Spanien hat Palantir Technologies per Direktive des Premierministeramts Moncloa aus öffentlichen und privaten Unternehmen verbannt. Der Schritt trifft Konzerne wie Telefónica, Indra und den Werft Navantia, die unter dem Dach der staatlichen Beteiligungsgesellschaft SEPI geführt werden. Für DACH-Entscheider, die ähnliche US-Datenanalyseplattformen nutzen, beginnt damit eine überfällige Prüfpflicht.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Spaniens Premierministeramt (Moncloa) hat SEPI-Unternehmen angewiesen, keine neuen Verträge mit Palantir abzuschließen, gestützt auf nationale Sicherheitsgesetzgebung, nicht auf einen DSGVO-Beschluss.
  • Das strukturelle Problem ist FISA Section 702: Das US-Gesetz verpflichtet US-Anbieter zur Herausgabe europäischer Nutzerdaten an Geheimdienste, unabhängig vom Serverstandort.
  • Frankreich und die Schweiz haben Palantir bereits abgelehnt; in Deutschland hat das Bundesverfassungsgericht den Einsatz der Software 2023 für verfassungswidrig erklärt.
  • DACH-Unternehmen sind verpflichtet, für jeden US-Datenverarbeiter ein Transfer Impact Assessment (TIA) zu dokumentieren, auch bei DPF-Zertifizierung.

Warum ein Blacklist-Beschluss mehr bewirkt als ein Bußgeld

FISA 702 und DSGVO Art. 44 wiegen ungleich auf einer Waage mit Blacklist-Aufschrift
Spanische Regierung stoppt SEPI-Verträge per Direktive statt über Datenschutzbehörde, nutzt nationale Sicherheitsgesetzgebung

Exekutive Direktive statt Datenschutzbehörde: Der entscheidende Mechanismus hinter der spanischen Entscheidung ist kein DSGVO-Verfahren, sondern ein Instrument nationaler Sicherheitsgesetzgebung. Moncloa hat die SEPI-Unternehmen direkt angewiesen, künftige Verträge zu stoppen. Das umgeht die typische Langsamkeit von Aufsichtsbehörden und setzt ein sofortiges politisches Signal, das vertraglich bereits weit fortgeschrittene Deals unmittelbar kassiert hat: darunter ein fast abgeschlossenes Projekt mit Navantia und eine Kooperationsvereinbarung mit der Guardia Civil.

Der eigentliche Auslöser ist struktureller Natur: FISA Section 702 verpflichtet US-amerikanische Kommunikationsdienstleister ohne territoriale Beschränkung zur Datenherausgabe an US-Geheimdienste. Palantir ist 2004 mit CIA-Beteiligung gegründet worden und unterliegt diesen Zugriffspflichten strukturell. Entscheidend für europäische KRITIS-Betreiber: Standard Contractual Clauses (SCCs) und EU-Serverstandorte schützen nicht vor FISA-702-Anfragen, sobald die Muttergesellschaft US-amerikanisch ist. Dieses Restrisiko ist nicht delegierbar.

Spanien liefert das Lehrstück: Datensouveränität wartet nicht auf den nächsten Bußgeldbescheid, sie wird per Direktive durchgesetzt.

— Michael Dobler, Herausgeber Dr. Web

Ein Muster, das sich beschleunigt

Spanien ist kein Einzelfall. Frankreich hat die Zusammenarbeit mit Palantir im Juni 2026 beendet und ChapsVision als Nachfolger benannt. Die Schweizer Armee und Bundespolizei hatten Palantir bereits zuvor mit explizitem Verweis auf CIA-Zugriffsmöglichkeiten abgelehnt. In Deutschland hat das Bundesverfassungsgericht im Februar 2023 den Einsatz der Palantir-Software in Hessen und Hamburg für verfassungswidrig erklärt; Verfahren gegen Bayern und NRW sind anhängig. Bundesjustizministerin Hubig hat im Februar 2026 eine von Innenminister Dobrindt angestrebte Bundesausweitung blockiert.

Der rechtliche Präzedenzfall liegt im Schrems-II-Urteil des Europäischen Gerichtshofs von 2020: Privacy Shield ist an den US-Geheimdienstzugriffsmöglichkeiten gescheitert, und das Gericht hat den Grundsatz etabliert, dass Drittland-Empfänger einen im Wesentlichen gleichwertigen Datenschutz gewährleisten müssen. Das 2023 eingeführte EU-US Data Privacy Framework (DPF) schließt diese Lücke nach Einschätzung von Datenschutzorganisationen wie noyb.eu nicht vollständig, weil FISA 702 unverändert gilt.

Datensouveränität & DSGVO
Palantir in Europa: Blacklist, FISA 702 und was DACH-Unternehmen jetzt tun müssen

Spanien hat Palantir per Exekutiv-Direktive verbannt – als bisher schärfste Reaktion auf strukturelle US-Geheimdienstzugriffspflichten. Ein Überblick über die europäischen Präzedenzfälle und drei konkrete Handlungsschritte für Ihr Unternehmen.

FISA Section 702: Warum EU-Serverstandorte nicht schützen
Das US-amerikanische Geheimdienstgesetz FISA Section 702 verpflichtet US-Unternehmen zur Datenherausgabe an US-Gehäimdienste – unabhängig davon, wo die Server stehen. Standard Contractual Clauses (SCCs) und das EU‑US Data Privacy Framework (DPF) ändern daran nichts, solange die Muttergesellschaft US-amerikanisch ist. Dieses Restrisiko ist für europäische Unternehmen nicht delegierbar.
SCCs schützen nicht EU-Server kein Schutz DPF-Zertifizierung unzureichend TIA-Pflicht gem. Art. 44 ff. DSGVO
2020 EU (EuGH)
Schrems‑II-Urteil
Der Europäische Gerichtshof erklärt Privacy Shield für ungültig. Drittland-Empfänger müssen einen „im Wesentlichen gleichwertigen“ Datenschutz gewährleisten. Grundlage für alle späteren nationalen Entscheidungen.
Vor 2023 Schweiz
Schweizer Armee & Bundespolizei lehnen ab
Schweizer Behörden verweigern den Palantir-Einsatz mit explizitem Verweis auf CIA-Zugriffsmöglichkeiten. Frühes Signal für den europäischen Kurs.
Februar 2023 Deutschland
Bundesverfassungsgericht erklärt Einsatz für verfassungswidrig
Palantir-Software in Hessen und Hamburg verstößt gegen das Grundgesetz. Verfahren gegen Bayern und NRW anhängig. Bundesjustizministerin Hubig blockiert im Februar 2026 eine geplante Bundesausweitung.
Juni 2026 Frankreich
Frankreich beendet Zusammenarbeit
Frankreich kündigt Palantir-Kooperation und benennt ChapsVision als europäischen Nachfolger. Erster offizieller Ersatz durch eine europäische Plattform.
2026 Spanien
Blacklist per Exekutiv-Direktive (Moncloa)
Das spanische Premierministeramt weist SEPI-Konzerne (Telefónica, Indra, Navantia) an, keine neuen Verträge mit Palantir abzuschließen – gestützt auf nationale Sicherheitsgesetzgebung, nicht auf die DSGVO. Bisher beispielloseste Eskalationsstufe in der EU.
Deutschland – Bund & Länder
BVerfG-Urteil (2023): Einsatz in Hessen & Hamburg verfassungswidrig. Weitere Verfahren (Bayern, NRW) anhängig. Bundesausweitung durch Justizministerin gestoppt (Feb. 2026).
Österreich
Keine spezifische Direktive, aber DSGVO-Pflicht zur TIA gilt vollumfänglich. Aufsichtsdruck durch DSB (österr. Datenschutzbehörde) dürfte steigen.
Schweiz
Behörden und Militär haben Palantir bereits abgelehnt. Privatwirtschaft unterliegt DSG-Anforderungen – TIA-äquivalente Prüfpflicht für US-Anbieter.
DACH – Privatwirtschaft gesamt
TIA-Pflicht gemäß DSGVO Art. 44 ff. für alle US-Datenverarbeiter – auch bei DPF-Zertifizierung. Fehlende Dokumentation ist ein prüfbares Compliance-Risiko.
01
FISA-702-Exposition prüfen & TIA dokumentieren
Für jeden US-Datenverarbeiter (auch DPF-zertifiziert) ein Transfer Impact Assessment schriftlich erstellen.
  • US-Muttergesellschaft identifizieren
  • FISA-702-Risiko bewerten
  • TIA intern dokumentieren
02
Vertragsklauseln auf Ausstiegsrechte prüfen
Fehlende Ausstiegsklauseln können einen Wechsel zu europäischen Alternativen faktisch verhindern (Präzedenzfall: Baden-Württemberg).
  • Kündigungsfristen prüfen
  • Datenrückgabepflichten klären
  • Portabilität sicherstellen
03
Europäische Alternativen evaluieren
Mehrere europäische Plattformen sind bereits als Nachfolger im Einsatz oder BSI-zertifiziert.
  • Celonis, Deepset (DE)
  • ChapsVision (FR)
  • BSI-zertifizierte KRITIS-Plattformen

Aus DSGVO Art. 44 ff. ergibt sich für jedes Unternehmen im DACH-Raum eine Pflicht zur Datentransfer-Folgenabschätzung (Transfer Impact Assessment, TIA) für alle US-Datenverarbeiter, auch DPF-zertifizierte. Der Grund: FISA 702 kennt keine territoriale Grenze, EU-Serverstandorte von US-Muttergesellschaften sind damit nicht automatisch geschützt. Wer jetzt handeln will, braucht drei Schritte:

  • Bestehende Verträge mit US-Datenanalyseanbietern auf FISA-702-Exposition prüfen und TIA schriftlich dokumentieren.
  • Vertragsklauseln auf Ausstiegsrechte und Datenrückgabepflichten kontrollieren. Fehlende Austrittsklauseln, wie im Fall Baden-Württemberg, können den Wechsel zu europäischen Alternativen faktisch blockieren.
  • Europäische Alternativen evaluieren: im Sicherheitsbereich Celonis oder Deepset (Deutschland), ChapsVision (Frankreich), im zivilen Bereich BSI-zertifizierte, KRITIS-konforme Plattformen.

Spaniens Blacklist-Beschluss ist kein isoliertes Politiksignal, sondern Ausdruck einer beschleunigten europäischen Entflechtungsbewegung von US-Dateninfrastruktur. Der Druck auf Unternehmen, die noch keine TIA vorgelegt haben, dürfte in den kommenden Monaten durch Aufsichtsbehörden in Deutschland, Österreich und der Schweiz deutlich steigen. Wer jetzt prüft, handelt strategisch, nicht reaktiv.

Mehr Newshunger?

4,4 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?