Zensus 22: Datenportal mit Sicherheitsmängeln

In Deutschland ist Volkszählung. Elf Jahre sind seit der letzten Erfassung von Bürgerdaten vergangen – ein Zeitraum, in dem sich in Sachen Datenschutz vieles weiterentwickelt hat. Doch gerade in diesem Bereich hakt es.

Im Zusammenhang mit der offiziellen deutschen Webseite zensus2022.de sind Fragen zur Datensicherheit aufgetaucht, die das europaweit aufgezogene Megaprojekt in kein allzu gutes Licht rücken.

Die Geburtsstunde des Datenschutzes

Um die gegenwärtige Aufregung zu verstehen, empfiehlt sich ein Blick zurück: Im Frühjahr 1983 ging ein Aufschrei durch die Bundesrepublik, als der Staat zur Volkszählung aufrief. Im Jahr zuvor war ein Volkszählungsgesetz verabschiedet worden, Vorbereitungen mit einem immensen Aufwand näherten sich dem Abschluss. Nun sollte im April und Mai die totale Erhebung von Angaben, wie Staatsangehörigkeit, Wohnsitz und Arbeitsplatz, erfolgen. Dazu war ein Datenabgleich mit dem Melderegister vorgesehen. Die anonym erhobenen Daten wären geeignet gewesen, einzelne Bundesbürger zu identifizieren. Dagegen regte sich Widerstand, es kam zu Boykottaufrufen.

Da entschied das Bundesverfassungsgericht nur zwei Wochen vor Beginn der Datenerhebung, dass die Volkszählung auszusetzen sei – weil unklar war, was mit den gesammelten Daten passieren würde. Den Impuls dazu hatte unter anderem der Jurastudent Gunther von Mirbach mit einer Verfassungsbeschwerde gegeben. Im Dezember 1983 folgte in Karlsruhe das abschließende Urteil: Die Volkszählung war teilweise als verfassungswidrig erkannt worden und konnte so nicht stattfinden. Zudem wurde die Feststellung, dass die Bürger ein „Recht auf informelle Selbstbestimmung“ haben, zur eigentliche Geburtsstunde des Datenschutzes in Deutschland.

Persönliche Daten auf US-Servern?

Nun werden Bürgerdaten benötigt, um Stadtentwicklungsprojekte, pädagogische Infrastruktur, Alten- und Pflegeheime zu bauen oder künftige Steuereinnahmen sinnvoll zu planen. 2011 wurde immerhin jeder zehnte deutsche Haushalt befragt – die bisher letzte Volkszählung. Seit 15. Mai 2022 läuft die wegen der Pandemie um ein Jahr verschobene und von offizieller Seite als Zensus 22 bezeichnete aktuelle Bevölkerungs-, Gebäude- und Wohnungszählung. Federführend für das EU-weite Unternehmen ist in Deutschland das Statistische Bundesamt (Destatis). Neben der Datenübermittlung von Meldebehörden gibt es bis in den Sommer hinein stichprobenhafte Haushaltsbefragungen. Die interviewten Haushalte müssen der gesetzlichen Auskunftspflicht folgen und außerdem online einen Fragebogen ausfüllen. Dafür wurde von Destatis das Portal zensus22.de eingerichtet. Das Hosting wird vom Informationstechnikzentrum Bund (ITZBund) betrieben. Wie nun heise-online herausfand, wird der Browser beim Aufrufen der Zensus-Webseite zur IP-Adresse des US-Dienstes Cloudflare umgeleitet. Dessen Service besteht unter anderem darin, wie ein Puffer DDoS-Attacken abzublocken und Lastspitzen abzufedern. Bei den kritischen Daten handelt es sich mindestens um die IP-Adressen der Befragten, womöglich aber auch um Daten aus dem Formular im Passwortbereich.

Wie heise online feststellte, findet sich in der Datenschutzerklärung kein Hinweis darüber, dass die personenbezogenen Daten aus den Interviews über einen US-amerikanischen Router laufen. Destatis antwortete auf eine entsprechende Anfrage, das Content Delivery Network (CDN) von Cloudflare sichere den öffentlichen Bereich von zensus22.de ab. Dies sei „bei einem Angebot mit großer Reichweite und Relevanz absolut notwendig, um einen störungsfreien Betrieb, insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website, sicherzustellen“. Es bleibt jedoch ein Rätsel, weshalb das Statistische Bundesamt nicht auf einen deutschen Anbieter zurückgegriffen hat, um diesen technologischen Sicherheitsbedarf abzudecken.

Ein Fall für den obersten Datenschützer

Destatis versicherte des Weiteren, dass „ausschließlich europäische Cloudflare-Server zum Einsatz kommen“. Und verwickelte sich prompt in Widersprüche. Bei der Zusammenarbeit mit den Amerikanern wird die DSGVO-konforme „Verarbeitung personenbezogener Daten und unter Beachtung der aktuellen Standard-Vertragsklauseln der EU-Kommission“ eingehalten – heißt es. Jedoch bezeichnet eben jene Klausel die Tatsache, dass persönliche Daten aus dem EU-Raum in die USA transferiert werden. Auf das Nachbohren der Journalisten fand sich Destatis inzwischen bereit, seine Datenschutzerklärung zu ergänzen und in Zukunft ausschließlich europäische Server zu nutzen. Dieses Einlenken dürfte etwas spät kommen. Mittlerweile wurde bekannt, dass Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationssicherheit (BfDI), wegen einer Reihe offener Fragen zu Gesprächen mit der Leitungsebene von Destatis geladen und eine Überprüfung des Falls begonnen hat. Dies wird sicher nicht nur dem Vermächtnis von 1983 geschuldet sein.