US-Algorithmen als Grenzhüter: Automatisierte Urteile über EU-Reisende möglich
Ein Entwurf zum Austausch von Biometriedaten mit den USA lässt zu, dass Software bald allein über die Einreise entscheidet – trotz massiver Datenschutzbedenken.
(Bild: Frame Stock Footage / Shutterstock.com)
In den Verhandlungen über ein Rahmenabkommen zwischen der EU und den Vereinigten Staaten zur Übermittlung von biometrischen und anderen Daten an US-Behörden knüpfen die Amerikaner Bedingungen weitrhin an die Beibehaltung des begehrten „Visa Waiver-Programms“. Ein aktueller Entwurf des Abkommen gewähre den US-Sicherheitsbehörden tiefgreifende Befugnisse, berichtet Euractiv.
Besonders brisant scheint der Passus zur automatisierten Entscheidungsfindung. Zwar sieht das Dokument laut Euractiv vor, dass Entscheidungen mit erheblichen negativen Auswirkungen für den Einzelnen nicht allein durch Algorithmen getroffen werden dürfen. Mit einer Hintertür: Sofern das US-Recht solche Verfahren autorisiert, wäre die rein maschinelle Beurteilung zulässig. Für solche Fälle soll es „angemessene Schutzmaßnahmen“ für Betroffene geben, etwa das Recht, ein menschliches Eingreifen zu fordern.
Hintergrund dieser Entwicklung ist der Druck aus Washington. Die USA haben unter der Regierung von Präsident Joe Biden mit der sogenannten Enhanced Border Security Partnership (EBSP) neue Anforderungen für die visumfreie Einreise geschaffen. EU-Staaten werden darin aufgefordert, bilaterale Abkommen mit dem Department of Homeland Security (DHS) zu schließen, um den Zugriff auf nationale biometrische Datenbanken zu ermöglichen.
Wer bis Ende 2026 keine Einigung erzielt, riskiert den Ausschluss aus dem Programm für visumfreies Reisen. Um einen Flickenteppich an Einzelverträgen zu vermeiden und ein gewisses Schutzniveau zu wahren, hat die EU-Kommission die Verhandlungen über ein übergeordnetes Rahmenabkommen übernommen.
Biometrie und sensible Profile im Visier
Der neue Entwurf geht weit über einfache Reiseinformationen hinaus. Er sieht auch die Übermittlung „besonderer Kategorien“ personenbezogener Daten vor. Dazu zählen neben biometrischen Merkmalen wie Fingerabdrücken und Gesichtsscans aus Polizeidatenbanken etwa hochsensible Informationen über politische Meinungen, Gewerkschaftszugehörigkeiten oder sogar das Sexualleben einer Person.
Zwar betonen die Verfasser des Texts, dass für solche Übermittlungen angemessene Schutzvorkehrungen getroffen werden müssten. Dafür kämen Zugriffsbeschränkungen oder die Genehmigung durch Aufsichtsbehörden in Frage. Doch diese Formulierungen bleiben vage und lassen Spielraum für Interpretationen.
Ein weiterer Punkt, der Datenschützer und Rechtsexperten alarmieren dürfte, ist die geplante rechtliche Ausgestaltung des Abkommens. Sollte es zu Streitigkeiten über die Auslegung oder Umsetzung der Datenweitergabe kommen, sieht der Entwurf vor, diese konsequent außerhalb der Gerichtsbarkeit zu regeln. Konflikte müssten demnach durch einen gemeinsamen Ausschuss gelöst werden, der sich aus Vertretern der USA und der EU zusammensetzt. Der Gang vor ein nationales oder internationales Tribunal wird explizit ausgeschlossen.
Damit würde sich das Verfahren einer unabhängigen richterlichen Kontrolle entziehen, was angesichts der Sensibilität der Daten und der Tragweite der Entscheidungen für Reisende den Rechtsschutz schwächen bedeutet.
Kollision mit EU-Datenschutzrecht
Die Einbindung des geplanten Abkommens in europäische Regelwerke wie der Datenschutz-Grundverordnung (DSGVO) und dem AI Act dürfte sich schwierig gestalten. Die DSGVO beansprucht grundsätzlich eine extraterritoriale Wirkung. Der Entwurf legt indes fest, dass das neue Abkommen bestehende Vereinbarungen zwischen EU-Staaten und den USA ergänzt und sogar ersetzt.
Dies könnte in der Praxis dazu führen, dass mühsam erkämpfte europäische Standards im Bereich der Grenzkontrolle und Terrorismusbekämpfung faktisch ausgehebelt würden. Laut der KI-Verordnung muss der Mensch zudem im Hochrisiko-Bereich die letzte Entscheidung treffen, nicht ein Algorithmus.
Immerhin scheint die EU bei der Weitergabe von Daten an Drittstaaten eine härtere Linie zu fahren. So sieht der aktuelle Vorstoß vor, dass US-Behörden die von EU-Stellen erhaltenen Informationen nur dann an Dritte weitergeben dürfen, wenn die ursprüngliche europäische Behörde dem explizit zustimmt. In früheren Verhandlungsstadien waren die EU-Mitglieder noch bereit gewesen, Ausnahmen für Fälle „schwerwiegender und unmittelbarer Bedrohungen für die öffentliche Sicherheit“ zuzulassen, ohne dass eine vorherige Rücksprache nötig gewesen wäre.
Videos by heise
Enge Zeitpläne und politische Hürden
Die politischen Verhandlungen treten nun in eine entscheidende Phase. Nachdem Ende Januar eine erste Verhandlungsrunde stattfand, befasst sich der Innenausschuss des EU-Parlaments bereits am 24. Februar in einer vertraulichen Sitzung mit dem Stand der Dinge.
Sollte das Rahmenabkommen verabschiedet werden, müssten die einzelnen Mitgliedstaaten im Anschluss bilaterale Gespräche mit der US-Regierung führen. Dabei gälte es festzulegen, welche nationalen Datenbanken konkret für den Zugriff geöffnet werden. Viele EU-Regierungen haben bereits signalisiert, den USA breiten Zugang zu heiklen Informationen gewähren zu wollen.
Angesichts der knappen Frist bis Ende 2026 und der sicherheitspolitischen Agenda der aktuellen US-Regierung steht die EU so vor einem Spagat. Sie muss die Reisefreiheit ihrer Bürger sichern, ohne deren Grundrechte um der transatlantischen Partnerschaft willen preiszugeben.
Parallel drängt die US-Regierung auf Ausnahmen beim neuen digitalen Ein- und Ausreisesystems (EES) der EU: Washington droht Brüssel mit Schikanen für Diplomaten, falls US-Personal an Schengen-Grenzen Fingerabdrücke und Gesichtsscans für das Register abgeben muss.
(wpl)
