Ab dem 17. August 2026 gilt das EU-E-Evidence-Paket aus Verordnung und Richtlinie in fast allen Mitgliedstaaten. Es macht den grenzüberschreitenden Behördenzugriff auf elektronische Daten direkter und schneller. Zusammen mit dem US CLOUD Act wird die Frage nach der Datenhoheit nicht einfacher — sondern komplexer.
Ein Stichtag, der zwischen den Zeilen viel verändert
Am 17. Juli 2026 lohnt ein nüchterner Blick auf einen Termin, der in vielen Tech-Teams noch unter dem Radar läuft: Ab dem 17. August 2026 gilt das EU-E-Evidence-Paket in allen Mitgliedstaaten ausser Dänemark. Es besteht aus zwei Rechtsakten — einer Verordnung und einer Richtlinie — und schafft grenzüberschreitende Mechanismen, mit denen Behörden elektronische Beweismittel, also Daten, die bei Diensteanbietern in anderen Mitgliedstaaten liegen, direkter und schneller anfordern können.
Wichtig ist die Präzision: Das ist kein neues Souveränitätsgesetz und keine Datenschutzreform. Es geht um grenzüberschreitenden Strafverfolgungszugriff auf elektronische Daten, die bei Anbietern gespeichert sind. Eine Behörde in einem Mitgliedstaat kann sich künftig direkter an einen Diensteanbieter in einem anderen Mitgliedstaat wenden, statt den klassischen, langsamen Weg der Rechtshilfe zu gehen.
Für sich genommen ist das eine prozedurale Reform. Im grösseren Bild ist es eine weitere Kraft, die eine alte Frage zuspitzt: Wo liegen meine Daten — und wer kann unter welcher Rechtsordnung Zugriff erzwingen?
Klingt interessant?
Was das Paket tatsächlich tut — und was nicht
Halten wir die Fakten sauber auseinander. Das E-Evidence-Paket:
- schafft europäische Anordnungen zur Herausgabe und Sicherung elektronischer Daten,
- richtet sich an Diensteanbieter, die in der EU Dienste anbieten,
- soll die Bearbeitungszeiten gegenüber der bisherigen Rechtshilfe drastisch verkürzen,
- gilt ab dem 17. August 2026 in allen Mitgliedstaaten ausser Dänemark.
Was es nicht tut: Es definiert nicht neu, wem die Daten gehören, und es hebt den Datenschutz nicht auf. Es ist ein Verfahrensinstrument für die Strafverfolgung, kein Hebel für beliebigen staatlichen Datenzugriff.
Genau deshalb sollte man es nicht überzeichnen. Aber man sollte es auch nicht ignorieren. Denn es steht nicht allein im Raum. Auf der einen Seite gibt es den US CLOUD Act, der US-Anbieter unter bestimmten Bedingungen verpflichten kann, Daten herauszugeben — unabhängig davon, wo diese physisch liegen. Auf der anderen Seite stehen nun EU-Regeln, die den innereuropäischen Behördenzugriff beschleunigen. Beide Entwicklungen zeigen in dieselbe Richtung: Die Zahl der Wege, auf denen jemand legitim Zugriff auf eure Daten verlangen kann, nimmt zu, nicht ab.
Was das für CTOs und Tech-Leads bedeutet
Die spannende Frage für die Softwareentwicklung ist nicht nur, wo eure klassischen Geschäftsdaten liegen. Bei KI-gestützter, agentenbasierter Entwicklung verlagert sich die relevante Angriffsfläche: Es geht um Code, Prompts, Logs und Modell-Traffic, die durch eure Anbieter fliessen.
Macht euch das einmal konkret bewusst. Wenn ein Agent euer Repository liest, Code generiert und gegen ein Modell testet, dann passieren dabei Dinge, die man früher nicht als "Datenabfluss" gedacht hätte:
- Quellcode und Architekturentscheidungen wandern als Kontext in Prompts.
- Interne Fehlermeldungen, Stacktraces und Konfigurationen landen in Logs.
- Der gesamte Modell-Traffic läuft über eine Infrastruktur, deren genauen Standort und deren rechtliche Anbindung ihr oft nicht kennt.
Je mehr davon durch undurchsichtige, fremdkontrollierte Infrastruktur läuft, desto weniger könnt ihr die eigentliche Frage souverän beantworten: Wer könnte gezwungen werden, diese Daten offenzulegen — und unter welcher Jurisdiktion? Wer seinen Stack nicht kennt, beantwortet diese Frage mit einem Achselzucken. Und ein Achselzucken ist in einer Compliance-Prüfung keine gute Antwort.
Mein Punkt ist nicht Panikmache. Es ist eine Verschiebung der Verantwortung: Datenhoheit ist kein abstraktes Prinzip mehr, sondern eine operative Eigenschaft eurer Entwicklungs-Pipeline. Und die lässt sich nicht nachträglich aufkleben — sie muss in der Architektur stecken.
Und genau hier kommt nopex ins Spiel
Das E-Evidence-Paket ist kein einzelnes dramatisches Ereignis. Es ist ein weiterer Stein in einer Mauer, die langsam, aber sichtbar wächst: Die Frage, wer eure Daten unter welcher Rechtsordnung herausverlangen kann, wird komplexer, je mehr eurer Entwicklung durch Infrastruktur läuft, über die ihr keine klare Kontrolle habt.
nopex ist dafür gebaut, diese Frage beantwortbar zu machen. Wir halten agentenbasierte Softwareentwicklung auf europäischer Infrastruktur — mit klarer Kontrolle darüber, wo Code und Modell-Traffic laufen. Ihr ratet nicht, wo eure Prompts, Logs und euer Quellcode landen, sondern könnt es benennen.
Das ist der eigentliche Wert digitaler Souveränität in der Praxis: nicht ein Marketingbegriff, sondern die Fähigkeit, einer Aufsichtsbehörde, einem Kunden oder eurer eigenen Rechtsabteilung eine präzise Antwort zu geben, statt zu spekulieren. Wenn sich die rechtlichen Zugriffswege weiter verdichten — und das werden sie —, ist genau das der Unterschied zwischen Vorbereitetsein und Hoffen.


