Spanien hat Palantir Technologies per Direktive des Premierministeramts Moncloa aus öffentlichen und privaten Unternehmen verbannt. Der Schritt trifft Konzerne wie Telefónica, Indra und den Werft Navantia, die unter dem Dach der staatlichen Beteiligungsgesellschaft SEPI geführt werden. Für DACH-Entscheider, die ähnliche US-Datenanalyseplattformen nutzen, beginnt damit eine überfällige Prüfpflicht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- Spaniens Premierministeramt (Moncloa) hat SEPI-Unternehmen angewiesen, keine neuen Verträge mit Palantir abzuschließen, gestützt auf nationale Sicherheitsgesetzgebung, nicht auf einen DSGVO-Beschluss.
- Das strukturelle Problem ist FISA Section 702: Das US-Gesetz verpflichtet US-Anbieter zur Herausgabe europäischer Nutzerdaten an Geheimdienste, unabhängig vom Serverstandort.
- Frankreich und die Schweiz haben Palantir bereits abgelehnt; in Deutschland hat das Bundesverfassungsgericht den Einsatz der Software 2023 für verfassungswidrig erklärt.
- DACH-Unternehmen sind verpflichtet, für jeden US-Datenverarbeiter ein Transfer Impact Assessment (TIA) zu dokumentieren, auch bei DPF-Zertifizierung.
Warum ein Blacklist-Beschluss mehr bewirkt als ein Bußgeld

Exekutive Direktive statt Datenschutzbehörde: Der entscheidende Mechanismus hinter der spanischen Entscheidung ist kein DSGVO-Verfahren, sondern ein Instrument nationaler Sicherheitsgesetzgebung. Moncloa hat die SEPI-Unternehmen direkt angewiesen, künftige Verträge zu stoppen. Das umgeht die typische Langsamkeit von Aufsichtsbehörden und setzt ein sofortiges politisches Signal, das vertraglich bereits weit fortgeschrittene Deals unmittelbar kassiert hat: darunter ein fast abgeschlossenes Projekt mit Navantia und eine Kooperationsvereinbarung mit der Guardia Civil.
Der eigentliche Auslöser ist struktureller Natur: FISA Section 702 verpflichtet US-amerikanische Kommunikationsdienstleister ohne territoriale Beschränkung zur Datenherausgabe an US-Geheimdienste. Palantir ist 2004 mit CIA-Beteiligung gegründet worden und unterliegt diesen Zugriffspflichten strukturell. Entscheidend für europäische KRITIS-Betreiber: Standard Contractual Clauses (SCCs) und EU-Serverstandorte schützen nicht vor FISA-702-Anfragen, sobald die Muttergesellschaft US-amerikanisch ist. Dieses Restrisiko ist nicht delegierbar.
Spanien liefert das Lehrstück: Datensouveränität wartet nicht auf den nächsten Bußgeldbescheid, sie wird per Direktive durchgesetzt.
— Michael Dobler, Herausgeber Dr. Web
Ein Muster, das sich beschleunigt
Spanien ist kein Einzelfall. Frankreich hat die Zusammenarbeit mit Palantir im Juni 2026 beendet und ChapsVision als Nachfolger benannt. Die Schweizer Armee und Bundespolizei hatten Palantir bereits zuvor mit explizitem Verweis auf CIA-Zugriffsmöglichkeiten abgelehnt. In Deutschland hat das Bundesverfassungsgericht im Februar 2023 den Einsatz der Palantir-Software in Hessen und Hamburg für verfassungswidrig erklärt; Verfahren gegen Bayern und NRW sind anhängig. Bundesjustizministerin Hubig hat im Februar 2026 eine von Innenminister Dobrindt angestrebte Bundesausweitung blockiert.
Der rechtliche Präzedenzfall liegt im Schrems-II-Urteil des Europäischen Gerichtshofs von 2020: Privacy Shield ist an den US-Geheimdienstzugriffsmöglichkeiten gescheitert, und das Gericht hat den Grundsatz etabliert, dass Drittland-Empfänger einen im Wesentlichen gleichwertigen Datenschutz gewährleisten müssen. Das 2023 eingeführte EU-US Data Privacy Framework (DPF) schließt diese Lücke nach Einschätzung von Datenschutzorganisationen wie noyb.eu nicht vollständig, weil FISA 702 unverändert gilt.
Spanien hat Palantir per Exekutiv-Direktive verbannt – als bisher schärfste Reaktion auf strukturelle US-Geheimdienstzugriffspflichten. Ein Überblick über die europäischen Präzedenzfälle und drei konkrete Handlungsschritte für Ihr Unternehmen.
- ▸US-Muttergesellschaft identifizieren
- ▸FISA-702-Risiko bewerten
- ▸TIA intern dokumentieren
- ▸Kündigungsfristen prüfen
- ▸Datenrückgabepflichten klären
- ▸Portabilität sicherstellen
- ▸Celonis, Deepset (DE)
- ▸ChapsVision (FR)
- ▸BSI-zertifizierte KRITIS-Plattformen
Aus DSGVO Art. 44 ff. ergibt sich für jedes Unternehmen im DACH-Raum eine Pflicht zur Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) für alle US-Datenverarbeiter, auch DPF-zertifizierte. Der Grund: FISA 702 kennt keine territoriale Grenze, EU-Serverstandorte von US-Muttergesellschaften sind damit nicht automatisch geschützt. Wer jetzt handeln will, braucht drei Schritte:
- Bestehende Verträge mit US-Datenanalyseanbietern auf FISA-702-Exposition prüfen und TIA schriftlich dokumentieren.
- Vertragsklauseln auf Ausstiegsrechte und Datenrückgabepflichten kontrollieren. Fehlende Austrittsklauseln, wie im Fall Baden-Württemberg, können den Wechsel zu europäischen Alternativen faktisch blockieren.
- Europäische Alternativen evaluieren: im Sicherheitsbereich Celonis oder Deepset (Deutschland), ChapsVision (Frankreich), im zivilen Bereich BSI-zertifizierte, KRITIS-konforme Plattformen.
Spaniens Blacklist-Beschluss ist kein isoliertes Politiksignal, sondern Ausdruck einer beschleunigten europäischen Entflechtungsbewegung von US-Dateninfrastruktur. Der Druck auf Unternehmen, die noch keine TIA vorgelegt haben, dürfte in den kommenden Monaten durch Aufsichtsbehörden in Deutschland, Österreich und der Schweiz deutlich steigen. Wer jetzt prüft, handelt strategisch, nicht reaktiv.
Mehr Newshunger?
- LLMs-Ratgeber: Große Sprachmodelle sicher im Unternehmen einsetzen
- Generative Engine Optimization (GEO): Reicht klassisches SEO 2026 noch aus?
- Die 10 größten Rechenzentren Deutschlands
- Robotik 2026: Wer braucht wirklich einen Roboter?
- Wie viel verdient ein Selbstständiger? Gehalt, Honorar & Realität