Tech-Milliardäre wie Peter Thiel und Alex Karp, die hinter der US-Firma Palantir stehen, beeinflussen die amerikanische Regierung, handeln antidemokratisch und üben auch Einfluss auf die Gesetzgebung aus. Mit der aktuellen Außenpolitik wird das Vertrauensverhältnis zwischen Europa und den USA geschädigt. Dennoch hält die Staatsregierung an laufenden Verträgen mit US-Unternehmen in kritischen Bereichen fest: Das Bayrische Landeskriminalamt (BLKA) betreibt ein Softwareprogramm der US-Firma Palantir im Herzen der Ermittlungs- und Erkennungsarbeit. Die Datenmanagement-Software Gotham läuft im Rahmen des Projektes Verfahrensübergreifendes Recherche- und Analyse System (VeRA) auf Servern des Freistaates.
Aufgrund von Sicherheitsbedenken und dem Risiko eines möglichen Datenabflusses in die USA wurde unter großem Aufwand ein goldener Käfig rund um das US-Produkt errichtet. Statt konsequent auf europäische Alternativen zu setzen oder das US‑Produkt aufgrund der bestehenden Sicherheits‑ und Datenschutzrisiken vollständig auszuschließen, wird damit paradoxerweise erheblicher Aufwand betrieben, um ein Werkzeug zu nutzen, das von Anfang an nicht den europäischen Anforderungen entspricht.
Die zunehmende Abhängigkeit von amerikanischen Technologiekonzernen trifft Bayern und Europa nicht nur sicherheitspolitisch. Auch wirtschaftliche Einbußen sind zu erwarten, wenn Bayern an der Seite von Europa nicht für Souveränität und digitale Unabhängigkeit kämpft. Um die digitale Entscheidungsfähigkeit nach dem Bayerischen Digitalgesetz zu gewährleisten, muss Bayern Abhängigkeiten von US-Softwareunternehmen abbauen und Transparenz für die eigenen Bürgerinnen und Bürger schaffen.
Wie funktioniert VeRA?
VeRA verarbeitet personenbezogene Daten aus verschiedensten polizeilichen Quellsystemen:
- Vorgangsbearbeitungssystem (VBS)
- Fallbearbeitungssystem (FBS)
- Fahndungssystem (INPOL-Land)
- Einsatzleitsystem (ELS)
- Programm zur Bearbeitung von Verkehrsordnungswidrigkeiten (ProVi)
- Polizeilich lagerrelevanter Schriftverkehr
Bei einer Abfrage zu einem Personenprofil werden die Daten von dezentralen Bayerischen Systemen zusammengeführt und gebündelt sichtbar gemacht. Es handelt sich um ein Werkzeug zur Datenabfrage, jedoch ohne Verwendung von Künstlicher Intelligenz.
Vor der Einführung von VeRA mussten Ermittlerinnen und Ermittler lokale Datensätze manuell mit anderen Dienststellen abgleichen. In dynamischen Lagen wie Terroranschlägen können durch VeRA Zusammenhänge aus unterschiedlichsten Bereichen des Archivs zusammengeführt werden. Zu einem Tatverdächtigen werden vergangene Straftaten, Meldeadressen und Verkehrsverstöße angezeigt. Darüber hinaus listet das Programm auch persönliche Informationen über das Umfeld verdächtiger Personen und liefert damit Hinweise für weitere Nachforschungen und Observierungen. In datenschutzrechtlicher Hinsicht werden aber nicht nur die persönlichen Informationen der Tatverdächtigen angezeigt, sondern auch Daten von nahestehenden Individuen, Zeugen früherer Verfahren und beteiligter Polizeibeamter.
Intransparente Vertragsgestaltung wirft Fragen auf
Im Rahmen einer sogenannten ständigen Markterkundung, so das Bayrische Innenministerium (nachzulesen in meiner Schriftlichen Anfrage), zog das BLKA die Softwareprodukte von Palantir ab Oktober 2018 in Betracht. Von Juli 2019 bis Februar 2022 fanden insgesamt 6 Treffen der zuständigen Stellen aus Polizei, Innenministerium und BLKA mit Vertretern von Palantir statt. Parallel dazu lief die Ausschreibung für eine Predictive-Policing-Software, die das US-Unternehmen dann auch prompt gewann. Dass hier über Jahre hinweg ein intensiver Austausch mit einem einzelnen Anbieter stattfand, während gleichzeitig ein formal offenes Vergabeverfahren lief, wirft Fragen auf.
Nach Vertragsunterzeichnung wurde Palantir Teil des Projektes VeRA im April 2022. Während der Implementierungsphase gab es regelmäßige Statussitzungen mit Repräsentanten der bayerischen Sicherheitsbehörden und Palantir. Dass Der Umstand, dass sich Europol im selben Zeitraum öffentlich unzufrieden über die eigene Zusammenarbeit mit Palantir geäußert hatte, floss laut StMI nicht in den bayrischen Auswahlprozess ein. Darüber hinaus sind seit Beginn der Partnerschaft im Rahmen von VeRA sind bis Juni 2025 Gesamtkosten von ca. 19,4 Millionen EUR entstanden.
Datenschutz- und & Sicherheitsbedenken
Die Möglichkeit einer Verletzung des Datenschutzes und eines Datenabflusses liegt potenziell im Quellcode begründet. Aus diesem Grund erfolgte eine technische Überprüfung durch das Fraunhofer Institut, deren Ergebnisse keine Mängel aufzeigten. Eine potenzielle Gefahr bestünde damit nur noch durch externe Updates seitens der Firma Palantir. Systemupdates werden vor Ort im BLKA von Palantir-Mitarbeitern unter Aufsicht der Bayrischen Sicherheitsbehörden durchgeführt, aber inwiefern das BLKA die technische Funktionsweise der Software nachvollziehen kann, ist nicht bekannt. Das wirft Fragen über die demokratische Kontrollfähigkeit auf.
Laut meiner Schriftlichen Anfrage unterliegt die Software nicht der DSGVO, sondern der EU-Richtlinie 2016/680 (JI-Richtlinie). Diese regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Strafverfolgungsbehörden, zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten sowie der Strafvollstreckung. Das BLKA führte eine nicht-öffentliche Risikoabschätzung durch, die außerhalb der Sicherheitsbehörden ausschließlich dem Bayerischen Landesbeauftragten für Datenschutz vorgelegt wurde. Der Bayerische Landesbeauftragte für Datenschutz (BayLfD) bewertet das Analysesystem kritisch, da es ohne ausreichende Rechtsgrundlage eingeführt werden sollte und aufgrund seiner enormen Streubreite ein mit der Rasterfahndung vergleichbares Eingriffsgewicht aufweist. Im Zuge dieser Risikoabschätzung wurden technische und organisatorische Maßnahmen ergriffen, um Risiken zu minimieren. Meine Schriftliche Anfrage hingegen zeigt: eine regelmäßige Datenschutzfolgeabschätzung sei weder erforderlich noch geplant.
Europäische Alternativen und Digitale Souveränität
Die Zusammenarbeit mit Palantir mag derzeit reibungslos verlaufen, doch das ist kein Grund zur Entwarnung. Der Einsatz von Predictive-Policing-Systemen erfordert eine grundlegende gesellschaftliche Debatte über die Implikationen für die Grundrechte sowie über die rechtliche Basis im Bayerischen Polizeiaufgabengesetz. Eine Debatte, die die Staatsregierung bislang konsequent verweigert. Auch wenn im Fall VeRA keine konkreten Verstöße festgestellt wurden, ist die Partnerschaft mit Palantir für den Freistaat nicht nur bedenklich, sondern schlicht inakzeptabel, da deutsche und europäische Alternativen existieren.
Stattdessen finanziert der bayerische Steuerzahler über Lizenzgebühren ein Unternehmen, dessen Führungspersonen und Gesellschafter offen antidemokratische Positionen vertreten. Wer Palantir als Vertragspartner wählt und behält, entscheidet sich bewusst dafür, dieses Unternehmen zu stärken. Ein Unternehmen, das mit seinen Werten in fundamentalem Widerspruch zur freiheitlich-demokratischen Grundordnung steht, hat in bayerischen Behörden nichts zu suchen. Die Bayerische Staatsregierung muss endlich europäische Alternativen in den Blick nehmen und die eigene digitale Souveränität ausbauen, statt Abhängigkeiten zu vertiefen!
Zum Weiterlesen: Meine parlamentarischen Initiativen zum Thema
Anfrage zum Plenum (06.07.2020): „Palantir im Kontext zu Predictiv Policing und COVID-19-Pandemie„
Anfrage zum Plenum (25.04.2022): „Kontakte der Staatsregierung zu Palantir Technologies„
Schriftliche Anfrage (28.04.2025): „Kooperationen mit den US-Softwareunternehmen Palantir und SpaceX„
Anfrage zum Plenum (21.07.2025): „Frage zur VeRA-Ausschreibung„
Schriftliche Anfrage (12.01.2026): „Kontakte der Staatsregierung zu Palantir Technologies„
Hintergrundartikel:
SZ: „Bayern ist nicht Gotham City“
heise online: Big Data: Deutsche Polizisten nutzen Palantir auch bei Eigentumsdelikten
t-online: Vorwürfe gegen bayerische Polizei wegen Einsatz von Datenkrake
Tagesschau: Wird die Palantir-Software unangemessen genutzt?