Der Innenausschuss von Sachsen-Anhalt hatte heute einen Gesetzentwurf auf der Tagesordnung, der es in sich hat: Die Polizei soll eine Reihe neuer Befugnisse bekommen, darunter auch die polizeiliche Datenanalyse. Hinter dem Begriff versteckt sich die Idee, die verschiedenen Datentöpfe der Polizei zusammenzuführen und die Informationen darin automatisiert auszuwerten.

Bisher wird in den vier Bundesländern, die eine solche Datenanalyse in ihren Polizeigesetzen erlauben und anwenden, die Softwarelösung „Gotham“ des US-Konzerns Palantir genutzt. Aus geopolitischen Gründen ist der US-Anbieter aber gerade bei sensiblen polizeiinternen Daten alles andere als die erste Wahl. Die Softwaresysteme des Konzerns sind proprietär und die genauen Funktionen Geschäftsgeheimnisse.

Die automatisierte polizeiliche Datenanalyse ist auch rechtlich längst kein unbeschriebenes Blatt mehr, sondern wurde bereits wegen Gesetzen in Hessen und Hamburg beim Bundesverfassungsgericht verhandelt. Beide Gesetze waren in Teilen verfassungswidrig. Auch Nordrhein-Westfalen, Bayern und Baden-Württemberg stehen gerade wegen der Datenanalyse-Regelungen in ihren Polizeigesetzen und wegen der Zusammenarbeit mit Palantir in der Kritik. Ein Urteil des Bundesverfassungsgerichts aus dem Februar 2023 macht weitreichende und detaillierte Vorgaben für solche Datenzusammenführungen.

Das Urteil, das alle deutschen Gesetzgeber bindet, scheint aber nicht überall mit der genügenden Expertise gelesen worden zu sein: In Sachsen-Anhalt war der Gesetzentwurf von Sachverständigen harsch kritisiert worden, weil er die Vorgaben aus Karlsruhe nicht ausreichend umsetzt.

Experten zerpflücken automatisierte Datenanalyse bei der Polizei Sachsen-Anhalt

Doch die Experten stießen offenbar auf taube Ohren: Ohne Korrekturen wurden die geplanten gesetzlichen Regelungen zur Datenanalyse nun von den Regierungsparteien CDU, SPD und FDP als Beschlussempfehlung an das Parlament gegeben. Der Gesetzentwurf blieb unverändert in der ursprünglichen Fassung von 14. Januar 2025, was die umstrittene Datenanalyse angeht. Die Regierungskoalition kündigte aber einen Entschließungsantrag zur zweiten Lesung im Landtag an. Der Inhalt des Antrags ist noch unbekannt.

Nicht nur ein Problem Sachsen-Anhalts

Die Juristin und Palantir-Expertin Franziska Görlitz von der Gesellschaft für Freiheitsrechte (GFF) hatte die Datenzusammenführung von Polizeidaten, die im sachsen-anhaltinischen Gesetz Strategische Datenanalysen und Operative Datenanalysen heißen, in ihrer Stellungnahme als „schwerwiegenden Grundrechtseingriff“ bewertet. Die Grenzen vor allem der Strategischen Analyse würden das Urteil des Bundesverfassungsgerichts zur automatisierten Datenanalyse aus dem Jahr 2023 missachten: Die „vorgesehenen Eingriffsschwellen“ genügten den Vorgaben aus Karlsruhe nicht.

Die Datenmenge der Analyse ist im Gesetzentwurf nicht beschränkt. Da zahlreiche polizeiliche Datenbanken und Auskunfts- und Informationssysteme einbezogen werden dürfen, ist das Polizeigesetz damit nicht nur ein Problem Sachsen-Anhalts. Denn es fließen auch Daten in die Analyse ein, die gar nicht von der dortigen Landespolizei erhoben wurden.

Darauf verwies auch Jonas Botta, Sachverständiger in der Anhörung und Verfassungs- und Datenschutzjurist beim Deutschen Forschungsinstitut für öffentliche Verwaltung. Es sei keine herkunftsbezogene Beschränkung im Gesetzentwurf enthalten. So würden beispielsweise sogar Daten in die Analyse einfließen dürfen, die nicht einmal von inländischen Polizeibehörden stammen. Das betrifft etwa Geheimdienstdaten vom Verfassungsschutz, Bundesnachrichtendienst oder Militärischen Abschirmdienst, die an Polizeibehörden übermittelt wurden. Es sei nach dem Gesetzentwurf zulässig, Geheimdienstinformationen, die sich „in den polizeilichen Datenbeständen befinden, in eine Analyseplattform einzuspeisen“, so Botta in seiner Stellungnahme.

Gegenüber netzpolitik.org sagt Juristin Görlitz, dass im geplanten Polizeigesetz „weitgehend unbegrenzte Analysen riesiger Datenmengen bei der Polizei unter zu geringen Voraussetzungen“ vorgesehen seien. Das beträfe auch Daten völlig unverdächtiger Menschen, darunter beispielsweise auch vermisste Personen oder Opfer von Straftaten. Es könnten „Unbeteiligte ins Visier der Polizei geraten, ohne dass sie dafür Anlass geboten haben“.

Wie diese Analysen ablaufen, sei im Gesetz „kaum eingeschränkt“. Es mangele auch an „ausreichender Kontrolle und Sicherungen“, um wirksam vor Fehlern, diskriminierender Software und Missbrauch zu schützen. Das sei deswegen problematisch, weil die polizeilichen Datenanalysen weitgehende Überwachungsmaßnahmen seien, die tief in die Grundrechte eingriffen, ohne dass die Betroffenen das überhaupt mitbekämen.

Görlitz erklärt unzweideutig: „Die vom Bundesverfassungsgericht aufgestellten Anforderungen für Datenanalyse-Befugnisse sind nicht eingehalten.“

Auch hat das Gesetz in Sachsen-Anhalt weitere Defizite, die bereits in anderen Bundesländern kritisiert wurden. In Hessen liegt etwa eine Verfassungsbeschwerde der GFF gegen das dortige Polizeigesetz und die automatisierte Datenanalyse vor, die das hohe Gericht aktuell bearbeitet. Gerügt wird darin insbesondere, dass zuviele konkret im Gesetz zu regelnde Vorgaben kurzerhand in Verordnungen ausgelagert werden.

Das kritisiert Görlitz auch an den sachsen-anhaltinischen Plänen, bei denen die Befugnis zu Datenanalysen nicht ausreichend beschränkt sei. Der Gesetzgeber „überlässt es der Verwaltung, selbst Beschränkungen festzulegen“. Die Juristin hat keine Zweifel: „Der Entwurf ist daher verfassungswidrig.“

Opposition gegen eine Zusammenarbeit mit Peter Thiel und Palantir

Die Sachverständigen senkten unmissverständlich die Daumen. Und auch die Opposition im Landtag ist nicht begeistert: Sowohl die Linke als auch die Grünen sehen die Datenanalyse-Befugnisse kritisch.

Die Linken erklären gegenüber netzpolitik.org ihre Ablehnung der Pläne zur Zusammengeführung der Polizeidaten, auch weil diese Menschen einbezieht, ohne dass sie sich „was zu Schulden haben kommen lassen“. Eva von Angern, Fraktionsvorsitzende der Linken, betont: „Ein gläserner Bürger ist mit uns Linken nicht zu machen.“ Sie stellt sich explizit „gegen eine Zusammenarbeit mit Peter Thiel, der Palantir mit entwickelt hat und einer der wichtigsten Hintermänner der rechtsautoritären Wende in den USA ist“.

Die grüne Fraktion erklärt gegenüber netzpolitik.org, dass sie den vom Innenausschuss durchgewunkenen Gesetzentwurf „aufgrund des Überwachungsdrucks, der Streubreite und der Diskriminierungsgefahr“ schlicht als „ verfassungswidrig“ erachte. Das sagt Sebastian Striegel, innenpolitischer Sprecher der Fraktion Bündnis 90/Die Grünen im Landtag von Sachsen-Anhalt, und betont: „CDU, SPD und FDP haben heute im Ausschuss alle praktikablen und verfassungsrechtlichen Bedenken und Zweifel an den Gesetzesvorhaben beiseite gewischt.“

Das Gesetz sei „im Design auf Produkte des Herstellers Palantir zugeschnitten“. Die Landesregierung gebe sich hier „kenntnislos“ und schiebe „Verantwortung an den Bund ab“. Ob im Bund jedoch auch Innenminister Alexander Dobrindt (CSU) auf die Palantir-Karte setzen wird, hat er noch nicht öffentlich kundgetan.

Gefährliche AfD-Vorzeichen

Die langjährige Landesinnenministerin von Sachsen-Anhalt, Tamara Zieschang (CDU), ist offenbar keine allzu starke Verfechterin der Palantir-Softwarelösung. Sie setzt sich für eine alternative Software für die Polizei ein, die all die Datentöpfe der Behörden zusammenführt.

Allerdings steht eine solche Alternative nicht sofort zur Verfügung, anders als die Softwarelösung des US-amerikanischen Konzerns. Denn das Bundesland Bayern hatte einen Rahmenvertrag ausgehandelt, in den auch Sachsen-Anhalts Polizei kurzfristig einsteigen könnte. Daher brachte Zieschang die Systeme von Palantir als eine Art Zwischenlösung als Gespräch.

Sachsen-Anhalt will „interimsweise“ Palantir

Das geplante Polizeigesetz in Sachsen-Anhalt entsteht unter gefährlichen Vorzeichen: Im September 2026 wird dort gewählt. Und eine Regierungsübernahme der AfD scheint nicht ausgeschlossen, wenn man den Umfragen glaubt. Sie sehen die Rechtsradikalen in Sachsen-Anhalt bei Werten um die vierzig Prozent.

Selbst wenn die aktuelle Regierung aus CDU, SPD und FDP doch nicht die bisher favorisierte Interimslösung umsetzt und sich noch gegen den US-Anbieter Palantir entscheidet, könnte die AfD nach der Wahl die Karten neu mischen. Die guten Kontakte ins Trump-MAGA-Lager, in das sich auch der US-Konzern eingeordnet hat, weisen schon in diese Richtung.

„Du stinkst“, „du bist hässlich“, „geh sterben“ – auf dem Schulhof können Sätze fallen, die viele Erwachsene selten hören. Häufen sich solche Dinge gegenüber einer bestimmten Person über längere Zeit, spricht man von Mobbing. Inzwischen passiert das auch online.

Gegen dieses sogenannte Cybermobbing will die EU-Kommission mit einem neuen Aktionsplan vorgehen. Ihre Ankündigung hat sie mit dem Bild aus einer Fotodatenbank illustriert. Zu sehen ist eine sonderbare Computer-Tastatur. Statt einer Umschalttaste hat sie eine feuerrote Taste mit der Aufschrift „STOP Cyberbullying“. Ein Finger bewegt sich vom rechten Bildrand auf diese Taste zu. Das erweckt den Eindruck, man könne Cybermobbing quasi per Knopfdruck beenden.

Was wir auf dem Bild nicht sehen: Menschen. Etwa einen Teenager, der sich einer Pädagogin anvertraut oder zwei Freund*innen, die sich gegenseitig Trost spenden. Es könnte eine Nebensache sein, doch in diesem Fall ist das Motiv mit der fiktiven Tastatur ein Sinnbild dafür, wie die EU-Kommission das Thema vorwiegend angeht: technisch und distanziert.

Die EU-Kommission, so geht es aus dem 18-seitigen Aktionsplan hervor, möchte Cybermobbing primär als ein Problem von Plattformregulierung und digitaler Infrastruktur bearbeiten. Die Beziehungen zwischen Kindern, Jugendlichen und Erwachsenen spielen eine Nebenrolle. Zeit und Vertrauen – die für gute Fürsorge oftmals entscheidenden knappen Ressourcen – stehen nicht im Zentrum. Das zeigt ein näherer Blick auf die drei Säulen des Aktionsplans.

Erste Säule: Mit Plattformregulierung gegen Cybermobbing

In der ersten von drei Säulen des Aktionsplans gegen Cybermobbing zitiert die EU-Kommission einschlägige Digitalgesetze, allen voran das Gesetz über digitale Dienste (DSA). Es ist das wohl wichtigste Regelwerk für Plattformen, auf denen auch Minderjährige Inhalte teilen können, etwa Instagram, TikTok, Snapchat.

„Soziale Medien sind der primäre Kanal, über den Kinder und Heranwachsende Cybermobbing ausgesetzt werden“, heißt es im Aktionsplan. Folglich will die EU-Kommission bei der bevorstehenden Prüfung der DSA-Regeln für Minderjährige den „Fokus“ auf Cybermobbing und Meldemechanismen stärken. Zudem gebe es bald Leitlinien für vertrauensvolle Hinweisgeber*innen („Trusted Flaggers“). Das sind zum Beispiel NGOs, die mit besonderer Expertise Inhalte auf Plattformen recherchieren und melden.

Dabei fällt unter den Tisch, dass Inhalte auf Plattformen nur ein Symptom von Mobbing unter Kindern und Jugendlichen sind. Primär geht es beim Mobbing allerdings nicht um regulierbaren „Content“, sondern um zwischenmenschliche Beziehungen.

Mehr als 80 Prozent der Fälle von Cybermobbing geschehen im schulischen Umfeld, das zeigt eine deutsche Studie des „Bündnis gegen Cybermobbing“ aus dem Jahr 2024. Dafür haben rund 4.200 Schüler*innen von sieben bis 20 Jahren, 1.000 Eltern und 630 Lehrer*innen ihre Erfahrungen geschildert. Demnach kennen zwei Drittel der Betroffenen die Täter*innen persönlich. Offline und online gehören beim Mobbing eng zusammen.

Eine ebenso 2024 veröffentlichte Umfrage des Deutschen Jugendinstituts (DJI) macht anschaulich, welche Form Cybermobbing häufig annimmt. Demnach gibt es Kinder und Jugendliche, die andere online bedrohen oder beleidigen, deren Fotos verbreiten, sie aus Online-Gruppen ausschließen – oder neue Gruppen gründen, um sich dort über sie lustig zu machen.

Wo genau Cybermobbing mehrheitlich geschieht, hat wiederum das Sinus-Institut mit der Krankenkasse Barmer näher erforscht. Das Ergebnis: „Eindeutiger Spitzenreiter unter den Cybermobbing-Kanälen ist weiterhin unangefochten WhatsApp.“ Diesen Messenger nannte demnach jede*r zweite Befragte. Das dürfte damit zusammenhängen, dass WhatsApp für viele die Plattform schlechthin für Klassenchats ist. Wer nachts im Klassenchat gemobbt wird, sitzt am nächsten Morgen wieder mit den Bullys zusammen im Klassenzimmer.

Nachrichten auf WhatsApp sind allerdings Ende-zu-Ende-verschlüsselt und deshalb privat. Das heißt, ein großer Teil von Cybermobbing bietet kaum Anknüpfungspunkte für Plattformregulierung. Für Betroffene steht vielmehr im Mittelpunkt, wie Konflikte in der eigenen Schulklasse ausgetragen werden, wie Lehrer*innen und Aufsichtspersonen helfen können.

Zweite Säule: Mit Info-Material gegen Cybermobbing

Die zweite Säule der EU-Kommission dreht sich um Prävention und Aufklärung. Wie die Kommission betont, müsse Prävention alle Akteur*innen einbeziehen – Gleichaltrige, Täter*innen, Eltern, Betreuer*innen, Lehrkräfte, „die gesamte Schulgemeinschaft“ und die Zivilgesellschaft.

Laut Aktionsplan will die EU-Kommission diesen Akteur*innen vor allem eines bieten: Infomaterial. Es geht primär um Leitlinien, Ressourcen und Werkzeugkästen, um Digitalkompetenz und Bildung.

Kaum eine Rolle spielt im Aktionsplan, dass es beispielsweise in deutschen Schulen vor allem an Zeit und Personal fehlt. Zuletzt hatte etwa die Leopoldina dieses Thema behandelt. In ihrem Diskussionspapier schreiben die Forschenden der Wissenschaftsgesellschaft darüber, wie sich soziale Medien auf die psychische Gesundheit von Kindern und Jugendlichen auswirken. Demnach gebe es in Deutschland keinen Mangel an Infomaterial. „Häufig scheitert schlicht die Umsetzung in den Schulen.“ Die Gründe dafür seien vielfältig. „Es fehlt unter anderem an Fachpersonal, Zeit“ oder „Fortbildungsmöglichkeiten für Lehrkräfte“, so die Leopoldina.

Info-Kampagnen kosten vergleichsweise wenig. Teuer ist es dagegen, Pädagog*innen einzustellen, sie auf Fortbildungen zu schicken und ihnen die Zeit einzuräumen, ihre Kenntnisse im schulischen Alltag anzuwenden. Die Zuständigkeit dafür liegt in den Mitgliedstaaten, in Deutschland bei den Bundesländern.

Spielräume hat die EU dennoch. Darauf geht der Aktionsplan zumindest in Ansätzen ein. So nennt die Kommission etwa das Programm Erasmus+. Es soll „allgemeine und berufliche Bildung, Jugend und Sport“ fördern. Dafür müssen Organisationen Anträge stellen. Bei deren Prüfung will die EU verstärkt auf Projekte für gutes Schulklima achten. Der Einfluss auf Cybermobbing geschieht also eher indirekt. Der Aktionsplan macht keine direkten finanziellen Zusagen und nennt keine messbaren Zielgrößen.

Dritte Säule: Mit einer App gegen Cybermobbing

Die dritte und letzte Säule aus dem Aktionsplan hat Nachrichtenmedien offenbar am meisten interessiert: „EU will mit Melde-App gegen Cybermobbing vorgehen“, titelte zum Beispiel tagesschau.de.

In einer separaten Ankündigung schreibt die EU-Kommission von einer „Online-Sicherheits-App“, mit der Opfer „zurückschlagen“ können, auf Englisch: „fight back“. Zumindest auf dem dazugehörigen Symbolbild sind Menschen zu sehen: drei Jungs – möglicherweise bereit „zurückzuschlagen“.

Einen Prototypen für die App will die EU-Kommission laut Aktionsplan selbst vorlegen. Auf dessen Basis könnten die Mitgliedstaaten ab dem dritten Quartal dieses Jahres eigene Versionen entwickeln.

Was die Online-Safety-App genau können soll, beschreibt die Kommission eher knapp. Drei Schwerpunkte lassen sich herauslesen.

1. Helfen. Demnach könnte die App Anlaufstellen und Beratungsangebote für Betroffene bündeln. Die Rede ist etwa von Hilfs-Hotlines und Kinderschutz. Es geht also um fachliche und emotionale Begleitung. Vorbild sei die französische App „3018“ der NGO E-Enfance. Im Google Play Store wurde die App nur rund 10.000 Mal heruntergeladen. Die EU-Kommission bezeichnet „3018“ als „erfolgreich“.
2. Löschen. Die Online-Safety-App könne laut Aktionsplan per Programmierschnittstelle einen direkten Draht zu Online-Plattformen bekommen. So könnten Nutzer*innen über die App deren Inhalte melden. Grundlage ist der DSA, der Plattformen dazu verpflichtet, solche Meldungen zeitnah zu prüfen. Allerdings müssen Plattformen laut DSA auch selbst zugängliche und benutzerfreundliche Meldeverfahren einrichten. Das wirft die Frage auf, welchen Sinn der Umweg über eine separate App hätte.
3. Anzeigen. Offenbar stellt sich die EU-Kommission vor, dass Minderjährige über die App auch die Polizei einschalten können. Im Aktionsplan ist das allerdings noch nicht kindgerecht formuliert. Die Rede ist von „maßgeschneiderter Unterstützung durch koordinierte Überweisung an zum Beispiel Strafverfolgungsbehörden“. Die App soll auch elektronische Beweise sicher „speichern und übermitteln“ können.

Je nach Ausgestaltung könnte die „Online-Safety-App“ also sehr unterschiedliche Richtungen einschlagen. Laut EU-Kommission hänge der Erfolg der App davon ab, ob Mitgliedstaaten sie zugänglich machen und unterstützen. Der Erfolg dürfte allerdings vielmehr davon abhängen, ob Kinder und Jugendliche die App überhaupt benutzen möchten.

In Deutschland gibt es bereits Anlaufstellen für hilfesuchende Kinder und Jugendliche, etwa die Nummer gegen Kummer oder Juuport. Beides sind gemeinnützige Vereine. Arbeit im sozialen Bereich ist oft ehrenamtlich oder prekär. Anfang 2025 hat die Stadt Berlin der „Nummer gegen Kummer“ Mittel gestrichen. Betroffen sind demnach 100 der insgesamt 3.800 ehrenamtlichen Mitarbeiter*innen in Deutschland.

Geht es nach dem Aktionsplan der EU-Kommission, bekommen Hilfsangebote wie die „Nummer gegen Kummer“ zwar keine Aussicht auf bessere Finanzierung. Aber sie sollen sich wohl um die Integration in eine Melde-App kümmern – zusammen mit unter anderem TikTok, Facebook, Instagram und Polizeibehörden.

Fortinets Netzwerkbetriebssystem FortiOS und die IT-Sicherheitslösung FortiSandbox sind über mehrere Sicherheitslücken angreifbar. Bislang gibt es seitens des Netzwerkausrüsters keine Hinweise auf Attacken.

Sicherheitspatches installieren

Setzen Angreifer an einer Schwachstelle (CVE-2025-52436 „hoch“) in FortiSandbox an, können sie im Zuge einer XSS-Attacke eigene Befehle ausführen. Dafür ist der Beschreibung der Lücke zufolge keine Authentifizierung nötig.

Geräte wie Firewalls mit FortiOS sind über mehrere Softwareschwachstellen angreifbar. Bei einer bestimmten Konfiguration der LDAP-Authentifizierung (unauthenticated binds) können Angreifer an einer Lücke (CVE-2026-22153 „hoch“) ansetzen und so die Anmeldung im VPN-Kontext umgehen.

Zusätzlich können Angreifer unter anderem noch eigene Befehle ausführen (CVE-2025-64157 „mittel“). Dafür müssen sie aber bereits Admin sein.

Weiterführende Informationen zu den geschlossenen Lücken hat Fortinet im Sicherheitsbereich seiner Website aufgelistet.

(des)