Wie die Bundesregierung das EU-Verbot biometrischer Massenüberwachung umgehen will
Das Bundeskabinett hat am 29. April 2026 ein Paket aus drei Gesetzentwürfen beschlossen, das in seiner Reichweite und in seiner inneren Logik so eng mit dem Palantir-Komplex verbunden ist, dass eine getrennte Betrachtung dem Thema nicht gerecht würde. Was ich in meinem vorherigen Beitrag „Werkzeug mit Weltbild“ als Strukturproblem beschrieben habe, die Verflechtung privater Technologieinteressen mit staatlicher Sicherheitspolitik, soll hier in Bundesrecht überführt werden. Wer das eine kritisiert, kommt am anderen nicht vorbei.
Bundesinnenminister Alexander Dobrindt (CSU) und Bundesjustizministerin Stefanie Hubig (SPD) haben sich auf eine Erweiterung der digitalen Ermittlungsbefugnisse geeinigt, die zwei Funktionen in deutsches Recht überführt. Erstens den „automatisierten biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet“, also die Möglichkeit, ein Fahndungsfoto mit allen im Netz auffindbaren Gesichtern abzugleichen. Zweitens die „automatisierte verfahrensübergreifende Datenanalyse“, also genau jene Funktion, die Palantir mit seiner Plattform Gotham und der für deutsche Polizeibehörden angepassten Variante VeRA seit Jahren liefert. Beide Befugnisse sollen dem Bundeskriminalamt und der Bundespolizei zustehen, die erste auch dem Bundesamt für Migration und Flüchtlinge. Die Strafprozessordnung wird um zwei neue Paragrafen ergänzt, das Justizministerium hat den Entwurf parallel vorgelegt.
Die Begründung: „Es wäre fahrlässig, unseren Ermittlungsbehörden solche Instrumente vorzuenthalten.“
Im Hintergrund steht der Fall Daniela Klette. Die RAF-Terroristin wurde von deutschen Sicherheitsbehörden über Jahrzehnte erfolglos gesucht. Ein Journalist hat sie im Februar 2024 mit der Gesichter-Suchmaschine PimEyes innerhalb weniger Minuten lokalisiert. Diese Geschichte ist politisch ungemein wirksam, weil sie eine Behörde inkompetent und ein Werkzeug effektiv aussehen lässt. Sie taugt aber nicht als Begründung für eine Gesetzgebung, die alle Menschen betrifft, deren Gesicht irgendwo im Netz auffindbar ist. Das sind heute Millionen. Aus einem aufsehenerregenden Einzelfall wird so eine flächendeckende Befugnis abgeleitet, mit der ein Ermittlungsanlass künftig die Suche im gesamten öffentlichen Netz rechtfertigt.
Hier beginnt die eigentlich bemerkenswerte Konstruktion. Die KI-Verordnung der Europäischen Union verbietet ausdrücklich, „Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen zu erstellen oder zu erweitern“. Eine deutsche Polizeibehörde dürfte eine solche Datenbank also nicht selbst aufbauen. Sie braucht aber eine, denn ohne durchsuchbare Vergleichsdatenbasis funktioniert biometrische Suche technisch nicht. Was der Gesetzentwurf einerseits behauptet, nämlich nach jedem Abgleich alle erhobenen Daten unverzüglich wieder zu löschen, ist andererseits ohne dauerhaft vorgehaltene Datenbank schlicht nicht durchführbar. Ein Gutachten der Organisation AlgorithmWatch hat das im April 2026 in aller Deutlichkeit festgestellt, der Wissenschaftliche Dienst des Bundestages ist zum selben technischen Befund gekommen. Die Bundesregierung umgeht dieses Problem über zwei Klauseln, die in der Analyse des Golem-Journalisten Friedhelm Greis besonders klar zutage treten. Die erste lautet: Das BKA darf den Abgleich auch „durch eine öffentliche und nichtöffentliche Stelle in einem Drittstaat“ durchführen lassen, wenn die Durchführung innerhalb der EU „technisch unmöglich oder nur mit unverhältnismäßig großem Aufwand möglich“ sei. Im Klartext: Die Datenbank baut Clearview AI. Die Suchanfrage stellt das BKA. Was bei einer deutschen Behörde verboten wäre, wird durch Auslagerung an einen Anbieter in einem Drittstaat legalisiert. Die zweite Klausel liegt in der Gesetzesbegründung selbst: Das Verbot der KI-Verordnung greife nicht, „sofern für das Auslesen der Daten keine KI-Systeme eingesetzt werden“. Da niemand erklärt, wie eine biometrische Erfassung von Milliarden Bildern ohne KI technisch funktionieren soll, ist die Aussage in dieser Form leer. Sie hält rechtlich aber die Tür offen, durch die das Verfahren später hindurchgeführt werden soll. Eine Tür, durch die das deutsche Recht ausgeht und mit einem Ergebnis aus Übersee zurückkommt, von dem niemand mehr genau wissen muss, wie es zustande gekommen ist.
Damit ist die strukturelle Verbindung zum Palantir-Komplex offensichtlich. Die Bundesregierung schafft mit dem Gesetzespaket nicht nur eine neue Befugnis. Sie schafft die rechtliche Form, in der amerikanische Anbieter wie Clearview AI, PimEyes oder eben Palantir zu strukturell notwendigen Partnern deutscher Sicherheitsbehörden werden. Wer die Datenbank pflegt, hat den Schlüssel zur Suche. Die deutsche Behörde wird zur Anfragenden, die Auswertung erfolgt in einer Infrastruktur, deren Aufbau, Pflege und Geschäftsmodell außerhalb des Zugriffs des deutschen Rechtsstaats liegen. AlgorithmWatch hat in einer gemeinsamen Erklärung mit Amnesty International, dem Chaos Computer Club, der Gesellschaft für Freiheitsrechte und dem früheren Bundesdatenschutzbeauftragten Ulrich Kelber genau diese Verbindung benannt: „Internet-Scans nach Gesichtern und Palantir bringen uns nicht mehr Sicherheit. Sie sind ein Angriff auf unsere Grundrechte und ein Schritt in den Überwachungsstaat.“ Dass diese Diagnose von einem so breiten zivilgesellschaftlichen Bündnis getragen wird, ist verwunderlich.
Die verfassungsrechtliche Lage ist alles andere als günstig. Das Bundesverfassungsgericht hat bereits im Februar 2023 die Regelungen zur automatisierten Datenanalyse der Polizei in Hessen und Hamburg für verfassungswidrig erklärt, weil die Eingriffsschwellen zu niedrig und die Streubreite der Erfassung Unbeteiligter zu hoch waren. Genau diese Konstruktion taucht in den aktuellen Gesetzentwürfen in modifizierter Form wieder auf. Die Gesellschaft für Freiheitsrechte hält die Vorhaben in ihrer aktuellen Stellungnahme zum Großteil für verfassungswidrig, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat vergleichbare Bedenken geäußert. Auch der IT-Branchenverband Eco, der nicht im Verdacht steht, grundsätzlich digitalisierungsfeindlich zu sein, warnt davor, dass das Internet damit „faktisch zu einem staatlichen Such- und Identifizierungsraum“ werde, und kritisiert die weitere Aufweichung der Trennung zwischen Gefahrenabwehr und Strafverfolgung. Wenn Bürgerrechtsorganisationen, Datenschutzbehörden und die IT-Branche gleichzeitig warnen, ist die Vermutung, dass hier etwas substanziell falsch läuft, nicht abwegig.
An dieser Stelle muss ich präzise sein, weil ich es im Palantir-Beitrag bereits war. Ich habe nichts gegen die Aufklärung schwerer Straftaten mit modernen Mitteln. Ich habe etwas dagegen, dass eine Bundesregierung ein Gesetz vorlegt, dessen Verfassungsmäßigkeit von praktisch allen einschlägigen Fachorganisationen bezweifelt wird, dessen europarechtliche Konstruktion auf einer Hintertür beruht, und dessen praktische Umsetzung notwendigerweise auf Unternehmen verweist, deren Datenbanken nach europäischem Recht illegal aufgebaut wurden. Dass die Bundesregierung dies in Kenntnis aller Einwände tut, ist sicherlich kein Versehen. Sie kommuniziert damit, dass ihr die rechtsstaatliche Sorgfalt weniger wichtig ist als die symbolische Demonstration polizeilicher Handlungsfähigkeit. Das ist ein politischer Preis, der jenseits der konkreten Befugnisse liegt und der sich, wenn er einmal gezahlt ist, schwer wieder einsammeln lässt. Die Verbindung zum Palantir-Beitrag ist damit strukturell. Was Karp in seinem Manifest fordert, eine engere Verflechtung privater Technologieunternehmen mit dem staatlichen Sicherheitsapparat, eine Aufgabe pluralistischer Selbstbeschränkung zugunsten einer härter konturierten Identitätspolitik, ist das ideologische Gegenstück zu dem, was das Bundeskabinett am 29. April beschlossen hat. Die deutsche Bundesregierung ist nicht Karps verlängerter Arm, das wäre eine Übertreibung. Aber sie schafft die rechtliche Infrastruktur, die zu Karps Programm passt, und sie tut dies in dem Augenblick, in dem dieses Programm in den USA an Sichtbarkeit gewinnt. Es ist ein deutscher Vorgang, eingebettet in einen internationalen Trend, der sich nicht von selbst auflöst, wenn man die Augen schließt.
Was also tun? Aus meiner Perspektive Folgendes. Die Bundestagsfraktion der Grünen muss in der parlamentarischen Beratung darauf hinwirken, dass die Drittstaaten-Klausel ersatzlos gestrichen wird. Sie ist die strukturelle Brücke, über die das Verbot der KI-Verordnung umgangen werden soll, und ohne diese Brücke fällt die ganze Konstruktion. Die automatisierte verfahrensübergreifende Datenanalyse darf in der Form, in der sie 2023 vom Bundesverfassungsgericht zurückgewiesen wurde, auch in der bundesgesetzlichen Variante keinen Bestand haben. Es braucht eine klare Befugnisbeschränkung auf besonders schwere Straftaten, ein striktes Beweisverwertungsverbot bei Verwendung illegal aufgebauter Datenbanken, und eine echte parlamentarische Kontrolle, nicht nur eine Berichtspflicht, die nach drei Jahren niemand mehr liest. Und es braucht den Mut, eine wahrscheinlich populäre Maßnahme abzulehnen, weil sie dem Rechtsstaat schadet, den sie zu schützen vorgibt.
Die rhetorische Wirksamkeit des „RAF-Bildes“ wird in der politischen Debatte präsent bleiben. Auf jede Anfrage, warum die Grünen sich gegen diese „endlich harte“ Sicherheitspolitik stellen, wird es eine Variante dieser Erzählung geben: die Terroristin, die der Journalist findet und die Polizei nicht. Wir sollten die richtige Antwort darauf bereit haben. Sie lautet: Wer eine Demokratie verteidigen will, baut nicht die Werkzeuge, mit denen sie zuerst überwacht und dann verändert wird. Sicherheit gegen Freiheit ist eine alte Falle. Sie war vor zwanzig Jahren falsch, und sie ist es heute.
Quellen
- Friedhelm Greis, „Das Gesetzespaket für eine neue Stufe der Überwachung“, Golem.de, 30.04.2026, https://www.golem.de/news/biometrische-gesichtserkennung-das-gesetzespaket-fuer-eine-neue-stufe-der-ueberwachung-2604-208176.html
- Daniel Leisegang und Chris Köver, „Rechtlich fragwürdig: Bundesregierung will biometrische Fotofahndung im Netz“, Netzpolitik.org, 16.03.2026, https://netzpolitik.org/2026/rechtlich-fragwuerdig-bundesregierung-will-biometrische-fotofahndung-im-netz/
- Markus Reuter, „Europarechts- und verfassungswidrig: Schwarz-Rot soll Pläne für biometrische Internetfahndung zurückziehen“, Netzpolitik.org, 13.04.2026, https://netzpolitik.org/2026/europarechts-und-verfassungswidrig-schwarz-rot-soll-plaene-fuer-biometrische-internetfahndung-zurueckziehen/
- AlgorithmWatch, „AlgorithmWatch warnt Bundesregierung vor Einschüchterungsversuchen durch biometrische Überwachung“, 10.04.2026, https://algorithmwatch.org/de/einschuchterung-biometrische-uberwachung/
- Amnesty International Deutschland, „Deutschland: Biometrische Überwachungspläne der Bundesregierung sind zum Scheitern verurteilt“, https://www.amnesty.de/pressemitteilung/deutschland-biometrische-ueberwachung-bundesregierung
- Bundesverfassungsgericht, „Regelungen zur automatisierten Datenanalyse der Polizei in Hessen und Hamburg verfassungswidrig“, Pressemitteilung Nr. 18/2023, https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2023/bvg23-018.html
- BMJV, Pressemitteilung zum Kabinettsbeschluss vom 29.04.2026, https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2026/0429_digitale_Ermittlungsmassnahmen.html