„Mein ganzes Leben war in dieser Polizeiakte: meine Verwandten, meine Anrufe bei meiner Mutter, sogar falsche Angaben über mein Sexualleben. Sie wollten mich als sexuell freizügige Lesbe darstellen und mich über Moralvorstellungen diskreditieren“, sagt Helena Maleno, eine prominente Menschenrechtsverteidigerin. Wenn Migrant:innen auf dem Weg nach Europa in Seenot geraten, informiert sie die Behörden. Durch ihre Arbeit ist sie ins Visier von Strafverfolgungsbehörden geraten. Aber ausgerechnet eine strafrechtliche Ermittlung, die vor mehr als einem Jahrzehnt begann, enthüllte das Netz, das um sie gespannt worden war.

Ihre Akte bei der spanischen Polizei enthielt drei Berichte der EU-Grenzschutzagentur Frontex über Befragungen von Migrant:innen, die 2015 und 2016 mit Booten in Spanien angekommen waren. In den Berichten, die das Recherche-Team eingesehen hat, trugen Frontex-Beamt:innen Informationen auch von ihrem Facebook-Account zusammen und rückten sie in die Nähe von Schleusernetzwerken. Die spanische Polizei erhielt diese Frontex-Berichte Ende 2016 aus der Strafverfolgungsdatenbank von Europol, der EU-Polizeibehörde.

Ein spanischer Staatsanwalt stellte das Verfahren im April 2017 ein, da er an Malenos Handlungen nichts Strafbares feststellen konnte. Dennoch gab die Polizei die Akte ohne ordnungsgemäßes Verfahren an marokkanische Behörden weiter. Dort wurden neue Ermittlungen gegen Maleno eingeleitet, wegen Schleusung und Beihilfe zur irregulären Migration.

Als Maleno später im selben Jahr vor Gericht in Tanger aussagen musste und sich der Richter direkt auf die Frontex-Berichte bezog, war sie fassungslos. „Ich war völlig perplex“, sagt Maleno. „Der Richter befragte mich gezielt zu den Informationen in den Dokumenten der spanischen Polizei und von Frontex. Es war surreal.“ 2019 sprach das marokkanische Gericht sie von allen Vorwürfen frei.

Doch Fragen bleiben.“Wie ist es möglich, dass Frontex Migrant:innen über mich befragt hat?“, fragt Maleno. „Ist es wirklich ihre Aufgabe, Menschenrechtsaktivist:innen auszuspionieren?“

Die juristischen Qualen für Maleno mögen beendet sein, aber ihr Fall zeigt erstmals, wie Frontex und Europol durch undurchsichtigen und rechtlich fragwürdigen Umgang mit Daten zur Kriminalisierung von Aktivist:innen beitragen können.

Tatsächlich ist Maleno ist nur eine von Tausenden Personen, deren personenbezogene Daten von Frontex durch „Debriefing Interviews“ gesammelt wurden. Das sind Befragungen von Geflüchteten nach ihrer Ankunft in Europa. Sie werden von Fachleuten als „verdeckte Verhöre“ bezeichnet und bieten keine grundlegenden rechtlichen Garantien. Auch die EU-Bürgerbeauftragte beschäftigte sich bereits mit dem Thema. 2023 forderte sie Frontex nach Beschwerden dazu auf, mehr zu tun, um die Grundrechte von Geflüchteten bei den Befragungen zu sichern.

Im Laufe von acht Jahren, zwischen 2016 und 2023, hat Frontex die Daten von mehr als 13.000 Menschen unrechtmäßig an Europol weitergeleitet, wo sie in Ermittlungsakten gespeichert und für Ermittlungen der Polizeibehörden der EU-Mitgliedstaaten verwendet wurden.

Seit Jahren warnen Menschenrechtsaktivisten vor einem beunruhigenden Trend: der Kriminalisierung von Geflüchteten sowie von EU-Bürgern, die an den europäischen Außengrenzen humanitäre Hilfe leisten. Die Kriminalisierung findet häufig auf wackeliger rechtlicher Grundlage und mit dürftigen Beweisen statt. Die undurchsichtige Rolle von Europol und Frontex – Behörden, die an vorderster Front der EU-Maßnahmen zur Bekämpfung der Schleuserkriminalität stehen – ist jedoch weitgehend der Überprüfung durch die Öffentlichkeit entzogen.

Diese Recherche wird veröffentlicht von Le Monde, El País und Solomon. Sie basiert auf hunderten von Seiten interner Dokumente und Interviews mit Datenschutzfachleuten, Anwält:innen, Insidern und wichtigen Akteuren. Die Ergebnisse werfen ernsthafte Fragen über die Rolle von Frontex und Europol auf.

Im Netz

Einer, der nicht wusste, dass sowohl Frontex als auch Europol Informationen über seine Aktivitäten haben, ist Tommy Olsen. Der 52-jährige Erzieher aus Norwegen unterstützt seit vielen Jahren Menschen, die über die gefährliche Route von der Türkei nach Griechenland einreisen. Er dokumentiert gewaltsame Pushbacks von Schlauchbooten durch die griechische Küstenwache. Seit 2019 ermittelten griechische Behörden gegen Olsen. Sie werfen ihm vor, an der Schleusung von Geflüchteten beteiligt zu sein. Diesen Vorwurf weist er entschieden zurück.

Informationsfreiheitsanfragen für diese Recherche haben gezeigt, dass Europols „Zentrum zur Bekämpfung der Migrantenschleusung“ über mindestens drei „Erkenntnisberichte“ verfügt, in denen Aegean Boat Report erwähnt wird – Olsens Ein-Mann-Organisation. Europol weigerte sich, den „hochsensiblen“ Inhalt offenzulegen, der über die Netzanwendung für sicheren Datenaustausch (SIENA) von Europol verbreitet wurde, da er angeblich „unmittelbar relevant für vergangene und laufende Ermittlungen“ der Strafverfolgungsbehörden sei.

Nur wenige Tage nach den beiden SIENA-Übertragungen von Europol im Mai 2024 erließ ein griechischer Staatsanwalt auf der Insel Kos einen neuen Haftbefehl gegen Olsen. Während sieben frühere Ermittlungen gegen Olsen eingestellt wurden, droht ihm nun eine Freiheitsstrafe von 20 Jahren.

„Ich hatte keine Ahnung, dass Europol Akten über mich hat. Warum sammeln und teilen sie Daten über meine Aktivitäten und meine Organisation, die lediglich versucht, die Rechte von Geflüchteten zu verteidigen?“

Auch Frontex hat sich geweigert, zwei Debriefing-Berichte freizugeben, die wahrscheinlich an Europol weitergeleitet wurden und in denen Olsens Organisation erwähnt wird. Als Begründung nannte Frontex die Vertraulichkeit des Vorgangs. Außerdem enthielten die Berichte Informationen über „Routen, Vorgehensweisen und die Beteiligung von Schleusern und Menschenhändlern“.

Olsen ist nicht der einzige bekannte Menschenrechtsverteidiger, von dem Informationen über seine Aktivitäten in der Datenbank von Europol gelandet sind.

Im Mai 2022 erfuhr die österreichische Aktivistin Natalie Gruber, dass Europol auch eine Akte über sie führt, nachdem sie einen Antrag auf Datenauskunft über sich gestellt hatte – eines der wenigen rechtlichen Mittel, mit denen Einzelpersonen überprüfen können, welche Daten EU-Behörden über sie gespeichert haben.

Gruber ist Mitbegründerin von Josoor, einer kleinen NGO, die Überlebende von Pushbacks aus Bulgarien und Griechenland in die Türkei unterstützt und diese dokumentiert. Sie geriet ins Visier der Europol-Ermittler, nachdem griechische Staatsanwälte mehrere Anklagen gegen sie erhoben hatten, darunter wegen Beihilfe zur illegalen Einreise von Migrant:innen. Ein Verfahren gegen sie auf Lesbos wurde letztes Jahr eingestellt, ein zweites läuft noch.

Europol hat sich geweigert, den Inhalt ihrer Akte offenzulegen, mit der Begründung, dies könne „Ermittlungen gefährden“ und seine Arbeit behindern. Gruber hat gegen diese Ablehnung schon 2022 Beschwerde beim Europäischen Datenschutzbeauftragten (EDSB) eingereicht, bisher ohne Ergebnis.

„Man steht diesem Bürokratiemonster gegenüber, das einem nie antwortet. Jedes Mal kann man nur einen neuen Antrag stellen und warten. Jahre vergehen. Das ist anstrengend – und es hat tiefgreifende Auswirkungen auf das eigene Leben“, sagt Gruber.

Wie genau Europol an Informationen über Gruber und Olsen gelangt ist und ob diese zur Einleitung der Strafverfahren gegen sie beigetragen haben, bleibt unklar. Olsen hat im April einen eigenen Antrag auf Datenauskunft bei Europol eingereicht.

Er hat große Sorgen, welche Folgen es für ihn haben könnte, dass er in der Datenbank von Europol gelandet ist. „Ich finde es sehr beunruhigend, wenn solche Informationen von EU-Behörden weitergegeben werden. Könnte das in Zukunft zu Problemen führen, wenn ich ein Visum beantrage? Es macht mir auf jeden Fall noch mehr Angst zu reisen“, sagte er.

Menschen werden zu „Verdächtigen“

Im Dezember letzten Jahres schickte Nayra Perez, die damalige Leiterin der Datenschutzabteilung von Frontex, eine E-Mail an den Exekutivdirektor Hans Leijtens, seinen Stellvertreter Uku Särekanno und den Vorsitzenden des Verwaltungsrats – dem wichtigsten Entscheidungsgremium von Frontex.

„Der Europäische Datenschutzbeauftragte hat festgestellt, dass Frontex vier Jahre lang unrechtmäßig personenbezogene Daten an Europol übermittelt hat“, schrieb Perez.

Im Mittelpunkt der Untersuchung des EDSB standen die Debriefing-Befragungen von Frontex an den Außengrenzen Europas. Von den Anlegestellen in Lampedusa und Spanien bis zu den Lagern auf den griechischen Inseln haben die „Debriefer“ von Frontex zusammen mit den nationalen Polizeibehörden jedes Jahr Tausende solcher Befragungen durchgeführt.

Die Frontex-Beamt:innen wurden von der Agentur angewiesen, Migrant:innen trotz ihrer prekären Lage so schnell wie möglich nach ihrem Aufgreifen oder ihrer Ankunft zu befragen. Die Fragen der Frontex-Beamt:innen beziehen sich auf die Gründe für die Flucht aus ihrem Heimatland, ihre Reisewege sowie die Vorgehensweise von Schleusernetzwerken.

Während Frontex die Befragungen als völlig freiwillig darstellt und nicht aktiv personenbezogene Daten der Befragten erfasst, argumentieren Rechtsfachleute, dass die für polizeiliche Vernehmungen üblichen rechtlichen Garantien fehlen, wodurch laut EDSB „die Unschuldsvermutung, das Recht auf ein faires Verfahren und das Recht auf Schweigen“ der Befragten gefährdet sind.

Frontex hat keinen gesetzlichen Auftrag, proaktiv Straftaten zu untersuchen. Die Einschätzung des EDSB ist eindeutig: „Frontex darf nicht systematisch, proaktiv und eigenständig Informationen über Verdächtige grenzüberschreitender Straftaten sammeln.“

Genau das hat Frontex jedoch getan. Ein vorläufiger Bericht der Untersuchung des EDSB vom Mai 2023 ergab, dass Frontex routinemäßig alle Personen, die während einer Nachbesprechung erwähnt wurden, als „Verdächtige“ einstufte und diese Informationen an Europol weiterleitete.

Darunter befanden sich auch „Daten von Personen, von denen die befragte Person gehört oder die sie gesehen hat, deren Namen sie jedoch nicht überprüfen konnte, sowie Daten von Personen, die sie aus Angst oder in der Hoffnung auf Vorteile erwähnt hat“.

Der Anwalt Daniel Arencibia vertritt Migrant:innen, gegen die auf den Kanarischen Inseln wegen Schleusung ermittelt wird. Dutzende Geflüchtete wurden dort gerichtlich verurteilt, weil sie Boote gesteuert hatten. „Was Frontex während dieser Befragungen tut, findet in einer Black Box statt, ohne reguläre Strafverfahren oder rechtliche Garantien, die schutzbedürftige Migrant:innen vor Kriminalisierung schützen könnten.“

Es ist keineswegs harmlos, wenn Frontex-Beamt:innen Geflüchtete nach Personen fragen, die ihnen die Reise ermöglicht haben – also mutmaßliche Schleuser:innen. 2024 setzte Frontex mehr als 800 Beamt:innen für die Befragungen ein, sie sind die „größte operative Erhebung personenbezogener Daten bei Frontex“ der fast eine Milliarde Euro schweren EU-Agentur mit Sitz in Warschau.

„Diese Befragungen sind Teil eines Systems, das Menschen ins Gefängnis bringt. Aber es ist extrem schwierig zu überprüfen, wie genau Frontex Daten mit anderen Akteuren austauscht, weil wir Anwält:innen im Unklaren gelassen werden“, sagt Arencibia.

Diese Intransparenz behindert nicht nur die rechtliche Kontrolle, sondern verstärkt auch eine zutiefst problematische Sichtweise auf Schleusung, die die Art und Weise prägt, wie Daten erhoben und verwendet werden.

Gabriella Sanchez, Wissenschaftlerin an der Georgetown University und ehemalige Ermittlerin mit Schwerpunkt auf Schleusung, erklärt: „Die Vorstellung von Schleuserkriminalität, von der Frontex und Europol ausgehen, ist unglaublich simpel, aber mächtig. Sie geht davon aus, dass alle Schleuser Männer sind, die in Netzwerken organisiert sind, und basiert auf zutiefst rassistischen Vorstellungen. Tatsächlich werden Migrant:innen systematisch beschuldigt, ihre eigene Schleusung durchzuführen, was die Kriminalisierung verstärkt. In anderen Worten: Tausende von Menschen in der EU – insbesondere junge Männer und Kinder, die aufgrund ihres Aussehens diskriminiert werden – geraten in die Fänge der Datenerfassung.“

Unrechtmäßige Übermittlungen an Europol

Nach dem aktuellen gesetzlichen Auftrag von Frontex aus dem Jahr 2019 darf die Agentur Daten nur nach einer strengen Einzelfallprüfung an Europol weitergeben. Der abschließende Untersuchungsbericht des EDSB, der sich auf Datenübermittlungen zwischen 2019 und Mitte 2023 konzentriert, bestätigte jedoch, dass Frontex „automatisch“ jeden einzelnen Bericht an seine Kolleg:innen in Den Haag weiterleitete.

Eine Kopie dieses Untersuchungsberichts, der durch eine Informationsfreiheitsanfrage bekannt wurde, offenbart das Ausmaß der rechtswidrigen Datenübermittlungen von Frontex. Allein zwischen 2020 und 2022 übermittelte Frontex 4.397 Debriefing-Berichte inklusive Namen, Telefonnummern und Facebook-IDs an das Zentrum zur Bekämpfung der Migrantenschleusung von Europol.

Auf der Grundlage dieser Berichte verarbeitete Europol die personenbezogenen Daten von 937 Verdächtigen und gab 875 „Erkenntnisberichte“ heraus, die die nationalen Polizeibehörden für ihre Ermittlungen zur Bekämpfung der Schleuserkriminalität informierten.

Dies ist nur ein Bruchteil der Tausenden Personen und Hunderten Organisationen, die seit Beginn der groß angelegten Datenübermittlungen durch Frontex im Jahr 2016 im Rahmen des sogenannten „PeDRA“-Programms in die Datenbanken von Europol gelangt sind, wie aus Zahlen von Frontex hervorgeht.

Der Rechenschaft entzogen

Im November 2022 führte der Ausschuss für bürgerliche Freiheiten des EU-Parlaments seine erste Anhörung zu PeDRA durch – dem wenig bekannten Programm von Frontex zur Übermittlung personenbezogener Daten an Europol.

Der stellvertretende Exekutivdirektor von Frontex, Uku Särekanno, teilte den Abgeordneten mit, dass Frontex bis zu diesem Zeitpunkt Daten zu etwa 13.000 „möglichen Verdächtigen“ an Europol weitergegeben habe. Särekanno erschien bei der Anhörung zusammen mit zwei weiteren hochrangigen Beamten, die an PeDRA beteiligt sind: Jürgen Ebner, stellvertretender Direktor von Europol, und Mathias Oel, damals leitender Beamter in der Generaldirektion Migration und Inneres der Europäischen Kommission.

In sorgfältig abgestimmten Erklärungen versicherten alle drei Beamte den Abgeordneten, dass die Datenübermittlung nicht automatisch erfolge und auf einer soliden Rechtsgrundlage basiere.

„Wir sprechen hier nicht von einer massenhaften Datenübermittlung, sondern von einer Einzelfallprüfung“, erklärte Särekanno dem LIBE-Ausschuss. „Wir erhalten keine Massendaten von Frontex; dies geschieht auf Einzelfallbasis“, bekräftigte Ebner von Europol. Die Übermittlung personenbezogener Daten erfolge ausschließlich „auf Ad-hoc-Basis“; PeDRA sei „kein systematischer Datenaustausch“, sagte Oel und fügte hinzu, dass die „über Verdächtige grenzüberschreitender Straftaten gesammelten Informationen für strafrechtliche Ermittlungen von großem Wert“ seien.

Nicht nur der EDSB-Bericht ein paar Monate später offenbarte, dass das nicht stimmt. Das Recherche-Team konnte durch Informationsfreiheitsanfragen interne Kommunikation einsehen. Die zeigt, dass die drei Behörden ihre Positionen abgesprochen und Briefings sowie Sprechzettel ausgetauscht hatten. In einer der Korrespondenzen sprechen Vertreter:innen von Frontex und der Kommission davon, dass man sich koordinieren müsse, um die Botschaften an die Parlamentarier:innen „abzustimmen“, bei einem „Treffen, das nicht einfach wird“.

Frontex-Sprecher Chris Borowski erklärte, dass die Aussage von Särekanno „in gutem Glauben und auf der Grundlage der damals geltenden internen Vereinbarungen und Rahmenbedingungen“ gemacht worden sei. Matthias Oel erklärte gegenüber dem Recherche-Team, dass „die Angaben auf den von Frontex bereitgestellten Informationen beruhten“. Ebner reagierte nicht auf eine Bitte um Stellungnahme.

Obwohl dies im Parlament aufgedeckt wurde, wurden die automatischen Übermittlungen weitere sieben Monate lang unvermindert fortgesetzt, bis der EDSB im Mai 2023 intervenierte.

Die grüne Europaabgeordnete Saskia Bricmont, die die Sitzung damals verfolgt hatte, sagte, die Enthüllungen über die Datenübermittlungen seien sehr besorgniserregend: „Die wahllose und massive Übermittlung von Daten von Frontex an Europol ist nach EU-Recht verboten, und jede Übermittlung muss sehr strenge Bedingungen erfüllen. Die Kriminalisierung von Migranten ist ein besorgniserregender Trend, dem die EU-Behörden nicht folgen sollten. EU-Behörden müssen sich an die Grundsätze der Transparenz und Rechenschaftspflicht halten. Wenn Vertreter von Frontex und Europol das Europäische Parlament belogen oder Informationen vor ihm verschwiegen haben, würde dies das gegenseitige Vertrauen stark beeinträchtigen und die Vorfälle müssen schnell aufgeklärt werden.“

Niovi Vavoula, Expertin für Datenschutzrecht an der Universität Luxemburg, weist darauf hin, dass „automatische Datenübermittlungen von Anfang an nicht rechtmäßig waren“, worauf auch der EDSB vor Beginn der Übermittlungen hingewiesen hatte.

Es steht viel auf dem Spiel. Der EDSB warnt vor „tiefgreifenden Folgen“ für unschuldige Menschen, die von diesen Datenübermittlungen betroffen sind. Sie laufen „Gefahr, zu Unrecht EU-weit mit einer Straftat in Verbindung gebracht zu werden – mit allen daraus folgenden möglichen Schäden für ihr Privat- und Familienleben, ihre Bewegungsfreiheit und ihren Beruf“.

Im Januar hat Frontex-Direktor Hans Leijtens seine Europol-Amtskollegin Catherine De Bolle offiziell über die rechtswidrigen Übermittlungen informiert. Laut dem Europäischen Datenschutzbeauftragten Wiewiórowski ist Europol durch diese Mitteilung verpflichtet, „zu prüfen, welche personenbezogenen Daten von der Übermittlung betroffen sind, und diese zu löschen oder zu beschränken“.

Auf Nachfrage distanzierte sich Europol-Sprecher Jan Op Gen Oorth von den Ergebnissen des EDSB. Die sorgfältig formulierte Antwort umgeht die Kernfrage: Wird Europol die von Frontex unrechtmäßig übermittelten Daten löschen? Die Tatsache, dass der EDSB Frontex wegen Nichteinhaltung des EU-Rechts gerügt habe, „bedeutet nicht, dass die Datenverarbeitung der von Frontex erhaltenen Informationen durch Europol nicht rechtmäßig war“, so Oorth.

Niovi Vavoula sagt jedoch, dass vermeintliche Vorteile Europol nicht davon entbinden, Vorschriften einhalten zu müssen. „Die Verantwortung von Europol, die von Frontex unrechtmäßig erhaltenen Daten zu löschen, darf nicht vergessen werden. Europols Weiterverarbeitung der Daten kann den ‚Makel‘ der Daten als ‚Samen verbotener Früchte‘ nicht beseitigen.“

Beide Behörden beharren darauf, dass die Sammlung großer Datenmengen bei der Analyse der Vorgehensweise von Schleusernetzwerken helfen und zur Strafverfolgung von Schleusern beitragen kann.

Die Annahme hinter diesen groß angelegten Datenerfassungen ist jedoch fehlerhaft, argumentiert die Expertin Gabriella Sanchez: „EU-Behörden rechtfertigen die Erhebung von Daten von Migranten damit, dass sie notwendig sei, um komplexe, länderübergreifende Schleusernetzwerke zu bekämpfen. Dadurch entsteht der Eindruck, dass die Daten tatsächlich verlässlich oder nützlich sind. Wir wissen aber, dass dies nicht der Fall ist.“

Probleme bleiben

Nur wenige Tage nachdem der EDSB im Mai 2023 erstmals auf schwerwiegende Probleme hingewiesen hatte, setzte Frontex die automatische Datenübermittlung an Europol aus.

Seitdem hat Frontex seine Verfahren überarbeitet: Personenbezogene Daten werden nun nur noch auf „konkrete und begründete“ Anfrage hin an Europol weitergegeben. Von 18 solcher Anfragen, die bis Mai 2025 eingereicht wurden, genehmigte Frontex’ Datenschutzbeauftragter nur vier. „Frontex hat aus dieser Erfahrung klare Lehren gezogen und entwickelt seine internen Praktiken entsprechend weiter“, erklärte Frontex-Sprecher Chris Borowski gegenüber dem Rechercheteam.

Zwar hat Frontex noch nicht alle Vorgaben des EDSB zur Angleichung seiner Debriefing-Praktiken an die Grundrechtsverpflichtungen vollständig umgesetzt, doch sollen die Menschenrechtsbeobachter von Frontex nun Zugang zu einigen der Befragungen erhalten haben, und im vergangenen Jahr hat Leijtens neue – wenn auch nicht verbindliche – Richtlinien zur Stärkung der Schutzmaßnahmen verabschiedet.

Diese Bemühungen stoßen in einigen EU-Mitgliedstaaten auf Widerstand. Im März 2025 alarmierte die Grundrechteabteilung von Frontex den Verwaltungsrat der Agentur über Fälle, in denen Informationen aus Debriefings „für strafrechtliche Ermittlungen gegen die befragten Migranten und andere Personen verwendet wurden“. Die Abteilung äußerte auch Bedenken „hinsichtlich des Zugriffs und Sammlung von Informationen auf den Mobiltelefonen der Geflüchteten während der Debriefings“.

Internen Berichten zufolge sind die Probleme in Spanien am akutesten. Dort setzen die Behörden Frontex-Beamt:innen unter Druck, so viele Informationen wie möglich von neu angekommenen Migrant:innen zu erhalten. Das widerspricht genau den Schutzmaßnahmen, die die Agentur angeblich eingeführt hat. Unterdessen besteht Europol darauf, einen umfassenderen Zugang zu den Debriefing-Daten von Frontex zu behalten.

Diese Recherche wurde durch den IJ4EU-Fund gefördert. Luděk Stavinoha ist Dozent für Medien und globale Entwicklung an der University of East Anglia. Er forscht zu EU-Transparenz und Migrationsmanagement. Apostolis Fotiadis ist Journalist und recherchiert zu EU-Politik in den Bereichen Technologie, Überwachung und digitale Rechte. Lola Hierro ist Journalistin in der Auslandsredaktion von El País und beschäftigt sich mit Migration, Menschenrechten und nachhaltiger Entwicklung.

Der global agierende IT-Distributor Ingram Micro ist Opfer eines Cyberangriffs geworden. Die Webseite ist für deutsche Kunden im Wartungsmodus. Das Unternehmen hat einen andauernden Systemausfall gemeldet.

Als börsennotiertes Unternehmen hat Ingram Micro am Samstag eine Ad-hoc-Meldung dazu veröffentlicht. „Ingram Micro hat jüngst Ransomware auf bestimmten internen Systemen entdeckt. Umgehend nach Erkennung des Problems hat das Unternehmen Schritte unternommen, um die relevante Umgebung abzusichern. Dazu gehört das proaktive Offline-Nehmen bestimmter Systeme und die Implementierung weiterer Gegenmaßnahmen“, schreibt das Unternehmen dort.

„Das Unternehmen hat zudem eine Untersuchung angestoßen, mit der Unterstützung führender Cybersecurity-Experten, und die Strafverfolger informiert.“ Ingram Micro arbeite fleißig daran, die betroffenen Systeme wiederherzustellen, sodass es Aufträge verarbeiten und versenden kann. „Das Unternehmen entschuldigt sich für die Störungen, die der Vorfall bei den Kunden, Verkaufspartnern und anderen auslöst“, schließt die kurze Börsennotiz ab. Auf den Börsenkurs hat der Vorfall bislang keinen signifikanten Einfluss.

Ransomware: Noch keine Details klar

Weitere Details sind derzeit noch unklar. Ingram Micro schreibt von Ransomware, aber bislang hat die dahinterstehende Cybergruppe sich noch nicht öffentlich geäußert. Es ist sehr wahrscheinlich, dass eine Lösegeldforderung vorliegt, aber auch da erwähnt das Unternehmen nichts zur Höhe. Einen Zeitplan, wann die Systeme wieder normal einsatzfähig sind, hat Ingram Micro ebenfalls nicht vorgelegt.

Zuletzt wurde vergangene Woche bekannt, dass Cyberkriminelle in Norwegen die Kontrolle über einen Staudamm am Risevatnet-Stausee erhalten hatten. Über Stunden konnten sie dessen Ventile steuern und hatten diese voll geöffnet.

(dmk)

Trotz vielfältiger Kritik greift die Idee, automatisierte Massendatenanalysen mit Palantir in der Polizeiarbeit zu nutzen, weiter um sich. Der jüngste Beschluss der Innenministerkonferenz liebäugelt zwar mit einem „neuen, europäisch beherrschten System“ statt der Palantir-Software, deren Anbieter aus den Vereinigten Staaten stammt. Aber bis irgendwann einmal Ersatz gefunden ist, muss man wohl mit dem vorliebnehmen, was bereits da ist.

Und das ist eben Palantir. Derzeit ist in Sachsen-Anhalt zu beobachten, wie darum gestritten wird. Dort hat die Landesregierung aus CDU, SPD und FDP im Januar einen Gesetzentwurf „zur Änderung des Gesetzes über die öffentliche Sicherheit und Ordnung des Landes Sachsen-Anhalt“ vorgelegt. Die automatisierte polizeiliche Datenanalyse würde damit erstmals erlaubt. Sie sei „erforderlich“, steht in der Gesetzesbegründung, und auch dem „stetigen Ansteigen der vorhandenen Daten, welche durch die Polizei ausgewertet werden müssen“, geschuldet.

Kritik an dem Entwurf war bereits in einer öffentlichen Anhörung im Innenausschuss des Magdeburger Landtags am 24. April 2025 geäußert geworden. Denn seit einem Urteil des Bundesverfassungsgerichts aus dem Jahr 2023 müssen detaillierte Vorgaben für den Einsatz von Palantir oder vergleichbarer Software bei der Polizei erfüllt werden, zu deren Umsetzung Gesetzgeber verpflichtet wurden.

Zudem wirft die Trump-Regierung und der Schmusekurs der US-Tech-Konzerne seine Schatten: Es scheint sich in der politischen Bewertung US-amerikanischer Anbieter, insbesondere bei sensiblen Daten aus dem Innenleben der Polizei, die Haltung durchgesetzt zu haben, dass zu starke Abhängigkeiten bei polizeilicher Rasterfahndungssoftware zu vermeiden seien.

Stellungnahmen der Sachverständigen

Die Bewertungen der Experten in der Innenausschuss-Anhörung sind also von besonderem Interesse. Allerdings veröffentlicht der sachsen-anhaltinische Landtag die schriftlichen Stellungnahmen von Sachverständigen bei solchen Anhörungen nicht online. Das erscheint im Jahr 2025 nicht mehr zeitgemäß. Auf Nachfrage von netzpolitik.org, warum man zwar die Protokolle der öffentlichen Sitzungen der Ausschüsse, nicht aber die abgegebenen Stellungnahmen veröffentlicht, antwortet Sachsen-Anhalts Landtagsverwaltung nichts. Wegen „Absprachen im Hause“ und wegen Urlaubs könne man erst ab 21. Juli antworten.

Dankenswerterweise stellt die in den Ausschuss geladene Sachverständige Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) ihre Stellungnahme (pdf) nun zur Verfügung. Die Stellungnahme von Jonas Botta (pdf) vom Deutschen Forschungsinstitut für öffentliche Verwaltung hatte der Sachverständige bereits kurz nach der Anhörung öffentlich gestellt.

Nach der Stellungnahme von Maria Rost, der sachsen-anhaltinischen Landesbeauftragten für den Datenschutz, haben wir ihre Behörde schriftlich gefragt. Denn in der öffentlichen Ausschuss-Sitzung am 24. April gab die Datenschützerin an, ihre Stellungnahme im Nachgang der Sitzung an den Landtag zu senden. Rosts Behörde schickte auf die schriftliche Bitte von netzpolitik.org ein kurzes Schreiben, das als Stellungnahme an den Ausschuss gegangen war. Das Schreiben deckt sich mit den mündlichen Aussagen Rosts in der Anhörung.

Rost weist darauf hin, dass die Kategorien von Personen, die bei der Datenanalyse erfasst werden sollen, „zu weitgehend“ seien. Es würden „auch Personen erfasst, die für ihre Speicherung in den polizeilichen Systemen selbst keinen Anlass gegeben haben (Nichtstörer, Zeugen, Begleitpersonen)“.

Auf Nachfrage von netzpolitik.org macht auch die GFF-Juristin Görlitz deutlich, was fehlende Beschränkungen bei den Personenkategorien praktisch bedeuten: Dadurch können „auch Daten völlig unbeteiligter Personen, wie zum Beispiel Opfer einer Straftat oder anzeigeerstattende Personen, in die Analyse geraten“.

Welche Daten zusammengeführt werden

Niemand hatte in der Anhörung bestritten, dass mit dem Gesetzentwurf und dem Einsatz von Analysesoftware schwere Grundrechtseingriffe verbunden sind, insbesondere in das Recht auf informationelle Selbstbestimmung. Jedoch gehen Botta und Görlitz deutlich härter und ausführlicher mit dem Gesetzentwurf ins Gericht als Rost, deren mündliche Auskünfte vielfach vage blieben.

Ein Knackpunkt sind die in die Analyse einfließenden Daten. In der Stellungnahme von Jonas Botta wird die Art der verschiedenen Daten konkretisiert, die durch die Software zusammengeführt werden: Es handelt sich zum einen um eine Fülle an sogenannten Vorgangsdaten wie Anzeigen, Ermittlungsberichte, Hinweise, Zeugenaussagen und Vermerke aus dem Polizeialltag und zusätzlich um die polizeilichen Falldaten. Zum anderen kommen Daten aus den Informations- und Austauschsystemen der Polizei und dem bundesweiten polizeilichen Informationssystem (INPOL-neu) hinzu, dazu noch Telekommunikationsverkehrsdaten aus Funkzellenabfragen sowie weitere Telekommunikationsdaten und Daten aus Asservaten, also beschlagnahmten Geräten. Die Liste ist also nicht nur lang, sondern vor allem vielfältig.

Botta, Verfassungs- und Datenschutzjurist beim Deutschen Forschungsinstitut für öffentliche Verwaltung, weist darauf hin, dass keine herkunftsbezogene Beschränkung im Gesetzentwurf enthalten ist. So können beispielsweise auch Daten hineingerührt werden, die gar nicht durch inländische Polizeibehörden erhoben worden sind. Das betrifft auch Geheimdienstdaten: Personenbezogene Daten, die von Geheimdiensten wie Verfassungsschutz, Bundesnachrichtendienst oder Militärischem Abschirmdienst an Polizeibehörden übermittelt wurden, können so ebenfalls bei Palantir landen. Es sei nach dem Gesetzentwurf zulässig, solche Geheimdienstinformationen, die sich „in den polizeilichen Datenbeständen befinden, in eine Analyseplattform einzuspeisen“, so Botta.

Die Sachverständige Franziska Görlitz von der GFF erinnert in ihrer Stellungnahme (pdf) den Gesetzgeber daran, „dass ausreichende Regelungen zu Art und Umfang der Daten und zur Beschränkung der Datenverarbeitungsmethoden im Gesetz geregelt“ werden müssen. Genau das fordert nämlich das Palantir-Urteil des Bundesverfassungsgerichts aus dem Jahr 2023. Sachsen-Anhalt missachtet dies, stellt Görlitz fest, denn die entsprechende Regelung des Entwurfs „genügt diesen Anforderungen nicht“. Es gäbe „keine ausreichenden Begrenzungen von Art und Umfang der verwendeten Daten sowie der Analysemethoden“.

Ihre Bewertung des Gesetzentwurfs fällt unzweideutig aus: „Die im Entwurf geplanten gesetzlichen Grundlagen für automatisierte Datenanalysen durch die Polizei in Sachsen-Anhalt genügen den verfassungsrechtlichen Vorgaben nicht. Sowohl die geplante operative als auch die strategische Datenanalyse ermöglichen weitreichende und komplexe automatisierte Datenanalysen und Predictive Policing.“ Mit dem Begriff „Predicitive Policing“ wird eine polizeiliche Software-Analyse umschrieben, die auch Vorhersagen und Wahrscheinlichkeiten für zukünftige Ereignisse berechnen soll.

Görlitz bemängelt noch mehr Grundsätzliches: „Es fehlen Vorschriften zum Schutz vor diskriminierenden Algorithmen. Auch sind die Voraussetzungen, unter denen die Analysen stattfinden dürfen, zu gering, gerade für die strategische Datenanalyse. So sind Analysen schon weit im Vorfeld tatsächlicher Gefahren möglich. Zudem überlässt der Gesetzgeber zu viele grundrechtswesentliche Fragen, die er selbst im Gesetz entscheiden müsste, der Verwaltung zur eigenen Regelung durch Verordnung.“

Auch der Sachverständige Jonas Botta macht gegenüber netzpolitik.org deutlich, wie kritisch er das geplante Gesetz sieht: „Das Bundesverfassungsgericht hat 2023 klare Maßstäbe für eine verfassungskonforme Datenanalyse durch die Polizei formuliert. Diese Anforderungen hat die Landesregierung bei der Ausarbeitung des Gesetzentwurfs nur unzureichend beachtet.“

Botta sieht zudem die Kontrolle unzureichend geregelt: Es mangele „an einem wirksamen Kontrollkonzept – sowohl durch interne als auch durch externe Datenschutzbeauftragte“. Er betont, dass eine technologisch besser aufgestellte Polizei für eine effektive Gefahrenabwehr bedeutsam sei. Aber umso entscheidender sei es, „ihre neuen Befugnisse klar grundrechtlich zu begrenzen“.

Bayern testet rechtswidrig Palantir-Software

Zwischenlösung Palantir?

Wir haben das Innenministerium von Sachsen-Anhalt wie in bisher jeder schriftlichen Anfrage von netzpolitik.org gefragt, ob und welche Alternativen zu Palantir bei polizeilicher Analysesoftware dort bekannt sind oder in Erwägung gezogen werden. Auf die Frage antwortet das Ministerium nur ausweichend und nennt keine alternativen Anbieter.

Innenministerin Tamara Zieschang (CDU) hatte im April in der Innenausschuss-Anhörung erklärt, dass es „binnen der nächsten ein, zwei Jahre“ keine bundesweite Lösung geben werde. Sie hätte sich tags zuvor erst „mit einem Anbieter einer weiteren Software darüber unterhalten, ob diese das überhaupt bewerkstelligen kann“. Es hätte sich „um einen deutschen Software-Hersteller“ gehandelt. Der Anbieter blieb wie immer namenlos.

Auf die Frage von netzpolitik.org danach, ob die Software von Palantir für ein Vergabeverfahren noch in Frage kommen kann, wenn nach dem Beschluss der Innenministerkonferenz (IMK) „zuverlässige Beherrschbarkeit und die Rechtskonformität zu gewährleisten sowie die strukturellen Einflussmöglichkeiten außereuropäischer Staaten auszuschließen“ sein sollen, bleibt das Ministerium die Antwort schuldig. Man könne „zum gegenwärtigen Zeitpunkt keine Angaben zu Anbietern spezifischer Softwareprodukte“ machen. Ansonsten verweist das Innenministerium auf eine parlamentarische Antwort, die zu den Fortschritten bei einem gemeinsamen polizeilichen „Datenhausökosystem“ informiert. Demnach werden seit Ende 2024 „initiale Services durch erste Teilnehmer in den Wirkbetrieb genommen“, darunter die Polizei Sachsen-Anhalts.

Auch ob das Innenministerium als mögliche Zwischenlösung überhaupt die Software von Palantir in Erwägung zieht, bleibt unbeantwortet. Man unterstütze den IMK-Beschluss für ein europäisch beherrschtes System, teilt eine Sprecherin mit. Das mag wohlfeil sein, aber dieses System liegt bekanntermaßen schlicht nicht vor.

In der mündlichen Anhörung im sachsen-anhaltinischen Innenausschuss gab die Landesdatenschutzbeauftragte Rost zu der Frage nach Alternativen die Angabe zu Protokoll, dass sie nicht wüsste, „ob es noch andere Angebote gibt, ob dazu eine Markterkundung gemacht“ worden sei.

Jurist Botta schätzt die „faktische Monopolstellung von Palantir“ als „besorgniserregend“ ein. Soweit bekannt, würde „für die deutschen Polizeibehörden bislang keine ernstzunehmende Alternative“ erwogen: „Das widerspricht grundlegenden Prinzipien digitaler Souveränität.“ Botta erklärt gegenüber netzpolitik.org, dass es endlich den politischen Willen brauche, digitale Abhängigkeiten zu überwinden und „rechtsstaatliche Leitplanken nicht nur anzumahnen, sondern auch konsequent umzusetzen“.

Trump geleckt

Probleme nicht nur in Sachsen-Anhalt

Die automatisierte polizeiliche Datenanalyse ist kein Spezialproblem Sachsen-Anhalts. Die GFF hatte bereits das Palantir-Urteil in Karlsruhe erstritten und danach neuerliche Verfassungsbeschwerden eingereicht sowie weitere angekündigt. Denn aus Sicht der GFF missachten die gesetzlichen Neuregelungen in den derzeitigen Palantir-Nutzerländern Nordrhein-Westfalen und Hessen verfassungsrechtliche Vorgaben. Seit Oktober 2022, also schon vor dem Palantir-Urteil eingereicht, liegt eine Verfassungsbeschwerde gegen das NRW-Polizeigesetz in Karlsruhe. Auch die gesetzliche Regelung zur automatisierten Datenanalyse im Freistaat Bayern, die nach dem Bundesverfassungsgerichtsurteil ergangen ist, betrachtet die GFF kritisch.

Für Sachsen-Anhalt sieht es offenbar nicht besser aus. Jurist Botta formuliert es gegenüber netzpolitik.org in aller Deutlichkeit: „Unabhängig von einer möglichen Nutzung von Palantir verstößt die landesrechtliche Regelung zum polizeilichen Data Mining gegen das Grundgesetz – insbesondere gegen das Recht auf informationelle Selbstbestimmung.“

Ob also der milliardenschwere US-Anbieter auch in Sachsen-Anhalt zum Zuge kommt, ist nur ein Teil des Problems. Das andere liegt darin, dass die Landesregierung ihre verfassungsrechtlichen Hausaufgaben nicht gemacht hat. Man könnte meinen, das Palantir-Urteil des Bundesverfassungsgerichts wird im Innenministerium Sachsen-Anhalts mehr als zwangloser Vorschlag denn als das gesehen, was es ist: eine verpflichtende Vorgabe.