Zum Inhalt springen
Open Sourced
Zurück zum Blog

Eine Software, gebaut für Totalüberwachung — warum die Schweiz Nein sagte

Orell6 Min. Lesezeit

slug: palantir-souveraenitaet-kmu status: draft category: digitale-freiheit tags: [] titleDe: Eine Software, gebaut für Totalüberwachung — warum die Schweiz Nein sagte titleFr: titleEn: excerptDe: Palantirs Plattform sei «in seinem Grund inkompatibel mit einer Demokratie», sagen Kritiker. Der Bund lehnte sie ab. Die Lektion für KMU steckt nicht in der Polizeiarbeit, sondern in einer Frage: Wer sieht in Ihre Daten — und wer hat den Schalter in der Hand? sources:

Eine Software, die mitregiert

Palantir baut keine gewöhnliche Datenbank. Die Plattform des US-Unternehmens führt Bestände zusammen, die bisher getrennt lagen — Meldungen, Fahrzeughalter, Telefondaten, soziale Verbindungen — und macht sie über eine einzige Oberfläche durchsuchbar. Die Netzaktivistin Marina Weisband bringt es im Kuketz-Blog auf den Punkt: Palantir sei «designt dafür, viele Datenbanken zusammenzutragen und ein einziges Profil über jeden Menschen zu erstellen». Es sei «designt für Totalüberwachung» — und «in seinem Grund inkompatibel mit einer Demokratie».

In Deutschland läuft diese Software bei der Polizei: in Hessen als hessenDATA, in Bayern als VeRA, in Nordrhein-Westfalen im Projekt DAR. Hessen beschaffte dafür bereits 2017 das Palantir-Produkt «Gotham», wie das Bundesverfassungsgericht in seinem Urteil festhielt. Und genau dieses Urteil markiert die Grenze, die hier überschritten wurde. Am 16. Februar 2023 erklärte das Bundesverfassungsgericht die Rechtsgrundlagen für die automatisierte Datenanalyse in Hessen und Hamburg für verfassungswidrig: Sie verletzten das Recht auf informationelle Selbstbestimmung, weil sie keine ausreichende Eingriffsschwelle vorsahen. netzpolitik.org ordnete ein, was auf dem Spiel stand: Data-Mining, KI-Auswertung und «Predictive Policing» waren weder ausgeschlossen noch begrenzt — eine Software durfte Profile über Menschen bilden, gegen die nichts vorlag.

Dass solche Werkzeuge nicht für seltene Ausnahmefälle reserviert bleiben, zeigt die Praxis. Der Kuketz-Blog dokumentiert, dass Bayern VeRA zwischen September 2024 und Mai 2025 fast hundert Mal einsetzte — auch bei Bagatelldelikten wie Fahrraddiebstahl. Dabei greift die Analyse auf Polizeidatenbanken zu, die «nicht nur Informationen zu Beschuldigten, sondern regelmässig auch zu Opfern, Zeugen oder unbeteiligten Dritten» enthalten. Wer die Fähigkeit hat, alles zu verknüpfen, nutzt sie auch dort, wo sie nicht nötig wäre — und gegen Menschen, die nie etwas getan haben.

Wer hinter der Box steht

Bei Palantir lässt sich diese Frage nicht von der Person trennen, die das Unternehmen kontrolliert. Mitgegründet wurde es 2003 unter anderem von Peter Thiel und früh vom CIA-nahen Wagniskapitalarm In-Q-Tel mit rund zwei Millionen Dollar mitfinanziert. Mike Kuketz nennt Thiel im Ausgangsartikel einen «erklärten Gegner demokratischer Ordnungen» — «Palantir ist sein Vehikel». Sicherheitskritische Infrastruktur in die Hand eines solchen Anbieters zu legen, sei «nicht nur sicherheitspolitisch fahrlässig, sondern demokratisch blind»; das Fazit lautet, der Einsatz offenbare «ein fatales Mass an politischer Ignoranz und sicherheitstechnischer Abhängigkeit».

Das ist eine deutliche Sprache, und sie ist berechtigt. Denn das Bedenkliche ist nicht die Ideologie einer einzelnen Person, sondern die Kombination: eine geschlossene Plattform, die sensibelste Daten verarbeitet, kontrolliert von einem Anbieter mit eigener politischer Agenda und unter fremder Jurisdiktion. Selbst innerhalb Deutschlands stösst das auf Widerstand. Der Bundesrat sprach sich im März 2025 für eine bundesweite Interimsnutzung von Gotham aus — mehrere Länder, darunter Hamburg, Bremen, Niedersachsen und Thüringen, lehnten ab. Das «vorübergehend» deklarierte System ist strukturell auf Dauer angelegt; einmal verflochten, lässt es sich kaum wieder herauslösen.

Warum die Schweiz Nein sagte

In der Schweiz endete dieselbe Geschichte anders. Über Jahre umwarb Palantir die Bundesverwaltung — und scheiterte jedes Mal, wie die Republik recherchierte. Nach einer Risikobeurteilung verzichteten Bund und Armee auf den Einsatz; die Risiken galten als zu gross. Befragte Polizeikorps verneinen, die Software zu nutzen.

Die Gründe decken sich mit der Kritik. Neben einer oft fehlenden Rechtsgrundlage für den entsprechenden Datenaustausch nennt swissinfo ein Misstrauen, das in der Herkunft des Unternehmens wurzelt: CIA-Startkapital, Thiel-Nähe, ein Anbieter, dessen Loyalitäten nicht bei der Schweiz liegen. Der Bund traf damit eine Souveränitätsentscheidung. Er wog ab, wer am Ende die Kontrolle über das System und die darin verarbeiteten Daten hat — und entschied, dass diese Kontrolle nicht ausreichend bei ihm lag. Manchmal ist die richtige Antwort schlicht «nein».

Das eigentliche Problem ist die Black Box

Hier wird die Geschichte für Unternehmen relevant, die mit Polizeiarbeit nichts zu tun haben. Das Muster hinter Palantir ist nämlich kein Spezialfall: Eine proprietäre, geschlossene Plattform übernimmt die Hoheit über sensible Daten, und niemand ausserhalb des Anbieters kann vollständig prüfen, was im Inneren geschieht. Genau diese Konstellation begegnet KMU täglich — nur heisst sie dann CRM, Cloud-Suite, Analyse-Tool oder «KI-Assistent». Die Grössenordnung ist eine andere, der Mechanismus derselbe.

Drei Fragen entscheiden über Souveränität, und bei einer Black Box lauten die Antworten ungünstig:

  • Einsicht: Können Sie — oder ein unabhängiger Prüfer — nachvollziehen, was die Software mit Ihren Daten tut? Bei geschlossenem Code ist das per Definition ausgeschlossen. Offener Quellcode macht Prüfung erst möglich; er garantiert keine Sicherheit, aber er erlaubt sie.
  • Kontrolle: Wo liegen die Daten, und wer kann den Zugang abschalten? Ein Anbieter mit eigener politischer Agenda oder unter fremder Jurisdiktion entscheidet das unter Umständen nicht in Ihrem Interesse.
  • Ausstieg: Können Sie wechseln, ohne von vorne zu beginnen? Je tiefer eine proprietäre Plattform Ihre Prozesse durchdringt, desto teurer wird der Absprung — das ist der Mechanismus des Vendor-Lock-in.

Die Lehre aus dem Palantir-Fall ist deshalb keine über Polizeisoftware. Sie lautet: Wer Daten verarbeitet, die ihm anvertraut wurden, sollte die Kontrolle darüber nicht an eine Box abgeben, in die er nicht hineinsehen kann.

Was das für Ihr KMU heisst

Seit dem 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz in Kraft. Es verpflichtet Unternehmen, bei der Bearbeitung von Personendaten zu wissen, was mit diesen Daten geschieht — und bei riskanten Bearbeitungen den Anbieter und den Bearbeitungsort konkret zu beurteilen. Eine Black Box, deren Innenleben Sie nicht kennen, macht diese Beurteilung schwer bis unmöglich.

Was sich daraus praktisch ableiten lässt:

  1. Inventarisieren Sie, wer in Ihre Daten sieht. Listen Sie Ihre Werkzeuge auf und notieren Sie zu jedem: Wo liegen die Daten, unter welcher Jurisdiktion steht der Anbieter, und wer hätte technisch Zugriff?
  2. Bewerten Sie nach Einsicht, Kontrolle und Ausstieg — nicht nur nach Funktionsumfang und Preis. Ein günstiges Tool, aus dem Sie nicht mehr herauskommen, ist teuer.
  3. Bevorzugen Sie prüfbare Alternativen, wo es zählt. Für viele Aufgaben gibt es offene, selbst- oder schweizerisch gehostete Lösungen, deren Code und Datenfluss nachvollziehbar sind.

Welcher Anbieter im Einzelfall trägt, ist eine Frage der konkreten Bewertung — genau hier setzt eine Datenschutzberatung an, die Werkzeuge nach Einsicht, Kontrolle und Ausstieg prüft statt nur nach Preisliste. Die Schweiz hat bei Palantir vorgemacht, dass die richtige Antwort manchmal «nein» heisst. Für die eigenen Daten lohnt sich dieselbe Frage: Wer sieht hinein — und wer hat den Schalter in der Hand?

Weitere Beiträge