Direkter Datenzugriff der USA – Was DSBs jetzt wissen müssen

Die EU und die USA verhandeln derzeit ein Rahmenabkommen, das den USA direkten Zugriff auf europäische Polizeidatenbanken ermöglichen soll. Dieser Schritt wird als Bedingung für die Aufrechterhaltung des Visa-Waiver-Programms formuliert, das Bürgern aus 42 Ländern visumfreie Einreisen in die USA ermöglicht. Doch die geplanten Regelungen werfen erhebliche datenschutzrechtliche Fragen auf, insbesondere für Datenschutzbeauftragte in Unternehmen und Behörden.

Kernpunkte des Entwurfs:

1. Umfang des Datenzugriffs: Der Entwurf sieht vor, dass die USA nicht nur auf biometrische Daten von Reisenden, sondern auch auf Daten von Zeugen, Asylsuchenden oder anderen Personen zugreifen können, deren Informationen in Polizeidatenbanken gespeichert sind. Besonders brisant: Auch besondere Kategorien personenbezogener Daten, wie politische Einstellungen, Gewerkschaftsmitgliedschaften oder Informationen zum Sexualleben könnten übermittelt werden, sofern „angemessene Sicherheitsvorkehrungen“ getroffen werden.
2. Automatisierte Entscheidungsfindung: US-Behörden sollen laut dem aktuellen Entwurf wichtige Entscheidungen über europäische Reisende durch automatisierte Datenverarbeitung treffen dürfen. Zwar wird betont, dass „erhebliche nachteilige Auswirkungen“ nicht ausschließlich automatisiert entschieden werden dürfen, doch bleibt unklar, wie dies in der Praxis kontrolliert werden soll.
3. Ausschluss gerichtlicher Kontrolle: Streitigkeiten, die aus dem Abkommen entstehen, können nicht vor ordentlichen Gerichten ausgetragen werden. Stattdessen soll ein „gemeinsamer Ausschuss“ aus Vertretern beider Seiten Konflikte lösen. Dies untergräbt die Möglichkeit einer unabhängigen Überprüfung und könnte die Rechte Betroffener erheblich einschränken.
4. Ersatz bestehender Datenschutzregelungen: Das Abkommen soll bestehende Datenschutzvereinbarungen zwischen EU-Staaten und den USA „ergänzen und ersetzen“. Dies könnte europäische Standards und damit auch die DSGVO und den AI Act, faktisch aushebeln, da diese extraterritoriale Wirkung beanspruchen.

Herausforderungen für Datenschutzbeauftragte

• Rechtliche Unsicherheit: Die Integration des Abkommens in bestehende Datenschutzregelungen bleibt unklar. Datenschutzbeauftragte vor allem im öffentlichen Sektor müssen prüfen, wie sie die neuen Vorgaben mit der DSGVO und anderen europäischen Standards in Einklang bringen können.
• Transparenz und Kontrolle: Die automatisierte Verarbeitung personenbezogener Daten und der Ausschluss gerichtlicher Kontrolle erfordern besondere Aufmerksamkeit. Es gilt, interne Prozesse anzupassen, um Betroffenenrechte zu wahren.
• Datenweitergabe an Dritte: Die Weitergabe von Daten an Dritte ist nur mit Zustimmung der ursprünglichen EU-Behörde erlaubt. Datenschutzbeauftragte müssen sicherstellen, dass solche Weitergaben dokumentiert und kontrolliert werden.

Fazit Das geplante EU-US-Datenabkommen stellt Datenschutzbeauftragte vor allem im öffentlichen Bereich vor komplexe Aufgaben. Eine proaktive Auseinandersetzung mit den geplanten Regelungen ist unerlässlich, um Compliance-Risiken zu minimieren und die Rechte der Betroffenen zu wahren.