Zensus 2022 und Cloudflare, eine Nachbetrachtung

Sicherheit (Pexels, allgemeine Nutzung)Vor einigen Tagen hatte ich – neben heise und Mike Kuketz – über den Zensus 2022 und dessen Umsetzung durch das Statistische Bundesamt berichtet und darauf verwiesen, dass dort die Webzugriffe über den US-Anbieter Cloudflare laufen. Die Berichtet haben etwas Staub aufgewirbelt, der Datenschutzbeauftragte, Herr Ulrich Kelber, schaltete sich ein und das Statistische Bundesamt hat die Datenschutzerklärung nachgebessert. Zudem hat sich Cloudflare bei mir mit einer Stellungnahme gemeldet, um allgemeine Bedenken auszuräumen. Zeit für eine Nachbetrachtung zum aktuellen Status.


Anzeige

Zum Hintergrund

Seit Sonntag, den 15. Mai 2022, läuft in Deutschland der Zensus 2022, bei dem eine Bevölkerungs-, Gebäude- und Wohnungszählung erfolgt. Verantwortlich ist das Statistische Bundesamt, welches Millionen Haushalte in Deutschland für diese Erhebung angeschrieben hat. Die Leute haben eine entsprechende Benachrichtigung mit einem Zugangscode für eine Webseite erhalten und soll die notwendigen Daten in einer Webseite Zensus 2022 eintragen. Das Statistische Bundesamt (Destatis), welches diesen Zensus 2022 durchführt, erklärt zwar, dass man den Datenschutz ernst nehme.

Aber die Zugriffe auf die Webseite Zensus 2022 werden über die US-Dienst Cloudflare geleitet. Da doch sehr persönliche Daten beim Zensus 2022 per Web erfasst werden und ein US-Anbieter involviert ist, steht die Frage im Raum "Kann die US-Administration" diese Daten mitlesen – es gilt ja schließlich der Cloud Act, der den USA den Zugriff auf von US-Unternehmen gespeicherte Daten ermöglicht. Gleichzeitig hatte das Statistische Bundesamt nichts über die Einbindung von Cloudflare in seiner Datenschutzerklärung verlauten lassen, aber über eine Datenweitergabe an Twitter, Facebook und Instagram informiert.

Vor einigen Tagen hatte ich daher – neben heise und Mike Kuketz – über den Zensus 2022 und dessen Umsetzung durch das Statistische Bundesamt berichtet und darauf verwiesen, dass dort die Webzugriffe über den US-Anbieter Cloudflare laufen (siehe Statistisches Bundesamt hostet seinen Zensus 2022 über Cloudflare).

Datenschutzerklärung nachgebessert

Auf Grund der Berichterstattung hatte sich Herr Kelber als Datenschutzbeauftragte in die Diskussion eingeschaltet und Klärungen mit dem Statistischen Bundesamt durchgeführt. Samstag, den 14. Mai 2022, also noch vor dem Start der Erhebung, wurde die Datenschutzerklärung nachgebessert – die betreffende Diskussion/Information findet sich in diesen Kommentaren. Nachfolgend der betreffende Passus, der ergänzt wurde.

Einsatz von Content Delivery Network

Zur Einbindung von Skripten und Bibliotheken auf dieser Webseite wird ein sogenanntes Content Delivery Network (CDN) der Firma Cloudflare, Inc., 101 Townsend Street, San Francisco, California 94107, USA ("Cloudflare") eingesetzt. Content Delivery Networks haben den Zweck, Ihnen die Inhalte dieser Website in einer hohen Verfügbarkeit und Geschwindigkeit zur Verfügung zu stellen und Angriffe auf die Webseite, die die Verfügbarkeit einschränken, wie z. B. DDoS -Attacken, besser abzuwehren. Zu diesen Zwecken werden die zuvor genannten Zugriffsdaten bei jeder Nutzung dieser Website an einen Server innerhalb der EU der o.g. Firma weitergeleitet.

Die Datenverarbeitung durch Cloudflare ist erforderlich, um die hohe Verfügbarkeit der Webseite auch in unsicheren Zeiten im Internet zu ermöglichen. Wir wollen damit eine hohe Funktionsfähigkeit und Sicherheit unserer Systeme für die Nutzer gewährleisten.

In diesem Zusammenhang weisen wir daraufhin, dass unter Umständen die genannten Daten von Cloudflare in einen Drittstaat (insbesondere USA) transferiert werden können, wenn dies zur Einhaltung eines Gesetzes oder aufgrund einer verbindlichen Anordnung einer Regierungsbehörde in den USA erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. e) DS-GVO in Verbindung mit § 3 BDSG in Verbindung mit den Zensusgesetzen in Verbindung mit den Standarddatenschutzklauseln nach Art. 46 Abs. 2 c) DS-GVO sowie weiterer im Vertrag mit der Firma Cloudflare gesicherten Garantien.
Weitere Informationen zur Datenverarbeitung seitens der Firma Cloudflare finden Sie in der „Cloudflare Privacy Policy".

Besonders wichtig ist dabei der nachfolgend herausgezogene Abschnitt aus dieser Ergänzung, den ich für relevant erachte.


Anzeige

Die Datenverarbeitung durch Cloudflare betrifft nicht die Befragungsdaten der Auskunftspflichtigen zum Zensus, sondern lediglich die allgemein zugänglichen Informationen auf der Website www.zensus2022.de. Nach erfolgreichem Einloggen werden Sie auf die Seite fragebogen.zensus2022.de weitergeleitet. Die Daten, die an fragebogen.zensus2022.de übermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende-verschlüsselt und werden ohne Nutzung des CDN Cloudflare weitergeleitet. Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschließlich in Rechenzentren des Bundes in Deutschland verarbeitet.

Es hat sich zumindest informationsmäßig etwas getan – es gibt den Hinweis auf das Cloudflare CDN und die Zusicherung, dass die per Fragebogen erhobenen Daten nicht über Cloudflare geleitet werden – nachprüfen kann ich das nicht, muss dies also glauben.

Die Cloudflare-Stellungnahme

Auch die Pressebetreuung der deutschen Dependance von Cloudflare hat sich per Mail im Hinblick auf "Cloudflare, den Zensus 2022 und den Datenschutz" gemeldet und weist auf folgendes hin.

Um die Sicherheit des Zensus zu gewährleisten und mit Datenschutzvorgaben in Einklang zu bringen haben wir eng mit dem Statistischen Bundesamt zusammengearbeitet.

Kurz gesagt, es werden keine Volkszählungsdaten in die Vereinigten Staaten gesendet.

Zensus hat die Nutzung der Netzwerkdienste von Cloudflare so konfiguriert, dass der gesamte Datenverkehr innerhalb der EU bleibt. Die Daten der Volkszählungsformulare bleiben verschlüsselt und unter der Kontrolle von Zensus 2022 (Cloudflare hat keinen Zugriff darauf).

Die europäischen Datenschutzbehörden haben die Messlatte für die Bedingungen, die erfüllt sein müssen, damit EU-Unternehmen ihre personenbezogenen Daten von einem US-Cloud-Anbieter verarbeiten lassen können, nach Ansicht von Cloudflare in den letzten zwei Jahren sehr hoch gelegt. Das Unternehmen teilt mit, dass es mit Regulierungs- und Datenschutzbehörden in der gesamten EU besprochen habe. Es zeigt sich in seiner Mitteilung zuversichtlich, dass europäische Kunden die Dienste von Cloudflare auf eine Art und Weise nutzen können, die mit den aktuellen EU-Leitlinien zu den Standards für grenzüberschreitende Datenübertragungen gemäß der Allgemeinen Datenschutzverordnung ("GDPR") übereinstimmt. Auch Cloudflare ist sich bewusst, dass viele Kunden ihre personenbezogenen Daten in der EU behalten wollen oder müssen.

Daher hat Cloudflare seine Data Localization Suite, einschließlich unserer Customer Metadata Boundary, mit Blick auf diese europäischen Kundenanforderungen entwickelt. In Bezug auf diese Data Localization Suite, die wohl auch bei der Zensus 2022-Seite zum Einsatz kommt, erklärt Cloudflare die technischen Abläufe so:

Wie Cloudflare die deutsche Volkszählung schützt

Der deutsche Zensus nutzt Cloudflare-Dienste, um die Integrität und Sicherheit der Volkszählung zu verbessern. Für die Landing Page auf www.zensus2022.de (der eigentliche Fragebogen zur Datenerfassung wird ja, laut obiger Datenschutzerklärung, nicht über Cloudflare geleitet) wird der Datenverkehr nur in europäischen Rechenzentren mit Hilfe unseres Produktes Regional Services geprüft. Regional Services stellt sicher, dass TLS in unserem Netzwerk nur in unseren Rechenzentren innerhalb der definierten EU-Region terminiert wird; es findet keine Entschlüsselung in den Rechenzentren von Cloudflare statt, die sich außerhalb der EU-Mitgliedstaaten befinden. Cloudflare schreibt dazu:

Eine Analogie dazu wäre die Art und Weise, wie ein Spediteur Pakete auf dem Weg von A nach B kontrolliert. Bei Besuchern der Landing Page öffnen wir den Karton kurz (und verschließen ihn wieder), um zu prüfen, ob der Inhalt gefährlich ist – diese Prüfung findet nur in Europa statt.

Das Unternehmen schreibt, dass die für die Landing Page erstellten Protokolle der Endnutzer niemals die Europäische Union hinaus verlassen. Dies werde durch die erwähnte Customer Metadata Boundary erreicht. Diese wurde letztes Jahr eingeführt, um sicherzustellen, dass Metadaten über den Datenverkehr – die kundenidentifizierenden Endnutzerprotokolle und Analysen, die Cloudflare in seiner Rolle als (Auftragsdaten-)Datenverarbeiter für Kunden verarbeitet – die EU nicht verlassen. Wichtig ist dabei folgende Aussage:

Für den eigentlichen Volkszählungsfragebogen entschlüsselt Cloudflare den Datenverkehr in keiner Weise und kann die von den Nutzern eingegebenen Daten nicht einsehen. Es ist wichtig zu betonen, dass Cloudflare die von den Nutzern bereitgestellten Inhalte der Volkszählungsformulare nicht sieht oder speichert.

Dies entspricht auch den Angaben in der Datenschutzerklärung des Statistischen Bundesamts, die vorgeben, Cloudflare nur für die Hauptseite (die sogenannte Landing Page) zu verwenden.

Die Verwendung von IP-Adressen durch Cloudflare

Um die Bereitstellung von Websites zu unterstützen, muss Cloudflare eine IP-Adresse für einen Domainnamen zurückgeben. Vor dem 11. Mai war die IP-Adresse für Zensus auf Cloudflare, Inc. in den Vereinigten Staaten registriert. In einigen Berichten wurde behauptet, dass diese Registrierung "beweist", dass die Daten in die USA übertragen wurden. Dies ist nicht wahr: Die physische Registrierungsadresse für eine bestimmte IP-Adresse hat keinen Einfluss darauf, wie der Internetverkehr weitergeleitet wird.  Es handelt sich lediglich um eine Verwaltungsfunktion, damit andere Akteure im Internet wissen, wer für diese IP-Adressen verantwortlich ist.

Um Verwirrung zu vermeiden, hat Cloudflare die Zensus-IP-Adressen in europäische (RIPE-registrierte) IP-Adressen geändert, um besorgten europäischen Bürgern zu versichern, dass keine persönlichen Daten im Zusammenhang mit dem deutschen Zensus jemals die Europäische Union verlassen.

Daten bleiben in Europa

Der Anbieter schreibt, dass er mit Hilfe von Regional Services, Spectrum und der Customer Metadata Boundary sicherstellen kann, dass die Zensusdaten der Deutschen vollständig in Europa bleiben und dass Cloudflare selbst keinen Zugriff auf die Zensusdaten hat (und auch nicht haben könnte). Diese Daten bleiben verschlüsselt, während Cloudflare mit seinen Diensten gleichzeitig das höchstmögliche Maß an Sicherheit und Datenschutz bietet.

Cloudflare betont, dass seit der Gründung des Unternehmens der Datenschutz als eine unserer höchsten Prioritäten behandelt wird. Es seien noch nie Kundendaten verkauft worden (was in keinem der Berichte, die ich so gesehen habe, behauptet wurde).

Fazit: Was bleibt?

Es ist dumm gelaufen – dass die obigen nachgereichten Erklärungen nicht von Anfang an in den Datenschutzhinweisen zu finden waren. "Am Ende ist man schlauer", ist die Erkenntnis, die man aus dem Fall ziehen könnte. Ich vergesse leider immer die Abläufe solchen Projekten – da wird am Anfang abgestimmt und geplant und im letzten Augenblick kommt eine Änderung, so dass der Aspekt Cloudflare in der Datenschutzerklärung untergegangen ist.

Das ist korrigiert und es gibt wohl vertragliche Zusicherungen, dass die Daten der Webseitenbesucher in Europa bleiben – die Zensus-Daten werden laut den obigen Erklärungen eh nicht über Cloudflare geroutet. Dass Cloudflare keine Daten verkauft, ist eigentlich auch klar.

Mike Kuketz hat in diesem Beitrag noch eine Nachbetrachtung durchgeführt. Ob die von ihm aufgeführten europäischen CDN-Anbieter eine Alternative sind und warum diese nicht berücksichtigt wurden, kann ich nicht beurteilen. Aber die Frage bleibt, warum man sich für Cloudflare entschieden, dies aber initial verschwiegen hat. Kuketz weist in seiner Analyse auf offene Fragen hin.

Interessant ist auch dieser Beitrag von Kuketz, wo die einschlägigen US-Gesetze aufgeführt sind, die bei solchen Themen Knackpunkte sein könnten. Im Grunde kommt es jetzt auf die Sichtweise des Betrachters an. Dass keine Daten mutwillig an die US-Behörden gehen, ist auch klar. Aber es muss klar sein, dass im Fall der Fälle die US-Administration Zugriff auf die Daten erhalten kann – was dann auch der Streitpunkt in Richtung Schrems II-Urteil (Urteil Az. C-311/18) zum Privacy-Shield-Abkommen zwischen der EU und den USA tangiert. Und es kann mit Recht die Frage gestellt werden, müssen deutsche Behörden unbedingt die Abhängigkeit von US-IT-Unternehmen zementieren?

Zumindest hat die Berichterstattung dazu geführt, dass sich das Statistische Bundesamt in der gegenständlichen Sache etwas bewegt hat und sich erklären musste. Das ist schon mal ein Teilerfolg. Wie das Ganze jetzt zu werten ist, ob die Nachbesserungen ausreichend sind, das sollte jeder Blog-Leser und jede Blog-Leserin für sich selbst entscheiden. Und vielleicht bekommen wir am Ende des Tages ja auch eine Klärung vor dem EuGH in Punkto US-IT- und Cloud-Anbieter versus GDPR-Datenschutzauflagen.

Ergänzungen: Das ZDF hat ein Interview mit dem Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), Herrn Ulrich Kelber, wegen Datenschutzbedenken im Umfeld des Zensus 2022 geführt. Ich bin auf Twitter auf das Thema aufmerksam geworden. Das Interview Sind meine Zensus-Daten sicher, Herr Kelber?ist vor Bekanntwerden des Cloudflare-Falls veröffentlicht worden.

Die Parteil PIRATEN Saarland hat laut nachfolgendem Tweet Beschwerde wegen der Datenübermittlung an den US-Anbieter Cloudflare eingelegt.

Beschwerde der Piratenpartei Zensus 2022

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat zum 18. Mai 2022 diese Stellungnahme zur Prüfung veröffentlicht: Der BfDI hat in einer ersten Überprüfung festgestellt, dass keine Gefahr für die auf der Zensus-Webseite eingegebenen Daten bestanden hat. Die Prüfung der Seite zensus2022.de ist aber noch nicht abgeschlossen. 


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Zensus 2022 und Cloudflare, eine Nachbetrachtung

  1. janil sagt:

    Danke für die Nachlese.

  2. Tom sagt:

    Ich finde es überaus wichtig und richtig, den Leuten im hochtechnisierten und hochdigitalisierten (Achtung: kann Ironie beinhalten) Deutschland auf die Finger zu schauen und (Un)Mißstände anzusprechen!

    Ich persönlich traue den Verantwortlichen nicht weiter, als ich sch…pucken kann und diverse Sicherheitsvorfälle bestätigen mich in dieser Annahme.

    Diesem "blabla", von wegen:

    [Zitat]
    …Die Datenverarbeitung durch Cloudflare ist erforderlich, um die hohe Verfügbarkeit der Webseite auch in unsicheren Zeiten im Internet zu ermöglichen. Wir wollen damit eine hohe Funktionsfähigkeit und Sicherheit unserer Systeme für die Nutzer gewährleisten….
    Cloudflare betont, dass seit der Gründung des Unternehmens der Datenschutz als eine unserer höchsten Prioritäten behandelt wird….
    [/Zitat]

    kann und will ich nicht trauen!

    • Michael sagt:

      Bei der Schulung zum Erhebungsbeauftragten war man sehr irritiert über die Frage, warum zu statistischen Zwecken nicht die Kenntnis von anonymen Daten ausreichend sei. Die Daten werden eben nicht in einen großen Topf geworfen, sondern werden durch Codierung den Befragten zugeordnet. Der Beauftragte muss sogar die auf Wunsch übergebenen Zugangsdaten zur Online-Eingabe einer Person zuordnen. Jede Politesse kann einen Sachverhalt feststellen, aber die Aussage eines Erhebers, die Daten eines Befragten "in den Topf geworfen" zu haben, zählt nicht. Auf den Straftatbestand "Verrat von Privatgeheimnissen" wird man hingewiesen. Da ich aber ggf daran beteiligt bin, habe ich die Erhebung abgebrochen. Mal sehen, welche Knüppel mir deswegen noch zwischen die Beine geworfen werden

  3. Paul sagt:

    "Und es kann mit Recht die Frage gestellt werden, müssen deutsche Behörden unbedingt die Abhängigkeit von US-IT-Unternehmen zementieren?"

    Warum sollte man nicht?
    Das zemetieren der Abhängigkeit Russland hat doch auch ganz toll geklappt und etliche Leute ohne Schwitzen zu Millionären gemacht. (Z.B. Hartz4-Erfinder Schröder)

    Es ist doch soooo schön bequem…
    und "Ami" bedeutet doch auch "Freund", nicht?

    • Bernd B. sagt:

      Können Sie nicht wenigstens etwas näher an der Wahrheit hetzen?
      – Schröder war schon vorher Millionär
      – der Erfinder von H-IV war eine Kommission unter Peter Hartz. H-IV selbst war und ist ein Bruch europäischer Verträge und Partnerschaft, indem es in DE die Löhne künstlich gesenkt hat und 'uns' so einen unfairen Wettbewerbsvorteil in der EU verschaffte.
      – das "günstige Russengas" hat uns über Jahre ebenfalls einen Wettbewerbsvorteil auf den Weltmärkten gebracht (bzw. andere Standortnachteile wie Lohnkosten (teilweise) ausgeglichen) – zudem hat es nicht nur uns von Putin, sondern auch Putin von uns abhängig gemacht, verhindert, dass er sich besser diversifizieren musste (im Gegensatz zum Öl fehlt ihm die Gasleitungskapazität in andere Wirtschaftsräume – ein clevererer Putin hätte NS2 nicht in die EU gebaut)

  4. Hobbyadmin sagt:

    > Die Datenverarbeitung durch Cloudflare ist erforderlich, um die hohe Verfügbarkeit der Webseite auch in unsicheren Zeiten im Internet zu ermöglichen.

    Warum stellt nicht das BSI eine entspr. Plattform bereit wenn das Statistische Bundesamt nicht selbst einen "hoch verfügbaren" Website einrichten kann?

    Warum wird Cloudflare weiter genutzt, obwohl klipp und klar bekannt ist, ".. dass unter Umständen die genannten Daten von Cloudflare in einen Drittstaat (insbesondere USA) transferiert werden können, ..", egal was Cloudflare da heute in einer E-Mail schreibt?

    Offenbar keinerlei echte Einsicht oder wirkliche Abhilfeüberlegungen, nur eine Sammlung von Argumentationsbemühungen, warum das mit Cloudflare ganz total sicher sein soll.

    Danke fürs Nachhaken hier, solche "Konstrukte" sind sicher kein Einzelfall.

  5. planlos sagt:

    Wir haben das BSI, eine Behörde, die sich genau um solche IT-Sicherheitssachen kümmert. Wir haben das ITZ Bund, den IT-Dienstleister für Behörden. Wir reden hier von mehreren Tausend Mitarbeitern. Warum bekommt DE nichts selber auf die Kette?

  6. Bernd B. sagt:

    Ich denke auch, dass spätestens der "Cloud Act" jegliche Zusicherung von US-Anbietern (ebenso, wie von Anbietern mit US-Niederlassungen(!)) zu Makulatur macht.

    Cloudflare sichert hier etwas zu, was sie selbst beim besten Willen gar nicht einhalten können.

    • Anonymous sagt:

      Ich stimme voll und ganz zu. Für die Erfassung von Daten für DE hat gefälligst der gesamte Ablauf und Traffic in DE zu bleiben. Technisch kein Problem… statt Milliarden in andere Länder für Klima oder Rüstung zu pumpen, könnte man mal 1% davon in die eigene Infrastruktur stecken. Dieses 1% dann nicht an irgendwelche Berater und Konsortien sondern an echte KMUs… dann kommt da vielleicht auch mal was sinnvolles in der IT bei raus….

  7. Digitale Steinzeit sagt:

    Dieses Zensus 2022 ist ohnehin eine Riesen Steuerverschwendung. Wir haben hier mehrere Aufforderungen erhalten und entsprechend den Fragenkatalog auch mehrmals durchlaufen.

    Sämtliche abgefragte Daten waren solche, die dem Einwohnermeldeamt, Grundbuch- und Katasteramt schon vorliegen! Weiterhin digitale Steinzeit in Deutschland.

    Einzig und allein die Frage nach der genutzten Heizung dürfte Vater Staat sich wirklich nicht selbst beantworten können.

    • Salrok sagt:

      Ihr habt die schon bearbeiten können? Ich hab das schreiben erst heute morgen erhalten.
      Musste ziemlich lachen, meine Mutter hat ebenfalls eine erhalten, für eine Immobilie die ihr seit über einem Jahr gar nicht mehr gehört…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.