Frage:
Wie genau ist technisch vollständig ausgeschlossen, dass unbefugte Dritte (z. B. US -Sicherheitsbehörden) Zugriff auf Daten des Zensus 2022 erhalten, weil etwa Inhalte von Zensus2022.de und/oder der Zensus2022 online Fragebögen laut Berichten über Server eines US-Unternehmens (vermutlich Cloudflare) laufen sollen (siehe www.kuketz-blog.de/zensus-2022-statistischesbundesamthostet-bei-cloudflare/), das einerseits dem CloudAct und dem Patriot Act der USA unterliegt und dessen Server andererseits Endpunkt der SSLVerschlüsselung von zensus2022.de sein sollen, sowie außerdem für die Verschlüsselung ein von Cloudflare/US California ausgestelltes Zertifikat nutzen (siehe Zertifikatsinformation auf der Website zensus2022.de) und in wieweit wurde der
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in die Prozesse zur Absicherung des Datentransfers und in die Ausgestaltung der dazugehörigen Datenschutzinformationen eingebunden (Drucksache 201978, Frage 32)?
Antwort des Parlamentarischen Staatssekretärs Johann Saathoff vom 24. Mai 2022:
Das Statistische Bundesamt führt in Zusammenarbeit mit den Statistischen Landesämtern den Zensus 2022 durch. Für den technischen Betrieb ist das Informationstechnikzentrum Bund (ITZBund) als Dienstleister tätig. Der Zensus 2022 wird ausschließlich in den modernen und sicheren Rechenzentren des ITZBund gehostet. Die Webseiten des Zensus 2022 bestehen sowohl aus einem
öffentlichen (www.zensus2022.de) als auch aus einem privaten (Fragebogen.zensus2022.de/idev) Bereich. Der private Bereich ist über die Domain fragebogen.zensus2022.de erreichbar. Diese Domain wird nach erfolgreicher Anmeldung mit den Zugangsdaten im Webbrowser sichtbar. Die Daten, die an fragebogen.zensus2022.de übermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende verschlüsselt. Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschließlich auf Servern des ITZBund verarbeitet. Ein Content Delivery Network Dienstleister kommt hier nicht zum Einsatz. Daten von Bürgerinnen und Bürgern, die dem Zensus zuzuordnen sind, werden ausschließlich
über den privaten Bereich verarbeitet. Insofern ist sichergestellt, dass keine Zensusdaten außerhalb des ITZBund verarbeitet werden.
Zur Absicherung des öffentlichen Bereiches (www.zensus2022.de) greift das ITZBund auf einen Content Delivery Network Dienstleister (in diesem Falle Cloudflare) zurück. Damit können Lastspitzen und auch gezielte Distributed-Denial-of-Service (DDOS)-Angriffe abgefangen werden. Solche Maßnahmen sind bei einem Angebot mit großer Reichweite und Relevanz notwendig, um einen störungsfreien Betrieb – insbesondere die Erreichbarkeit und Performance der Website – sicherzustellen. Für diesen öffentlichen Bereich wird – entgegen der Absicherung des o. g. privaten Bereiches – zur Absicherung ein Zertifikat von Cloudflare verwendet.
Beim Besuch des öffentlichen Bereiches (www.zensus2022.de) werden in begrenztem Umfang Informationen gespeichert und durch Cloudflare verarbeitet: Datum und Uhrzeit des Zugriffs, Name der angeforderten Datei, Webseite, von der aus die Datei angefordert wurde, Zugriffsstatus (z. B. Datei übertragen, Datei nicht gefunden), der verwendete Webbrowser und das Betriebssystem des Gerätes, die IP-Adresse des anfordernden Gerätes, Online-Kennungen (z. B. Gerätekennungen, Session-IDs). Darauf wird in der hinterlegten Datenschutzerklärung auf der Webseite hingewiesen. Cloudflare wurde durch das ITZBund im Rahmen eines EVB-IT-Vertrages (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen) beauftragt. Darüber hinaus wurde bei Cloudflare durch das ITZBund im Rahmen der Beauftragung die sogenannte „Data Localization Suite“ Option beauftragt und von Cloudflare umgesetzt. Mit der „Data Localization Suite“ Option sichert Cloudflare für den hier in Rede stehenden öffentlichen Webauftritt (www.zensus2022.de) eine ausschließliche Verarbeitung der zuvor genannten Besuchsinformationen in europäischen Rechenzentren zu.
Die Gesamtarchitektur der Webauftritte des Zensus ist so gestaltet, dass man grundsätzlich einen Einstieg über www.zensus2022.de findet und danach – zur Eingabe von privaten zensusrelevanten Daten – auf den privaten Bereich (ohne Einfluss von Cloudflare) wechselt. Die Eingabe privater zensusrelevanter Daten ist über www.zensus2022.de nicht möglich. Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) wurde seitens des Statistischen Bundesamtes systematisch in die Vorbereitung des Zensus 2022 eingebunden.
In Ergänzung zu regelmäßigen Informations- und Kontrollbesuchen fanden außerdem Beratungen zur Datenschutzfolgenabschätzung statt. Der behördliche Datenschutzbeauftragte des ITZBund hat den BfDI zu datenschutzrechtlichen Fragen des Zensus 2022 mehrfach beratend eingebunden. Die Entscheidung zum Einsatz eines Content Delivery Network Dienstleisters wurde durch das ITZBund Anfang des Jahres getroffen. Auf Grundlage der Leistungsparameter und der notwendigen kurzen Vergabezeitfenster wurde mit Cloudflare am 18. Januar 2022 ein EVB-IT-Vertrag geschlossen. Danach erfolgten weitere technische Klärungen (genaue Einbindung, Europaoption etc.) mit Cloudflare zum Einsatz des Dienstes. Der Dienst wurde letztlich zum 28. April 2022 für die Webseiten des Zensus produktiv geschaltet. Grundlage für die Entscheidung zum Einsatz eines Content Delivery Network Anbieters war die seit der Bundestagswahl und durch „Log4j“ aus Sicht des ITZBund deutlich verschlechterte Cyberbedrohungslage. Eine Einbindung des BfDI dazu erfolgte sofort nach Bekanntwerden der kritischen Hinweise
in KW 19/2022. Die unmittelbar vom BfDI eingeleitete Überprüfung hat jedoch ergeben, dass zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat. Dennoch wurde bereits am 13.05. 2022 eine Änderung an der Internetseite vorgenommen, so dass beim Aufruf des Online-Fragebogens der IT-Dienstleister nicht mehr zum Einsatz kommt und somit auch eine Übermittlung der Metadaten nicht mehr erfolgt. Da der Bedarf an Content Delivery Network Diensten stetig steigt, schreibt das BeschA für den Bund zukünftig einen Rahmenvertrag aus. Bei den dort zu vereinbarenden Verträgen wird insbesondere auf eine datenschutzkonforme Ausgestaltung zu achten sein.