Zensus 2022: Datenschutz-Probleme beim Online-Portal

Über die Website zensus2022.de erfasst Destatis sensible Bürgerdaten. Nun stellt sich heraus, dass ausgerechnet der US-Dienst Cloudflare eingebunden ist.

In Pocket speichern vorlesen Druckansicht 416 Kommentare lesen

(Bild: Destatis)

Lesezeit: 4 Min.
Von
  • Holger Bleich
Inhaltsverzeichnis

Am kommenden Sonntag, den 15. Mai, fällt der Startschuss für die Volkszählung, die offiziell Zensus 2022 heißt und im August abgeschlossen sein soll. Die Vorbereitungen des Statistischen Bundesamts auf diese Mammut-Erhebung laufen auf Hochtouren. Kernstück des Konzepts ist die Website zensus2022.de. Hier sollen alle befragten Haushalte (zusätzlich zu persönlichen Interviews) einen Online-Fragebogen ausfüllen, in dem sie unter anderem persönliche Daten sowie Wohn- und Beschäftigten-Status aller Haushaltsangehörigen mitteilen müssen.

Verantwortlich für die Website zeichnet das Statistische Bundesamt (Destatis). Den technischen Betrieb hat das Informationstechnikzentrum Bund (ITZBund), der Hoster der Bundesverwaltung, übernommen. Ruft man allerdings zensus2022.de auf, wird der Browser zu IP-Adressen des US-amerikanischen Diensts Cloudflare umgeleitet. Cloudflare agiert für seine Kunden mit seinem Content Delivery Network (CDN) de facto als Puffer, um beispielsweise DDoS-Attacken abzuwehren oder Lastspitzen abzufedern.

Auf den Hinweis eines Lesers vor einigen Tagen hin konnten wir reproduzieren, dass zensus2022.de mal zu IP-Adressen aus dem Adressraum von Cloudflare USA, dann wieder zu IP-Adressen des europäischen Services von Cloudflare führt. Das US-Unternehmen kann also mindestens die Abruf-IP-Adressen speichern, eventuell auch mehr, etwa Formular-Eingaben auf der Website oder die Passwort-Eingabe.

Nach diesem Schema läuft die Zensus-Befragung der Haushalte ab.

(Bild: Destatis)

In der Datenschutzerklärung zur Website findet sich aber lediglich der Hinweis, dass Nutzerdaten wie die IP-Adressen "durch unsere IT-Systeme erfasst" würden. Davon, dass die Daten außerdem über Server eines US-Anbieters geroutet werden, ist bislang (Stand: 13.5., 15 Uhr) nichts zu lesen. Mittlerweile ist auch der IT-Security-Experte Mike Kuketz auf die Einbindung von Cloudflare aufmerksam geworden und konstatiert in seinem Blog: "Es ist einfach unglaublich."

Auf Nachfrage von heise online bestätigte Destatis nun, dass man den "öffentlichen Bereich" von zensus2022.de mit dem CDN von Cloudflare absichert. Dies sei "bei einem Angebot mit großer Reichweite und Relevanz absolut notwendig, um einen störungsfreien Betrieb, insbesondere die Erreichbarkeit, Performance und Zuverlässigkeit der Website, sicherzustellen".

Der "private Bereich" (Subdomain fragebogen.zensus2022.de) werde nach erfolgreicher Anmeldung mit den Zugangsdaten im Webbrowser sichtbar. Die Daten, die hier übermittelt würden, seien mit einem Zertifikat des ITZBund Ende-zu-Ende verschlüsselt. Destatis betonte: "Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschließlich auf europäischen Servern verarbeitet."

Eine Antwort auf unsere Frage, auf welcher datenschutzrechtlichen Grundlage Cloudflare eingebunden worden sei, blieb Destatis schuldig. Beim Einsatz von Cookies bezieht man sich gemäß der Datenschutzerklärung auf DSGVO Art. 6 Absatz 1 lit. e. Destatis hätte die wohl Millionen (ab Montag) zu erwartenden Nutzer der Site gemäß Art. 13 DSGVO ruhig in der verpflichtenden Datenschutzerklärung auf die Erhebung von personenbezogenen Daten durch Cloudflare hinweisen können, wie es viele andere Anbieter tun.

Man versicherte uns, dass ausschließlich europäische Cloudflare-Server zum Einsatz kommen, dies sei vertraglich so vereinbart. Die Zusammenarbeit mit Cloudflare basiere auf einem sogenannten EVBIT-Vertrag ("Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen"). Hier sei die DSGVO-konforme "Verarbeitung personenbezogener Daten und unter Beachtung der aktuellen Standard-Vertragsklauseln der EU-Kommission" enthalten. Allerdings: Die EU-Standard-Vertragsklauseln kommen eben genau nur dann zum Einsatz, wenn Daten in die USA transferiert werden.

Auf die Anfrage von heise online hin will Destatis nun nachbessern: "Wir werden künftig nur noch europäisch registrierte IP-Adressen nutzen. Außerdem werden wir die Datenschutzerklärung umgehend um die entsprechenden Hinweise zur Nutzung eines CDN-Dienstleisters ergänzen und schärfen."

Als Bundesbehörde unterliegt Destatis der Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ( BfDI) Ulrich Kelber. Gegenüber heise online bestätigte dessen Sprecher Christof Stein, dass die Behörde am heutigen Freitag mit der Prüfung der Cloudflare-Einbindung auf zensus2022.de begonnen habe. Es gebe "eine Reihe offener Fragen" und "Gespräche zwischen BfDI und Destatis auf Leitungsebene".

(hob)