← Alle Artikel anzeigen

  • März 5, 2026

Warum die Ablehnung von Palantir durch die Schweiz ein Meilenstein für die Compliance ist

Lehren aus der 20-seitigen Risikobewertung von Palantir Technologies durch die Schweiz

Im Dezember 2025 wurde ein bahnbrechender Bericht von netzpolitik.org und Enthüllungsjournalisten bei Republik ist der Höhepunkt einer siebenjährigen Lobbyarbeit von Palantir Technologies in der Schweiz. Trotz aggressivem Werben bei Schweizer Bundesbehörden und der Armee war das Urteil eine definitive Ablehnung.

Die Ablehnung beruhte nicht auf mangelnden technischen Fähigkeiten, sondern auf unüberwindbaren architektonischen Risiken für die nationale Souveränität. Für die globale Compliance-Gemeinschaft dient die Schweizer Entscheidung als "Stresstest" dafür, wie wir das Risiko Dritter in einer Ära extraterritorialer Datengesetze bewerten.

Der 20-seitige "Warnschuss"

Laut Constanze Kurz kam die interne Evaluation der Schweizer Armee zum Schluss, dass die Risiken der Integration von Palantir den Nutzen überwiegen. Im Zentrum der 20-seitigen Risikobewertung stand das Thema Data Containment:

  • Der Mythos der technischen Leckage: Obwohl Palantir häufig behauptet, dass die Kunden die "volle Kontrolle" behalten, kamen die Schweizer Experten zu dem Schluss, dass ein Datenleck bei US-Geheimdiensten technisch nicht ausgeschlossen werden kann.
  • Das CLOUD-Gesetz und die Extraterritorialität: In dem Bericht wird ausdrücklich auf das Risiko hingewiesen, dass die US-Regierung nach amerikanischem Recht auf sensible militärische Daten zugreifen kann, unabhängig davon, wo sich die Server in der Schweiz befinden.
  • Architektonisch, nicht operativ: Die Schweizer Armee stellte fest, dass die Beschränkung in die Architektur der Software eingebaut ist, was bedeutet, dass keine noch so gute "Benutzerpolitik" oder "Vertragsklausel" das Potenzial für einen ausländischen Zugriff vollständig ausschalten kann.

Die Abhängigkeit: Das Scheitern der "Krisenstrategie"

Ein wichtiger Pfeiler der Cybersicherheits-Compliance ist die Geschäftskontinuität. Der Schweizer Bericht zeigte ein Schreckensszenario für eine neutrale Nation auf:

Abhängigkeit von ausländischem Fachwissen: Berichten zufolge erfordert die Komplexität der Software, dass Palantir-Spezialisten ständig vor Ort sein müssen. Das Schweizer Militär betrachtete dies als kritische Schwachstelle. In einer Krise könnte ein ausländisches Unternehmen den Nachrichtendienst des Landes effektiv als "Geisel" nehmen, indem es den Support oder Updates zurückzieht.

Einhaltung der Finanzvorschriften: Das Risiko einer undurchsichtigen Preisgestaltung

Neben den Sicherheitsaspekten warf der Bericht auch Fragen der Beschaffung und der Haushaltsführung auf:

  • Shadow Pricing: Bei der Untersuchung wurden "unvorhersehbare Kosten" und undurchsichtige Preismodelle festgestellt.
  • Anbieter-Lock-in: Das Compliance-Team warnte davor, dass die Kosten für die Migration (die "Ausstiegsstrategie") unerschwinglich werden, sobald die Daten in das proprietäre Ökosystem von Palantir aufgenommen werden, was einen Verstoß gegen die Grundsätze der agilen und verantwortungsvollen Beschaffung darstellt.

Compliance-Merkmale für den privaten Sektor

Was bedeutet die "Schweizer Absage" für Chief Risk Officers (CROs) in der Privatwirtschaft?

  1. Technische Due Diligence vs. vertragliche Zusagen: Die Einhaltung der Vorschriften kann sich nicht mehr auf die "rechtlichen Zusicherungen" von US-Anbietern verlassen. Wenn es sich bei der Software um eine "Black Box" handelt, ist sie nach GDPR/EU AI Act zur Einhaltung der Vorschriften verpflichtet.
  2. Das Erfordernis einer "souveränen Lösung": Es gibt einen wachsenden Markt für "Sovereign Stacks" - Software, die auf Open-Source-Grundlagen aufgebaut ist, die vollständig geprüft und ohne ausländische Hintertüren betrieben werden kann.
  3. Drittparteirisiko (TPRM): Unternehmen müssen prüfen, ob ihre Datenanalysepartner "Söldnergesetze" oder internationale Sanktionen auslösen könnten, wie sie derzeit vom Schweizer Außenministerium geprüft werden.

Schlussfolgerung: Das Ende der "Black Box"-Ära

Wie Constanze Kurz anmerkte, stellt die Schweizer Entscheidung die Debatte in ein neues Licht: Ohne technische Souveränität sind rechtliche Schutzmaßnahmen eine Illusion. Wenn eine so sicherheitsbewusste Nation wie die Schweiz eine $100-Milliarden-Plattform als "zu riskant" einstuft, muss sich jedes Unternehmen, das sensible Daten verwaltet, fragen: Ist unser aktueller Stapel wirklich unter unserer Kontrolle?

  • Wir können Ihnen helfen, FADP-konform zu werden!

Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften

Nehmen Sie Kontakt auf

Was meinen Sie dazu?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verwandte Einblicke

  • Verwandte Artikel
Der Weg nach Genf 2027: Warum der AI Impact Summit ein Wendepunkt für die Governance ist
Wie die Welthauptstadt des Friedens den globalen Standard für menschenzentrierte KI setzt
Regulatorisches Spotlight: FTC ergreift mutige Maßnahmen gegen Sicherheitsmängel bei Bildungseinrichtungen
Wie 10 Millionen Kinderdaten durch Sicherheitsmängel gefährdet wurden
Künstliche Intimität: Unerwartete Wege der KI-Nutzung und Verbindung
Bewertung der rechtlichen Risiken und datenschutzrechtlichen Herausforderungen der virtuellen Begleitung