Zum Inhalt springen
CASOON

Die Überwachungsindustrie 2026: Warum EU-Datenschutz oft nur auf dem Papier souverän wirkt

Management

Rechtsgrundlagen, Datenfusion und KI-Automatisierung bilden einen Stack, der Europäer hochgradig profilierbar macht – auch ohne je in die USA zu reisen

18 Minuten
Die Überwachungsindustrie 2026: Warum EU-Datenschutz oft nur auf dem Papier souverän wirkt
#Überwachung #DSGVO #Datenschutz #Palantir
SerieDigitale Souveränität
Teil 8 von 11

Die Debatte wird häufig über einzelne Skandale geführt: eine Razzia hier, ein Leak da, ein neues „Sicherheitsgesetz” dort. Was dabei untergeht: Überwachung ist inzwischen weniger ein einzelnes Instrument, sondern ein Stack – aus Rechtsgrundlagen, Datenflüssen, Plattformen zur Datenfusion und (seit kurzem) KI-Automatisierung. Genau diese Kombination macht Europäer hochgradig profilierbar, auch ohne je in die USA zu reisen.

Dieser Artikel geht nicht primär über die Opfer konkreter Vollzugsmaßnahmen, sondern über die Industrie dahinter: Was technisch möglich ist, warum es möglich ist, wie Europa sich dazu verhält – und wo die vermeintliche Grenze zwischen DSGVO-Anspruch und Cloud-Realität verläuft.

Die neue Normalform: Überwachung als Pipeline statt als Maßnahme

Wenn man die beiden Erzählstränge – US-Überwachungsbefugnisse und Datensammlung einerseits, operativer Vollzug durch ICE/DHS andererseits – zusammensetzt, ergibt sich ein Muster:

1
Daten
2
Profiling / Priorisierung
3
Operative Nutzung
4
Neue Datenspuren
5
Mehr Skalierung

Das ist der eigentliche Sprung der letzten Jahre: Nicht „mehr Kameras” allein, sondern systematische Verwertbarkeit.

  • Rechtsrahmen schafft Zugriffsmöglichkeiten.
  • Plattformen (z. B. Palantir-Klasse) machen aus Datensilos quer durchsuchbare Graphen.
  • KI reduziert den manuellen Aufwand drastisch: Zusammenfassen, Klassifizieren, Übersetzen, Priorisieren, „BLUF” (bottom line up front).

Dass diese Pipeline nicht nur hypothetisch ist, zeigt der US-Fall besonders deutlich, weil Budgets und Organisationslogik es erzwingen: ICE wird seit Jahren hochgefahren, mit einem Basisbudget um ~10 Milliarden USD pro Jahr. Der am 4. Juli 2025 unterzeichnete „One Big Beautiful Bill Act” legte noch einmal 75 Milliarden Supplementalfinanzierung obendrauf – bis 2029 steigt das ICE-Gesamtbudget auf über 100 Milliarden USD, was die Behörde zur bestfinanzierten US-Strafverfolgungsbehörde überhaupt macht.

Profilierung ohne USA-Reise: Globale Datenflüsse als Einfallstor

Die These „Du bist auch ohne USA-Reise profilierbar” steht und fällt nicht mit einem einzigen Programmnamen – PRISM ist dabei eher Symbol als alleinige Ursache. Entscheidend ist:

  1. US-Anbieter als Infrastruktur-Knoten – Cloud, SaaS, Messaging, Zahlungsabwicklung, Analytics.
  2. Metadaten und Transitrouten – Wer mit wem, wann, wie oft; welche Endpunkte; welche Dienste.
  3. OSINT – Alles, was öffentlich ist, ist maschinenlesbar.
  4. Kontaktketten – Graphenlogik: Aus einem Ziel wird ein Netzwerk.

Für Section 702 FISA ist die Kernlogik seit Jahren klar beschrieben: Es geht um gezielte Überwachung von Nicht-US-Personen außerhalb der USA, häufig mit Unterstützung von US-Kommunikationsdienstleistern. Für Executive Order 12333 ist ebenfalls seit Jahren öffentlich dokumentiert, dass sie die zentrale Grundlage für Auslands-SIGINT bildet – die NSA hat die alleinige Befugnis zur Durchführung von SIGINT-Aktivitäten.

Praktisch heißt das: Selbst wenn Daten „in der EU” liegen, bleibt die Frage: Wer betreibt die Plattform, wer kontrolliert den Zugriffspfad, wer ist verpflichtbar? Diese Frage ist oft wichtiger als der Standort eines Rechenzentrums.

DSGVO-Versprechen vs. Cloud-Realität: Ein struktureller Widerspruch

Europa hat mit der DSGVO ein starkes Normensystem. Gleichzeitig ist die EU wirtschaftlich und operativ stark in transatlantische Datenflüsse eingebunden.

  • Die EU hat am 10. Juli 2023 den EU-US Data Privacy Framework als Angemessenheitsbeschluss beschlossen – damit sind Datenübermittlungen an teilnehmende US-Unternehmen wieder erleichtert. Eine erste Klage (noyb/Schrems) wurde im September 2025 vom EU-Gericht abgewiesen, doch ein breiterer „Schrems III”-Vorstoß vor dem EuGH ist angekündigt.
  • Parallel existiert in den USA mit dem CLOUD Act (23. März 2018) ein Mechanismus, der US-Anbieter per Warrant verpflichten kann, Daten herauszugeben, auch wenn sie außerhalb der USA gespeichert sind.

Damit entsteht ein Spannungsfeld, das man nüchtern so formulieren kann:

DSGVO regelt, wie verarbeitet werden darf. US-Recht kann (bei US-Anbietern) regeln, ob herausgegeben werden muss.

Man muss dafür nicht einmal unterstellen, dass „permanent illegal” gehandelt wird. Der Konflikt steckt bereits in der Governance: Jurisdiktion ist ein Feature der Plattformwahl.

Von Daten zu Entscheidungen: Was KI qualitativ verändert

Viele Überwachungs- und Analyseansätze gab es „irgendwie” schon: Datenbanken, Abfragen, Link-Analysen. Der Engpass war fast immer derselbe: menschliche Verarbeitungskapazität.

KI verschiebt diesen Engpass gleich mehrfach:

  1. Text-/Dokumenten-Überfluss wird handhabbar – Zusammenfassung, Extraktion, Übersetzung.
  2. Priorisierung wird billig – Triage-Queues statt „alles lesen”.
  3. Datenfusion wird wirksam – Unstrukturierte Quellen (Tips, PDFs, Freitext) fließen plötzlich in strukturierte Workflows ein.

Dass Behörden KI nicht nur „experimentell”, sondern operativ denken, sieht man im offiziellen DHS AI Use Case Inventory (veröffentlicht am 28. Januar 2026): 238 KI-Anwendungen sind dort verzeichnet – ein Anstieg von knapp 40 % gegenüber der Offenlegung vom Juli 2025. ICE allein hat seine Use-Cases von 2024 auf 2025 fast verdoppelt, darunter automatisierte Tip-Verarbeitung, biometrische Identitätsprüfung und Mobilgeräte-Auswertung.

Der kritische Punkt ist nicht „KI entscheidet allein”, sondern dass KI die Kosten pro Verdacht senkt. Sobald Verdacht billig wird, wachsen Listen – und Listen erzeugen Druck zur Abarbeitung.

Palantir als Betriebssystem der Datenfusion: USA-Export, EU-Import

Palantir ist in dieser Analyse zurecht zentral, weil die Firma weniger „ein Tool” als eine Betriebsphilosophie verkauft: Daten aus möglichst vielen Quellen zusammenziehen, graphbasiert verknüpfen, operationalisieren.

USA: DHS/ICE als Großkunde und Plattform-Ausbau

Im April 2025 erteilte ICE Palantir einen 30-Millionen-Dollar-Sole-Source-Auftrag für „ImmigrationOS” – eine Plattform für Identifizierung, Tracking und Abschiebungslogistik mit „Near Real-Time Visibility”, Prototyp-Lieferung bis September 2025. Das System baut auf den seit 2013 bestehenden Palantir-Systemen FALCON und ICM auf.

Deutschland: Gotham-Ableger im Polizeialltag

In Deutschland ist die Lage nicht „US-gleich”, aber die technische Richtung ist erkennbar:

  • Hessen nutzt seit 2017 Palantir-Software („Gotham”) unter dem Namen hessenDATA. Das Bundesverfassungsgericht erklärte im Februar 2023 die zugrundeliegenden Regelungen in Hessen und Hamburg für verfassungswidrig – automatisierte Datenanalyse ohne konkretisierte Gefahr verletze das Grundrecht auf informationelle Selbstbestimmung.
  • Nordrhein-Westfalen: Die polizeiliche „DAR” (Datenbankübergreifende Analyse und Recherche) basiert auf Palantir Gotham. Die Projektkosten stiegen auf fast 40 Millionen Euro.
  • Die Debatte ist politisch offen: Von „Sicherheitslücke ohne Palantir” bis „Black-Box/Abhängigkeit” – inklusive Forderungen nach europäischen Alternativen.
  • Baden-Württemberg schloss im März 2025 einen Vertrag mit Palantir – Kosten: rund 25 Millionen Euro über fünf Jahre, ohne Ausstiegsklausel. Die Grünen im Landtag fordern parallel eine europäische Alternative (Europa-VeRA).

Das Muster dahinter: Europa importiert nicht nur „Technik”, sondern eine Architekturentscheidung – zentrale Verknüpfbarkeit vieler Datenbestände. Das ist der Punkt, an dem Datenschutzfragen von „Einwilligung/Tracking” in Richtung Macht über Korrelationen kippen.

Gibt es eine erkennbare Grenze – oder nur Vertrauen?

Die unbequeme Antwort: Es gibt Grenzen – aber viele davon sind organisational und politisch, nicht technisch.

Technische Grenzen schrumpfen

  • Datenmengen sind kein Argument mehr, wenn KI vorsortiert.
  • Unstrukturierte Daten sind kein Argument mehr, wenn Modelle extrahieren.
  • Sprachbarrieren sind kein Argument mehr, wenn Übersetzung integriert ist.

Juristische Grenzen bleiben – aber sind „laggy”

Recht reagiert langsamer als Capability. Selbst wenn Gerichte (wie in Deutschland) Normen zu automatisierter Analyse nachschärfen, bleibt das Grundproblem:

Sobald eine Plattform Korrelationen billig macht, wird „Zweckbindung” zur Dauerbaustelle.

Geopolitisch verschärft sich der Konflikt gerade eher: Aktuelle Berichte zeigen, dass die US-Regierung aktiv gegen „Data Sovereignty”-Ansätze im Ausland opponiert – inklusive Kritik an EU-Regeln wie der DSGVO.

Europas ambivalente Position

Europa will gleichzeitig:

  • digitale Souveränität,
  • leistungsfähige Sicherheitsbehörden,
  • offene Märkte und Cloud-Economies,
  • und starke Grundrechte.

Das ist nicht unmöglich – aber es ist ein Zielkonflikt, der nicht durch „wir halten uns an Datenschutz” verschwindet, solange die Infrastruktur- und Anbieterabhängigkeiten bestehen.

Was man daraus ableiten kann – ohne KI-Panik, aber mit KI-Ernst

KI ist nicht das Problem – KI senkt die Grenzkosten von Kontrolle. Damit wird aus „theoretisch möglich” schneller „operativ normal”.

Drei pragmatische Leitfragen für jede KI-/Datenplattform im Sicherheitskontext:

  1. Was ist der „unit cost” pro Verdacht? – Wie billig wird Selektion?
  2. Wie auditierbar ist die Ableitung? – Black-Box vs. nachvollziehbare Regeln, Logging, Red-Team, externe Kontrolle.
  3. Welche Datenfusion ist strukturell angelegt? – Welche Silos werden verknüpft – heute und „per Erweiterung” morgen?

KI-Regulierung und Überwachungsdruck in Europa

Gerade weil die Capability-Kurve steigt, wird die europäische Regulierung – AI Act, Sicherheitsgesetzgebung, polizeiliche Befugnisse – zum Schlachtfeld. Dass es parallel politische Vorstöße gibt, KI-Überwachungsbefugnisse auszubauen bzw. Regulierungen zu „entschärfen”, passt in dieses Bild.

Der AI Act (in Kraft seit 1. August 2024) klassifiziert biometrische Echtzeit-Identifikation im öffentlichen Raum als „inakzeptabel” – die Verbote gelten seit dem 2. Februar 2025, Verstöße werden mit bis zu 35 Millionen Euro oder 7 % des Jahresumsatzes geahndet. Zugleich lässt das Gesetz Ausnahmen für Strafverfolgung: Vermisstensuche, unmittelbare Bedrohungslagen und Ermittlungen bei schweren Straftaten. Die richterliche Genehmigung kann im Notfall bis zu 24 Stunden nachgeholt werden. Die Frage ist, wie weit diese Ausnahmen in der Praxis interpretiert werden, wenn die technische Infrastruktur bereits steht – und die Hochrisiko-Regeln erst ab August 2026 vollständig greifen.

Norm vs. Plattformrealität

Wenn man heute fragt „Wo wird Datenschutz überhaupt eingehalten – oder ist das ein Widerspruch?”, dann ist die sauberste Antwort:

  • Datenschutz kann eingehalten werden – und trotzdem kann ein System entstehen, das Menschen hochgradig profilierbar macht.
  • Der Widerspruch ist weniger „Legal vs. Illegal”, sondern Norm vs. Plattformrealität: Jurisdiktion, Datenflüsse, Anbieterabhängigkeit und KI-Skalierung verschieben die Machtbalance.

Wer über Überwachung reden will, sollte deshalb weniger über einzelne Features reden („Gesichtserkennung ja/nein”) und mehr über den Stack:

1
Datenquellen
2
Fusion
3
Automatisierung
4
Durchsetzung

Solange die europäische Debatte bei einzelnen Instrumenten stehen bleibt, wird sie den eigentlichen Punkt verfehlen: Die Überwachungsindustrie ist kein Feature – sie ist eine Architektur. Und Architekturen lassen sich nicht durch Einwilligungs-Popups regulieren.