Die Entscheidung der niedersächsischen Innenministerin, dem US-Unternehmen Palantir keinen Zugriff auf polizeiliche Daten zu gewähren, sorgt für Wellen in Politik, IT-Branche und Gesellschaft. Zwischen Sicherheitsversprechen und Datenschutzbedenken entbrennt eine hitzige Debatte über digitale Souveränität und Risikobewertung.
Ein Präzedenzfall mit Signalwirkung
Was als Verwaltungsentscheidung begann, ist längst zur bundesweiten Diskussion herangewachsen: Im Frühjahr 2025 lehnte das niedersächsische Innenministerium ausdrücklich eine Zusammenarbeit mit Palantir ab – einem der bekanntesten Anbieter von Analyseplattformen für sicherheitsrelevante Daten. Innenministerin Daniela Behrens (SPD) begründete diesen Schritt mit „nicht hinreichend auszuräumenden datenschutzrechtlichen Bedenken“ und Fragen zur Kontrolle über sensible Datenflüsse.
Das Unternehmen Palantir Technologies Inc. mit Sitz in Denver betreibt Plattformen wie Gotham und Foundry, die in zahlreichen Ländern, u.a. bei Sicherheits- und Nachrichtendiensten, im Einsatz sind. Kritiker fürchten jedoch, dass durch die Einbindung solcher externen Systeme Polizeidaten aus Deutschland mittelbar in die USA gelangen könnten – auch wenn Palantir wiederholt versichert, die Daten verblieben vollständig beim Auftraggeber und es fließe nichts ab.
Reaktion von Palantir: Frontaler Widerspruch und Transparenzoffensive
Palantir wies die Entscheidung Niedersachsens scharf zurück und veröffentlichte in einer offiziellen Stellungnahme technische Dokumentationen zur Architektur seiner Plattform, um Vorwürfen entgegenzutreten. Das Unternehmen betont, dass sämtliche Verarbeitung im lokalen Rechenzentrum des Auftraggebers erfolge und keine Daten ohne ausdrücklichen Auftrag übertragen werden könnten. Auch die deutschen Datenschutzanforderungen – etwa die DSGVO und das BDSG – würden vollständig erfüllt.
Im Fall von Nordrhein-Westfalen oder Hessen, wo Palantir bereits Plattformen für die Polizei bereitstellt, gebe es laut Unternehmen keine Sicherheitsvorfälle, keine juristischen Beanstandungen und volle Transparenz gegenüber Aufsichtsbehörden. Sicherheitsbehörden dort zeigen sich mit der Analyseleistung zufrieden – insbesondere bei der Vernetzung heterogener Datenquellen, etwa aus Ermittlungen, Mobilfunkdaten und offenen Quellen.
Datenschutz und staatliche Souveränität – das Dilemma
Die Hauptkritikpunkte an Palantir fokussieren sich auf drei Aspekte:
- Technische Intransparenz: Trotz Offenlegung ist der Quellcode nicht vollständig einsehbar. Auditierbarkeit durch Dritte bleibt begrenzt.
- Rechtliche Grauzonen: Als US-Unternehmen unterliegt Palantir dem CLOUD Act, wonach US-Behörden unter Umständen Zugriff auf gespeicherte Daten erhalten könnten – selbst wenn sie sich auf europäischem Boden befinden.
- Abhängigkeit von Drittanbietern: Kritiker befürchten, dass zu viel Schlüsseltechnologie in fremde Hände gelegt wird – ein Warnsignal für digitale Souveränität.
Gerade Letzteres gewinnt angesichts neuer geopolitischer Spannungen an Brisanz. Eine repräsentative Umfrage des Digitalverbandes Bitkom vom April 2025 ergab, dass 71 % der befragten Bürger:innen in Deutschland fordern, sicherheitskritische IT-Systeme sollten vorrangig von europäischen Anbietern stammen (Quelle: Bitkom, Sicherheitslage 2025).
Juristische Komplexität: Zwischen DSGVO, BDSG und dem CLOUD Act
Während die DSGVO in Kombination mit dem BDSG klare Vorgaben hinsichtlich Zweckbindung, Datenminimierung und Betroffenenrechten macht, bringt der US-amerikanische CLOUD Act neue Risiken ins Spiel. Zwar ist der Transfer personenbezogener Daten nur unter bestimmten Garantien zulässig – etwa durch