Sign in Subscribe
GRC

Wie die EU-Kommission den europäischen Datenschutz degradiert

Wie die EU-Kommission den europäischen Datenschutz degradiert
Photo by Markus Spiske / Unsplash

Im März haben wir an dieser Stelle bereits über das EDSA-Schreiben an die Kommissare McGrath und Brunner geschrieben und davor gewarnt, dass der europäische Datenschutz unter den Verhandlungstisch zu rutschen droht. Was damals noch eine Sorge war, liegt nun als Vertragsentwurf vor. Statewatch hat den ausgehandelten Text einer „Enhanced Border Security Partnership" zwischen EU und USA veröffentlicht, und die Lektüre ist ernüchternd: Die Kommission hat ein Abkommen ausgehandelt, das nach Auffassung der Bürgerrechtsorganisation in Konflikt mit geltendem Unionsrecht steht und das Verhandlungsmandat des Rates deutlich überdehnt.

Die Eckpunkte fasst Matthias Monroy bei netzpolitik.org präzise zusammen. Drei Aspekte verdienen aus meiner Sicht eine genauere Betrachtung, weil sie weit über die ursprüngliche Diskussion um Fingerabdrücke und Lichtbilder hinausgehen.

Was im Entwurf steht und warum es regulatorisch sprengt

Der Entwurf erweitert den Datenkatalog auf alphanumerische Identifikatoren, also Vor- und Nachname sowie Geburtsdatum. Bei einem Treffer in einer mitgliedstaatlichen Datenbank, etwa der INPOL des deutschen BKA mit ihren rund 5,4 Millionen Datensätzen, darf die anfragende US-Behörde im zweiten Schritt sämtliche „kontextuellen Daten" zur betroffenen Person nachfordern. Damit wird aus einem Treffer/Kein-Treffer-System ein Volltextzugriff im Anlassfall.

Brisanter ist die zweite Erweiterung: Unter bestimmten Bedingungen sollen auch besondere Kategorien personenbezogener Daten übermittelt werden dürfen, namentlich Angaben zu rassischer oder ethnischer Herkunft, politischen Ansichten, religiösen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Das ist exakt der Katalog des Art. 9 Abs. 1 DSGVO, der im europäischen Datenschutzrecht den engsten Schutzbereich überhaupt definiert.

Die dritte Erweiterung betrifft die Weiterleitung: Empfangene Daten dürfen mit Zustimmung der übermittelnden Behörde an Drittstaaten oder internationale Organisationen weitergegeben werden. Welche Drittstaaten gemeint sind, lässt der Text offen.

Die rechtliche Lage in der Union

Aus rein regulatorischer Sicht ist die Konstruktion an mehreren Stellen unhaltbar.

  • Datenschutzrechtlich greifen je nach Verarbeitung Art. 9 DSGVO und Art. 10 der JI-Richtlinie (RL 2016/680) sowie Kapitel V DSGVO für die Drittstaatenübermittlung. Die Verarbeitung besonderer Kategorien ist grundsätzlich verboten und nur unter den engen Ausnahmen von Art. 9 Abs. 2 oder, im Strafverfolgungskontext, unter den Voraussetzungen von Art. 10 RL 2016/680 zulässig, also nur bei unbedingter Erforderlichkeit, mit geeigneten Garantien und auf Grundlage einer expliziten Rechtsgrundlage. Ein pauschaler bilateraler Datenkanal in ein Drittland ohne Angemessenheitsbeschluss erfüllt diese Voraussetzungen nicht.
  • Grundrechtlich steht der EuGH-Maßstab aus Schrems I und Schrems II im Raum: Übermittlungen in die USA sind nur zulässig, wenn dort ein im Wesentlichen gleichwertiges Schutzniveau besteht, insbesondere im Hinblick auf staatliche Zugriffe. Dieses Schutzniveau ist seit der Entlassung der demokratischen PCLOB-Mitglieder im Januar 2025 ohnehin auf wackeligen Beinen, und das EU-US Data Privacy Framework betrifft im Übrigen nur den kommerziellen Datenverkehr, nicht den staatlichen Zugriff im Sicherheitssektor.
  • Unter der KI-Verordnung ergibt sich ein weiteres Problem. Der Entwurf erlaubt vollautomatisierte Entscheidungen, sofern „nach dem jeweiligen Rechtsrahmen der Vertragsparteien zulässig". In der EU ist genau das aber regelmäßig nicht zulässig: Art. 5 Abs. 1 lit. g KI-VO verbietet biometrische Kategorisierungssysteme, die natürliche Personen anhand biometrischer Daten kategorisieren, um auf rassische Herkunft, politische Einstellungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, Sexualleben oder sexuelle Ausrichtung zu schließen. Genau dieser Datenkatalog steht jetzt im Entwurf. Hinzu kommt Art. 22 DSGVO, der ausschließlich automatisierte Entscheidungen mit erheblicher Beeinträchtigung grundsätzlich untersagt.
  • Institutionell überschreitet der Entwurf nach Statewatch-Lesart das Mandat des Rates. Der Rat hatte im Dezember 2025 ein eng gefasstes Verhandlungsmandat erteilt und den Austausch von Informationen aus EU-Großdatenbanken ausdrücklich ausgeschlossen. Der nun vorliegende Entwurf greift faktisch dennoch auf nationale Polizeidatenbanken zu, deren Inhalte über Treffer in EU-Systeme integriert sind. Hinzu kommt: Das Europäische Parlament wird nach derzeitigem Stand nicht beteiligt.

Wäre derartige Vorgangsweise in Europa zulässig?

Die Frage führt direkt zum Kern. Eine technische Architektur, in der eine ausländische Behörde quasi online Trefferabfragen gegen nationale Polizeidatenbanken absetzt und im Anlassfall vollständige Personendossiers einschließlich besonderer Datenkategorien erhält, ist innerhalb der EU in dieser Form nicht etabliert. Selbst der gegenseitige Zugriff zwischen EU-Mitgliedstaaten ist klar reglementiert: über das SIS für definierte Fahndungszwecke, über Prüm für DNA- und Fingerabdruckabgleiche im Treffer/Kein-Treffer-Modus, über Eurodac, Europol und VIS jeweils zweckgebunden.

Eine umfassende Online-Volltextabfrage zwischen Mitgliedstaaten existiert bewusst nicht, weil sie an Art. 7 und 8 der Grundrechtecharta sowie an der ständigen EuGH-Rechtsprechung zur Vorratsdatenspeicherung scheitern würde. Was gegenüber einem anderen EU-Staat unzulässig wäre, kann gegenüber einem Drittstaat ohne Angemessenheitsbeschluss erst recht nicht zulässig werden.

Eine zulässige Konstruktion müsste mindestens fünf Kriterien erfüllen:

  1. Ein striktes Treffer/Kein-Treffer-Verfahren mit anschließendem Einzelfallersuchen, geprüft durch eine unabhängige Stelle.
  2. Vollständiger Ausschluss besonderer Kategorien nach Art. 9 DSGVO.
  3. Ausnahme sensibler Personengruppen (Zeugen, Opfer, Berufsgeheimnisträger, Asylsuchende).
  4. Verbot vollautomatisierter Entscheidungen ohne wirksame menschliche Prüfung.
  5. Durchsetzbare Betroffenenrechte einschließlich gerichtlichen Rechtsschutzes in den USA, der über die schwache Konstruktion des Data Protection Review Court hinausgeht.

Der vorliegende Entwurf erfüllt keines dieser Kriterien vollständig. Die Betroffenenrechte stehen unter weitreichendem Einschränkungsvorbehalt zugunsten nationaler Sicherheit und laufender Ermittlungen, die sensiblen Datenkategorien sind ausdrücklich enthalten, und die Möglichkeit vollautomatisierter Entscheidungen ist offen formuliert.

Die dystopische Dimension

So nüchtern die regulatorische Analyse ausfällt, so unbehaglich wird es, wenn man die politische Realität in den USA mitdenkt, in der dieses Abkommen wirken würde.

Die US-Einwanderungsbehörde ICE wurde unter der zweiten Trump-Administration mit einem zweistelligen Milliardenbudget ausgestattet. Eine Million Abschiebungen pro Jahr ist erklärtes Ziel. Im Toolkit befinden sich Palantir und weitere Datenfusionssysteme. Im November 2025 stufte das US-Justizministerium eine vermeintliche „Antifa Ost" als ausländische Terrororganisation ein. Was unter dem Begriff der „politischen Ansichten" in einer Datenbankabfrage gemeint ist, hängt damit nicht mehr von europäischer, sondern von US-amerikanischer Auslegung ab.

Konkret heißt das: Eine Person, die in Deutschland oder Österreich einmal erkennungsdienstlich behandelt wurde, weil sie an einer Demonstration gegen Rechtsextremismus teilgenommen hat, könnte bei der Einreise in die USA mit einer Datenbankabfrage konfrontiert sein, die ihre politische Aktivität erfasst. Die Daten werden dann nach US-Kategorien interpretiert. Im Worst Case folgt daraus eine Einreiseverweigerung, ein Verhör oder, bei längerem Aufenthalt, ein Verfahren mit ICE-Beteiligung.

Auch queere Personen geraten in den Fokus. Wenn sexuelle Orientierung als Datenkategorie zur Übermittlung freigegeben wird, ist das in einer Rechtsordnung, die queere Rechte derzeit aktiv abbaut, nicht abstrakt, sondern konkret riskant. Dasselbe gilt für religiöse Zugehörigkeit, Gesundheitsdaten (etwa HIV-Status) oder Gewerkschaftszugehörigkeit in einem politischen Klima, das organisierte Arbeitnehmer*innen zunehmend als Bedrohung framt.

Das eigentlich Beunruhigende ist die strukturelle Asymmetrie. Die EU gibt den Direktzugriff auf nationale Polizeidaten her und erhält im Gegenzug einen formal gleichberechtigten, faktisch aber weitgehend leerlaufenden Zugriff auf US-Datenbanken, weil die US-Regierung sich Spiegelung ausdrücklich verweigern kann. Wir tauschen reale Souveränität gegen ein Visumprivileg.

Was bedeutet das für die Praxis

Für Verantwortliche, die polizeilich relevante Datenbanken betreiben oder Daten an solche zuliefern, stellen sich konkrete Fragen, die nicht bis zur Ratifizierung warten sollten. Die nationale Umsetzung wird über bilaterale Abkommen erfolgen, und an diesen Abkommen werden sich die operativen Leitplanken bemessen lassen.

Aus Sicht der Datenschutz-Folgenabschätzung wäre eine bilaterale Umsetzung in Österreich oder Deutschland nach Art. 35 DSGVO zwingend zu prüfen. Die Risiken sind erheblich: Sekundärnutzung in ICE-Verfahren, Weitergabe an Drittstaaten, fehlender Rechtsschutz Betroffener, biometrische Kategorisierung. Auch die Aufsichtsbehörden werden sich dazu positionieren müssen, sobald die Umsetzungsabkommen Konturen gewinnen.

Strategisch bleibt für die EU die Wahl zwischen zwei Optionen, und sie ist unbequem. Entweder die Mitgliedstaaten akzeptieren den Verlust des Visa-Waiver-Programms für ihre Bürger*innen ab 2027 und verteidigen dafür den Datenschutz als nicht verhandelbares Grundrecht. Oder sie unterzeichnen ein Abkommen, das vor dem EuGH absehbar Schiffbruch erleiden wird, in der Zwischenzeit aber Millionen von Datensätzen in einen Rechtsraum überführt, der den europäischen Maßstäben nicht genügt.

Die historische Parallele ist offensichtlich. Safe Harbor wurde gekippt, Privacy Shield wurde gekippt, das Data Privacy Framework hängt am seidenen Faden eines Angemessenheitsbeschlusses, dessen Grundlagen seit Januar 2025 erodieren. Die EBSP wäre der nächste Anlauf in derselben Logik, nur dass diesmal nicht kommerzielle Daten betroffen sind, sondern hoheitliche Polizeidaten mitsamt besonderer Kategorien. Der nächste Schrems wartet bereits.

Ausblick

Die Entscheidung im Rat soll in den kommenden Wochen fallen. Vom Europäischen Parlament wird erwartet, dass es sich nicht beteiligen darf. Vom EDSA und vom EDPS sind weitere Stellungnahmen zu erwarten. Vom EuGH, falls das Abkommen unterzeichnet wird, mit hoher Wahrscheinlichkeit ein Schrems III.

Bis dahin sollten Datenschutzbeauftragte und Verantwortliche in sicherheitsrelevanten Verarbeitungen genau hinschauen, was in den bilateralen Umsetzungsabkommen ihres Landes konkret ausgehandelt wird. Die Rahmenvereinbarung ist nur die Bühne. Die eigentliche Choreographie wird auf der nationalen Ebene geschrieben, und zwar in einer Geschwindigkeit, die der Deadline 31. Dezember 2026 geschuldet ist und kaum Raum für demokratische Debatten lässt.

Die Frage, die sich politisch und fachlich stellt, ist deshalb keine rein technische. Sie lautet, ob digitale Souveränität ein strategisches Ziel oder ein Sonntagsbegriff ist. An der Antwort auf diese Frage wird sich messen lassen, wie ernst es Europa 2026 mit seinen Grundrechten meint.

Quellen:

  • Matthias Monroy, „Erzwungene Grenzpartnerschaft: EU-Kommission will US-Behörden erlauben, politische Ansichten und ‚Herkunft‘ abzufragen", netzpolitik.org, 2. Mai 2026.
  • Statewatch, „EU-US data exchange proposal in conflict with EU laws", Mai 2026.
  • Vorhergehender Beitrag: „Wie die USA europäische Grundrechte zur Verhandlungsmasse machen", privacyofficers.at, März 2026.
  • Verordnung (EU) 2016/679 (DSGVO), insb. Art. 9, Art. 22, Kapitel V.
  • Richtlinie (EU) 2016/680 (JI-Richtlinie), insb. Art. 10.
  • Verordnung (EU) 2024/1689 (KI-VO), insb. Art. 5 Abs. 1 lit. g.
  • Charta der Grundrechte der EU, insb. Art. 7 und 8.
  • EuGH, Urteile Schrems I (C-362/14) und Schrems II (C-311/18).

Read next

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich seinen Kriterienkatalog „Criteria Enabling Cloud Computing Autonomy" (C3A) veröffentlicht. Das klingt zunächst wie ein weiteres technisches Regelwerk aus Deutschland ohne unmittelbare Relevanz für österreichische Datenschutzbeauftragte. Wer genauer hinschaut, erkennt jedoch: Dieser Katalog ist ein erster ernstzunehmender Versuch, die
Michael Mrak
Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Am 15. April 2026 hat der Europäische Datenschutzausschuss (EDPB) die lange erwarteten Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zur öffentlichen Konsultation freigegeben. Das 66-seitige Dokument adressiert eine Reihe strittiger Auslegungsfragen, die in der Praxis seit Inkrafttreten der DSGVO für Unsicherheit gesorgt haben, und bringt in einigen
Michael Mrak