20. Wahlperiode                                                                         Drucksache 20/2765 HESSISCHER LANDTAG                                                                                 22. 07. 2020 Kleine Anfrage Nancy Faeser (SPD), Tobias Eckert (SPD), Karin Hartmann (SPD), Günter Rudolph (SPD) und Oliver Ulloth (SPD) vom 14.05.2020 Zusammenarbeit mit Palantir in Hessen und Antwort Minister des Innern und für Sport Vorbemerkung Fragesteller: Laut Berichterstattung der Süddeutschen Zeitung vom 21. April 2020 plante der hessische Corona-Krisenstab für die Logistik im Krankenwesen das Software Programm „Foundry“ des umstrittenen Unternehmens Palantir zu nutzen. Laut Innenministerium war der geplante Einsatz mit dem hessischen Datenschutzbeauftragten abge- stimmt. Innenminister Beuth hat dann in einem Interview mit der „FAZ“ am 30. April 2020 mitgeteilt, dass das Sozialministerium in der Testphase Daten zur Verfügung gestellt hatte, der Sozialminister aber angesichts der Entwicklung des Infektionsgeschehens zu der Überzeugung gelangt sei, dass die Software nicht mehr er- forderlich sei. Die Hessische Landesregierung arbeitet mit Palantir bereits seit längerem im Bereich der Polizei zusammen. Andere Behörden haben die Zusammenarbeit mit Palantir wieder beendet beziehungsweise nehmen sie gar nicht erst auf. So hat Europol dem Innenausschuss im Rahmen eines Gesprächs während der Ausschuss- reise mitgeteilt, dass man die Zusammenarbeit beendet habe, da die Sicherheitsstandards durch die genutzten Programme nicht eingehalten werden könnten. Auch der Bundesregierung wurde eine Software durch Palantir angeboten, daraus sei aber keine Zusammenarbeit entstanden. Vorbemerkung Minister des Innern und für Sport: Nach den Daten der WHO war insbesondere seit Ende Februar 2020 ein sprunghafter Anstieg der COVID-19-Infektionen außerhalb der Volksrepublik China zu verzeichnen. Weltweit war eine äußerst dynamische und in ihren Folgen schwer abschätzbare Lage zu erwarten. Seit dem 11. März 2020 hat die WHO den weltweiten Ausbruch der Epidemie festgestellt und die COVID- 19-Infektionen zur Pandemie erklärt. Der in seiner Dynamik nicht berechenbare exponentielle Anstieg der Infektionszahlen führte zu einer sich täglich verstärkenden Belastung der Gesund- heitssysteme gerade auch in der Europäischen Union, insbesondere auch in Deutschland. Im wei- teren Verlauf musste beispielsweise Italien schwere Folgen der Pandemie verkraften; dort haben sich seit März 2020 über 240.000 Personen mit dem COVID-19 Virus infiziert und es sind weit über 30.000 Tote zu beklagen1. Die Bekämpfung des Corona-Virus und dessen Auswirkungen ist aktuell die wichtigste Aufgabe für den Bund, die Länder, die Kommunen, aber letztlich für die gesamte Gesellschaft. Die Un- terstützung des Gesundheitssystems ist dabei von oberster Priorität, um Menschenleben zu retten. Vor diesem Hintergrund hat die Landesregierung am 16. März 2020 den Krisenstab der Hessi- schen Landesregierung einberufen. Dieses Gremium arbeitet unter Beteiligung sämtlicher Ressorts, um eine Lagebewältigung aus einem Guss zu ermöglichen und die in sämtlichen Ressortbereichen jeweils erforderlich werden- den Maßnahmen zur Eindämmung der Pandemie, zur Aufrechterhaltung von kritischer Infrastruk- tur und der Verwaltung sowie der Gewährleistung der Öffentlichen Sicherheit und Ordnung, schnell ergreifen und einheitlich steuern zu können. Die Verantwortung für die Umsetzung der erforderlichen Maßnahmen verbleibt im jeweils zuständigen Fachressort. Der Krisenstab sorgt damit unter anderem dafür, dass Hilfe und Material dort ankommen, wo sie am dringendsten benötigt werden. Die dafür erforderlichen Daten muss der Krisenstab aus verschiedenen Berei- chen jeweils aktuell zusammenführen und einer einheitlichen Bewertung und Prognose zugänglich machen. Exemplarisch zu benennen sei die Zusammenführung öffentlich zugänglicher Daten des Eingegangen am 22. Juli 2020 · Bearbeitet am 22. Juli 2020 · Ausgegeben am 24. Juli 2020 Herstellung: Kanzlei des Hessischen Landtags · Postfach 3240 · 65022 Wiesbaden · www.Hessischer-Landtag.de 1 https://who.maps.arcgis.com/apps/opsdashboard/index.html#/ead3c6475654481ca51c248d52ab9c61, 29. Juni 2020

2                                   Hessischer Landtag · 20. Wahlperiode · Drucksache 20/2765 Robert Koch-Instituts und des Hessischen Landesprüfungsamt und Untersuchungsamt im Gesund- heitswesen (HLPUG) zur Verteilung von COVID-19 Infektionen in Hessen und den Daten zur Verteilung und Belegung von Bettenkapazitäten und Beatmungskapazitäten für erkrankte Patien- tinnen und Patienten in den hessischen Krankenhäusern mit Daten über vorhandene Schutzaus- stattung für Krankenhäuser und Arztpraxen sowie den Logistikdaten der beschafften Schutzaus- stattungen. Insbesondere zu Beginn der Pandemie und dem exponentiellen Anstieg der Fallzahlen wurde sei- tens des Hessischen Ministeriums des Innern und für Sport (HMdIS) die fachliche Notwendigkeit des Einsatzes einer Softwarelösung bejaht, die in der Lage ist, die Vielzahl an unterschiedlich strukturierten Daten zusammenzuführen und auswertbar darzustellen. In Anbetracht der Dring- lichkeit wurde seitens des HMdIS eine kursorische Markterkundung durchgeführt. Darunter fiel auch die Datenplattform „Foundry“ der Firma Palantir Technologies GmbH. Diese ermöglicht die Integration von Daten unterschiedlichster Formate und Quellen und generiert daraus unter anderem die Darstellung eines umfassenden Lagebildes in Echtzeit. Die Hessische Polizei nutzt seit dem Jahr 2017 Softwareprodukte der Firma Palantir Technologies GmbH. Durch deren Ein- satz konnten bereits ein islamistisch motivierter Terroranschlag sowie eine Vielzahl an schweren Straftaten verhindert werden. Die Hessische Polizei hat durchweg positive Erfahrungen in der Zusammenarbeit mit der Firma Palantir Technologies GmbH gemacht. In einer Testvorführung der Analysesoftware der Firma Palantir Technologies GmbH wurde auf Arbeitsebene des Krisenstabs festgestellt, dass diese Software zur Bekämpfung der Corona-Pan- demie grundsätzlich geeignet ist, die Arbeit des Krisenstabs zu unterstützen. Der Landeskrisen- stab könnte damit das aktuelle Ausbruchsgeschehen verfolgen, prognostische Aussagen zur Ent- wicklung der Lage treffen, ressortübergreifend kooperieren und den Datenbestand für die Szena- rienplanung und Ressourcenplanung sowie für datengetriebene Entscheidungen nutzen. Bei der Testvorführung wurden ausschließlich anonymisierte Daten – das heißt, keine individualisierte Personendaten oder Patientendaten − als aggregierte Informationen unterschiedlicher Formate verwendet. Sowohl der behördliche Datenschutzbeauftragte (bDSB) des HMdIS als auch der Hes- sische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) wurden von Anfang an ein- gebunden. Sie haben keine Einwendungen erhoben. Aufgrund des zwischenzeitlich deutlich abgeschwächten Infektionsgeschehens und der deutlich gesunkenen Dynamik bei den Fallzahlen ist die Nutzung des Produkts „Foundry“ oder einer ver- gleichbaren Software unter Dringlichkeitsaspekten verzichtbar. Das von der Hessischen Landes- regierung für das Monitoring der in den Krankenhäusern verfügbaren Kapazitäten und der Ver- sorgung mit persönlicher Schutzausrüstung genutzte Programm „Interdisziplinärer Versorgungs- nachweis IVENA eHealth“ ist zur Bewältigung der Krisensituation im Bereich der stationären Versorgung und des Rettungsdienstes ausreichend. Diese Vorbemerkungen vorangestellt, beantworte ich die Kleine Anfrage im Einvernehmen mit der Ministerin für Digitale Strategie und Entwicklung und dem Minister für Soziales und Integra- tion wie folgt: Frage 1.   Wieso steht die Landesregierung dem Unternehmen Palantir, das auch unter dem Spitznamen „Da- tenkrake“ bekannt ist, nicht kritischer gegenüber, sondern war im Gegenzug dazu bereit, die Test- phase mit einer Palantir – Software für eine zweite Zusammenarbeit mit dem Unternehmen aufzu- nehmen? Die durch das HMdIS administrierte Zusammenarbeit des Landes Hessen mit der Firma Palantir Technologies GmbH erfolgt auf der Basis des geltenden Rechts. Nach dem Hessischen Vergabe- und Tariftreuegesetz nebst den einschlägigen Erlassen bestanden zu keinem Zeitpunkt Vergabe- rechtshindernisse oder Ausschlussgründe gegenüber der Firma Palantir Technologies GmbH. Im Übrigen wird auf die Vorbemerkung verwiesen. Frage 2.   Ist die Beendigung der Zusammenarbeit zwischen Europol und Palantir auf Grund mangelnder Sicherheitsstandards der Software (siehe Vorbemerkung des Fragestellers]) Anlass für die Landes- regierung, die weiterhin bestehende Zusammenarbeit im Bereich der Polizei zu überprüfen oder zumindest zu überdenken? Falls ja, inwiefern? Falls nein, warum nicht? Die hessische Polizei fordert höchste Standards bei der IT-Sicherheit und dem Datenschutz von seinen Auftragnehmern. Die erfolgreiche Zusammenarbeit der hessischen Polizei mit der Firma Palantir Technologies GmbH wird fortgeführt. Durch die konsequente Verbesserung der Analysefähigkeit der hessi- schen Polizei konnte bereits ein Terroranschlag verhindert werden, darüber hinaus werden täglich Ermittlungen beispielsweise zur Bekämpfung von Staatsschutzdelikten durch den Einsatz der Ana- lyseplattform fachlich wertvoll unterstützt.

Hessischer Landtag · 20. Wahlperiode · Drucksache 20/2765             3 Hinsichtlich der Nutzung von Software der Firma Palantir Technologies GmbH durch Europol wird auf die Antwort der EU-Kommissarin Ylva Johansson vom 9 Juni 2020 im Namen der Europäischen Kommission auf eine parlamentarische Anfrage betreffend Palantir-Software bei EU-Agenturen verwiesen  https://www.europarl.europa.eu/doceo/document/E-9-2020-000173-ASW_DE.html). Demnach nutzt Europol entsprechende Software noch heute. Die Analysesoftware der Firma Palantir wird beispielsweise auch durch die britische Gesund- heitsbehörde (NHS) bei der Bewältigung der Corona-Krise und der dänischen Nationalpolizei landesweit für die Kriminalitätsbekämpfung eingesetzt. Frage 3.    Inwiefern passt die Fokussierung der Landesregierung auf das Unternehmen Palantir zu der von Digitalministerin Sinemus immer wieder propagierten Stärkung der technologischen Unabhängig- keit der Verwaltung, um Abhängigkeiten von Herstellern zu verhindern? In der Hessischen Landesverwaltung kommt eine Vielzahl unterschiedlicher Technologien unter- schiedlicher Hersteller zum Einsatz. Bei der Auswahl geeigneter Technologien wird ein besonde- rer Fokus auf die digitale Souveränität der Verwaltung hinsichtlich der Daten und des Betriebes der eingesetzten Produkte und Lösungen gelegt. Digitale Souveränität bedeutet für die Landesre- gierung, jederzeit technologisch handlungsfähig zu sein und auch auf alternative Softwareprodukte und IT-Systeme zur Erfüllung der Aufgaben der Verwaltung umsteigen zu können. Diese Strate- gie ist für die Landesregierung leitend und verhindert oder reduziert die Abhängigkeit von Her- stellern. Es gibt keine Fokussierung auf das Unternehmen Palantir Technologies GmbH bei der Auswahl von Softwarelösungen. Im Bereich der Bekämpfung der Corona-Virus-Pandemie werden beispielsweise andere Softwarelösungen eingesetzt, so der Interdisziplinäre Versorgungsnachweis „IVENA eHealth“, ZMS Florix Hessen und die SharePoint Anwendung HeLage. Frage 4.    Wann und wie umfassend hat sich der Corona Krisenstab mit der potentiellen Nutzung der Software „Foundry“ befasst? Bitte aufschlüsseln. Die Arbeitsebene des Krisenstabs hat die an eine diesbezügliche Analysesoftware zu stellenden Anforderungen (Bedarfsfeststellung) fachlich inhaltlich erhoben, an der Testvorführung teilge- nommen und an der Erstellung eines IT-Sicherheitskonzepts mitgearbeitet. Die Leitungsebene war nicht mit dem Thema befasst. Frage 5.    Gab es einen Beschluss der Landesregierung und/oder des Corona-Kabinetts zur Testung von „Foundry“ und falls ja, wann wurde die Testung genau beschlossen? Zur Prüfung der Software hat das Hessische Ministerium des Innern und für Sport zunächst eine Testvorführung ohne Kaufverpflichtung der Firma Palantir Technologies GmBH für die Analy- sesoftware „Foundry“ beauftragt. Für ein solches Geschäft der laufenden Verwaltung, das der technischen Ausstattung und zur Optimierung der Arbeitsprozesse dient, bedarf es keines Be- schlusses der Landesregierung. Frage 6.    Auf welche Daten aus dem Sozialministerium hatten die Mitarbeiterinnen und Mitarbeiter des Un- ternehmens bereits im Rahmen der Testung Zugriff? Das Ministerium für Soziales und Integration (HMSI) hat im Rahmen der Testvorführung den Zugriff auf die Webserviceschnittstelle der Anwendung IVENA eHealth gewährt. Hierüber konn- ten zu Testzwecken einzelne statistische Daten zur Bettenkapazität und zum Bestand und Bedarf an Schutzausstattung der einzelnen Krankenhäuser abgerufen werden. Der Zugriff wurde an- schließend wieder zurückgenommen, da aus Sicht des HMSI kein Mehrwert für die gesundheits- politische Lage zu erkennen war. Für das HMSI ist IVENA eHealth ausreichend. Frage 7.    Bei wie vielen und welchen Unternehmen hat sich die Landesregierung wann vorab über vergleich- bare Programme informiert und inwiefern wurden auch diese im Corona Krisenstab thematisiert? Bitte aufschlüsseln. Frage 8.    Wurden auch Programme anderer Unternehmen getestet? a)       Falls ja, wann und welche? Bitte aufschlüsseln. b)       Falls nein, warum nicht? Die Fragen 7 und 8 werden aufgrund des Sachzusammenhangs gemeinsam beantwortet. Aufgrund der in der Vorbemerkung dargelegten Brisanz und zeitlichen Dringlichkeit erfolgte kein Test einer anderen Software. Neben dem umfassenden Funktionsumfang wurde eine sofortige Verfügbarkeit von „Foundry“ für die Nutzung durch den Landeskrisenstab zugesichert. Zudem wurde von der Arbeitsebene des Krisenstabs eine kursorische Marktsichtung durchgeführt. Im Übrigen wird auf die Vorbemerkung verwiesen.

4                               Hessischer Landtag · 20. Wahlperiode · Drucksache 20/2765 Frage 9.   Wann wurde der Datenschutzbeauftragte mit einbezogen und welche Stellungnahme hat er konkret zu dem Programm „Foundry“ abgegeben? Wir bitten um Übermittlung der Stellungnahme. Der HBDI wurde am 31. März 2020 und der bDSB des HMSI am 3. April 2020 schriftlich eingebunden. Die zustimmende Stellungnahme des HBDI datiert auf den 9. April 2020 (An- lage 1), die des bDSB auf den 8. April 2020 (Anlage 2). Im Übrigen wird auf die Vorbemerkung verwiesen. Wiesbaden, 7. Juli 2020 In Vertretung: Dr. Stefan Heck Anlagen

Kleine Anfrage 20/2765, Frage 9, Anlage 1 Stabsbuero-Corona (HMdIS) Betreff:                         WG: Datenschutzrechtliche Stellungnahme zur temporären Nutzung der Software Palantir/Foundry im Rahmen der Bewältigung der Corona-Krise Von: Würz, Sascha (HMdIS) <Sascha.Wuerz@hmdis.hessen.de> Gesendet: Donnerstag, 9. April 2020 15:38 An: Kanther, Dr. Wilhelm (HMdIS) <Wilhelm.Kanther@HMDIS.hessen.de>; Bräunlein, Dr. Tobias (HMdIS) <Tobias.Braeunlein@HMDIS.hessen.de>; Koch, Bodo (HMdIS) <Bodo.Koch@hmdis.hessen.de> Cc: Mag, Norbert (HMdIS) <Norbert.Mag@HMDIS.hessen.de> Betreff: WG: Datenschutzrechtliche Stellungnahme zur temporären Nutzung der Software Palantir/Foundry im Rahmen der Bewältigung der Corona-Krise Sehr geehrte Herren, ich erhielt soeben einen Anruf der Leiterin des Justiziariates des Landesbeauftragten für Datenschutz, Frau Rost. Zum Vorgang teilte sie mir mit: Das unten bezeichnete Vorgehen genießt die Zustimmung des Landesbeauftragten für Datenschutz. Mit freundlichen Grüßen Im Auftrag Sascha Würz Task Force Beschaffung Grundsatz - Recht Hessisches Ministerium des Innern und für Sport Friedrich-Ebert-Allee 12 65185 Wiesbaden Tel.: +49 (611) 353 1670 Fax: +49 (611) 353 1343 E-Mail: sascha.wuerz@hmdis.hessen.de -----Ursprüngliche Nachricht----- Von: Würz, Sascha (HMdIS) Gesendet: Mittwoch, 8. April 2020 17:39 An: Ronellenfitsch, Prof. Dr. Michael (HBDI) <Michael.Ronellenfitsch@datenschutz.hessen.de> Betreff: AW: Datenschutzrechtliche Stellungnahme zur temporären Nutzung der Software Palantir/Foundry im Rahmen der Bewältigung der Corona-Krise Sehr geehrter Herr Prof. Dr. Ronellenfitsch, bereits am 01.04.2020 waren Sie mit einer Anfrage des Leiters des Landeskrisenstabes, Herrn Dr. Bräunlein, befasst, in dem dieser Ihnen zur Kenntnis gab, dass der Einsatz der Software Palantir Foundry zur Verfügung des Landeskrisenstabes beabsichtigt war. Ursprünglich beabsichtigt war zumindest teilweise eine Verarbeitung personenbezogener Daten, die eine Befassung Ihrerseits mit den daraus resultierenden Rechtsfragen zur Folge hatte. Hieraus resultierten eine Reihe von klärungsbedürftigen datenschutzrechtlichen Fragen, die angesichts der Dringlichkeit der Beauftragung von Palantir in zeitlicher Hinsicht schwerlich lösbar erschienen. Nach einer Befassung des hiesigen behördlichen Datenschutzbeauftragten ist daraufhin in Abstimmung mit dem Leiter des Landeskrisenstabes entschieden worden, auf die Verarbeitung personenbezogener Daten zu verzichten und lediglich anonyme und anonymisierte (nicht in personenbezogene Daten rückführbare) Daten zu verarbeiten. Diesbezüglich wurde bereits eine Stellungnahme des behördlichen Datenschutzbeauftragten abgegeben, der diese Änderung bzgl. der Datenverarbeitung begrüßt hat. Trotz des Verzichtes auf die Verarbeitung personenbezogener Daten sollte die von Palantir angebotene [Seite]

Software, soweit die übrigen rechtlichen Parameter geklärt werden können, zu einer Stütze in der Corona- Krise werden können. Ich übersende Ihnen das vorstehend skizzierte Ergebnis einerseits zur Kenntnis und damit Sie den Vorgang gedanklich abschließen können, hoffe aber auch, dass mit der erzielten Lösung eine solche nach der Maxime der Datenschonung und im Sinne des Datenschutzes erzielt wurde. Über eine kurze positive Rückmeldung Ihrerseits in dieser Sache würde ich mich sehr freuen. Sascha Würz Task Force Beschaffung Grundsatz - Recht Hessisches Ministerium des Innern und für Sport Friedrich-Ebert-Allee 12 65185 Wiesbaden Tel.: +49 (611) 353 1670 Fax: +49 (611) 353 1343 E-Mail: sascha.wuerz@hmdis.hessen.de [Seite]

Kleine Anfrage 20/2765, Frage 9, Anlage 2 Stabsbuero-Corona (HMdIS) Betreff:                         WG: Palantir (Datenübermittlung an Palantir in COVID-19 Krise) Von: Datenschutzbeauftragter (HMdIS) <Datenschutzbeauftragter@hmdis.hessen.de> Gesendet: Mittwoch, 8. April 2020 12:07 An: Würz, Sascha (HMdIS) <Sascha.Wuerz@hmdis.hessen.de> Betreff: AW: Palantir (Datenübermittlung an Palantir in COVID-19 Krise) Sehr geehrter Her Würz, Ihre Fragen beantworte ich wie folgt: 1) Unterfällt die Datenübermittlung damit noch Ihrer Zuständigkeit als Datenschutzbeauftragter? Wenn die beabsichtigte Verarbeitung und Übermittlung von Daten an Palantir keine personenbezogenen Daten umfasst, bin ich nicht zuständig als Datenschutzbeauftragter im HMdIS. 2) Liegt die Datenübermittlung aufgrund der vorgenannten Erwägungen noch im Anwendungsbereich datenschutzrechtlicher (nationaler wie europäischer) Regelungen? Nein. Nach § 2 Abs. 1 GS-GVO gilt die EU-Datenschutz-Grundverordnung nur für die Verarbeitung personenbezogener Daten, ebenso das Bundesdatenschutzgesetz (§ ! Abs. 1 BDSG). Das HDSIG findet ausdrücklich keine Anwendung auf anonyme Informationen oder anonymisierte Daten (§ 1 Abs. 9 HDSIG). Die Definition für anonymisierte Daten ist in § 2 Abs. 4 HDSIG zu finden. 3) Bestehen bei dem nunmehr angedachten, geänderten Vorgehen noch datenschutzrechtliche Bedenken? Nein. Mit freundlichen Grüßen Norbert Mag Datenschutzbeauftragter Hessisches Ministerium des Innern und für Sport Friedrich-Ebert-Allee 12 65185 Wiesbaden Tel.: +49 (611) 353 1302 E-Mail: Datenschutzbeauftragter@hmdis.hessen.de [Seite]