Der geplante Einsatz von Palantir: Risiko für Datenschutz & digitale Souveränität?

Palantir Technologies wurde 2003 im Silicon Valley gegründet und zählt heute zu den bekanntesten Anbietern im Bereich Datenanalyse. Ursprünglich mit finanzieller Unterstützung der CIA-nahen In-Q-Tel gegründet, entwickelte Palantir zunächst Software für Geheimdienste und Militärs. Inzwischen zählen auch öffentliche Einrichtungen und große Unternehmen zu den Kunden.

Die bekanntesten Produkte von Palantir sind "Gotham" (für Regierungen und Sicherheitsbehörden) und "Foundry" (für Unternehmen). Beide Plattformen ermöglichen es, unterschiedlichste Datenquellen miteinander zu verknüpfen, visuell aufzubereiten und gezielt nach Mustern oder Risiken zu suchen. Die eingesetzten Technologien nutzen Verfahren der künstlichen Intelligenz, maschinellen Lernens sowie graphbasierter Datenanalyse.

In Deutschland wird Palantir bereits von Polizeibehörden in Hessen und Nordrhein-Westfalen verwendet. Ziel ist eine schnellere, vernetzte Auswertung ermittlungtechnisch relevanter Informationen. Beispielsweise können Kommunikationsdaten, Bewegungsprofile oder soziale Verbindungen in einem System zusammengeführt und analysiert werden. Diese Fähigkeit verspricht mehr Effizienz, birgt jedoch auch erhebliche datenschutzrechtliche Herausforderungen.

Diskutiert wird dabei nicht nur die technische Leistungsfähigkeit, sondern auch die Frage, ob eine ausreichende Transparenz hinsichtlich Datenverarbeitung und Systementscheidungen gegeben ist. Kritiker:innen monieren, dass proprietäre Softwarelösungen wie die von Palantir oft wie eine "Black Box" agieren, deren innere Funktionsweise schwer nachzuvollziehen ist. Gerade im öffentlichen Sektor sei dies problematisch.

Palantir Technologies ist ein US-amerikanisches Unternehmen, das Software für Datenintegration und -analyse entwickelt. Die Produkte werden unter anderem von Sicherheitsbehörden, Geheimdiensten und Unternehmen weltweit genutzt, um große Datenmengen auszuwerten und Zusammenhänge sichtbar zu machen.

In Deutschland kommt Palantirs Software bereits in bestimmten Polizeibehörden zum Einsatz, um beispielsweise Datenquellen wie Telekommunikations- und Bewegungsdaten zusammenzuführen. Ziel ist eine schnellere, vernetzte Auswertung bei Ermittlungen. Die Befürwortung beruht auf der Hoffnung, komplexe Lagen besser zu verstehen und schneller reagieren zu können.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gilt in der gesamten EU und legt fest, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Relevante Prinzipien sind:

• Zweckbindung
• Datenminimierung
• Transparenz
• Verhältnismäßigkeit
• Sicherheit der Verarbeitung
• Betroffenenrechte (z. B. Auskunft, Löschung, Widerspruch)

Besonders relevant im Fall Palantir: Die DSGVO stellt hohe Anforderungen an die Übermittlung personenbezogener Daten an Drittstaaten außerhalb der EU, z. B. in die USA. Solche Transfers sind nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet ist.

revDSG

Seit September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG), das in vielen Aspekten der DSGVO entspricht. Auch hier gelten Prinzipien wie Zweckbindung, Transparenz und Datensicherheit. Besonders für international tätige Unternehmen ist es wichtig, sowohl DSGVO- als auch revDSG-Konformität zu beachten.

Chancen durch datenbasierte Analyse

Datenanalyse-Software wie Palantir kann Strafverfolgungs- und Sicherheitsbehörden dabei unterstützen, große und heterogene Datenmengen schneller zu durchdringen und relevante Informationen frühzeitig zu erkennen. Das kann zu einer effizienteren Ressourcenverwendung führen und die operative Entscheidungsfindung verbessern.

Insbesondere bei der Bekämpfung organisierter Kriminalität, Terrorismus oder Cyberkriminalität können durch automatisierte Mustererkennung potenzielle Gefahrenquellen früher erkannt und Risikoprofile gebildet werden, um gezielt zu intervenieren. Auch die Zusammenführung bislang isolierter Datenquellen kann operative Synergien schaffen und neue Ermittlungsansätze ermöglichen.

Darüber hinaus besteht Potenzial für den Einsatz solcher Systeme auch in anderen Bereichen der öffentlichen Verwaltung, etwa im Krisenmanagement, bei der Pandemie-Bewältigung oder in der Gefahrenanalyse im Katastrophenschutz, sofern datenschutzrechtliche Rahmenbedingungen eingehalten werden.

Datenschutzrechtliche Herausforderungen

Die Nutzung datenanalytischer Systeme wie Palantir bringt datenschutzrechtlich eine Vielzahl potenzieller Herausforderungen mit sich, insbesondere im Hinblick auf sensible personenbezogene Informationen.

• Verarbeitung besonders sensibler Daten: Dazu können Gesundheitsdaten, politische Einstellungen oder Daten zur ethnischen Herkunft gehören, deren Schutz unter der DSGVO und dem revDSG besonders streng geregelt ist.
• Mögliche Zweckentfremdung: Wenn Daten, die für einen spezifischen Zweck erhoben wurden, in neuen Kontexten genutzt werden, droht ein Verstoß gegen das Prinzip der Zweckbindung. Gerade bei der nachträglichen Verknüpfung unterschiedlicher Datenquellen ist dieses Risiko erhöht.
• Unkontrollierte Datenweitergabe oder -verknüpfung: Komplexe Systeme können dazu führen, dass Daten in einem Umfang kombiniert werden, der ursprünglich weder vorgesehen noch transparent kommuniziert wurde.
• Zugriff durch US-Behörden nach CLOUD Act oder FISA 702: US-amerikanische Anbieter können verpflichtet sein, auf Daten zuzugreifen oder diese weiterzugeben, auch wenn sich die Server physisch in der EU befinden. Dies führt zu rechtlicher Unsicherheit.
• Sicherstellung technischer und organisatorischer Schutzmaßnahmen (TOMs): Um den gesetzlichen Anforderungen gerecht zu werden, müssen Mechanismen wie Zugriffskontrollen, Verschlüsselung, Protokollierung und Rollentrennung nachweisbar und effektiv umgesetzt sein.

Diese Herausforderungen erfordern eine frühzeitige und umfassende Datenschutzfolgenabschätzung sowie gegebenenfalls die Konsultation der zuständigen Aufsichtsbehörde.

Datenschutzaufsichtsbehörden bewerten, ob Systeme wie Palantir mit geltendem Datenschutzrecht vereinbar sind. Ulrich Kelber (BfDI) betont dabei die Bedeutung klarer gesetzlicher Grundlagen und verweist auf die Risiken automatisierter Datenverknüpfungen. Auch Landesdatenschutzbehörden mahnen eine enge Zweckbindung und transparente Kontrollmechanismen an. Für Unternehmen bieten diese Bewertungen Orientierung, um eigene datenverarbeitende Systeme rechtskonform zu gestalten und frühzeitig datenschutzrechtliche Risiken zu erkennen.

• Transparenz schaffen: Dokumentation von Datenflüssen, Speicherorten und Zugriffen
• AVV & TOMs prüfen: Verträge und Sicherheitsmaßnahmen mit Dienstleistern dokumentieren
• Datentransfers analysieren: Drittstaatentransfers kritisch bewerten und ggf. technische Schutzmaßnahmen ergänzen
• Interne Prozesse stärken: Datenschutzbeauftragte frühzeitig in IT-Projekte einbinden
• Regelmäßige Audits: Risiken identifizieren und dokumentieren

Technologische Entwicklungen im Bereich Big Data und KI bieten große Chancen, gleichzeitig steigen die Anforderungen an Datenschutz, Sicherheit und Transparenz. Ob Palantir oder andere Anbieter:innen Entscheidend ist, wie sorgfältig Auswahl, Integration und Kontrolle erfolgen.

Politische Entscheidungsträger:innen und Unternehmen sollten sich gleichermaßen bewusst sein, dass Datenschutz nicht nur eine rechtliche, sondern auch eine ethische Verantwortung ist.

Der mögliche Einsatz von Palantir auf Bundesebene verdeutlicht die Herausforderungen der modernen Datenverarbeitung im Spannungsfeld zwischen Sicherheit, Innovation und Datenschutz. Entscheidend ist nicht die Herkunft eines Tools, sondern wie verantwortungsvoll damit umgegangen wird.

Unternehmen sollten diese Diskussion als Anlass nehmen, die eigene Datenschutzpraxis zu reflektieren und ihre digitale Souveränität zu stärken.

Ist der Einsatz von US-Software automatisch ein DSGVO-Verstoß?
Nein, aber es bestehen besondere Anforderungen an Datenübermittlungen und Zugriffsschutz. Standardvertragsklauseln und technische Maßnahmen sind essenziell.

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Immer dann, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Das betrifft z. B. Systeme mit Profilbildung oder umfassender Datenauswertung.

Welche Alternativen gibt es für Unternehmen? 
Der europäische Markt bietet zunehmend datenschutzkonforme Softwarelösungen, die unter EU-Recht stehen. Die Prüfung von Anbieterstandorten, Verschlüsselungstechnologien und Transparenzkriterien ist dabei entscheidend.