An diesem Mittwoch befasst sich der Innenausschuss des bayerischen Landtags mit Sicherheits- und Rechtsfragen zur umstrittenen Palantir-Software. In Hessen und Nordrhein-Westfalen arbeitet die Polizei bereits mit der Software namens Gotham von Palantir. Sie ermöglicht es Polizisten, viele Datenbanken gleichzeitig zu durchsuchen und Querverbindungen sichtbar zu machen.
Auch in Bayern soll das Programm im Rahmen von VeRA (Verfahrensübergreifende Recherche und Analyse) nach den Plänen des Innenministeriums zum Einsatz kommen. Allerdings nur, wenn die Software einer externen Sicherheitsüberprüfung standgehalten hat – und wenn die rechtliche Grundlage für den Einsatz stimmt.
Sicherheitsüberprüfung: Ergebnisse nur mündlich
Über das Ergebnis der Sicherheitsüberprüfung werden Innenministerium und Landeskriminalamt mündlich im Innenausschuss des Bayerischen Landtags berichten. Dass die Überprüfung der Palantir-Software überhaupt im Innenausschuss zur Sprache kommt, geht auf einen Dringlichkeitsantrag von Abgeordneten der CSU und Freien Wähler zurück. "Da Datenschutz und die Wahrung der Grundrechte äußerst wichtig sind, ist die Prüfung des Erfordernisses einer Rechtsgrundlage und die anschließende Information des Landtags erforderlich", heißt es im entsprechenden Antrag.
Das Innenministerium wird nur eine Zusammenfassung der Ergebnisse präsentieren, der ausführliche Prüfbericht selbst bleibt geheim. Er könne aufgrund des Schutzes von Geschäftsgeheimnissen sowie aus Gründen der IT‐Sicherheit der bayerischen Polizei nicht veröffentlicht werden, so das Innenministerium auf Anfrage von BR Recherche und BR Data. Zu den Ergebnissen der Prüfung wollte sich das Ministerium vorab nicht äußern. Das Ministerium hatte den Auftrag für die Überprüfung über 430.000 Euro ohne Ausschreibung an das Fraunhofer-Institut für Sichere Informationstechnologie SIT vergeben.
Lizenzkosten laufen schon – die Software nicht
Sollte die Software "durchgreifende Sicherheitsmängel" haben, besteht laut Innenministerium das Recht der fristlosen Kündigung des mit Palantir geschlossenen Vertrages. Das wäre beispielsweise der Fall, wenn Hintertüren gefunden wurden, durch die es zu einem Datenabfluss kommen kann. Dann müsste Palantir die bis dahin geleisteten Zahlungen zurücküberweisen – alleine für das Jahr 2022 waren das nach Ministeriumsangaben rund 3,2 Millionen Euro an Lizenzgebühren. Diese Gebühren sind seit Vertragsabschluss im Mai 2022 fällig, obwohl die Software noch nicht operativ von der Polizei verwendet wird.
Die Kosten könnten noch beträchtlich steigen – egal ob VeRA eingesetzt wird oder nicht. Denn wenn keine schwerwiegenden Sicherheitsmängel gefunden werden, kann die bayerische Polizei nicht vom Vertrag zurücktreten. Dann wären wohl insgesamt bis zu 25 Millionen Euro für die fünfjährige Laufzeit des Vertrags fällig.
Rechtsgrundlage für Palantir-Software fehlt
Alexander Muthmann, der stellvertretende Vorsitzende der FDP-Landtagsfraktion, kritisiert einen "verfrühten Vertragsabschluss mit der Firma Palantir zu einem Zeitpunkt, an dem die Einsatzmöglichkeit noch gar nicht geklärt war".
Selbst wenn die Software die Sicherheitsprüfung erfolgreich durchlaufen hat, ist der Weg für VeRA in Bayern noch nicht frei. Mitte Februar hat das Bundesverfassungsgericht die rechtlichen Grundlagen für den Einsatz von Palantir-Software in Hessen und Hamburg in der derzeitigen Form für verfassungswidrig erklärt. Die automatisierte Auswertung personenbezogener Daten verstoße bei den derzeit möglichen Einsatzmöglichkeiten der Software gegen das Recht auf informationelle Selbstbestimmung, so die Karlsruher Richterinnen und Richter.
Das hat auch Auswirkungen auf Bayern. Der rechtspolitische Sprecher der SPD-Landtagsfraktion Horst Arnold kritisiert an der Datenauswertung durch die Palantir-Software, dass Daten von Zeugen und Betroffenen von Ordnungswidrigkeiten mit denen von Beschuldigten verknüpft würden. Auch KFZ-Daten würden möglicherweise damit vermischt. "Und das ist schon ein massiver Eingriff in die Grundrechte der Bürgerinnen und Bürger, die das Recht haben, dass der Staat sich dort nur mit sachlichen Grund einmischt – wie vom Bundesverfassungsgericht festgestellt", so Arnold.
Petri fordert klare Regeln für Palantir-Software
Der Landesdatenschutzbeauftragte Thomas Petri fordert eine klare gesetzliche Regelung: "Der Gesetzgeber müsste jetzt eine Vorschrift schaffen, die ganz klar definiert, was die Polizei machen darf und vor allem, zu welchen Zwecken sie VeRA nicht einsetzen darf." Laut dem FDP-Abgeordneten Muthmann müsste eine solche neue Rechtsgrundlage das bekannte parlamentarische Verfahren durchlaufen: "Üblicherweise dauert ein solches Verfahren etwa drei Monate", sagt Muthmann.
Horst Arnold von der SPD rechnet jedoch nicht mit einer Entscheidung vor der Landtagswahl in diesem Jahr: "Aufgrund der Gesetzesdynamik und der nicht ausreichend verbleibenden Zeit in dieser Legislaturperiode gehe ich davon aus, dass eine rechtliche Änderung des Polizeiaufgabengesetzes bis Oktober nicht kommt."
Quellcodeanalysen bei jedem Update notwendig
Auch bei erfolgreicher Sicherheitsüberprüfung und verabschiedeter Rechtsgrundlage wird die Software des US-Unternehmens Palantir weiter unter Beobachtung stehen. Der Landesdatenschutzbeauftragte Petri erklärt, eine externe Sicherheitsüberprüfung wie eine Quellcodeanalyse könne immer nur den gegenwärtigen Stand beurteilen und sei nur bedingt aussagekräftig für die Zukunft. Das Bayerische Landeskriminalamt bestätigte dem BR, dass vertraglich vereinbart worden sei, den Quellcode in regelmäßigen Abständen zu überprüfen. Weitere Untersuchungen würden abhängig von der initialen Überprüfung gemacht.
Selbst wenn ein neues Gesetz die verfassungsrechtlichen Bedenken ausräumt, bleiben für den Landesdatenschutzbeauftragten Petri immer noch datenschutzrechtliche Bedenken. Er werde die Palantir-Software weiter beobachten, denn VeRA sei "in besonderer Weise geeignet", die grundrechtliche Idee der Zweckbindung zu untergraben. Er befürchtet, dass Daten, die von Bürgerinnen und Bürgern in bestimmten Situationen bereitgestellt werden, in völlig anderen Zusammenhänge auftauchen – und man so zum Beispiel unvermittelt in polizeiliche Ermittlungen gezogen werde.
Das Los Angeles Police Departement hat die Software wieder abgeschafft: Dort wurde Palantir von 2017 bis 2020 eingesetzt. Auf die Frage des BR, warum man den Vertrag wieder beendet habe, antwortete die dortige Polizei: "Too expensive" – zu teuer.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!