US-Einreise: Von Social-Media-Accounts bis zum biometrischen Check-In

Bei der Beantragung eines Visums für die Einreise in die USA müssen nun Social-Media-Accounts angegeben werden. Dies gilt zwar nicht für die meisten EU-Bürger, dennoch müssen auch diese einiges beachten, um nicht komplett durchleuchtet zu werden. Unser Ratgeber beantwortet die wichtigsten Fragen rund um den Grenzübertritt in die Staaten.

Der viel frequentierte Flughafen in Atlanta hat ein eigenes „Biometrisches Terminal“. CC-BY-NC 2.0 Alex Proimos

Seit Anfang dieses Monats erfordert die Beantragung eines US-Visums die Angabe von Accounts bei bestimmten Social-Media-Diensten. Zwar sind die meisten EU-Bürger von dieser Regelung ausgenommen. Dennoch hat die Meldung, unmittelbar vor Beginn der sommerlichen Urlaubssaison, für einige Verunsicherung gesorgt. Wir bieten einen Überblick, wer genau betroffen ist und wer nicht – und geben einige weitere Informationen zur Einreise in die USA.

Neu ist diese Form der Datensammlung jedenfalls nicht. Bisher wurden diese Daten jedoch nur von Personen abgefragt, berichtet die US-Nachrichtenagentur Associated Press, die zum Beispiel in von terroristischen Organisationen kontrollierte Gebiete eingereist waren. Ungefähr 65.000 Antragsteller seien bisher jährlich in diese Kategorie gefallen. Diese Zahl wird nun sprunghaft steigen: Nach Schätzung des US-Außenministeriums werden 710.000 Einwanderungsvisa und 14 Millionen vorübergehende Visa von der Änderung betroffen sein.

Man würde zumindest hoffen, dass mit diesen Daten verantwortungsvoll umgegangen wird – doch daran lässt sich zweifeln. So wurde etwa am Montag bekannt, dass der US-Grenzbehörde bis zu 100.000 Fotos von Gesichtern und Autokennzeichen abhanden gekommen sind. Wer letztlich dafür verantwortlich ist – die Behörde selbst oder der gehackte Dienstleister – spielt nur bedingt eine Rolle: Inzwischen sind die Daten anscheinend im „Dark Web“ wieder aufgetaucht.

Aus diesen beiden Anlässen haben wir nun einige Fragen rund um die Preisgabe von Social-Media-Accounts und biometrischen Informationen bei der Einreise in die USA zusammengestellt und so gut wie möglich beantwortet.

Bin ich von den neuen Anforderungen von Social-Media-Daten betroffen?

In den meisten Fällen höchstwahrscheinlich nicht. Deutsche Staatsangehörige benötigen für Tourismus-, Geschäfts- oder Transitreisen mit einer Dauer von unter 90 Tagen kein Visum, da Deutschland am sogenannten Visa Waiver Program (VWP) teilnimmt. An diesem Programm sind so gut wie alle EU-Staaten außer Bulgarien, Kroatien, Polen, Rumänien und Zypern beteiligt.

Die Ausnahme sind Personen, die neben der deutschen auch noch die Staatsangehörigkeit von Iran, Irak, Syrien oder Sudan besitzen oder seit dem 1. März 2011 in einem dieser Länder oder in Libyen, Jemen oder Somalia waren. Diese Personen sind vom VWP ausgeschlossen und müssen in jedem Fall ein Visum beantragen. Ausnahmen gibt es nur in Spezialfällen, zum Beispiel für Militärs oder humanitäre Helfer, die in diesen Ländern tätig waren.

Alle anderen deutschen Staatsangehörigen benötigen statt des Visums eine elektronische Einreisegenehmigung (ESTA), einen elektronischen Reisepass und gültige Rück- oder Weiterreisetickets. Für das ESTA-Formular kann man auch seine Social-Media-Accounts angeben, das ist aber wie bisher optional.

Die neue Frage zu Social-Media-Diensten im Formular zur Beantragung eines US-Visums. CC public domain U.S. Department of State

Was für Social-Media-Daten werden genau verlangt?

Abgefragt werden mögliche Accountnamen bei 20 festgelegten Social-Media-Diensten, unter anderem Facebook und YouTube, aber auch Tencent Weibo und Vkontakte. Es werden keine Passwörter oder andere Zugangsdaten verlangt.

Die Liste hat keine Option wie „Other“ zum Hinzufügen anderer Dienste als den vorgegebenen. Immerhin kann man mit „None“ angeben, keinen der Dienste zu benutzen. Accounts, auf die von mehreren Personen zugegriffen wird, Firmenaccounts etwa, sollen nicht angegeben werden.

Auch die in den letzten fünf Jahren benutzten E-Mailadressen und Telefonnummern sollen der bisherigen Berichterstattung zufolge herausgegeben werden. Eine entsprechende Aufforderung auf dem Formular fehlt allerdings: Dort werden nur die aktuelle E-Mailadresse sowie die private und dienstliche Telefonnummer abgefragt.

Die vorgegebene Liste von Social-Media-Diensten. CC public domain U.S. Department of State

Wie werden diese Social-Media-Daten weiterverwertet?

„Das Außenministerium beschränkt seine Sammlung auf Informationen, die für den Prozess der Visumsvergabe relevant sind“, sagt der Sprecher der US-amerikanischen Botschaft, Joe Giordono-Scholz, auf Anfrage von netzpolitik.org. Die Daten würden nur für „bestimmte explizit durch das Gesetz autorisierte Zwecke verwendet, darunter die Formulierung, Erweiterung, Verwaltung oder Durchsetzung von US-Gesetzen.“ Daten über Social-Media-Accounts würden den gleichen Schutz genießen wie andere auf dem Formular angegebene persönliche Informationen. So ist davon auszugehen, dass diese Daten damit auch bei US-amerikanischen Geheimdiensten landen, etwa der NSA.

Was passiert, wenn ich einen Account nicht angebe – absichtlich oder unabsichtlich?

Dann kann die Ausstellung eines Visums verweigert werden. Dafür müssten die US-amerikanischen Behörden allerdings natürlich erst einmal mitbekommen, dass die Angaben falsch oder unvollständig waren. Ob und wie die Angaben geprüft werden, sagte Giordono-Scholz nicht. Er verwies auf die „umfangreichen Sicherheitsuntersuchungen“, die alle Einreisenden durchlaufen.

Dürfen US-Zollbeamte am Flughafen verlangen, dass ich ihnen Zugang zu den Accounts gebe?

Nein. „Zollbeamte werden keine Benutzerpasswörter verlangen und werden nicht versuchen, Datenschutzkontrollen, die Einreisende auf diesen Plattformen eingerichtet haben, zu unterwandern“, so Giordono-Scholz. Allerdings verfügen US-Zollbeamte über weitgehende Befugnisse. Laut einem umfassenden Ratgeber der Electronic Frontier Foundation zum Schutz von Daten auf elektronischen Geräten bei der Einreise in die USA führt dies zu einem „No-Win-Dilemma“: Widerstand gegen die Aufforderungen von Zollbeamten kann eine weitere Befragung, die Beschlagnahmung von Geräten und besonders die Verweigerung der Einreise zur Folge haben. Zudem existieren Berichte, wonach selbst US-Bürger ihr Handy entsperren und abgeben mussten, um die Grenze überqueren zu können.

Für mehr Informationen und Tipps zum Schutz von Daten auf elektronischen Geräten bei der Einreise in die USA siehe auch diesen Vortrag vom 34C3.

Kommt diese Maßnahme überraschend?

Nein. Bereits im Frühjahr 2017 wurde bekannt, dass die Trump-Regierung über einen verpflichtenden Zugang zur Browser-Historie, Social-Media-Accounts und Handy-Adressbüchern für Einreisende nachdachte.

Außerdem wurde die Maßnahme bereits im März letzten Jahres im Federal Register, dem Amtsblatt der Vereinigten Staaten, angekündigt. Schon damals meldeten NGOs wie PEN America, Bildungsorganisationen und Gewerkschaften ihre Bedenken an. Laut dieser Ankündigung behält sich das US-Außenamt vor, zu einem späteren Zeitpunkt die Liste der vorgegebenen Social-Media-Dienste zu verändern.

Müssen irgendwann alle EU-Bürger ihre Social-Media-Accounts angeben?

Auf Spekulationen wollte sich Sprecher Giordono-Scholz nicht einlassen. „Aber robuste Überprüfungsstandards für Antragssteller auf Visa aufrechtzuerhalten ist eine dynamische Praxis, die sich aufsteigenden Bedrohungen anpassen muss“, sagte der Sprecher der US-Botschaft.

Werden biometrische Daten erhoben?

Ja. Bei einer Einreise in die USA werden Fingerabdrücke und ein biometrisches Gesichtsfoto von allen nicht-US-Staatsbürgern erfasst und in der IDENT-Datenbank des US-Zolls gespeichert. Dort finden sich auch die für Visaanträge notwendigen Porträtfotos wieder.

Die Daten von nicht-US-Staatsbürgern werden in IDENT für 75 Jahre vorgehalten. Ob und welche Daten in der eigenen IDENT-Akte gespeichert sind, kann man durch den Freedom of Information Act beim US-Zoll anfragen. Die Akte sollte freigegeben werden, so lange dadurch keine laufende Ermittlung behindert oder die Existenz von verdeckten Ermittlungen aufgedeckt wird. Es ist allerdings nicht möglich, eine Löschung der Daten anzufordern.

Wie werden die biometrischen Daten verwertet?

Die US-Zollbehörden kooperieren im Rahmen einer internationalen Initiative sowohl mit dem FBI und anderen US-amerikanischen Behörden als auch internationalen Partnern, darunter der Bundesrepublik. Diese Partner könnten durch IDENT geteilte Daten auch länger speichern als die USA selbst, so ein Datenschutzpapier der Homeland Security. Ziele seien „nationale Sicherheit, Strafverfolgung, Verwaltung von Einwanderung und Grenzen sowie geheimdienstliche Zwecke.“

Das Datenleck am Montag macht außerdem deutlich, dass die Behörden bei der Auswertung auch mit Privatfirmen zusammenarbeiten. Allerdings ist die Weitergabe von erhobenen biometrischen Daten an Privatfirmen eigentlich nicht gestattet.

Fluglinien, Flughäfen und Kreuzfahrtgesellschaften dürfen für IDENT gemachte Bilder von Reisenden nicht selber speichern. Die Firmen dürfen Reisende für kommerzielle Zwecke fotografieren, müssen allerdings öffentlich, zum Beispiel durch Schilder, darauf hinweisen. Diese übersieht man jedoch recht einfach – oder kann sich der biometrischen Verwertung nur schwer entziehen, etwa, weil man die „falsche“ Fluglinie gebucht hat.

Kann ich der biometrischen Erfassung widersprechen?

„Ein Antragsteller auf ein Visum, der der Abnahme von Fingerabdrücken nicht zustimmt, würde seinen Antrag als unvollständig verweigert bekommen. Allerdings würde ein Antragsteller, der sich später zum Bereitstellen von Fingerabdrücken entschließen würde, ohne Beeinträchtigung neu geprüft werden“, so die Webseite des US-Außenamtes.

„Allgemein gibt es keine Gelegenheit für ein Individuum, der Angabe von Informationen, die zur Ein- oder Ausreise in oder aus den Vereinigten Staaten nötig sind, zu widersprechen“, so auch ein internes Datenschutzpapier des US-Zolls. Nur US-Bürger haben ein Recht auf manuelle Überprüfung durch einen Zollbeamten.

Auf der kommerziellen Seite setzen immer mehr US-Flughäfen auf die Technik, die sie zum Check-In oder Boarding benutzen. Eine von der NGO „Fight For The Future“ eingerichtete Webseite bietet einen Überblick, welche Anbieter die Privatsphäre respektieren und welche nicht.

An wen kann ich mich bei Beschwerden wenden?

Erste Anlaufstelle ist die Beschwerdeseite des US-Zolls. Für Beschwerden oder Meldungen von gefühlten Rechtsverletzungen bei der Sicherheitsuntersuchung sollte man sich an das sogenannte Traveler Redress Inquiry Program der Homeland Security wenden. Für spezifisch datenschutztechnische Anliegen gibt es schließlich noch die Anlaufstelle borders@eff.org der Electronic Frontier Foundation.

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.