Zensus 2022: Die Sache mit der Datensouveränität

Der Zensus 2022 und die Sache mit der Datensouveränität

IT-Sicherheit

Der Zensus 2022 und die Sache mit der Datensouveränität

Mit dem Zensus 2022 startet die Bundesrepublik Deutschland eine neue statistische Erhebung, die mit großflächigen Stichproben ermittelt, wie die Menschen im Land leben. Die Zählung hat aber ein großes Problem: Die Daten werden über eine Webseite erfasst und hinter der Speicherung von sensiblen Personendaten und der damit einhergehenden Datensouveränität stehen diverse Fragezeichen.

Für was benötigen wir den Zensus 2022?

Die Europäische Union (EU) verpflichtet ihre Mitgliedsstaaten zur regelmäßigen Erfassung von Bevölkerungsergebnissen. Der vom Statistischen Bundesamt (Destatis) durchgeführte Zensus 2022 ist das Fazit eben dieser europäischen Verpflichtung. Die Volkszählung liefert am Ende unter anderem folgende Daten:

  • Die aktuelle Bevölkerungszahl der Bundesrepublik
  • Demografische Daten, wie Alter, Geschlecht oder Staatsbürgerschaft
  • Details zur Wohnsituation, wie Eigentümerquoten oder Wohnungssituation

Wichtig ist bei der Erhebung zu erwähnen, dass die Daten anonymisiert festgehalten werden. Die Intention hinter dem Zensus ist nicht, individuelle Steckbriefe der Befragten zu gestalten, sondern den ungefähren Lebensstand der Bürger und Bürgerinnen zu erfassen.

Warum herrschte zwischenzeitlich Verwirrung um den Zensus 2022?

Speziell für den anstehenden Zensus hat das Statistische Bundesamt mit zensus2022.de eine eigene Webseite zur Datenerfassung live geschaltet, die im Hintergrund vom Informationstechnikzentrum Bund (ITZBund) betrieben wird.

Die Zwischenschaltung mit Cloudflare

Und hier setzte die ursprüngliche Verwirrung ein: Wer die offizielle Zensus-Webseite besucht, der landet in Wirklichkeit auf einem von Cloudflare gehosteten bzw. per Reverse Proxy bereitgestelltem Internetangebot – und das gilt nicht nur für die Webseite, sondern auch für den Anmeldebogen, der die sensiblen Daten erfasst.

Aufgrund des eingesetzten Content Delivery Networks (CDN) kann es in diesem Fall also passieren, dass die besuchte Domain mit einer amerikanischen IP auflöst. Wir schreiben extra „kann“, denn die Ergebnisse können aufgrund des CDN-Einsatzes typischerweise variieren und neben amerikanischer auch europäische IP-Adressen ausspielen.

Rechtlich zumindest fragwürdig

Die Ursprungssorge betraf vornehmlich die US-amerikanischen IP-Adressen vor allem in Bezug auf die Erhebung von persönlichen sensiblen Daten: Während in der EU ein großer Fokus auf dem Datenschutz liegt, ist das in den USA ganz anders – einen ernstzunehmenden Schutz personenbezogener Daten gibt es dort nicht.

Bedeutend ist hier das Schrems-II Urteil des Europäischen Gerichtshofs aus dem Jahre 2020, dass das zuvor ausgehandelte Privacy Shield Abkommen mit den USA als nichtig erklärte. Laut Urteil konnten in die Vereinigte Staaten übermittelte Daten nicht wirksam vor der Nutzung amerikanischer Geheimdienste geschützt werden. Eine rechtskonforme Datenübertragung in die USA sei daher schlicht nicht möglich und der Sinn des Privacy Shields nichtig.

Zwar haben sich inzwischen die EU und die USA auf ein Nachfolgeabkommen geeinigt, doch ein konkreter Entwurf des Privacy Shield Nachfolgers steht noch aus.

Die Reaktion des Statistischen Bundesamts

Das Thema mit der Datenerhebung außerhalb der EU schlug hohe Wellen und veranlasste das Statistische Bundesamt zu einer Reaktion. In der Datenschutzerklärung für zensus2022.de tauchte etwas später der Absatz „Content Delivery Network“ mit dem Zusatz auf, dass Daten mit einem Sicherheitszertifikat des ITZBundes verschlüsselt und ausschließlich in Rechenzentren der Bundesrepublik Deutschland verarbeitet werden.

Ob dieses Vorgehen eine Garantie für die tatsächliche Datensicherheit ist, kann nicht überprüft werden. Fragwürdig bleibt außerdem, bei einem deutschen Zensus auf die Dienste eines US-amerikanischen Dienstes zurückzugreifen, obwohl in Europa oder gar Deutschland eine Vielzahl bewährter Anbieter zur Verfügung stehen. Die Debatte rund um die Datensouveränität wird mit dieser Entscheidung nur unnötig befeuert.

Warum die Datensouveränität so wichtig ist

Auch wenn zum Begriff der Datensouveränität keine allgemeingültige Definition existiert, so ist der Hintergrund davon offensichtlich: Hinter dem Term versteht man einen souveränen selbstbestimmten Umgang mit personenbezogenen Daten. Sie erlaubt unter anderem Unternehmen, Organisationen, Behörden und Privatpersonen, die die selbstbestimmte Kontrolle der Erhebung, Speicherung, Nutzung und Verarbeitung der erhobenen Daten.

Und selbst wenn sich die Datensouveränität nicht nur um sensible Informationen handelt, so spielt dieser Aspekt einen essenziellen Part in der heutigen digitalen Selbstbestimmung. Erst recht in einer Zeit, in der Begriffe wie die Cloud oder Big Data es zusehends schwerer machen, einen Überblick über die Erhebung und Verarbeitung von personenbezogenen Informationen zu bewahren.

Die Europäische Union betreibt bereits seit Jahren einen enormen rechtlichen Aufwand, um die Datensouveränität ihrer Bürger zu gewährleisten. Ein zentraler Baustein dieser Anstrengungen ist die EU-Datenschutzverordnung (DSGVO), eine weitere wäre der Aufbau einer zentralisierten europäischen Dateninfrastruktur (GAIA-X).

Den Datenschutz und die Datensouveränität in Einklang bringen

Dabei ist es nicht schwer, die hohen Ansprüche der DSGVO mit einer europäischen Datensouveränität zu kombinieren. Die in Europa ansässigen Unternehmen haben sich bereits seit Jahren mit Ihren Service-Leistungen auf die Anforderungen der EU-Datenschutzbestimmungen vorbereitet.

Gleichzeitig würde bei der Nutzung dieser Dienste die digitale informationelle Selbstbestimmung gestärkt – eben genau der zentrale Punkt, der für die Datensouveränität essenziell wichtig ist.

Die Link11 Web Security Suite als konforme Lösung

Wenn Sie selbst auf der Suche nach einem bewährten Sicherheitsanbieter sind, dann ist die Web Security Suite von Link11 möglicherweise die passende Lösung für Ihr Projekt. Die Suite besteht aus einer Vielzahl mehrerer Services, die vereint eine umfassende Sicherheit für Ihre Projekte und Webseiten bieten:

  • Web-DDoS-Protection
  • Bot-Management
  • Secure CDN
  • Secure DNS

Alle unsere Dienste entsprechen den europäischen Regularien. Link11 ist seitens des BSI (Bundesamt für Sicherheit in der Informationstechnik) als qualifizierter Schutzanbieter auch für kritische Infrastrukturen (KRITIS) gelistet, da alle Kriterien für die Zertifizierung vollständig erfüllt werden.

Meine Sicherheit erhöhen