Holger Bleich, Joerg Heidrich und Falk Steiner bilden in Episode 147 des c’t-Datenschutz-Podcasts ironisch eine „Selbsthilfegruppe der Überforderten“. Und das nicht ohne Grund: Mit dem digitalen Omnibusgesetz will die EU-Kommission den Berg an Digitalvorschriften lichten – vom Data Act über die E-Privacy-Richtlinie bis hin zur DSGVO. Der Plan: aufräumen, vereinheitlichen und die Compliance-Kosten senken. Die Realität: ein neuer, komplexer Riesenentwurf, der alles verändern könnte.

Besonders die geplanten Änderungen an der DSGVO sorgen für Gesprächsstoff. So soll der Begriff der personenbezogenen Daten enger gefasst werden. Ob eine Information als personenbezogen gilt, hinge künftig davon ab, ob die verarbeitende Stelle selbst eine Person identifizieren kann. Das könnte weitreichende Folgen haben. Positiv bewerten die Experten die geplante Anhebung der Schwelle für die Meldepflicht von Datenschutzpannen. Diese soll künftig erst bei einem „hohen Risiko“ greifen, was Unternehmen und Behörden von Bürokratie entlasten würde. Die Meldefrist würde von 72 auf 96 Stunden verlängert.

Bahn frei fürs KI-Training?

Auch die Regeln für missbräuchliche Auskunftsanträge sollen angepasst werden. Gesundheitsdaten nach Art. 9 DSGVO sollen restriktiver definiert werden. Die Diskutanten sehen diese Entwicklung kritisch, da sie Tür und Tor für umfangreiches Tracking öffnen könnte. Brisant sind die geplanten Erleichterungen für KI-Training: Für die Verarbeitung personenbezogener Daten für maschinelles Lernen soll grundsätzlich ein „berechtigtes Interesse“ ausreichen, statt einer Einwilligung. Steiner und Bleich befürchten, dass von dieser Senkung des Schutzniveaus vor allem große Tech-Konzerne wie Meta und Google profitieren würden.

Große Unklarheit herrscht beim Versuch, das Cookie-Chaos zu beenden. Künftig soll es möglich sein, Tracking mit einem Klick abzulehnen – und diese Entscheidung muss dem Entwurf zufolge sechs Monate lang respektiert werden. Allerdings ist offen, wie Webseiten das technisch erkennen sollen, ohne selbst wieder Daten zu speichern. Steiner fasst das Dilemma trocken zusammen: „Man kann’s einfacher machen – oder komplizierter. Die Kommission hat sich offenbar für Letzteres entschieden.“

Das Fazit der Runde fällt skeptisch aus. Obwohl der Entwurf einige sinnvolle Anpassungen enthält, wirft er vor allem neue Fragen auf und stellt etablierte Praktiken infrage. Statt Rechtsfrieden zu schaffen, drohen jahrelange, neue Auseinandersetzungen vor den Gerichten. Für Steiner ist klar: Dies ist erst der Anfang eines langen und komplizierten Gesetzgebungsprozesses.

Episode 147:

Hier geht es zu allen bisherigen Folgen:

(hob)

Mit den Stimmen der schwarz-roten Koalition und der AfD hat der Bundestag am Donnerstagnachmittag das von der Bundesregierung vorgelegte Gesetz für mehr Sicherheit in Netzen und Informationssystemen verabschiedet. Mit dem Gesetz setzt Deutschland die Vorgaben der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) mit über einem Jahr Verspätung um.

Das Gesetz verpflichtet Betreiber kritischer Infrastrukturen zu erhöhten Schutz- und Präventionsmaßnahmen gegen Angriffe auf ihre Systeme. Zugleich erweitert es den Kreis der betroffenen Unternehmen und Behörden erheblich. Das sind unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Auch für Behörden und die Verwaltung gelten neue Regeln.

Erweiterte Schutzmaßnahmen

Die betroffenen Unternehmen und Einrichtungen müssen künftig Schutzmaßnahmen wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen ergreifen. Cyberangriffe müssen binnen 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, das mit dem Gesetz mehr Aufsichtsbefugnisse erhält und bei schwerwiegenden Verstößen Bußgelder verhängen kann.

Während sich die Linke enthielt, stimmte die Fraktion Bündnis90/Grüne gegen das Gesetz. Die Grünen fordern die Bundesregierung auf, den Schutz kritischer Infrastrukturen endlich mit einem „echten Kritis-Dachgesetz“ zu regeln. Das Kritis-Dachgesetz soll weitere Teile der EU-Vorgaben umsetzen. Ein Entwurf der Bundesregierung wird derzeit in den Ausschüssen beraten, auch die Vorschläge der Grünen landen nun dort.

Deutschland hängt mit der Umsetzung von NIS2 und dem Kritis-Dachgesetz deutlich hinterher. Die Ampel-Regierung hatte ihren Entwurf nicht mehr vor dem Scheitern der Koalition durch den Bundestag bekommen, sodass Schwarz-Rot einen neuen Entwurf vorlegen musste. Eigentlich hätte die Richtlinie schon im Oktober 2024 in nationales Recht umgesetzt werden müssen. Die EU droht im Rahmen eines Vertragsverletzungsverfahrens bereits mit Konsequenzen.

Der Branchenverband Bitkom begrüßte die Entscheidung des Bundestags als überfällig. Mit dem Gesetz werde die Cybersicherheit in Deutschland gestärkt, allerdings könnten die Neuregelungen „erhebliche Auswirkungen“ auf die Investitionsentscheidungen von Unternehmen haben. „Äußerst positiv“ sei, dass nun auch Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden.

Konsequenzen für Netzbetreiber

Der Bundesverband Breitbandkommunikation (Breko) spricht von einem „grundsätzlich wichtigen und notwendigen Schritt für mehr Sicherheit“. Die Netzbetreiber sind aber skeptisch, was die Regeln für den Einsatz kritischer Komponenten betrifft.

„Der Gesetzentwurf erlaubt Eingriffe nicht nur bei Mobilfunkkomponenten, sondern pauschal auch bei Glasfasernetzen – selbst für bereits eingesetzte Komponenten“, sagt Sven Knapp, Leiter des Breko-Hauptstadtbüros. „Das sorgt für Unsicherheit.“ Der Breko appelliert an den Bundesrat, sich für eine „präzisere und praxistaugliche Regelung“ stark zu machen.

(vbr)

Das Ergebnis war nicht überraschend: Der Landtag in Baden-Württemberg hat gestern ein neues Polizeigesetz beschlossen. Die grün-schwarze Mehrheit im Parlament schafft damit die Rechtsgrundlage für den Einsatz der Software von Palantir. Sie soll ab dem zweiten Quartal 2026 einsatzbereit sein.

Vorausgegangen war ein Streit um die Beschaffung des Palantir-Systems. Denn Beamte im Innenministerium von Thomas Strobl (CDU) hatten bereits im Frühjahr den Vertrag dafür geschlossen. Die notwendige Rechtsgrundlage gab es zu diesem Zeitpunkt noch gar nicht. Der grüne Koalitionspartner war von den Verantwortlichen im Ministerium erst im Nachhinein in Kenntnis gesetzt worden und betont nun, der Vertrag sei „ohne unsere Zustimmung“ entstanden.

Die Grünen reagierten erst ungehalten, einigten sich aber mit dem Koalitionspartner über einen politischen Deal. Es ging dabei um den Nationalpark Schwarzwald. Die Grünen pressten nach SWR-Informationen der mitregierenden CDU eine Vergrößerung um 1.500 Hektar ab, wenn im Gegenzug Palantir abgenickt würde.

Die Grünen in der Landesregierung mögen Bauchschmerzen gehabt haben, aber sie stimmten dafür. In der grünen Basis fand der Deal wenig Anklang: In mehreren grünen Kreisverbänden wie in Ulm, Tübingen, Mannheim oder Karlsruhe sprach sich die Parteibasis gegen den Einsatz von Palantir aus. Ein Parteimitglied startete eine Petition an den baden-württembergischen Landtag, die mehr als 13.000 Unterstützer unterzeichneten und kurz vor dem gestrigen Beschluss im Petitionsausschuss noch zu Kontroversen führte.

Palantir alternativlos?

Beim Streit um die Software des US-Konzerns geriet die Frage in den Hintergrund, ob die gesetzliche Regelung zur Erlaubnis der automatisierten polizeilichen Datenanalyse den verfassungsrechtlichen Vorgaben entspricht. Denn der baden-württembergische Landesdatenschutzbeauftragte Tobias Keber hatte in einer Stellungnahme eine ganze Reihe von Kritikpunkten aufgeworfen und im Petitionsausschuss nochmal unterstrichen.

Doch der Streit um den US-Konzern dominierte die Diskussion. Es ging nicht mehr darum, ob und welche Form von polizeilicher Massendatenauswertung kommen soll, sondern nur noch um den Vertragspartner.

„Wir hätten lieber keinen Vertrag mit Palantir“, sagte Oliver Hildenbrand, innenpolitischer Sprecher der Grünen-Fraktion. Über die Erlaubnis zu einer massenhaften Datenfahndung über Polizeidatenbanken hinweg, die nun beschlossen ist und Millionen Menschen betreffen wird, wurde hingegen kaum noch gesprochen.

Die Grünen wollten der Polizei das Instrument nicht über Jahre vorenthalten, fügte Hildenbrand an, und meint damit konkret die Software von Palantir. Damit stützt er die Argumentation von Innenminister Strobl, der Palantir als „technologischen Marktführer auf dem Gebiet“ und mithin als praktisch alternativlos bezeichnet hatte. Das jedoch ist alles andere als unumstritten, wie die Konkurrenten des Konzerns nicht müde werden zu betonen.

Die Grünen im Ländle betonen, dass Palantir nur für fünf Jahre im Einsatz sein soll. Die grüne Landtagsfraktion verspricht: „Wir wollen auf eine einsatzbereite Alternative umsteigen – so schnell wie möglich und spätestens bis 2030.“ Ein eigens eingebrachter Entschließungsantrag soll den Ausstiegswillen unterstreichen.

Ob die polizeilichen Nutzer aber tatsächlich schon nach kurzer Zeit wieder aussteigen werden, ist keineswegs sicher. Denn Palantir-Systeme sind nicht interoperabel mit alternativen Produkten. In ein anderes System umzusteigen, ist entsprechend aufwendig. Die Polizeien in den Bundesländern Hessen und Nordrhein-Westfalen, die bereits Palantir-Nutzer sind, zeigen das: Die selbstverschuldete Abhängigkeit besteht trotz Kritik seit vielen Jahren und bis heute.

„Experimentierklausel“ gibt Polizeidaten frei

Mit der Änderung des Polizeigesetzes hat die Mehrheit im Landtag die Polizeidaten für Palantir freigegeben, aber zugleich die Datentore noch viel weiter geöffnet. Denn auch die Verarbeitung von Daten „bei der Entwicklung, dem Training, dem Testen, der Validierung und der Beobachtung von IT-Produkten einschließlich KI-Systemen und KI-Modellen außerhalb von rein wissenschaftlichen Forschungsarbeiten“ ist nun erlaubt. Diese von Strobls Innenministerium „Experimentierklausel“ genannte Regelung allein ist ein Dammbruch, der kommerziellen Unternehmen Zugriffe auf hoheitliche Datenschätze erlaubt, die niemals für solche Zwecke erhoben wurden.

Dass selbst „KI-Systeme und KI-Modelle“ dabei explizit enthalten sind, versieht diese Datenfreigabe für Entwicklung und Tests mit einem unkontrollierbaren Element. Denn einmal als Trainingsdaten beispielsweise in KI-Sprachmodelle eingegangen, sind die Daten kaum rückholbar. Als Begründung dient blanker Pragmatismus: „KI-Anwendungen benötigen […] zur Entwicklung und zum Testen realitätsnahe Trainingsdaten.“ Dazu brauche man „die Nutzung polizeispezifischer – in aller Regel auch personenbezogener – Daten“ eben.

Ignoranter gegenüber dem Grundsatz der Zweckbindung, der zum Kern des Grundrechts auf informationelle Selbstbestimmung gehört, geht es wohl kaum. Wenn sich dagegen juristischer Widerstand regen würde, wäre das nicht überraschend. Doch unterdessen könnten kommerzielle Unternehmen über diese „Experimentierklausel“ den polizeilichen Datenschatz längst gehoben haben.

Dobrindt plant ebenfalls Datenanalyse

Die Zustimmung im Ländle könnte ein Vorgeschmack auf die anstehenden Diskussionen für die Pläne im Bund sein, die seit dem Sommer bekannt sind: Auch Bundesinnenminister Alexander Dobrindt (CSU) will die Datenbestände der Polizeien des Bundes zusammenführen und analysieren lassen. Das hatten CDU, CSU und SPD im Koalitionsvertrag vereinbart. Ob Dobrindt dafür auch auf Palantir setzen wird, ließ er bisher offen.

Dobrindt ist „in höchstem Maße unglaubwürdig“

Allerdings sind die Grünen im Bund in der Opposition und erklärter Gegner von sowohl Palantir als auch Massendatenauswertungen. Sie wollen den US-Konzern meiden und setzen sich deutlich ab vom Milliardär und Palantir-Mogul Peter Thiel. Sie wenden sich auch generell gegen die polizeiliche automatisierte Datenauswertung, denn sie lehnen „jede Form digitaler Massenüberwachung ab, von der Chatkontrolle über die anlasslose Vorratsdatenspeicherung und öffentliche Gesichtserkennung bis hin zum Einsatz von Palantir-Software“.

Das schreiben die Grünen-Bundesvorsitzende Franziska Brantner und der stellvertretende Grünen-Fraktionsvorsitzende Konstantin von Notz in einem Sechs-Punkte-Plan von letzter Woche. Dass konkret Palantir und generell eine automatisierte Datenfahndung alternativlos seien, sehen sie offenbar anders als ihre Parteifreunde im Süden.