Datensicherheit im Internet

Zensus 22: Eine Webseite mit Sicherheitsmängeln?

Ein Zensus, also eine Volkszählung, ist ein Großprojekt, das auf der Erfassung und Speicherung von personenbezogenen Daten beruht: Aus Datenschutzsicht ein Vorzeigeprojekt, durchgeführt von europäischen Staaten.

Elf Jahre sind seit der letzten Erfassung von Bürgerdaten vergangen – ein Zeitraum, in dem sich in Sachen Datenschutz vieles weiterentwickelt hat. Doch gerade in diesem Bereich hakt es. Im Zusammenhang mit der offiziellen deutschen Webseite zensus2022.de sind Fragen zur Datensicherheit aufgetaucht, die das europaweit aufgezogene Megaprojekt in kein allzu gutes Licht rücken. Das sind keine guten Nachrichten für ein Projekt dieser Reichweite.

Als der Datenschutz die Volkszählung verhinderte

Was heute mit zensus2022.de diskutiert wird, nahm seinen Anfang im Jahr 1983. Im Frühjahr dieses Jahres ging ein Aufschrei durch die Bundesrepublik, als der Staat zur Volkszählung aufrief. Im Jahr zuvor war ein Volkszählungsgesetz verabschiedet worden, Vorbereitungen mit einem immensen Aufwand näherten sich dem Abschluss. Nun sollte im April und Mai die totale Erhebung von Angaben, wie Staatsangehörigkeit, Wohnsitz und Arbeitsplatz, erfolgen. Dazu war ein Datenabgleich mit dem Melderegister vorgesehen. Die anonym erhobenen Daten wären geeignet gewesen, einzelne Bundesbürger zu identifizieren. Das rief schon damals zahlreiche Zweifler auf den Plan, die zum offenen Widerstand bereit waren und dazu aufriefen, sich gegen diese Praxis zur Wehr zu setzen.

So kam das Verfassungsgericht nicht umhin, die Zählung abzusagen, da nicht hinreichend nachgewiesen werden konnte, wie mit den Daten nach der Erhebung verfahren würde. Den Impuls dazu hatte unter anderem der Jurastudent Gunther von Mirbach mit einer Verfassungsbeschwerde gegeben. Im Dezember 1983 folgte in Karlsruhe das abschließende Urteil: Die Volkszählung war teilweise als verfassungswidrig erkannt worden und konnte so nicht stattfinden. Zudem wurde die Feststellung, dass die Bürger ein „Recht auf informelle Selbstbestimmung“ haben, zur eigentlichen Geburtsstunde des Datenschutzes in Deutschland, der sich in den folgenden Jahrzehnten immer weiterentwickelte und nun in der DSGVO eine Ausprägung findet, die der Digitalisierung Rechnung trägt.

Wo landen die personenbezogenen Daten?

Es gibt zahlreiche Projekte, für deren Durchführung Daten von Bürgern unerlässlich sind. 2011 wurde immerhin jeder zehnte deutsche Haushalt befragt – die bisher letzte Volkszählung. Seit 15. Mai 2022 läuft die wegen der Pandemie um ein Jahr verschobene und von offizieller Seite als Zensus 22 bezeichnete aktuelle Bevölkerungs-, Gebäude- und Wohnungszählung. Federführend für das EU-weite Unternehmen ist in Deutschland das Statistische Bundesamt (Destatis). Neben der Datenübermittlung von Meldebehörden gibt es bis in den Sommer hinein stichprobenhafte Haushaltsbefragungen. Die interviewten Haushalte müssen der gesetzlichen Auskunftspflicht folgen und außerdem online einen Fragebogen ausfüllen. Dafür wurde von Destatis das Portal zensus22.de eingerichtet. Das Hosting wird vom Informationstechnikzentrum Bund (ITZBund) betrieben. Wie nun heise-online herausfand, wird der Browser beim Aufrufen der Zensus-Webseite zur IP-Adresse des US-Dienstes Cloudflare umgeleitet. Dessen Service besteht unter anderem darin, wie ein Puffer DDoS-Attacken abzublocken und Lastspitzen abzufedern. Bei den kritischen Daten handelt es sich mindestens um die IP-Adressen der Befragten, womöglich aber auch um Daten aus dem Formular im Passwortbereich. Dass diese Daten auf Servern gespeichert werden, die in den USA stehen, vermag so gar nicht mit aktuellem Datenschutzrecht vereinbar zu sein.

Wie heise online feststellte, findet sich in der Datenschutzerklärung kein Hinweis darüber, dass die personenbezogenen Daten aus den Interviews über einen US-amerikanischen Router laufen. Destatis antwortete auf eine entsprechende Anfrage, das Content Delivery Network (CDN) von Cloudflare sichere den öffentlichen Bereich von zensus22.de ab. Dies sei „bei einem Angebot mit großer Reichweite und Relevanz absolut notwendig, um einen störungsfreien Betrieb, insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website, sicherzustellen". Beobachter können nicht nachvollziehen, was das Statistische Bundesamt dazu bewogen hat, bei der Wahl des Dienstleisters keinen deutschen oder europäischen Anbieter mit der Speicherung betraut zu haben.

Bundesdatenschutzbeauftragter ist aktiv

Destatis konnte keine glaubhaften und nachvollziehbaren Angaben zum Prozedere und dem Speichern der sensiblen Daten vorlegen. Dabei verwickelten sich die Akteure in Widersprüche. Bei der Zusammenarbeit mit den Amerikanern wird die DSGVO-konforme „Verarbeitung personenbezogener Daten und unter Beachtung der aktuellen Standard-Vertragsklauseln der EU-Kommission“ eingehalten – heißt es. Jedoch bezeichnet eben jene Klausel die Tatsache, dass persönliche Daten aus dem EU-Raum in die USA transferiert werden. Auf das Nachbohren der Journalisten fand sich Destatis inzwischen bereit, seine Datenschutzerklärung zu ergänzen und in Zukunft ausschließlich europäische Server zu nutzen. Dieses Einlenken dürfte etwas spät kommen. Mittlerweile wurde bekannt, dass Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationssicherheit (BfDI), wegen einer Reihe offener Fragen zu Gesprächen mit der Leitungsebene von Destatis geladen und eine Überprüfung des Falles begonnen hat. Gerade im Hinblick auf das Jahr 1983 ist es durchaus geboten, das Projekt zensus22 zu einem Vorzeigeprojekt zu machen, was Datensicherheit angeht.

Zurück

Hier bloggt Ihre Redaktion.