US-Visa und öffentliche Social-Media-Profile: Was EU-Bürger über erweiterte Background-Check für Einreisende wissen müssen

In sozialen Netzwerken kursiert aktuell ein Screenshot, wonach das US-Außenministerium alle Antragsteller für Nichteinwanderungsvisa anweist, sämtliche Social-Media-Profile auf "öffentlich" zu stellen. Die Grafik verkürzt den Sachverhalt, der Kern stimmt aber: Es gibt eine entsprechende Anweisung, sie wurde seit Juni 2025 schrittweise ausgeweitet und betrifft inzwischen einen erheblichen Teil der Visa-Kategorien.

Was tatsächlich gilt

Das US Department of State hat die Pflicht zur Öffnung der Social-Media-Profile nicht in einem Schritt eingeführt, sondern in drei Wellen:

• Juni 2025: F-, M- und J-Visa (Studenten und Austauschprogramme)
• Dezember 2025: zusätzlich H-1B-Fachkräfte und deren Angehörige (H-4)
• März 2026: weitere Erweiterung auf A-3, C-3 (Hauspersonal), G-5, H-3, H-4-Angehörige von H-3, K-1, K-2, K-3, Q, R-1, R-2, S, T und U

Damit ist die Pflicht zwar noch nicht universell, deckt aber praktisch alle relevanten Arbeits-, Studien-, Austausch- und Familiennachzugskategorien ab.

Wer in den USA studieren, arbeiten, heiraten oder als entsandte Fachkraft tätig sein will, muss damit rechnen, dass die Konsularabteilung sämtliche Konten der letzten fünf Jahre öffentlich sehen will.

Die Pflicht zur Angabe der Handles auf dem Formular DS-160 besteht ohnehin seit 2019.

Datenschutzrechtliche Einordnung für EU-Bürger

Aus DSGVO-Sicht ist das Konstrukt aus vielerlei Gründen hochproblematisch.

Kategorie der verarbeiteten Daten. Wer ein Social-Media-Profil mit fünf Jahren Verlauf öffnet, gibt nicht nur Klarnamen und Kontaktdaten preis. Likes, Postings, Gruppenmitgliedschaften und geteilte Inhalte lassen Rückschlüsse auf politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitszustand und sexuelle Orientierung zu. Damit fallen die Daten in den Anwendungsbereich von Art. 9 DSGVO und genießen besonderen Schutz.

Keine freiwillige Einwilligung. Eine Einwilligung nach Art. 7 DSGVO setzt Freiwilligkeit voraus. Wenn die Alternative die Verweigerung des Visums ist, fehlt diese Freiwilligkeit. Der EDSA hat in mehreren Leitlinien klargestellt, dass ein klares Ungleichgewicht zwischen Verantwortlichem und betroffener Person die Einwilligung in der Regel ausschließt.

Drittstaatentransfer ohne Schutzniveau. Der EU-US Data Privacy Framework deckt konsularisches Handeln und nationale Sicherheitsmaßnahmen nicht ab. Das Schrems-II-Urteil (EuGH, C-311/18) hat genau diese Bereiche als Hauptproblem identifiziert: Section 702 FISA und Executive Order 12333 erlauben weitreichenden Zugriff von US-Sicherheitsbehörden ohne wirksamen Rechtsschutz für Nicht-US-Personen. Eine als "öffentlich" deklarierte Information lässt sich zudem von jedem Akteur weltweit auswerten, archivieren und mit anderen Datenbanken verknüpfen.

Pflicht zur Beratung durch Verantwortliche. Arbeitgeber, die Mitarbeiter in die USA entsenden, sind nach Art. 13 und 14 DSGVO sowie aufgrund ihrer Fürsorgepflicht gehalten, betroffene Personen über die Konsequenzen aufzuklären. Wer Mitarbeiter unkommentiert in den US-Visa-Prozess schickt, riskiert nicht nur ein Compliance-Problem, sondern auch arbeitsrechtliche Folgen.

Praktische Empfehlungen

Wer ein betroffenes Visum beantragt oder Mitarbeiter entsendet, sollte vorab strukturiert vorgehen:

1. Inventur der Konten. Alle Plattformen der letzten fünf Jahre dokumentieren, auch stillgelegte oder gelöschte. Falsche oder unvollständige Angaben auf dem DS-160 können als Misrepresentation gewertet werden und führen zur dauerhaften Verweigerung der Einreise.
2. Datensparsamkeit vor der Antragstellung. Inhalte, die in Drittländern als sensibel gelten könnten, kritisch prüfen. Das heißt nicht, Meinungen zu löschen, sondern bewusst zu entscheiden, was öffentlich bleibt.
3. Verarbeitungsverzeichnis ergänzen. Arbeitgeber sollten den US-Visa-Prozess für ihre Mitarbeitenden als eigene Verarbeitungstätigkeit nach Art. 30 DSGVO erfassen, inklusive Rechtsgrundlage und Risikobewertung.
4. Transferimpact-Assessment. Für Entsendungen durch Arbeitgeber empfiehlt sich ein dokumentiertes TIA, das die Schrems-II-Problematik adressiert, auch wenn der Transfer faktisch vom Betroffenen selbst ausgelöst wird.

Fazit

Die Anweisung ist real, betrifft inzwischen den Großteil der praktisch relevanten Visa-Kategorien und stellt EU-Bürger vor ein Dilemma zwischen US-Einreiseinteresse und EU-Datenschutzstandard. Auflösen lässt sich der Konflikt nicht, aber bewusst gestalten. Verantwortliche in Unternehmen sollten ihre Prozesse anpassen, Betroffene strukturiert beraten und die datenschutzrechtliche Lage transparent machen.

Quellen:

• US Department of State, Erweiterung März 2026: travel.state.gov
• US Department of State, Erweiterung Dezember 2025 (H-1B/H-4): travel.state.gov
• US Department of State, Ursprungsmitteilung Juni 2025: state.gov
• EuGH, Urteil vom 16.07.2020, C-311/18 (Schrems II)