Kolumne : Zugriffskontrollen als neues Allheilmittel der Datenschutzaufsicht?

Am 12. März 2026 fand im Ausschuss für Inneres und Sport des Niedersächsischen Landtages unter der Leitung der Vorsitzenden Doris Schröder-Köpf eine – wie sich später herausstellte – wegweisende öffentliche Anhörung statt. Anlass war der Antrag der CDU-Fraktion „Polizeiarbeit in das Zeitalter der Digitalisierung überführen – verfahrensübergreifende Datenanalysen in Echtzeit ermöglichen“.

Kern des Antrags: „Umgehend“ eine Rechtsgrundlage im Niedersächsischen Polizei- und Ordnungsbehördengesetz zu schaffen, die den Einsatz von Analyse- und Recherchesoftware erlaubt. Außerdem sollte sich die Landesregierung mit Hessen, Nordrhein-Westfalen, Bayern und Baden-Württemberg über deren Erfahrungen mit der Software des US-Anbieters Palantir abstimmen und eine Einführung in Niedersachsen prüfen.

Der antragsgemäß „frühzeitig angebundene“ Landesdatenschutzbeauftragte Denis Lehmkemper hatte erwartungsgemäß Bedenken und plädierte für Sorgfalt. Zunächst müsse beschrieben werden, was die Polizei konkret benötigt – unter Berücksichtigung datenschutzrechtlicher Anforderungen.

Darauf aufbauend: ein Pflichtenheft inklusive Datenschutz-Folgenabschätzung (DSFA). Diese DSFA, samt SDM-Methodik, hat Eingang in das IT-Grundschutz-Kompendium des BSI (Baustein CON.2 Datenschutz) gefunden – überall dort, wo es um Schutz personenbezogener Daten geht. Nach IT-GS hat Datenschutz die Aufgabe, „Personen davor zu schützen, dass sie durch die Nutzung ihrer personenbezogenen Daten durch Dritte in der Ausübung von Grundrechten beeinträchtigt werden“.

Die DSFA dient also dazu, Risiken für die Grundrechte betroffener Personen durch den Einsatz einer bestimmten Technologie zu identifizieren, zu bewerten und durch geeignete Sicherheitsmaßnahmen zu adressieren. Erst dann: Ein Blick auf den Markt. Wenn keine geeignete Lösung gefunden wird: Eigenentwicklung nach europäischen Vorgaben – DSGVO, NIS-2, CRA und was die regulatorische Werkzeugkiste sonst noch bereithält.

In Fragen der Datenschutzaufsicht hatten Stefanie Kirschke und Josef Korte, Palantir-Sachverständige, einen anderen Zugang. Die Einladung von Unternehmen sei sehr ungewöhnlich, kritisierte Alexander Saade, polizeipolitischer Sprecher der SPD-Landtagsfraktion – man mache so „den Bock zum Gärtner“. Seine Forderung: „Wer sensibelste Polizeidaten sammelt und automatisiert auswertet, muss vorher klären, wie dabei digitale Souveränität und rechtsstaatliche Kontrolle gewährleistet werden.“

Palantir ergriff die Chance

Zwar entsprach diese Klärung vermutlich nicht ganz den Vorstellungen des Landesdatenschutzbeauftragten. Doch Vertreter von Palantir betonten, jeder Zugriff werde revisionssicher erfasst und protokolliert – nachvollziehbar für die Datenschutzaufsicht. Durch den Einsatz ihrer Systeme gewinnt die Polizei Zeit für Recherchen, die andernorts oft ohne vergleichbare Protokollierung erfolgen. Auch Bodo Koch, Vizepräsident der Frankfurter Polizei und ehemaliger Chief Digital Officer der hessischen Polizei, hob hervor: Datenschutz habe von Beginn an eine zentrale Rolle gespielt. Zugriffe würden eingeschränkt und Analyseschritte dokumentiert.

Zugriffskontrollen als Mittel, Systeme zur verfahrensübergreifenden Echtzeitdatenanalyse revisionssicher, rechtssicher und – wenn man so will – grundrechtssicher zu machen? Access Controls sind ein Klassiker der Informationssicherheit. Standards wie ISO/IEC 27001 respektive 27002 verankern sie seit 2005. Auch im IT-GS, der Behörden adressiert, spielen sie eine wichtige Rolle. Altmodisch wirkt hier eher der Begriff „revisionssicher“ – ein Relikt aus Zeiten, in denen Revision Checklisten abarbeitete.

Access Control als Basismaßnahme

Fragt sich: Sind Access Controls der neue „heiße Stoff“, aus dem Schutz vor Grundrechtsbeeinträchtigungen oder rechtswidriger Überwachung gefertigt wird – oder das Heilmittel gegen „Rasterfahndung by Design“, wie Manuel Atug das, was im CDU-Antrag gefordert wird, pointiert beschrieb? Oder ist es dann doch eher ein unfreiwilliges Eingeständnis, dass grundlegende IT-Sicherheitsprinzipien in Polizeisystemen bislang nicht genau umgesetzt wurden?

So viel Nüchternheit muss sein: Zugriffskontrollen sind kein Nonplusultra, sondern Basismaßnahmen – der Anfang jeder IT-Sicherheit. Sie sind keine Stand-alone-Maßnahme. Standards wie ISO 27001 oder IT-GS setzen nicht auf eine einzelne „Super-Kontrolle“. Ihre Wirksamkeit entfaltet sich erst im System präventiver, detektiver und reaktiver Maßnahmen.

Eine kurze Einordnung, was Zugriffskontrollen können – und was nicht –, bevor sie zum Nonplusultra der Datenschutzaufsicht erklärt werden: Sie sind wichtig. Im Deutschen umfasst Access Controls drei Kontrollen: Zutrittskontrollen (physischer Zugang zu Gebäuden und Räumen), Zugangskontrollen (wer in IT-Systeme gelangt) und Zugriffskontrollen (welche Daten und Funktionen ein Nutzer innerhalb eines Systems erreichen darf). Früher standen physische Kontrollen im Vordergrund, heute rücken logische Zugriffe und Identitätsmanagement stärker in den Fokus. Ihr Ziel bleibt: sicherer, kontrollierter Zugriff auf Systeme, Funktionen und Daten. Zugriffe müssen einem eindeutigen Nutzer zugeordnet sein, der sich mit einem ihm bekannten Geheimnis authentifiziert (Passwort, Token, PIN, Smartcard oder biometrisches Merkmal).

Doch Passwörter, IDs und Accounts lassen sich erraten; Tokens, PINs, digitale Identitäten und Smartcards lassen sich stehlen (Geräte ohnehin). Passwortmanager lassen sich austricksen oder manipulieren. Die Welt ist böse. Oder, wie der deutsche Kryptologe Hans Dobbertin sagt: Sicherheit ist ein ständiges Wettrennen zwischen Codemakern und Codebreakern.

Nachgelagerte Sicherheit

In den vergangenen Jahrzehnten haben Angreifer ihre Methoden kontinuierlich weiterentwickelt: Phishing, brillante Social-Engineering-Ideen à la Kevin Mitnick oder klassische Brute-Force-Attacken. Zugriffskontrollen entwickelten sich ebenfalls weiter: starke Kryptographie, Zwei- und Mehrfaktor-Authentifizierung und die Erkenntnis, dass regelmäßige Passwortwechsel oft mehr schaden als nützen. Hinzu kommen Sensibilisierung, konsequente Umsetzung des Need-to-know-Prinzips und – im KRITIS-Bereich – der Least-Privilege-Ansatz. Moderne Access Controls sollen Zugriff ermöglichen – und ihn zugleich systematisch begrenzen.

Missbrauch lässt sich nicht vollständig verhindern, wohl aber einschränken oder aufdecken. Zugriffe werden protokolliert und auf Abweichungen vom Normalzustand analysiert. Erfolgen Analyse und Alarmierung in Echtzeit und automatisiert, spricht man von Monitoring.

Macht das Zugriffskontrollen zur Superkraft von Aufsicht und Revision? Leider nicht. Die Forscher nehmen seit Jahren Superuser in den Fokus: Sie greifen auf Konfigurationsdaten zu, installieren, deinstallieren, updaten Systeme, erteilen oder entziehen Berechtigungen – und haben Zugriff auf Konfigurations- und Protokolldateien. Sie können diese löschen, verändern oder manipulieren. Superuser-Rechte sind der Traum nahezu jedes Angreifers. Manchmal reicht eine ungepatchte Schwachstelle – Super-Technologie oder ein „sicheres“ Passwort helfen nicht. Zugriffskontrollen und Protokollierung sind daher eher reaktiv: Sie dokumentieren missbräuchliche Zugriffe – oft erst nach dem Schaden. Macht jedoch, so Manuel Atug, verlangt demokratische Kontrolle - und zwar im Voraus.

Oft erkennt man die Bedeutung von Sicherheitskontrollen erst nach einem Vorfall. Die niederländische Polizei teilte jüngst nach einem Angriff mit, dass sie als Reaktion starke Sicherheitsmaßnahmen eingeführt habe: kontinuierliches Monitoring aller Systeme auf verdächtige Aktivitäten sowie verpflichtende Zwei-Faktor-Authentifizierung für Beamte.

Ob Zugriffskontrollen zum Allheilmittel der Datenschutzaufsicht werden, bleibt offen. Richtungsweisend war in der Anhörung vielleicht etwas anderes: der deutliche Widerstand der SPD-Fraktion gegen den CDU-Antrag. Ein Signal dafür, wie die deutsche Politik den Einsatz entsprechender US-Software bewertet? Möglich wäre es.