Der Einsatz der US-amerikanischen Datenanalyse-Software Palantir in mehreren deutschen Bundesländern sorgt seit Jahren für eine anhaltende Debatte. Während die Polizei in Bayern, Nordrhein-Westfalen und Hessen auf angepasste Versionen der Plattform setzt, äußern Datenschützer weiterhin erhebliche Bedenken. Nun soll Palantir die Vorwürfe mangelnder Datensicherheit öffentlich zurückgewiesen und betont haben, eine Übermittlung polizeilicher Daten in die USA sei „technisch ausgeschlossen“.
Überblick über Palantir
Palantir ist ein US-amerikanisches Softwareunternehmen, das sich auf die Analyse und Verknüpfung großer Datenmengen spezialisiert hat. Seine Plattformen, darunter „Gotham“, für Sicherheits- und Strafverfolgungsbehörden, ermöglichen es, Daten aus unterschiedlichen Quellen zusammenzuführen, Muster zu erkennen und komplexe Ermittlungszusammenhänge schneller sichtbar zu machen. In Deutschland wird Palantir-Software von einigen Landespolizeien genutzt, um präventiv Straftaten zu verhindern, etwa im Kampf gegen organisierte Kriminalität, Terrorismus oder Cyberangriffe. Konkret verwendet in Deutschland die Software Hessen unter dem Namen „Hessendata“, Nordrhein-Westfalen als „DAR“ und Bayern als „VeRA“.
Die Software verarbeitet lediglich Daten, die bereits bei der Polizei gespeichert sind. Da die Suche nach Zusammenhängen sich allerdings häufig aufgrund der Speicherformate und -orte erschwert, bietet Palantir eine effiziente Lösung. Für den Einsatz, der bislang rein präventiv zulässig ist, waren in den Ländern entsprechende gesetzliche Anpassungen erforderlich. Das Bundesverfassungsgericht hat 2023 zudem klare Grenzen für die Nutzung gezogen.
Zentrale datenschutzrechtliche Kritikpunkte
Obwohl die Software nicht auf neue Datenquellen zugreift, sondern nur vorhandene Informationen verknüpft, betrachten Datenschutzexperten den Einsatz kritisch. Denn in den analysierten Beständen finden sich nicht nur Angaben zu Verdächtigen, sondern auch Daten nicht verdächtiger Personen, wie Zeugen oder Kontaktpersonen. Diese Daten wurden vielfach zu anderen Zwecken erhoben und könnten in der Auswertung neue Bedeutungszusammenhänge erhalten, was eine rechtswidrige Zweckänderung darstellen könnte.
Daneben tritt die Sorge, Palantir könnte heimlich Daten in die USA übertragen oder Geheimdiensten zugänglich machen. Diese Bedenken sind nicht allein technischer Natur, sondern auch von der politischen Ausrichtung des Unternehmensgründers Peter Thiel geprägt. Palantir verweist darauf, dass Thiel zwar Verwaltungsratschef sei, jedoch nicht am operativen Tagesgeschäft teilnehme. Der aktuelle CEO Alex Karp habe zudem in der Vergangenheit Wahlkampagnen von Präsident Joe Biden unterstützt.
Palantirs Sicherheitsversprechen
Nach Darstellung des Unternehmens laut der Nachrichtenagentur dpa werden die eingesetzten Systeme vollständig innerhalb der Infrastruktur der jeweiligen Polizei betrieben. Die Server seien nicht mit dem Internet oder externen Netzen verbunden, sodass keinerlei Daten den polizeilichen Hoheitsbereich verlassen könnten. Der Palantir-Sprecher habe erklärt, dass die Gewalt über die Daten ausschließlich bei der jeweiligen Behörde liege, die allein über Zugriffsrechte und die Nutzung des Systems entscheide. Laut Palantir sei demnach eine Übermittlung in die USA technisch ausgeschlossen.
Das Unternehmen kritisiere, eine oft von Emotionen und unvollständigen Annahmen geprägte öffentliche Debatte. Der Sprecher erkläre, dass sich zahlreiche Kritiker nie eingehend mit der Funktionsweise der Software befasst hätten. Palantir meine, dass auf Gesprächsangebote seitens des Unternehmens teilweise nicht eingegangen worden sei. Auf Anfragen der dpa sei allerdings selten eine Reaktion von Seiten Palantirs gefolgt.
Fazit
Aus datenschutzrechtlicher Sicht greift Palantirs Argumentation zu kurz, wenn sie allein auf die technische Isolation der Systeme abstellt. Selbst wenn ein Datenabfluss ins Ausland ausgeschlossen ist, bleibt die Frage der zulässigen Nutzung vorhandener Datenbestände im Rahmen der gesetzlichen Zweckbindung. Die Erfassung und Analyse personenbezogener Daten, insbesondere unbeteiligter Dritter, muss strengen Verhältnismäßigkeitsprüfungen standhalten. Die verfassungsgerichtlichen Leitplanken von 2023 markieren hier die Grenze zwischen effektiver Gefahrenabwehr und unzulässiger Datensammlung. Dazu gehört auch ein vollständig transparenter und nachvollziehbarer Einsatz der Software. Daneben sollte eine unabhängige Kontrollinstanz mit hinreichenden Mitteln regelmäßige Überprüfungen der Einhaltung der Vorgaben durchführen.
