auf den heißen Stein – wer definiert schon, was „politisch sensitiv“ ist?
Auswirkungen auf europäische Cloud-Strategien
Solche Pläne bringen die ansonsten gute Idee für eine EU-Cloud Gaia-X im Misskredit. Wer würde unter solchen Umständen einer europäischen Cloud vertrauen? Wo wäre der Vorteil gegenüber US-Anbietern? Das Cloud-Gesetz muss rechtsstaatlichen Standards genügen, verlangen Datenschützer – und auch netzpolitik.org.
Gaia-X hat sich mittlerweile als weniger durchschlagskräftig erwiesen als erhofft. Stattdessen setzen viele Unternehmen auf Hybrid-Lösungen mit verschlüsselten Datencontainern. Der Markt für Zero-Knowledge-Anbieter wie Tresorit oder pCloud Crypto boomt regelrecht.
Technische Entwicklungen als Gegenbewegung
Meine Prognose von damals hat sich bewahrheitet: Anbieter, die Daten und Dokumente ausschließlich verschlüsselt speichern, haben schon bald Hochkonjunktur. End-to-End-Verschlüsselung ist inzwischen Standard bei allen seriösen Cloud-Anbietern. Tools wie AxCrypt, Cryptomator oder die Open-Source-Lösung VeraCrypt erleben einen regelrechten Boom.
Selbst große Player wie Microsoft und Google haben reagiert: Sie bieten inzwischen „Customer Managed Encryption Keys“ (CMEK) an, bei denen nur der Kunde die Verschlüsselungsschlüssel kontrolliert. Behörden können zwar die verschlüsselten Daten abrufen – aber ohne Schlüssel sind sie wertlos.
Was bedeutet das für euch?
Als Nutzer solltet ihr euch nicht in falscher Sicherheit wiegen. Auch wenn E-Evidence hauptsächlich Strafverfolgung betrifft – die Grenzen verschwimmen zusehends. Schon heute können Zivilgerichte in manchen EU-Ländern weitreichende Datenherausgaben anordnen.
Mein Rat: Verschlüsselt eure sensiblen Daten selbst, bevor ihr sie in die Cloud ladet. Nutzt Messenger mit Ende-zu-Ende-Verschlüsselung wie Signal oder Threema. Und überlegt zweimal, welche Daten ihr überhaupt in der Cloud speichert.
Die E-Evidence-Verordnung wird kommen – in welcher Form auch immer. Darauf sollten wir vorbereitet sein.
Zuletzt aktualisiert am 03.03.2026
