Es klingt nach Science-Fiction: Das Bayerische Landeskriminalamt (BLKA) hat Anfang März beim US-Unternehmen Palantir eine Lizenz für die Software „Gotham“ gekauft – der Bezug zu Batman dürfte kein Zufall sein. Mit dem Tool lassen sich Informationen aus verschiedenen Polizeidatenbanken recherchieren, miteinander verknüpfen und effizient analysieren. „Bislang müssen polizeiliche Datenquellen von Analysten einzeln abgefragt und zeitaufwendig händisch miteinander abgeglichen werden“, erklärt BLKA-Chef Harald Pickert. Durch die Software sollen Terrorismus, Organisierte Kriminalität und zum Beispiel sexualisierte Gewalt gegen Kinder besser bekämpft werden, so das Versprechen.

In Bayern heißt die Software nicht Gotham, sondern behördenkonform Verfahrensübergreifendes Recherche- und Analysesystem (VeRA). Und ihr Einsatz geht Fachleuten aus den Bereichen Datenschutz und Verfassungsrecht in Bayern zu weit. Sie warnen gleich aus mehreren Gründen vor der Nutzung von VeRA. Der wichtigste Punkt: Durch die Verknüpfung von verschiedenen Datenbanken mit der Datenanalyse werden auch Daten verarbeitet, die eigentlich für ganz andere Zwecke erhoben worden waren als für die Bekämpfung von Terrorismus oder Organisierter Kriminalität. Beispielsweise bei Zeugenaussagen.

„Es ist kein Zufall, dass die Polizei verschiedene Datenbanken errichtet hat“, erklärt Bayerns Datenschutzbeauftragter Thomas Petri. Denn Beamtinnen und Beamte müssten mit Daten von Verdächtigen anders umgehen als mit Daten von Unverdächtigen. Außerdem seien manche Daten durch verschiedene Grundrechte mehr geschützt als andere. Wenn jetzt alles in einen Topf geworfen werde, könnte das womöglich rechtswidrig sein, warnt Petri. „Die Polizei verfügt über riesige Datenbestände – wir sprechen hier über Datenvolumina, die in die Terabyte gehen“, verdeutlicht er. Aktuell sei aber noch nicht einmal klar, was VeRA konkret kann und ob es nicht auch für andere Zwecke als die Bekämpfung schwerer Kriminalität eingesetzt werden soll.

Ein weiterer Kritikpunkt von Fachleuten wie Petri ist die Kooperation mit Palantir selbst. Das US-Unternehmen arbeitet eng mit dem amerikanischen Sicherheits- und Geheimdienstapparat zusammen. Viele befürchten, dass bayerische Polizeidaten in die USA abfließen könnten. Diese Sorge hat auch das BLKA. Deshalb soll vor deren Einsatz der Quellcode der Software auf Schadsoftware und Hintertüren untersucht werden. Sollte es Auffälligkeiten geben, werde man vom Vertrag zurücktreten, versichert Bayerns Innenminister Joachim Herrmann (CSU). Um ganz sicherzugehen, soll VeRA außerdem nur an Rechnern genutzt werden, die keine Verbindung zum Internet haben.

„Selbst wenn ein Datenabfluss ausgeschlossen wäre, so wird dennoch über die Mitarbeiter viel Information abfließen“, kritisiert Datenwissenschaftler Simon Hegelich von der Technischen Universität München. Denn es gehöre zum Geschäftsmodell des Unternehmens, dass die Angestellten mit den Behörden zusammenarbeiten – nicht zuletzt bei der Systembetreuung. Laut Polizei sind Service und Support Teil des Vertrags. „Dadurch gewinnt Palantir wertvolle Einsichten in die Arbeit des BLKA, die die Firma dann in anderen Projekten mit anderen Sicherheitsdiensten verwenden kann“, warnt Hegelich.

Gefahr, dass Daten in die USA abfließen könnten

Obwohl es um Steuergelder geht, will das BLKA aus Geheimhaltungsgründen nicht sagen, was die Software gekostet hat. Nordrhein-Westfalen zahlte Palantir 22 Millionen Euro für eine Fünf-Jahres-Lizenz. Warum wird in Zeiten, wo stets die nationale Souveräntität beschworen wird, so viel Geld für die riskante Software einer US-Firma ausgegeben, die mit Peter Thiel einem Mann gehört, der wegen seiner Nähe zu Ex-US-Präsident Donald Trump und zur amerikanischen Alt-Right-Bewegung in der Kritik steht? Vermutlich weil das Führungspersonal der Firma gut in der deutschen Politik vernetzt ist. Palantir-CEO Alex Karp hat sich 2019 mit aktuellen und ehemaligen Mitgliedern der Bundesregierung getroffen, 2020 auch mit Ministerpräsident Markus Söder (CSU).

Das BLKA dementiert jegliche Einflussnahme durch die Politik bei der Vergabe. „Im Fokus der Ausschreibung stand ausschließlich der Kauf eines Produktes, welches den Bedarf der bayerischen Polizei im Hinblick auf Fachlichkeit, Datenschutz, IT-Sicherheit und Technik am besten deckt“, heißt es auf BSZ-Anfrage.

Der Datenschutzexperte Benjamin Adjei von den Grünen im Bayerischen Landtag sieht das anders. „Das Vergabeverfahren ist im Vorhinein so gestaltet worden, dass einzig die Firma Palantir den Anforderungen entsprechen konnte und andere Unternehmen quasi keine Chance hatten“, kritisiert er. Und da das BLKA gleich einen Rahmenvertrag geschlossen hat, brauchen Bund und andere Bundesländer künftig gar kein Vergabeverfahren mehr durchführen.
Das Thema Palantir stand diese Woche auch im Innenausschuss des Landtags auf der Tagesordnung. Dabei wurde ebenfalls das Vergabeverfahren kritisiert. „Erst ausschreiben und dann offene Fragen klären, stellt die Situation doch auf den Kopf“, kritisierte Alexander Muthmann (FDP).

Immerhin versprach Innenminister Herrmann im Ausschuss, weiterhin mit Landesdatenschützer Petri im Gespräch zu bleiben und den Palantir-Quellcode von einer renommierten Forschungseinrichtung prüfen zu lassen. Ob das ausreicht, darf bezweifelt werden. Horst Arnold (SPD) befürchtet jedenfalls, dass Palantir-Angestellte Wartungsarbeiten nutzen könnten, um die Software im Nachhinein zu manipulieren.
(David Lohmann)