Die EU-Kom­mis­si­on ver­han­delt der­zeit mit den USA über die wei­te­re Teil­nah­me an deren Visa-Wai­ver-Pro­gramm, das Tou­ris­tin­nen und Tou­ris­ten sowie Ge­schäfts­rei­sen­den eine Ein­rei­se in die Ver­ei­nig­ten Staa­ten für bis zu 90 Tage ohne Visum er­mög­licht. Die USA ver­lan­gen dafür aber von allen Staa­ten, die daran teil­neh­men, den Ab­schluss einer so­ge­nann­ten En­han­ced Bor­der Se­cu­ri­ty Part­ner­ship (EBSP). Da­hin­ter ver­birgt sich ein Ab­kom­men, das ame­ri­ka­ni­schen Be­hör­den einen au­to­ma­ti­sier­ten Zu­griff auf na­tio­na­le Po­li­zei­da­ten­ban­ken mit bio­me­tri­schen In­for­ma­tio­nen wie Fin­ger­ab­drü­cken und Ge­sichts­bil­dern er­laubt. Diese Ver­ein­ba­rung be­trifft na­he­zu alle EU-Mit­glied­staa­ten und würde, ginge es nach den US-Vor­stel­lun­gen, weit über Daten von tat­säch­li­chen oder po­ten­zi­el­len USA-Rei­sen­den hin­aus­rei­chen – wäh­rend ein spie­gel­bild­li­cher Zu­griff der EU auf US-Daten schon gar nicht vor­ge­se­hen ist.

In­ner­halb der EU gibt es bis­lang kein ver­gleich­ba­res Sys­tem, das an­de­ren Mit­glied­staa­ten einen Di­rekt­zu­griff auf na­tio­na­le Po­li­zei­da­ten­ban­ken ein­räumt. Der Aus­tausch sen­si­bler Daten er­folgt viel­mehr nach dem Prin­zip "Tref­fer/kein Tref­fer" mit an­schlie­ßen­dem rechts­förm­li­chem Er­su­chen. In Deutsch­land wären mut­ma­ß­lich Mil­lio­nen von Da­ten­sät­zen im po­li­zei­li­chen In­for­ma­ti­ons­sys­tem INPOL be­trof­fen, dar­un­ter Ge­sichts­bil­der und Fin­ger­ab­drü­cke von Be­schul­dig­ten, Zeu­gen, Op­fern und an­de­ren be­trof­fe­nen Per­so­nen. Die­ser bei­spiel­lo­se Vor­gang wirft damit er­heb­li­che uni­ons- und ver­fas­sungs­recht­li­che Fra­gen auf.

Uni­ons­recht­li­che Stan­dards in viel­fa­cher Ge­stalt

Aus uni­ons­recht­li­cher Per­spek­ti­ve ist zwi­schen zwei Norm­kom­ple­xen zu dif­fe­ren­zie­ren: Ei­ner­seits gibt es die Da­ten­schutz-Grund­ver­ord­nung (DS-GVO) mit den Re­geln zum Dritt­land­trans­fer in Art. 44 ff. DS-GVO und zum an­de­ren die JI-Richt­li­nie (EU) 2016/680. Letz­te­re gilt für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Be­hör­den zum Zwe­cke der Straf­ver­fol­gung und Prä­ven­ti­on. Auf der grund­recht­li­chen Ebene ist ins­be­son­de­re Art. 8 GrCh ein­schlä­gig, der das Recht auf Schutz per­so­nen­be­zo­ge­ner Daten ga­ran­tiert, flan­kiert von Art. 7 GRCh (Ach­tung des Pri­vat­le­bens) sowie den Ver­fah­rens­ga­ran­ti­en des Art. 47 GRCh.

Dabei ist all­ge­mein zu be­rück­sich­ti­gen, dass bio­me­tri­sche Daten, spe­zi­ell Fin­ger­ab­drü­cke und Ge­sichts­bil­der, als be­son­de­re Ka­te­go­ri­en per­so­nen­be­zo­ge­ner Daten ein­zu­stu­fen sind. Sie un­ter­lie­gen nach uni­ons­recht­li­cher Sys­te­ma­tik einem ge­stei­ger­ten Schutz­stan­dard, der letz­ten Endes auch in ab­sei­ti­gen Re­ge­lun­gen wie der KI-Ver­ord­nung vor­zu­fin­den ist. Ihre Ver­ar­bei­tung setzt also in jedem EU-recht­li­chen Kon­text eine be­son­de­re Er­for­der­lich­keits­prü­fung und an­ge­mes­se­ne Ga­ran­ti­en vor­aus.

"Schrems II" lässt grü­ßen

Im Rah­men der DS-GVO dürf­te die Über­mitt­lung von Daten an US-Be­hör­den an Ka­pi­tel V der DS-GVO zu mes­sen sein. Der EuGH hat im Ur­teil "Schrems II" (C-311/18) einen Rechts­ge­dan­ken ent­wi­ckelt, wo­nach für Da­ten­über­mitt­lun­gen in ein Dritt­land ein im We­sent­li­chen gleich­wer­ti­ges Schutz­ni­veau zu dem der EU be­stehen muss. Sei­ner­zeit hatte der Ge­richts­hof das EU-US-Pri­va­cy-Shield man­gels hin­rei­chen­den Schut­zes vor US-Über­wa­chungs­pro­gram­men und man­gels wirk­sa­men Rechts­schut­zes für Be­trof­fe­ne für un­gül­tig er­klärt. Pro­ble­ma­tisch war aus Sicht des Ge­richts­hofs vor allem der feh­len­de Vor­rang der Grund­rech­te vor si­cher­heits­recht­li­chen Er­for­der­nis­sen sowie der Um­stand, dass die US-Über­wa­chungs­pro­gram­me nicht auf das zwin­gend er­for­der­li­che Maß be­schränkt seien und Be­trof­fe­ne kei­nen mit Art. 47 GRCh ver­gleich­ba­ren Rechts­schutz ge­nös­sen.

Die spä­ter ge­schaf­fe­nen Me­cha­nis­men des EU-US Data Pri­va­cy Frame­works haben an die­ser Pro­ble­ma­tik wenig ge­än­dert, zumal sie pri­mär kom­mer­zi­el­le Da­ten­flüs­se be­tref­fen; für den hier be­trof­fe­nen po­li­zei­li­chen Da­ten­aus­tausch sind sie wenig be­deut­sam. In­so­fern steht das EBSP in einem er­heb­li­chen Span­nungs­ver­hält­nis zwi­schen den Über­wa­chungs­be­fug­nis­sen US-ame­ri­ka­ni­scher Si­cher­heits­be­hör­den und den uni­ons­recht­li­chen Grund­rechts­stan­dards. US-Rechts­in­stru­men­te wie der US CLOUD Act (der an­ders als die eu­ro­päi­sche e-Evi­dence-Ver­ord­nung weder eine No­ti­fi­zie­rung be­trof­fe­ner Staa­ten noch weit­rei­chen­de rich­ter­li­che Vor­be­hal­te vor­sieht) aber auch FISA 702 (ein Ge­setz, das US-Ge­heim­diens­ten er­laubt, Kom­mu­ni­ka­ti­on von Nicht-US-Per­so­nen im Aus­land aus Grün­den der na­tio­na­len Si­cher­heit ohne rich­ter­li­chen Be­schluss zu über­wa­chen) er­öff­nen den Be­hör­den weit­rei­chen­de Zu­griffs­mög­lich­kei­ten, ohne dass EU-Bür­ge­rin­nen und -Bür­gern der vom EuGH ge­for­der­te ef­fek­ti­ve Rechts­schutz zur Ver­fü­gung stün­de.

Ver­ar­bei­tung bio­me­tri­scher Daten soll Aus­nah­me sein, nicht die Regel

Die JI-Richt­li­nie (EU) 2016/680 lässt in Art. 10 die Ver­ar­bei­tung bio­me­tri­scher Daten zu Straf­ver­fol­gungs­zwe­cken nur unter stren­gen Vor­aus­set­zun­gen zu. Eine Über­mitt­lung an Dritt­staa­ten ver­langt auch mit Blick auf diese Ge­stal­tung – dazu Er­wä­gungs­grund 51 der JI-Richt­li­nie – ein an­ge­mes­se­nes Schutz­ni­veau, idea­ler­wei­se über einen An­ge­mes­sen­heits­be­schluss samt ge­eig­ne­ter Ga­ran­ti­en (Art. 36, 37, ErwG 71 JI-RL), wobei die ty­pi­schen Ri­si­ken staat­li­cher Mas­sen­über­wa­chung in Dritt­staa­ten zu be­rück­sich­ti­gen und ef­fek­ti­ver Rechts­schutz vor­zu­hal­ten sind. Dabei ist die Über­mitt­lung ohne Ge­neh­mi­gung des be­trof­fe­nen Mit­glied­staats ge­ra­de die Aus­nah­me (Art. 35 Abs. 2 JI-RL).

Dem steht kon­trär der der­zeit dis­ku­tier­te EBSP-An­satz ge­gen­über, mit dem ein struk­tu­rell an­ge­leg­ter, au­to­ma­ti­sier­ter Di­rekt­zu­griff auf na­tio­na­le Da­ten­ban­ken in­stal­liert wer­den soll – mit dem zu­gleich eine dau­er­haf­te und un­kon­trol­lier­te In­fra­struk­tur der Da­ten­ver­füg­bar­keit für US-Be­hör­den be­grün­det würde. Eine sol­che Struk­tur liefe so­wohl der vom Ge­setz­ge­ber als auch vom EuGH be­ton­ten Er­for­der­lich­keits- und Ver­hält­nis­mä­ßig­keits­prü­fung dia­me­tral zu­wi­der, die kon­kre­te, eng de­fi­nier­te, kon­trol­lier­te und mit Rechts­schutz ver­se­he­ne Über­mitt­lungs­sze­na­ri­en ver­langt.

Das be­reits be­stehen­de Rah­men­ab­kom­men zur po­li­zei­li­chen Zu­sam­men­ar­beit zwi­schen EU und USA än­dert daran nichts, da die­ses auf klas­si­sche Rechts­hil­fe aus­ge­legt ist und sol­che Mas­sen­ab­fra­gen ge­ra­de nicht ab­deckt.

"Hes­sen­da­ta"-Ent­schei­dung des BVerfG zieht enge Gren­zen

Auf na­tio­na­ler Ebene ist er­gän­zend die "Hes­sen­da­ta"-Ent­schei­dung des BVerfG zur au­to­ma­ti­sier­ten Da­ten­ana­ly­se von Be­deu­tung, in der das Ge­richt Re­ge­lun­gen für Da­ten­ana­ly­se­platt­for­men zwei­er Bun­des­län­der für ver­fas­sungs­wid­rig er­klär­te. Das BVerfG kri­ti­sier­te ins­be­son­de­re die recht­lich un­be­grenz­te Ein­be­zie­hung ver­schie­dens­ter Da­ten­quel­len sowie das Feh­len hin­rei­chend be­stimm­ter Ein­griffs­schwel­len und Ver­wen­dungs­zwe­cke, wobei es be­ton­te, dass au­to­ma­ti­sier­te Da­ten­ana­ly­se nur unter strik­ter Be­ach­tung der Ver­hält­nis­mä­ßig­keit und mit hin­rei­chend kon­kre­ti­sier­ten Ge­fah­ren­la­gen für be­son­ders ge­wich­ti­ge Rechts­gü­ter zu­läs­sig sei.

Die hier ent­wi­ckel­ten Maß­stä­be las­sen sich auf die in­ter­na­tio­na­le Über­mitt­lung über­tra­gen: Wenn be­reits die in­ner­staat­li­che, po­li­zei­li­che Zu­sam­men­füh­rung und al­go­rith­mi­sche Aus­wer­tung gro­ßer Da­ten­be­stän­de stren­gen ver­fas­sungs­recht­li­chen Gren­zen un­ter­liegt, muss erst recht die Über­mitt­lung sol­cher Daten an aus­län­di­sche Be­hör­den mit ei­gen­stän­di­gen, der deut­schen und eu­ro­päi­schen Kon­trol­le weit­ge­hend ent­zo­ge­nen Ana­ly­se­be­fug­nis­sen – und dann noch­mals ge­stei­gert – re­strik­tiv ge­hand­habt wer­den.

Mit Blick auf die auf­ge­zeig­te eu­ro­pa­recht­li­che Lage be­geg­net das EBSP daher gra­vie­ren­den recht­li­chen Be­den­ken, und nicht zu­letzt ste­hen die vom EuGH aus­drück­lich for­mu­lier­ten An­for­de­run­gen an ein im We­sent­li­chen gleich­wer­ti­ges Schutz­ni­veau im Emp­fän­ger­staat, die Be­to­nung der Ver­hält­nis­mä­ßig­keit von Über­wa­chungs­maß­nah­men und der zwin­gend ge­for­der­te ef­fek­ti­ve Rechts­schutz in deut­li­chem Span­nungs­ver­hält­nis zu den in den USA be­stehen­den Über­wa­chungs­be­fug­nis­sen.

Nie konn­te man den USA we­ni­ger ver­trau­en

Den pro­ble­ma­ti­schen Ge­samt­kon­text ver­schärft auch der un­be­stimm­te Ver­wen­dungs­zweck: Ur­sprüng­lich soll­ten US-Be­hör­den nur auf Daten von Per­so­nen zu­grei­fen kön­nen, die in die USA rei­sen oder dort Asyl be­an­tra­gen. In­zwi­schen soll der Aus­tausch je­doch auch Per­so­nen be­tref­fen, die in "Grenz- und Mi­gra­ti­ons­kon­tex­ten" an­ge­trof­fen wer­den – ein ex­trem wei­ter und un­be­stimm­ter Be­griff. An die­ser Stel­le sei daran er­in­nert, wie unter Prä­si­dent Trump die Ein­wan­de­rungs- und Zoll­be­hör­de ICE aus­ge­baut und um­struk­tu­riert wurde: Mit einem zwei­stel­li­gen Mil­li­ar­den-Dol­lar­bud­get aus­ge­stat­tet sind pau­schal avi­sier­te eine Mil­li­on Ab­schie­bun­gen pro Jahr das er­klär­te Ziel, was in die­ser Pau­scha­li­tät schon für sich mit eu­ro­päi­schen Wer­ten kaum ver­ein­bar er­scheint (siehe nur Art. 19 Abs. 1 GRCh). Dazu kommt der Ein­satz der um­strit­te­nen Soft­ware Pa­lan­tir und ak­tu­el­le Be­rich­te über ICE-Ein­sät­ze, die ein mi­li­tä­ri­sches Vor­ge­hen mit be­waff­ne­ten Agen­tin­nen und Agen­ten zei­gen, die bei Raz­zi­en mit­un­ter sogar töd­li­che Ge­walt an­wen­den.

Der di­rek­te Zu­griff auf eu­ro­päi­sche Po­li­zei­da­ten würde die­sen Über­wa­chungs- und Ab­schie­be­ap­pa­rat zu­min­dest mit­tel­bar er­heb­lich ver­stär­ken, was mit Blick auf die EU-(Jus­tiz-)Grund­rech­te samt darin ver­brief­ter eu­ro­päi­scher Werte er­heb­li­che Be­den­ken aus­lö­sen muss. Über­dies ist es über­ra­schend, hier­zu­lan­de mas­siv über einen be­hörd­li­chen Pa­lan­tir-Ein­satz kri­tisch zu dis­ku­tie­ren, um dann durch das EBSP einen Da­ten­zu­griff quasi durch die Hin­ter­tür zu er­mög­li­chen.

Nicht zu­letzt auch vor die­sem fak­ti­schen Hin­ter­grund er­scheint es un­mög­lich, ein EBSP, das US-Be­hör­den einen quasi un­mit­tel­ba­ren On­line-Zu­griff auf bio­me­tri­sche Po­li­zei­da­ten von Mil­lio­nen Men­schen ein­räumt, mit dem tra­dier­ten eu­ro­päi­schen Daten- und Grund­rechts­ver­ständ­nis in Ein­klang zu brin­gen. Ein uni­ons- und ver­fas­sungs­kon­for­mes Mo­dell müss­te min­des­tens am Hit/No-Hit-Prin­zip an­knüp­fen, strik­te Zweck­bin­dun­gen und Ein­griffs­schwel­len vor­se­hen sowie sen­si­ble Per­so­nen­grup­pen – etwa Zeu­gen, Opfer und Be­rufs­ge­heim­nis­trä­ge­rin­nen – strikt aus­neh­men. An­sons­ten müss­te es ef­fek­ti­ve In­for­ma­ti­ons­we­ge sowie Rechts­be­hel­fe für Be­trof­fe­ne ge­währ­leis­ten, deren prak­ti­sche Durch­set­zung al­ler­dings an den struk­tu­rel­len De­fi­zi­ten des US-Rechts zu schei­tern droht. Soll­ten die EU und ihre Mit­glied­staa­ten gleich­wohl einem EBSP im Sinne der US-For­de­run­gen zu­stim­men, ist mit recht­li­chen Aus­ein­an­der­set­zun­gen vor den Ver­fas­sungs­ge­rich­ten und dem EuGH zu rech­nen, wo es kei­nen Raum für eine un­kri­ti­sche Bil­li­gung eines sol­chen Ab­kom­mens geben wird.

Der Autor Jens Fer­ner ist Fach­an­walt für Straf­recht und IT-Recht. Sein Tä­tig­keits­schwer­punkt liegt im Be­reich der Straf­ver­tei­di­gung, ins­be­son­de­re in der Schnitt­men­ge von IT-Recht und Straf­recht.