Polizeiliche Datenanalyse: Kommt Palantir bald für uns alle?

Der Einsatz von Palantir als polizeiliche Analysesoftware ist stark umstritten, dennoch drängen verschiedene Bundesländer auf die Einführung der Software in ganz Deutschland. Hessen und Bayern gelten als Vorreiter, in NRW ist sie ebenfalls im Einsatz und das Innenministerium in Baden-Württemberg hat kürzlich erst einen Vertrag mit Palantir geschlossen, obwohl es die gesetzliche Grundlage bislang nicht gibt, wie verschiedene Medien berichten. Datenschützer sehen das höchst kritisch und warnen davor, dass neben Verdächtigen zu viele unschuldige Menschen überwacht werden.

Eine Alternative ist bislang nicht in Sicht, jedoch arbeitet das Bundesinnenministerium daran: „Aktuell wird im Programm P20 ein beschleunigtes Vorgehen für die Implementierung der Analysekompetenz im Programm geprüft. Die Prüfung dauert an. (Zwischen-)Ergebnisse können wir Ihnen momentan nicht mitteilen“, heißt es dazu von einem Sprecher des Bundesinnenministeriums auf Anfrage von heise online.

„Zugriff von außen unmöglich“

Das Bayerische Innenministerium betont unterdessen, dass die Sicherheit der Plattform VeRA höchste Priorität habe. „Das VeRA-System verfügt über keine Internetverbindung“, heißt es – ein Zugriff von außen sei damit „weder physisch noch technisch“ möglich. Zudem sei der Quellcode der Palantir-Software vom Fraunhofer SIT geprüft worden. Eine „Backdoor“-Funktionalität habe dabei ausgeschlossen werden können. Allerdings hatte das SIT eine inzwischen geschlossene Sicherheitslücke im Update-Prozess gefunden. Fragen dazu, wie die Lücke gefunden wurde, beantwortet das SIT jedoch auch auf Anfrage von heise online nicht.

Auch wenn eine unabhängige wissenschaftliche Evaluation bislang nicht vorgesehen ist, verweist das Bayerische Innenministerium auf Erfolge in der Praxis, etwa beim Anschlag am Münchner Karolinenplatz. Das Hessische Innenministerium hat sich gegenüber heise online noch nicht geäußert.

Wir haben mit Dr. Jonas Botta über die Rechtslage und mögliche Gefahren rund um den Einsatz von Palantir gesprochen. Er wurde im April 2025 als Sachverständiger zur aktuellen Polizeirechtsreform in Sachsen-Anhalt angehört, die auch eine Rechtsgrundlage für die polizeiliche Datenanalyse vorsieht.

In mehreren Bundesländern wird derzeit darüber diskutiert, die Datenanalyse-Software „Gotham“ des US-Unternehmens Palantir in der Polizeiarbeit einzusetzen. Was sind aus Ihrer Sicht die größten Kritikpunkte an diesem Vorhaben?

Es gibt zwei zentrale Problembereiche. Erstens die Frage, ob die Rechtsgrundlagen für eine solche polizeiliche Datenanalyse überhaupt verfassungsgemäß sind. Denn selbst ohne Palantir ist es schon ein erheblicher Grundrechtseingriff, wenn Daten aus verschiedenen Quellen zusammengeführt werden. Dabei entsteht ein neuer Eingriff in die informationelle Selbstbestimmung – einfach durch die Verknüpfung.

Die Frage ist: Wie leicht oder schwer ist es für die Polizei, eine solche Analyse durchzuführen? Zum Beispiel in Sachsen-Anhalt, wo derzeit über eine Rechtsgrundlage für die polizeiliche Datenanalyse beraten wird, ist die Schwelle dafür aus meiner Sicht viel zu niedrig angesetzt. Zweitens geht es um die technische Umsetzung: Lässt es sich mit Datenschutz und digitaler Souveränität vereinbaren, im öffentlichen Sicherheitssektor auf die Software „Gotham“ von Palantir zu setzen? Meines Erachtens „nein“.

Das Bundesverfassungsgericht hat sich ja 2023 dazu geäußert…

Das Gericht hat klargestellt: Eine Datenanalyse durch die Polizei ist nicht per se verboten – aber es gelten hohe Anforderungen. Die Schwelle für den Einsatz liegt bei einer geheimen Überwachungsmaßnahme. Das heißt: Es muss für ein besonders gewichtiges Rechtsgut – wie den Schutz des Lebens – eine zumindest hinreichend konkretisierte Gefahr bestehen. Diese Hürde wird in aktuellen Polizeigesetzen bzw. Gesetzentwürfen nicht ausreichend berücksichtigt.

Gibt es denn Beispiele, bei denen die Software bisher erfolgreich war?

Das ist genau der Punkt: Es gibt keine belastbare wissenschaftliche Evaluation. In Hessen wird immer wieder darauf verwiesen, dass man 2018 mit der Software einen terroristischen Anschlag verhindert habe. Laut Recherchen von NDR, WDR und Süddeutscher Zeitung geht es in der Praxis zum Beispiel in Bayern häufiger um Delikte gegen Eigentums- und Vermögenswerte wie Bandenhehlerei, nicht um Terrorismus.

Welche Rolle spielt dabei die Kontrolle durch Datenschutzbehörden?

Eine sehr zentrale. Das Bundesverfassungsgericht verlangt mindestens alle zwei Jahre eine unabhängige Kontrolle durch die externen Aufsichtsbehörden und auch die internen Datenschutzbeauftragten sind in die Pflicht zu nehmen, etwa um Stichproben durchzuführen. In Sachsen-Anhalt fehlt ein solches Kontrollkonzept bislang völlig. Das ist für mich unverständlich und verfassungsrechtlich bedenklich.

Und wie sieht es mit der konkreten Nutzung von Palantir aus – gibt es da keine staatliche Kontrolle?

Der Staat müsste in der Lage sein, das System technisch und inhaltlich zu durchdringen – auch wenn Geschäftsgeheimnisse betroffen sind. Nur so kann er überwachen, ob die Grundrechte eingehalten werden. Aber genau das ist bei Palantir problematisch. Palantir schickt laut Medienberichten sogar eigene Mitarbeiter in die Behörden, um die Software zu betreuen. Das unterläuft die staatliche Souveränität.

Wird es denn auf Bundesebene bald eine einheitliche Regelung geben?

Ich halte es für sehr wahrscheinlich, dass auch auf Bundesebene eine Polizeirechtsreform ansteht, vielleicht schon nach der parlamentarischen Sommerpause. Nach der Schaffung einer gesetzlichen Grundlage für die Datenanalyse wäre dann der Einsatz von „Gotham“ wahrscheinlich. Aber schon der Ampel-Entwurf für eine Polizeirechtsreform aus dem letzten Jahr war in Teilen verfassungswidrig, insbesondere weil eine dauerhafte Datenzusammenführung geplant war – ohne eigene Ermächtigungsgrundlage.

Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hatte von einer Superdatenbank gesprochen, was ist damit gemeint?

Es geht um die dauerhafte Zusammenführung wesentlicher Inhalte polizeilicher Datenbanken – also nicht nur anlassbezogen zur Analyse. Das ist ein besonders schwerwiegender Eingriff und müsste gesetzlich gesondert geregelt sein. Doch in bisherigen Entwürfen wurde diese Superdatenbank einfach „hineingemogelt“ ohne klare Verankerung im Normtext. Das ist grundrechtswidrig.

Würden Sie denn eine temporäre, anlassbezogene Datenanalyse für vertretbar halten?

Ja, wenn sie klar gesetzlich geregelt und gut kontrolliert ist. Aber es müssten hohe Hürden für die Analyse gelten. Eine flächendeckende Verknüpfung unterschiedlichster Daten – etwa zu Personengruppen, Delikten oder Gefährdungsstufen – ist nur in absoluten Ausnahmefällen gerechtfertigt.

Welche Rolle spielt die EU-KI-Verordnung in diesem Zusammenhang?

Die KI-Verordnung ist primär Produktsicherheitsrecht und richtet sich an Anbieter von KI-Systemen. Aber auch Behörden, die solche Systeme betreiben oder verändern, unterliegen bestimmten Pflichten – etwa zur Durchführung von Grundrechts-Folgenabschätzungen oder zur Registrierung in einer europäischen Datenbank. Diese Strukturen sind aber noch nicht vorhanden. Auch wer die Aufsicht führen soll, ist in Deutschland noch unklar.

Was ist mit der Frage nach Datensouveränität und dem Zugriff aus dem Ausland?

Das ist ein weiterer kritischer Punkt. Bei US-amerikanischen Anbietern besteht immer das Risiko, dass US-Behörden auf die Daten zugreifen könnten – etwa über den Cloud Act. Das gefährdet die digitale Souveränität und das Vertrauen der Bürger in den deutschen Staat und seine Institutionen. Deshalb wäre es aus meiner Sicht ein Gewinn, wenn man sich aus der faktischen Monopolstellung von Palantir befreite.

Was sollte man jetzt tun?

Erstens: Die digitalen Befugnisse der Polizeibehörden auf solide, verfassungskonforme Füße stellen. Zweitens: Eine echte wissenschaftliche Evaluation durchführen – was bringt die Software wirklich? Drittens: Unabhängige, kontrollierbare Alternativen entwickeln, idealerweise staatlich oder zumindest in Europa. Es geht nicht darum, Digitalisierung zu verhindern – sondern sie grundrechtskonform und souverän zu gestalten.

(mack)