Mit dem Zensus 2022 startet die Bundesrepublik Deutschland eine neue statistische Erhebung, die mit großflächigen Stichproben ermittelt, wie die Menschen im Land leben. Die Zählung hat aber ein großes Problem: Die Daten werden über eine Webseite erfasst und hinter der Speicherung von sensiblen Personendaten und der damit einhergehenden Datensouveränität stehen diverse Fragezeichen.
Die Europäische Union (EU) verpflichtet ihre Mitgliedsstaaten zur regelmäßigen Erfassung von Bevölkerungsergebnissen. Der vom Statistischen Bundesamt (Destatis) durchgeführte Zensus 2022 ist das Fazit eben dieser europäischen Verpflichtung. Die Volkszählung liefert am Ende unter anderem folgende Daten:
Wichtig ist bei der Erhebung zu erwähnen, dass die Daten anonymisiert festgehalten werden. Die Intention hinter dem Zensus ist nicht, individuelle Steckbriefe der Befragten zu gestalten, sondern den ungefähren Lebensstand der Bürger und Bürgerinnen zu erfassen.
Speziell für den anstehenden Zensus hat das Statistische Bundesamt mit zensus2022.de eine eigene Webseite zur Datenerfassung live geschaltet, die im Hintergrund vom Informationstechnikzentrum Bund (ITZBund) betrieben wird.
Und hier setzte die ursprüngliche Verwirrung ein: Wer die offizielle Zensus-Webseite besucht, der landet in Wirklichkeit auf einem von Cloudflare gehosteten bzw. per Reverse Proxy bereitgestelltem Internetangebot – und das gilt nicht nur für die Webseite, sondern auch für den Anmeldebogen, der die sensiblen Daten erfasst.
Aufgrund des eingesetzten Content Delivery Networks (CDN) kann es in diesem Fall also passieren, dass die besuchte Domain mit einer amerikanischen IP auflöst. Wir schreiben extra „kann“, denn die Ergebnisse können aufgrund des CDN-Einsatzes typischerweise variieren und neben amerikanischer auch europäische IP-Adressen ausspielen.
Die Ursprungssorge betraf vornehmlich die US-amerikanischen IP-Adressen vor allem in Bezug auf die Erhebung von persönlichen sensiblen Daten: Während in der EU ein großer Fokus auf dem Datenschutz liegt, ist das in den USA ganz anders – einen ernstzunehmenden Schutz personenbezogener Daten gibt es dort nicht.
Bedeutend ist hier das Schrems-II Urteil des Europäischen Gerichtshofs aus dem Jahre 2020, dass das zuvor ausgehandelte Privacy Shield Abkommen mit den USA als nichtig erklärte. Laut Urteil konnten in die Vereinigte Staaten übermittelte Daten nicht wirksam vor der Nutzung amerikanischer Geheimdienste geschützt werden. Eine rechtskonforme Datenübertragung in die USA sei daher schlicht nicht möglich und der Sinn des Privacy Shields nichtig.
Zwar haben sich inzwischen die EU und die USA auf ein Nachfolgeabkommen geeinigt, doch ein konkreter Entwurf des Privacy Shield Nachfolgers steht noch aus.
Das Thema mit der Datenerhebung außerhalb der EU schlug hohe Wellen und veranlasste das Statistische Bundesamt zu einer Reaktion. In der Datenschutzerklärung für zensus2022.de tauchte etwas später der Absatz „Content Delivery Network“ mit dem Zusatz auf, dass Daten mit einem Sicherheitszertifikat des ITZBundes verschlüsselt und ausschließlich in Rechenzentren der Bundesrepublik Deutschland verarbeitet werden.
Ob dieses Vorgehen eine Garantie für die tatsächliche Datensicherheit ist, kann nicht überprüft werden. Fragwürdig bleibt außerdem, bei einem deutschen Zensus auf die Dienste eines US-amerikanischen Dienstes zurückzugreifen, obwohl in Europa oder gar Deutschland eine Vielzahl bewährter Anbieter zur Verfügung stehen. Die Debatte rund um die Datensouveränität wird mit dieser Entscheidung nur unnötig befeuert.
Auch wenn zum Begriff der Datensouveränität keine allgemeingültige Definition existiert, so ist der Hintergrund davon offensichtlich: Hinter dem Term versteht man einen souveränen selbstbestimmten Umgang mit personenbezogenen Daten. Sie erlaubt unter anderem Unternehmen, Organisationen, Behörden und Privatpersonen, die die selbstbestimmte Kontrolle der Erhebung, Speicherung, Nutzung und Verarbeitung der erhobenen Daten.
Und selbst wenn sich die Datensouveränität nicht nur um sensible Informationen handelt, so spielt dieser Aspekt einen essenziellen Part in der heutigen digitalen Selbstbestimmung. Erst recht in einer Zeit, in der Begriffe wie die Cloud oder Big Data es zusehends schwerer machen, einen Überblick über die Erhebung und Verarbeitung von personenbezogenen Informationen zu bewahren.
Die Europäische Union betreibt bereits seit Jahren einen enormen rechtlichen Aufwand, um die Datensouveränität ihrer Bürger zu gewährleisten. Ein zentraler Baustein dieser Anstrengungen ist die EU-Datenschutzverordnung (DSGVO), eine weitere wäre der Aufbau einer zentralisierten europäischen Dateninfrastruktur (GAIA-X).
Dabei ist es nicht schwer, die hohen Ansprüche der DSGVO mit einer europäischen Datensouveränität zu kombinieren. Die in Europa ansässigen Unternehmen haben sich bereits seit Jahren mit Ihren Service-Leistungen auf die Anforderungen der EU-Datenschutzbestimmungen vorbereitet.
Gleichzeitig würde bei der Nutzung dieser Dienste die digitale informationelle Selbstbestimmung gestärkt – eben genau der zentrale Punkt, der für die Datensouveränität essenziell wichtig ist.
Wenn Sie selbst auf der Suche nach einem bewährten Sicherheitsanbieter sind, dann ist die Web Security Suite von Link11 möglicherweise die passende Lösung für Ihr Projekt. Die Suite besteht aus einer Vielzahl mehrerer Services, die vereint eine umfassende Sicherheit für Ihre Projekte und Webseiten bieten:
Alle unsere Dienste entsprechen den europäischen Regularien. Link11 ist seitens des BSI (Bundesamt für Sicherheit in der Informationstechnik) als qualifizierter Schutzanbieter auch für kritische Infrastrukturen (KRITIS) gelistet, da alle Kriterien für die Zertifizierung vollständig erfüllt werden.