Sign in Subscribe
GRC

Wie die USA europäische Grundrechte zur Verhandlungsmasse machen

Wie die USA europäische Grundrechte zur Verhandlungsmasse machen
Photo by Greg Bulla / Unsplash

Die geplante Verschärfung der ESTA-Einreiseregeln und das neue EU-US-Rahmenabkommen zum Datenaustausch markieren einen Paradigmenwechsel im transatlantischen Verhältnis – mit weitreichenden Folgen für den europäischen Datenschutz.

Wer aus Europa in die USA reisen will, steht künftig vor einer grundlegenden Entscheidung: umfassende Einblicke in das eigene Privatleben gewähren oder zu Hause bleiben. Was auf den ersten Blick wie eine bürokratische Anpassung im Einreiseverfahren wirkt, entpuppt sich bei genauerem Hinsehen als einer der massivsten Eingriffe in die Grundrechte europäischer Bürger seit der Snowden-Affäre. Der Europäische Datenschutzausschuss (EDSA) hat deshalb am 10. März 2026 in einem Schreiben an die EU-Kommission Alarm geschlagen – doch die Dimension des Problems reicht weit über das ESTA-Verfahren hinaus.

Was konkret geplant ist

Am 10. Dezember 2025 veröffentlichte die US-Grenzschutzbehörde CBP (Customs and Border Protection) im Federal Register umfangreiche Änderungsvorschläge für das ESTA-Programm (Electronic System for Travel Authorization). Dieses Programm ermöglicht es Bürgern aus 42 Ländern (darunter 27 EWR-Staaten wie Österreich, Deutschland und die Schweiz) ohne Visum für bis zu 90 Tage in die USA einzureisen. Bisher genügte ein relativ schlankes Online-Formular mit Passnummer, Geburtsdatum und einigen sicherheitsrelevanten Fragen.

Die vorgeschlagenen Neuerungen haben eine andere Dimension:

Social-Media-Offenlegung über fünf Jahre: Antragsteller sollen verpflichtend ihre Social-Media-Kennungen der letzten fünf Jahre angeben. Die CBP bleibt dabei auffällig vage, was genau darunter fällt, ob nur Benutzernamen oder auch Posting-Historien, ob öffentliche Inhalte oder auch private Nachrichten. Diese Unklarheit ist aus datenschutzrechtlicher Sicht besonders problematisch. Rechtsgrundlage ist die Executive Order 14161 vom Januar 2025, die verstärkte Überprüfungen von Einreisenden zum Schutz vor Terrorismus und Sicherheitsbedrohungen anordnet.

Umfangreiche biographische und biometrische Daten: Neben den Social-Media-Daten plant die CBP die Erhebung von E-Mail-Adressen der letzten zehn Jahre, Telefonnummern der letzten fünf Jahre, IP-Adressen und Metadaten aus hochgeladenen Fotos sowie „sofern technisch machbar" biometrische Identifikatoren wie Gesichtsbilder, Fingerabdrücke, DNA- und Iris-Daten.

Detaillierte Familiendaten: Informationen über Eltern, Ehepartner, Geschwister und Kinder (einschließlich Namen, Geburtsdaten und Wohnorten) sollen ebenfalls erhoben werden. Ein Punkt, den der EDSA in seinem Schreiben ausdrücklich kritisiert: Diese Daten stehen in keinem erkennbaren Zusammenhang mit der Reise des Antragstellers.

Umstellung auf Mobile-Only: Die bestehende ESTA-Webseite soll abgeschaltet und durch eine ausschließlich mobile CBP-App ersetzt werden. Dies schließt Personen ohne modernes Smartphone de facto von der visumfreien Einreise aus und wirft zusätzliche Fragen zur Datensicherheit auf, etwa hinsichtlich Geolokalisierung und „Liveness Detection", die bei der Gesichtserkennung zum Einsatz kommen soll.

Die öffentliche Kommentierungsfrist lief bis zum 9. Februar 2026. Eine finale Regelung könnte in den nächsten Wochen erfolgen.

Warum der EDSA Alarm schlägt

EDSA-Vorsitzende Anu Talus richtete ihr Schreiben nicht ohne Grund an gleich zwei EU-Kommissare: Michael McGrath (Demokratie, Rechtsstaatlichkeit und Verbraucherschutz) sowie Magnus Brunner (Inneres und Migration). Der Brief macht deutlich, dass der EDSA die Entwicklung als grundrechtliches Problem einstuft, nicht als bloße Verwaltungsfrage.

Konkret kritisiert der EDSA:

Die Unverhältnismäßigkeit der Datenerhebung. Die abgefragten Informationen (besonders Social-Media-Historien und Familiendaten) gehen weit über das hinaus, was für eine Einreiseentscheidung erforderlich wäre. Das verstößt gegen zentrale Grundsätze des europäischen Datenschutzrechts, insbesondere das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.

Die fehlende Transparenz hinsichtlich Speicherdauer und Nutzungszweck. Wie lange werden die Daten in US-Systemen vorgehalten? Wer hat Zugriff? Wie werden automatisierte Entscheidungssysteme eingesetzt? Der EDSA fordert die Kommission explizit auf, diese Fragen gegenüber den US-Behörden zu stellen.

Die unklaren Betroffenenrechte europäischer Bürger. Unter welchen Bedingungen können EU-Bürger ihre Rechte nach dem US Privacy Act geltend machen? Die Antwort darauf ist alles andere als trivial, der US Privacy Act gilt in seiner Grundform nur für US-Bürger und Personen mit dauerhaftem Aufenthaltsstatus. Zwar wurde der Anwendungsbereich durch den Judicial Redress Act von 2015 auf bestimmte EU-Bürger erweitert, doch dessen praktische Reichweite bleibt begrenzt.

Der größere Kontext: Enhanced Border Security Partnerships

Was das EDSA-Schreiben besonders brisant macht, ist der Verweis auf ein parallel laufendes Verhandlungsprojekt: das Rahmenabkommen über „Enhanced Border Security Partnerships" (EBSP). Dieses Vorhaben hat eine Vorgeschichte, die bis 2022 zurückreicht.

In jenem Jahr formulierte das US-Heimatschutzministerium (DHS) eine neue Anforderung an alle Teilnehmerstaaten des Visa Waiver Program: Jedes Land muss eine sogenannte Enhanced Border Security Partnership mit den USA abschließen, andernfalls droht der Ausschluss aus dem Programm und damit die Wiedereinführung der Visumpflicht für seine Bürger.

Was nach einem technischen Verwaltungsabkommen klingt, hat es in sich: Die EBSP sieht vor, dass US-Grenzbehörden direkten Zugriff auf nationale Polizei- und Biometriedatenbanken der Partnerstaaten erhalten. Fingerabdrücke, Gesichtsbilder und weitere biometrische Daten könnten bei jeder Grenzkontrolle, jedem Visumantrag, aber auch bei Einwanderungs- und Asylverfahren automatisiert abgefragt werden.

Ein Zugriffsniveau, das selbst innerhalb der EU zwischen den Mitgliedstaaten so nicht existiert.

Im Dezember 2025 erteilte der Rat der EU der Kommission das Mandat, Verhandlungen über ein EU-weites Rahmenabkommen aufzunehmen. Dieses soll die Rechtsgrundlage bilden, auf deren Basis dann die einzelnen Mitgliedstaaten bilaterale Abkommen mit den USA schließen können. Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski bezeichnete das geplante Abkommen als das erste EU-Abkommen, das eine großflächige Weitergabe personenbezogener Daten einschließlich biometrischer Daten an einen Drittstaat zum Zweck der Grenzkontrolle vorsehen würde.

Besonders aufschlussreich ist die zeitliche Dimension:

Die USA erwarten, dass die EBSP-Abkommen bis zum 31. Dezember 2026 operativ einsatzbereit sind.

Danach will das DHS die Einhaltung bei der nächsten Überprüfung des Visa Waiver Program bewerten. Im Klartext: Wer nicht kooperiert, riskiert die visumfreie Einreise seiner Bürger.

Das transatlantische Datenschutz-Dilemma

Die zeitliche Koinzidenz zwischen den ESTA-Verschärfungen und den EBSP-Verhandlungen ist kein Zufall. Beide Entwicklungen fügen sich in ein Muster, das den europäischen Datenschutz unter massiven Druck setzt:

Der wackelige Angemessenheitsbeschluss. Das EU-US Data Privacy Framework (DPF), auf dem der transatlantische Datenverkehr von über 2.800 zertifizierten Unternehmen basiert, steht bereits seit über einem Jahr auf tönernen Füßen. Im Januar 2025 entließ Präsident Trump sämtliche demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) – jener unabhängigen Aufsichtsbehörde, deren Existenz ein zentraler Pfeiler des Angemessenheitsbeschlusses der EU-Kommission von Juli 2023 war. Ein Bundesgericht erklärte die Entlassungen im Mai 2025 zwar für rechtswidrig, doch der Fall liegt derzeit beim Berufungsgericht.

Das PCLOB ist seit Monaten beschlussunfähig und kann weder Untersuchungen einleiten noch Berichte veröffentlichen.

Das Europäische Parlament hat die Kommission bereits aufgefordert, die Angemessenheit der US-Schutzmaßnahmen angesichts dieser Entwicklung zu überprüfen.

Algorithmen als Grenzhüter. Die systematische Erhebung von Social-Media-Daten, Biometrie und Kontaktinformationen liefert ideales Material für KI-gestützte Risikoanalysen. Automatisierte Systeme, die auf Basis solcher Datenmengen Einreiseentscheidungen treffen oder vorbereiten, operieren in einer Grauzone, die weder durch den US Privacy Act noch durch europäisches Datenschutzrecht angemessen reguliert ist. Die Kriterien solcher Algorithmen bleiben typischerweise intransparent. Das wäre ein Zustand, der mit dem Grundrecht auf informationelle Selbstbestimmung nur schwer vereinbar ist.

Wirtschaftlicher Druck als Verhandlungshebel. Die USA setzen den Fortbestand des visumfreien Reisens gezielt als Druckmittel ein, um weitreichende Datenzugänge zu erzwingen. Der Weltreise- und Tourismusrat (WTTC) schätzt, dass allein die ESTA-Verschärfungen zu einem Rückgang von bis zu 4,7 Millionen internationalen Ankünften führen könnten, das wäre ein Minus von 23 Prozent bei Reisenden aus ESTA-Ländern, verbunden mit einem geschätzten Einnahmeverlust von 15,7 Milliarden US-Dollar und dem Wegfall von über 150.000 Arbeitsplätzen.

Was bedeutet das für europäische Bürger und Unternehmen?

Für Privatpersonen stellt sich die Frage, ob eine Reise in die USA künftig mit einer Art digitalem Striptease verbunden ist, der europäischen Datenschutzstandards fundamental widerspricht.

Die Verpflichtung, fünf Jahre Social-Media-Aktivität offenzulegen, betrifft nicht nur die Reisenden selbst, sondern auch alle Personen, mit denen sie in sozialen Netzwerken interagiert haben.

Für Unternehmen ergibt sich ein doppeltes Risiko: Einerseits die Frage, ob Geschäftsreisende unter den verschärften Bedingungen noch bereit sind, in die USA zu reisen. Andererseits die grundsätzliche Unsicherheit über die Zukunft des transatlantischen Datentransfers, der durch die Schwächung des PCLOB und die zunehmend aggressive US-Datenerhebungspolitik gefährdet wird.

Aus datenschutzrechtlicher Sicht ist besonders bemerkenswert, dass die EU selbst parallel an eigenen biometrischen Grenzkontrollsystemen arbeitet: Das Entry/Exit System (EES) befindet sich seit Oktober 2025 im schrittweisen Rollout, das European Travel Information and Authorisation System (ETIAS) soll Ende 2026 folgen. Beide Seiten des Atlantiks bauen also ihre biometrische Grenzkontrollinfrastruktur massiv aus, die EBSP würde einige dieser Datenbanken verbinden.

Handlungsebenen und offene Fragen

Der EDSA hat mit seinem Schreiben den Ball an die EU-Kommission gespielt. Diese muss nun entscheiden, ob sie die Bedenken der europäischen Datenschützer ernst nimmt oder dem politischen Druck aus Washington nachgibt. Konkret stehen mehrere Handlungsebenen zur Disposition:

Kurzfristig: Die Kommission sollte die vom EDSA geforderten Fragen an die US-Behörden richten, insbesondere zur Speicherdauer, zur Ausübung von Betroffenenrechten und zur Verwendung der Daten in automatisierten Entscheidungssystemen.

Mittelfristig: Die EBSP-Verhandlungen müssen mit klaren datenschutzrechtlichen Leitplanken versehen werden. Der EU-Datenschutzbeauftragte hat bereits gefordert, jede direkte oder indirekte Weitergabe von Daten aus den EU-Großdatenbanken im Bereich Justiz und Inneres strikt auszuschließen. Ob diese Forderung die Verhandlungen mit den USA überlebt, ist eine offene Frage.

Langfristig: Die EU muss sich grundsätzlich positionieren: Will sie den Datenschutz als verhandelbares Gut behandeln, das gegen sicherheitspolitische oder wirtschaftliche Zugeständnisse eingetauscht werden kann?

Oder verteidigt Europa das Grundrecht auf Datenschutz als nicht verhandelbare Grundlage der europäischen Rechtsordnung?

Die Antwort auf diese Frage wird nicht nur das transatlantische Verhältnis prägen, sondern auch den Stellenwert des europäischen Datenschutzes insgesamt. Die nächsten Monate werden zeigen, ob die DSGVO und die Grundrechtecharta in der geopolitischen Realität von 2026 noch als Schutzschild taugen oder ob sie zur Fassade verkommen, hinter der die eigentlichen Entscheidungen längst anderswo getroffen werden.

Read next

Microsoft Copilot las wochenlang vertrauliche E-Mails

Microsoft Copilot las wochenlang vertrauliche E-Mails

... was der Vorfall für den Datenschutz bedeutet. Ein Softwarefehler in Microsoft 365 Copilot hat über Wochen hinweg Vertraulichkeitskennzeichnungen und DLP-Richtlinien ausgehebelt. Der KI-Assistent konnte E-Mails verarbeiten, die explizit als vertraulich eingestuft waren. Der Vorfall wirft fundamentale Fragen zur Rolle von Microsoft als Auftragsverarbeiter auf und zeigt, warum Datenschutzbeauftragte jetzt handeln
Michael Mrak