Tag Archives: Constanze Kurz

05/3/26

NRW-Palantir-Gesetz: Verfassungskonform?

Automatisierte Datenanalyse in NRW: Palantir-Gesetz nicht verfassungskonform

Die Datenschutzbeauftragte von Nordrhein-Westfalen geht mit der im neuen Polizeigesetz geregelten automatisierten Datenanalyse hart ins Gericht. In ihrem Tätigkeitsbericht bezweifelt sie die Rechtmäßigkeit der Norm, die den Einsatz von Palantir-Software erlaubt. Der NRW-Innenminister Herbert Reul liebäugelt mit Palantir-Alternativen.

Constanze Netzpolitik, 20. April 2026

Einige Regelungen im neuen Polizeigesetz von Nordrhein-Westfalen durchbrechen den Grundsatz der Zweckbindung. Das schreibt die Datenschutzbeauftragte von Nordrhein-Westfalen, Bettina Gayk, in ihrem am Freitag veröffentlichten 31. Tätigkeitsbericht für 2025. Sie begründet darin ihre „Zweifel an der Verfassungsmäßigkeit“ des Gesetzes. „Trotz mehrfacher Intervention“ wurden ihre Einwände jedoch „im Gesetzgebungsverfahren nicht berücksichtigt“. Viel deutlicher hätte die Datenschutzbeauftragte zur Ignoranz ihrer Expertise durch die Landesregierung nicht werden können.

Nach mehreren Entscheidungen des Bundesverfassungsgerichts in den letzten Jahren musste Nordrhein-Westfalen sein Polizeigesetz anpassen. Auch für die darin geregelte automatisierte Datenanalyse machte Karlsruhe im Februar 2023 neue detaillierte Vorgaben.

Der etwas sperrige Rechtsbegriff „automatisierte Datenanalyse“ beschreibt die übergreifende Auswertung von polizeilichen Datensammlungen, die in NRW mit Hilfe des US-Konzerns Palantir vollzogen wird. Innenminister Herbert Reul (73, CDU) hatte in einem Interview mit dem Merkur im Sommer 2025 erklärt, bei dem Anbieter zunächst bleiben zu wollen. Der Fünf-Jahres-Vertrag mit Palantir wurde dann zwar verlängert, aber nur bis Oktober 2026.

Gayks Kritik bezieht sich auch auf den Konzern, vor allem aber richtet sie sich gegen die rechtlichen Regelungen: Die polizeilichen Befugnisse bei der Datenanalyse in NRW wurden nach dem Palantir-Urteil des Bundesverfassungsgerichts nicht etwa beschnitten, sondern beträchtlich ausgebaut und erlauben nun beispielsweise auch „KI“-Training. Diese erheblich erweiterten Analysebefugnisse im Polizeigesetz (§ 23 Abs. 6) wurden vom Landtag bereits beschlossen.

Sogar noch einmal verschärft“

Gayk kritisiert in der Pressemitteilung zu ihrem Tätigkeitsbericht, den sie NRW-Landtagspräsident André Kuper (CDU) übergab, den generellen Trend zu „ungezügelter Datennutzung“. Zudem würden Gesetze „teils im Eilverfahren verabschiedet“, so dass der Schutz der Grundrechte „nicht mit der notwendigen Sorgfalt berücksichtigt“ werde.

Beim Polizeigesetz wird Gayk in ihrem Tätigkeitsbericht besonders deutlich. Denn „schon beim ursprünglichen Text des PolG NRW“ wären „gesetzliche Ergänzungen“ notwendig gewesen. Das hätte sie auch in ihrer damaligen Stellungnahme deutlich gemacht. Die Verantwortlichen ignorierten die Expertise ihrer Datenschutzbeauftragten. Gayk schreibt:

Doch die Landesregierung ist darauf nicht nur nicht eingegangen – sie hat im überarbeiteten PolG NRW das Eingriffsgewicht möglicher polizeilicher Datenanalysen sogar noch einmal verschärft. Das hat zur Folge, dass das neue Gesetz erst recht nicht die Anforderungen an eine verfassungskonforme Norm erfüllen dürfte.

Denn nach den neuen Befugnissen dürfen nicht nur „Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt werden“, sondern auch „selbstständig arbeitende oder selbstlernende Systeme“ eingesetzt werden. Damit sind kaum eingegrenzte Formen von Software-Auswertungen gemeint, auch mit sogenannter „Künstlicher Intelligenz“. Polizeiliche Daten aus Registern oder Fahndungssystemen können beispielsweise mit Telekommunikationsdaten und vielen weiteren Datenarten verknüpft und automatisiert ausgewertet werden.

All dies hatte Gayk auch „zusätzlich in einer an den Landtag NRW gerichteten Stellungnahme deutlich gemacht“. Doch auch im Landtag fruchteten ihre Argumente nicht: „Keiner dieser Hinweise wurde im Gesetzgebungsverfahren berücksichtigt.“

Die Datenschutzbeauftragte ruft dabei ins Gedächtnis, dass bei der ersten Einführung der Datenanalyse in NRW noch besonders betont worden sei, „dass dieser Eingriff keine große Intensität aufweise – da KI gerade nicht zum Einsatz komme“. Jetzt hingegen sei nicht nur der Einsatz von „KI“ erlaubt, sondern sogar das „KI“-Training.

Im Jahr 2022 wurde im Polizeigesetz die Rechtsgrundlage für die Datenanalyse geschaffen, die in NRW den Namen DAR (Datenbankübergreifende Analyse- und Recherche) trägt und von Palantir schon seit 2019 für mindestens 39 Millionen Euro bereitgestellt wird. Seit dem Bohei um „KI“ wirbt der journalistenfeindliche Konzern mit bizarrer politischer Agenda damit, dass auch seine Software Künstliche Intelligenz beinhalte.

Software-Training

Die neue Regelung zum „KI“-Training enthält die Erlaubnis zur „Entwicklung, Überprüfung, Änderung oder zum Trainieren von IT-Produkten“. Das werfe zusätzliche Probleme auf, wenn die Polizei NRW dazu gespeicherte echte Daten von Menschen verwenden darf. Denn die Norm sehe „so gut wie keine Einschränkungen oder Voraussetzungen vor“, so Gayk. Zwar sollen die in das Training einfließenden Daten grundsätzlich anonymisiert werden. Aber das wurde ausgehebelt durch den Zusatz, dass die Anonymisierung auch unterbleiben kann, wenn sie „voraussichtlich mit einem hohen Aufwand verbunden“ ist.

Die Datenschutzbeauftragte hatte im Gesetzgebungsprozess gefordert, dass keine identifizierenden Informationen in das Software-Training einfließen sollen. Schließlich sei „die KI darauf ausgelegt“, Zusammenhänge zwischen Daten zu erkennen. Die könnten auch dann hergestellt werden, wenn der Name weggelassen würde. „Eine Anonymisierung gestaltet sich damit generell schwierig“, so Gayk.

Doch sie blieb auch mit diesem Einwand ungehört. Die NRW-Datenschützerin senkt nun zum „KI“-Training klar den Daumen:

Insgesamt sind im Gesetz nicht ansatzweise ausreichende Maßnahmen geregelt, um den mit der Nutzung zu Trainingszwecken einhergehenden Risiken […] angemessen zu begegnen.

Umdenken bei Herbert Reul

Neben diesen rechtlichen Bedenken beim „KI“-Training weisen Juristen schon länger auf das Problem, dass durch die Zusammenarbeit mit dem US-Konzern Palantir Polizeidaten in die Vereinigten Staaten abfließen könnten. Auch die NRW-Datenschutzbeauftragte betont in ihrem Bericht, dass sie die Landesregierung darauf hingewiesen hätte, „dass der Programmanbieter der US-amerikanischen Gesetzgebung unterliegt“. Gayk macht deutlich, dass zwei US-Gesetze hier einschlägig wären, nämlich der US CLOUD Act aus dem Jahr 2018 und der US Foreign Intelligence Surveillance Act. Diese böten US-Behörden „weitreichende Möglichkeiten, auf die Daten des Anbieters zuzugreifen“:

Da das Programm den Polizeidatenbestand nahezu vollständig einbezieht, würde dieser Datenbestand dann, wenn er im Zusammenhang mit KI-Training auch dem Programmanbieter zur Verfügung steht, nicht kontrollierbaren Zugriffen der US-Behörden unterliegen.

An dem seit 2017 amtierenden Innenminister Herbert Reul scheinen solche Hinweise nicht mehr gänzlich abzuprallen. Denn dass in NRW weiter mit Palantir zusammengearbeitet wird, ist nicht mehr ausgemacht. Der Widerstand gegen den US-Konzern ist zwischenzeitlich wohl zu deutlich gewachsen.

Reul sucht nun eine neue Analysesoftware für die Polizei, wie die dpa am Wochenende meldete. Denn Mitte Oktober läuft der Vertrag mit Palantir aus. Offenbar hat das vom US-Konzern und auch von deutschen Polizeianwendern gern besungene fast mythische Ansehen der Palantir-Software, der aktuell kein anderer Anbieter im Markt funktional das Wasser reichen kann, einige Kratzer bekommen.

An Gayks Einschätzungen zur Rechtmäßigkeit der gesetzlichen Regelungen zur automatisierten Datenanalyse in NRW ändert ein möglicher neuer Vertragspartner aber nichts. Denn ihre Kritik richtet sich gegen die außerordentlich weitgehenden Befugnisse, nicht nur gegen den Anbieter.

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille. Kontakt: E-Mail (OpenPGP)

Reblogged from Netzpolitik

12/29/25

Blackbox Palantir 39c3

Blackbox Palantir

Constanze Kurz and Franziska Görlitz

Wer nutzt in Deutschland Software von Palantir und wer hat das in naher Zukunft vor? Was sind die rechtlichen Voraussetzungen für den Einsatz solcher Analysewerkzeuge? Und was plant Innenminister Alexander Dobrindt in Sachen Palantir für die Polizeien des Bundes?

Software von Palantir analysiert für Polizeien und Militär deren Daten – dafür lizenzieren auch deutsche Polizeibehörden seit Jahren die Analysesoftware Gotham des US-Unternehmens. Die Software verarbeitet strukturierte und unstrukturierte Informationen aus Polizeidatenbanken. Die genauen Funktionsweisen sind für die Öffentlichkeit, Gesetzgeber und Kontrollbehörden jedoch nicht einsehbar.

Das US-Unternehmen ist hochumstritten und auch in Deutschland seit einigen Gesetzesinitiativen wieder umkämpft – wegen seiner intransparenten Analysemethoden, seiner Zusammenarbeit mit autoritären Staaten und seiner Nähe zur US-Regierung.

Rechtlich ist der Einsatz von Analysetools wie von Palantir in Deutschland ohnehin komplex, denn das Bundesverfassungsgericht hat 2023 deutliche Grenzen für polizeiliche Datenanalysen gezogen. Dennoch haben mehrere Bundesländer für ihre Polizeien Verträge oder streben sie an. Auch auf Bundesebene wird der Einsatz für das Bundeskriminalamt und die Bundespolizei hitzig diskutiert.

Wie funktioniert Gotham und welche Gefahren gehen damit einher?
Welche Entwicklungen sind im Bund und in den Ländern zu beobachten? Wie geht es weiter?

Wir wollen über den Stand der Dinge in Bund und Ländern informieren und auch zeigen, wie wir versuchen, rechtliche Vorgaben durchzusetzen. Denn die GFF und der CCC sind an Verfassungsbeschwerden beteiligt, unter anderem in Hessen, Hamburg und zuletzt in Bayern. 39c3

04/12/25

„Pall-Mall“-Prozess

Staaten wollen weiter hacken, aber mit Regeln

Constanze Kurz 11.04.2025

23 Staaten haben sich im Rahmen des „Pall-Mall“-Prozesses auf eine unverbindliche Vorschlagsliste geeinigt, um die Verbreitung von Schadsoftware wie Staatstrojanern und anderen Hacking-Werkzeugen einzudämmen. Experten bewerten die Ideenliste zwar positiv. Praktische Auswirkungen wird die Verabschiedung der Regeln aber nicht entfalten.

Dass Staatstrojaner um sich greifen, ist ein wachsendes Phänomen. Eine europäische diplomatische Initiative mit dem Namen Pall-Mall-Prozess, die von Großbritannien und Frankreich angestoßen wurde, widmet sich dem Problem. Das Ziel ist klar formuliert: Die „Verbreitung und unverantwortliche Nutzung kommerzieller Hacking-Werkzeuge“ wie Staatstrojaner soll bekämpft werden.

Vertreter von Staaten und internationalen Organisationen sowie von Industrie, Zivilgesellschaft und Wissenschaft entwickeln in dem Prozess einen „Verhaltenskodex“. Er ist allerdings freiwillig und vollkommen unverbindlich. Den Regeln sollen sich mitzeichnende Staaten freiwillig unterwerfen. Damit sollen die offenkundigen Probleme angegangen werden, die sich aus der Verbreitung kommerzieller Staatstrojaner und anderer Hacking-Werkzeugen ergeben. Er soll künftig auch weiteren Staaten angedient werden.

Vor einem Jahr traf sich die Pall-Mall-Initiative auf einer Konferenz in London und verabschiedete ein erstes Grundsatzpapier. 27 Staaten und internationale Organisationen haben die Erklärung unterschrieben, neben Großbritannien und Frankreich auch Deutschland und die Vereinigten Staaten.

Letzte Woche traf sich die Initiative erneut, diesmal in Paris. Dort haben sie eine zweite Version der Erklärung verabschiedet. Die neue Version wurde von 23 Staaten unterschrieben.

Wer mit Staatstrojanern ausspioniert wird

Das staatliche Hacken gefährdet die IT-Sicherheit insgesamt. Denn es basiert darauf, dass Sicherheitslücken ausgenutzt werden, um die Schadsoftware unbemerkt einschleusen zu können. Staaten, die solche Hacking-Werkzeuge kaufen oder einsetzen, investieren also hohe Beträge in eine Branche, die Unsicherheit und das Ausnutzen von Sicherheitslücken zum Geschäftsmodell gemacht hat.

Das Problem, das der Pall-Mall-Prozess angehen soll, ist also hausgemacht. Die Opfer der Staatstrojaner sind zwar überwiegend außerhalb Europas zu finden. Betroffen sind immer wieder auch Journalisten, Juristen und Aktivisten. Allerdings ist das Problem dennoch längst auch innerhalb der europäischen Grenzen angekommen. In Polen wurden schon 2019 Oppositionspolitiker mit dem Staatstrojaner Pegasus gehackt, was später polnische Staatsanwälte auf den Plan rief. 578 Menschen sollen in unserem Nachbarland in den Jahren 2017 bis 2023 mit Pegasus ausspioniert worden sein.

Die Hacking-Software Pegasus des israelischen Anbieters NSO Group soll zudem den Regierungschef und Verteidigungsminister von Spanien und das Umfeld des früheren britischen Regierungschefs Boris Johnson betroffen haben. Neue Recherchen zeigen, dass Spanien bisher insgesamt 21 Pegasus-Opfer zu verzeichnen hatte. Aber auch die Niederlande sind mit elf Pegasus-Spionageopfern, Frankreich mit sieben Hacking-Fällen und Belgien mit vier Opfern vertreten.

Von diesen Staaten haben sich nur Frankreich, Polen und die Niederlande den neuen Verhaltensvorschlägen des Pall-Mall-Prozesses angeschlossen. Spanien und Belgien hingegen nicht. Das Heimatland der NSO Group Israel fehlt ohnehin auf der Liste der Unterstützer.

Pegasus ist auch mitnichten der einzige Staatstrojaner, der große öffentliche Aufmerksamkeit und noch laufende gerichtliche Nachspiele erfahren hat. Auch die Predator-Staatstrojaner des europäischen Konkurrenten Intellexa waren oft in den Schlagzeilen. Zwar konnte nach der Berichterstattung ein erheblicher Rückgang der Predator-Aktivitäten verzeichnet werden, aber die dürften vor allem durch die beispiellosen Sanktionen der US-Regierung unter Joe Biden ausgelöst worden sein. Die Kunden von Predator – also staatliche Behörden – dürften nach der öffentlichen Berichterstattung und den Sanktionen deutlich höhere Preise serviert bekommen und teilweise ihre Zusammenarbeit mit dem Anbieter eingestellt haben. Die Geschäftstätigkeit von Intellexa wird vermutlich insgesamt stark beeinträchtigt sein.

Politische Maßnahmen zur Eindämmung der Verbreitung von Hacking-Software wie die Einleitung des Pall-Mall-Prozesses spielten dabei nur eine untergeordnete Rolle, obwohl die Staatstrojaner-Anbieter darauf sicher mit Sorge blicken. Wirkliche Angst um ihr Geschäftsfeld ist jedoch nicht angebracht, da die Liste der Unterstützer viel zu klein ist.

Rechenschaftspflichten und Kontrolle

Das Pall-Mall-Papier legt Leitlinien fest und listet recht detailliert politische Instrumente auf, die den Staaten Optionen aufzeigen sollen, wie man mit Fragen der eigenen Entwicklung, der Verbreitung und unkontrollierten Ausbreitung, des Kaufs oder der eigenen Nutzung von Staatstrojanern und anderen Hacking-Werkzeugen umgehen sollte.

Schwerpunkte der Pall-Mall-Verhaltensvorschläge sind Accountability, was man mit Zurechenbarkeit und Rechenschaftspflicht übersetzen könnte, und Kontrolle in einem weiten Sinne. Beides soll sicherstellen, dass staatliches Hacking rechtlich bewertet und geprüft werden kann. Um einen verantwortungsbewussten Einsatz sicherzustellen, sollen „Grundsätze wie Rechtmäßigkeit, Erforderlichkeit, Verhältnismäßigkeit und Angemessenheit“ gelten, die unter Beachtung des Völkerrechts, der Menschenrechte und unter der Maßgabe der Rahmenbedingungen der Vereinten Nationen (für verantwortungsbewusstes staatliches Handeln im Cyberspace von 2021) anzuwenden sind.

Politischer Instrumentenkasten

Vorgeschlagen ist dazu ein Kontrollregime bei der Ausfuhr von Staatstrojanern, das die Risiken einer unverantwortlichen Verwendung abschätzen und mindern soll. Die Regierungen sollen auch versuchen, Anreize für verantwortungsvolles Handeln in der gesamten Hacking-Branche setzen. Solche Anreize könnten etwa darin bestehen, dass Aufträge bevorzugt an solche Staatstrojaner-Anbieter vergeben werden, die sich zur „Achtung der Rechtsstaatlichkeit und des geltenden Völkerrechts, einschließlich der Menschenrechte und Grundfreiheiten“ bekennen. Wenn Anbieter das nicht tun, soll ihnen mit dem Ausschluss von Regierungsaufträgen signalisiert werden, dass eine öffentliche Auftragsvergabe mit „illegalen oder unverantwortlichen Aktivitäten“ unvereinbar und inakzeptabel ist.

Zudem könnten für Vertreter von in Ungnade gefallenen Staatstrojaner-Anbietern politische Instrumente in Stellung gebracht werden, etwa Strafverfahren, finanzielle Sanktionen oder Reisebeschränkungen. Das solle auch für Konkurrenten ein Zeichen setzen.

Zugleich soll Staatstrojaner-Opfern geholfen werden, empfiehlt das Pall-Mall-Papier. Wer einem hohen Risiko ausgesetzt sei, von Staatstrojanern ins Visier genommen zu werden, der könnte sensibilisiert und beraten werden, beispielsweise „Journalisten, Menschenrechtsverteidiger und Regierungsbeamte“.

Im Pall-Mall-Prozess geht es aber nicht darum, der Nutzung der Staatstrojaner gänzlich einzudämmen. Das steht in dem Prozess außer Frage, da ein rechtmäßiger Einsatz für legitime Zwecke als Möglichkeit angenommen wird. Allerdings wird der wachsende Markt klar als Bedrohung erkannt und zwar „für die Sicherheit, die Achtung der Menschenrechte und Grundfreiheiten und die Stabilität des Cyberspace“. Diese Bedrohungen „werden in den kommenden Jahren voraussichtlich zunehmen“, heißt es in dem Dokument.

Dahinter kommt bei den sogenannten Stakeholdern die klare Erkenntnis zum Vorschein, dass es ein massives und wachsendes Problem mit Staatstrojanern gibt. Ein Großteil der europäischen Länder – auch Deutschland – bringt durch das aktualisierte Dokument zum Ausdruck, dass sie das Problem angehen wollen. Das Ergebnis kann aber wegen der Unverbindlichkeit nur als Symbolpolitik eingeordnet werden.

Die Finanziers der Branche sind ja auch die Staaten, die den Pall-Mall-Prozess in Gang gesetzt haben. Sie sind als Verursacher des wachsenden Marktes der Hacking-Anbieter die wichtigsten Akteure, die zur praktischen Eindämmung der Staatstrojaner beitragen könnten. Ein paar mehr freiwillige Vorschläge für Kontrollmechanismen und rechtliche Regeln und das Erinnern an Menschenrechte dürften hier lange nicht ausreichend sein. Das Risiko bleibt also groß, dass in einigen Jahren ein noch größeren Anbieter-Markt existieren wird.

Gefahr für die IT-Sicherheit bleibt bestehen

Sven Herpig vom unabhängigen Verein interface bewertet die freiwilligen Verhaltensregeln des Pall-Mall-Prozesses als „ersten Schritt zur weiteren Konkretisierung“ grundsätzlich positiv. Er sagt jedoch: „Praktische, operative Auswirkungen erwarte ich mir von der Verabschiedung der Regeln nicht direkt.“ Grund für die geringe „normative Bedeutung“ sei vor allem, dass bisher mit 23 Staaten nur so wenige Unterstützer mitgezeichnet hätten.

Alexandra Paulus von der Stiftung Wissenschaft und Politik sieht den Pall-Mall-Prozess als „eine der spannendsten aktuell laufenden Cyberdiplomatie-Initiativen“. Sie bewertet den Vorteil vor allem darin, dass die Initiative so gestaltet sei, dass es ein „klar umgrenztes Thema“ gäbe.

Ob aber diese Verhaltensregeln eine Eindämmung der kommerziellen Hacking-Branche bewirken können, sieht Herpig skeptisch: „Langfristig könnte es als normativer Rahmen dienen, den Staaten nutzen, um sie einzudämmen.“ Dazu brauche es staatlichen Willen und entsprechende rechtliche Regeln, betont Herpig. „Und das in vielen Staaten, vor allem auch diejenigen, wie Israel oder Russland, die diese Verhaltensregeln bisher noch nicht mitgezeichnet haben.“

Auch Alexandra Paulus beantwortet die Frage danach, ob die Regeln eine Eindämmung bewirken können, eher zurückhaltend. Man müsse sich klarmachen, dass sich das verabschiedete Dokument an Staaten richte. „Um den Markt wirklich zu beeinflussen“, sei entscheidend, welche Regeln die Staaten für die Branche aufstellten. Das könne entweder eine „harte Regulierung, etwa Exportkontrollen“, sein oder „weiche Anreizsysteme, zum Beispiel Regeln für die öffentliche Beschaffung“ der Hacking-Werkzeuge. Zudem könnten Staaten Regeln für die eigene Nutzung von kommerzieller Hacking-Software aufstellen, „zum Beispiel eine unabhängige Aufsichts-Institution“. Die Frage sei, ob „Staaten das Dokument zum Anlass nehmen, tatsächlich ihre Politik zu verändern“.

Die Wissenschaftlerin sieht die Verhaltensregeln als Puzzleteile und sagt: „Wenn sie zusammengefügt werden, können sie einen großen Einfluss auf den Markt haben.“ Am wirkmächtigsten seien Exportkontrollen und Sanktionen. Auch andere Instrumente könnten wirken: die Staatstrojaner-Anbieter besser zu kennen sowie Regeln und Aufsichtsgremien für die staatliche Nutzung. „Würden die unterzeichnenden Staaten diese Instrumente flächendeckend ausrollen, wären wir schon ein großes Stück weiter“, sagt Paulus.

Das bisherige Ergebnis des Pall-Mall-Prozesses sei auch ein „Selbsteingeständnis der Staaten, dass sie eigentlich an der ‚Misere‘ schuld sind“, sagt Herpig, der bei interface den Bereich „Cybersicherheitspolitik und Resilienz“ leitet. Auch deswegen hätten nur so wenig Staaten unterzeichnet. In der Praxis werde sich „kurz- bis mittelfristig vermutlich rein gar nichts ändern“.

Das bisherige Ergebnis des Pall-Mall-Prozesses sei erst ein Anfang, betont Paulus von der Stiftung Wissenschaft und Politik. Das „härteste Stück Arbeit“ stünde noch bevor, „nämlich ein Code of Practice für die Wirtschaft“. Sie sei gespannt, ob es gelingen wird, „mit den diversen Unternehmen des Ökosystems ins Gespräch zu kommen“.

Das dürfte schwierig werden. Denn es liegt in der Natur der Branche, nicht allzu transparent zu sein. Denn ein Gutteil der schattigen Zwischenhändler und der Kunden – also die staatlichen Käufer der Staatstrojaner – bestehen schließlich darauf. Aus Netzpolitik

Über die Autor:in constanze

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille.

Kontakt: E-Mail (OpenPGP)