Beim bayerischen Landeskriminalamt (BLKA) wird digital aufgerüstet: Die Behörde erhält ein runderneuertes "verfahrensübergreifendes Recherche- und Analysesystem", auch "Vera" genannt. Grundlage dieses Systems bildet eine Software namens "Gotham" des US-amerikanischen Datenkonzerns Palantir. Dabei handelt es sich um eine Plattform, die in der Lage ist, Daten aus diversen Quellen und Datenbanken zusammenzuziehen und diese so strukturiert, dass man darin effektiv suchen und filtern kann. Der Hersteller gibt an, zahlreiche Sicherheitsmechanismen anzubieten, mit denen die Suchmaschine ausgestattet werden kann, um einen nicht autorisierten Zugriff zu verhindern.
In Bayern braucht die Polizei genau das: "Vera" soll es ermöglichen, im Ernstfall schneller an personenbezogene Daten zu gelangen und den schier unendlichen Datenschatz polizeilicher Datenbanken brauchbar zu sortieren. Bisher, so die Polizei in ihrer Pressemitteilung, müssten Analysten die polizeilichen Datenquellen einzeln abfragen und erlangte Informationen händisch miteinander abgleichen. Ein Zeitaufwand, den man sich vor dem Hintergrund ernster Verbrechen nicht länger leisten wolle und könne, erklärte der Präsident des Bayerischen Landeskriminalamtes Harald Pickert. "Besonders im Blick haben wir die Bekämpfung von Terrorismus, Organisierter Kriminalität und schwerer Kriminalitätsformen wie z.B. sexualisierter Gewalt gegen Kinder", heißt es auf Seiten des BLKA. Aus Sicht von Datenschützern habe die bisherige Arbeitsweise allerdings ihren Grund, verriet Prof. Dr. Thomas Petri, Landesbeauftragter für den Datenschutz, dem stern. Er warnt vor Missbrauch der Software.
Erheblicher Eingriff in die Grundrechte möglich
"Das sind alles Beispiele, bei denen ich nachvollziehen kann, dass die Polizei möglichst schnell und effektiv Informationen aus unterschiedlichen Datenbanken zusammenziehen will und angesichts der extrem hochrangigen Schutzgüter auch darf", entgegnet Petri. "Aber: Klar ist auch, dass je nach Ausgestaltung von "Vera" seine Nutzung ganz erheblich in die Grundrechte eingreifen kann. Und: Die Medieninformation nennt diese Kriminalitätsformen nur als Beispiele. Wenn man alle denkbaren Nutzungsformen – wie bisher angedacht – auf eine Verarbeitungsgeneralklausel stützt, gibt es außer dem Erforderlichkeitsprinzip keine konkreten Vorgaben, die die Polizei ausdrücklich daran hindern würde, Vera auch in ganz anderen Zusammenhängen einzusetzen."
Genau das sei durch die vielen Datenbanken bisher verhindert worden. "Rechtlich betrachtet ist es kein Zufall, dass die Polizei verschiedene Datenbanken errichtet (Bayern Art. 64 Abs. 1 Polizeiaufgabengesetz). Diese Vorgehensweise soll die Verhältnismäßigkeit der Verarbeitung und der Einhaltung der sogenannten Zweckbindung dienen: Die Polizei soll nur die personenbezogenen Daten nutzen, die sie im jeweiligen Zusammenhang auch tatsächlich benötigt. Es ergibt beispielsweise einen erheblichen Unterschied, ob die Polizei zur Bekämpfung der organisierten Kriminalität Daten verarbeitet – oder ob sie Daten von Bürgerinnen und Bürgern in ganz anderen Zusammenhängen erfasst, die mit Kriminalitätsbekämpfung nichts oder allenfalls am Rande zu tun haben", erläutert Prof Dr. Petri.
"Hinzukommt, dass es unterschiedliche Schutzbedarfe gibt: Die Polizei muss mit Daten von Verdächtigen anders umgehen als mit Daten von Unverdächtigen. Und es gibt verschiedene Grundrechte, die einen unterschiedlich starken Schutz entfalten (Unverletzlichkeit der Wohnung und das IT-Grundrecht: sehr stark; Fernmeldegeheimnis: stark; allgemeines Persönlichkeitsrecht: sehr unterschiedlich, mal stark, mal weniger stark). Je nachdem wie Vera ausgestaltet wird, könnten alle diese Unterschiede eingeebnet werden."
Organisierte Kriminalität, kein Taschendiebstahl
Für die Polizei sei das nicht das Ziel, heißt es in einer Erklärung, die das BLKA dem stern zukommen ließ. "Im Fokus steht das Erkennen von kriminellen und extremistischen Netzwerken und auch um Ansätze, Sicherheitsgefahren schneller entschärfen zu können. Jeder Zugriff auf Vera wird protokolliert und ausgewertet." Dabei stehe bei der Behörde Datenschutz und die korrekte Handhabung der Daten an oberster Stelle. Dr. Jürgen Brandl, BLKA-Projektleiter "Vera", erklärte dem stern telefonisch den Ablauf: "Auf Daten des Servers dürfen nur Experten zugreifen, die von uns die entsprechenden Freigaben erhalten haben. Das betrifft nur einen sehr kleinen Personenkreis, der zudem nur vor Ort in den Räumlichkeiten des BLKA arbeiten darf. Die Vera-Server haben keine Verbindung zum Internet, vor Einsatz der Software und vor jedem Update prüft ein unabhängiges Forschungsinstitut den Quellcode auf Schadsoftware und Hintertüren und selbst die Wartung findet nur lokal statt, nicht über das Internet."
Mit Hessen und Nordrhein-Westfalen setzen bereits zwei weitere Länder auf "Gotham" von Palantir. Kriminalhauptkommissar Udo Rechenbach vom Landeskriminalamt Nordrhein-Westfalen erklärte dem stern: "Das DAR System basiert auf der Software Gotham der Firma Palantir und befindet sich seit 5. Oktober 2020 im Testbetrieb. DAR unterstützt die Polizei bei der Auswertung und Analyse von polizeilichen Daten. Der Einsatz ist begrenzt auf die Verhütung und Verfolgung von schweren Straftaten einschließlich von Straftaten gegen die sexuelle Selbstbestimmung und der Verbreitung von Kinderpornografie sowie zur Abwehr von Gefahren für hochrangige Rechtsgüter wie Leib, Leben, Freiheit der Person und Bestand des Staates."
In Hessen sieht es ähnlich aus: "Der Einsatz der Analyseplattform hessenDATA des Anbieters Palantir erfolgt zur Bekämpfung von Staatschutzdelikten und der Schweren und Organisierten Kriminalität. Durch das Zusammenführen von verschiedenen Datenquellen können Tat- und Täterzusammenhänge schneller erkannt und die Zusammenarbeit von Ermittlern, Analysten und Operativkräften der hessischen Polizei deutlich verbessert werden", informierte Polizeihauptkommissarin Virginie Wegner den stern auf Anfrage.
Das Ende des Rechtsstaats heraufzubeschwören, sei aber zu früh: "Vor dem Hintergrund von Gesprächen mit Vertretern der Polizeispitze bin ich übrigens einigermaßen zuversichtlich, dass eine Lösung gefunden werden kann, die rechtsstaatliche Erfordernisse mit den Bedürfnissen der Polizei in Einklang bringt", ließ der Datenschutz-Landesbeauftragte Prof. Dr. Petri den stern am Ende des Interviews wissen.
Keine Sorge vor Spionage
Sorgen vor Zugriff durch den US-Konzern Palantir macht sich indes keine Behörde. Auch Prof. Dr. Petri ist zuversichtlich: "Palantir ist ein Unternehmen, dessen Konzernzentrale in den USA sitzt und das im Ruf steht, sehr enge Beziehungen zu den US-Geheimdiensten zu pflegen. Falls Polizeidaten an diesen Dienstleister abfließen sollten, würde das Risiko entstehen, dass fremde Geheimdienste im großen Umfang auf deutsche Polizeidaten zugreifen. Die Maßnahmen des BLKA müsste man natürlich überprüfen, sie scheinen aber nicht vorneherein ungeeignet zu sein."
Palantir Technologies wurde 2004 von Peter Thiel, Alex Karp, Joe Lonsdale, Stephen Cohen und Nathan Gettings gegründet. Seinen Namen bekam das Unternehmen in Anlehnung an die "Palantíri" aus J. R. R. Tolkiens Fantasy-Saga "Herr der Ringe". In Mittelerde dienen "sehenden Steine" als Kommunikationsmittel über weite Distanzen und gelten dort als mächtige und gefährliche Gegenstände. Der Namen "Gotham" für die Software lieh sich Palantir aus der Batman-Reihe, es handelt sich dabei um die Hauptstadt des Comicuniversums, die berühmt und berüchtigt für ihre kriminellen Schurken (und Helden) ist.
