{"id":265474,"date":"2022-05-19T15:13:15","date_gmt":"2022-05-19T13:13:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265474"},"modified":"2023-11-28T17:38:52","modified_gmt":"2023-11-28T16:38:52","slug":"zensus-2022-und-cloudflare-eine-nachbetrachtung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/19\/zensus-2022-und-cloudflare-eine-nachbetrachtung\/","title":{"rendered":"Zensus 2022 und Cloudflare, eine Nachbetrachtung"},"content":{"rendered":"

\"SicherheitVor einigen Tagen hatte ich – neben heise und Mike Kuketz – \u00fcber den Zensus 2022 und dessen Umsetzung durch das Statistische Bundesamt berichtet und darauf verwiesen, dass dort die Webzugriffe \u00fcber den US-Anbieter Cloudflare laufen. Die Berichtet haben etwas Staub aufgewirbelt, der Datenschutzbeauftragte, Herr Ulrich Kelber, schaltete sich ein und das Statistische Bundesamt hat die Datenschutzerkl\u00e4rung nachgebessert. Zudem hat sich Cloudflare bei mir mit einer Stellungnahme gemeldet, um allgemeine Bedenken auszur\u00e4umen. Zeit f\u00fcr eine Nachbetrachtung zum aktuellen Status.<\/p>\n

<\/p>\n

Zum Hintergrund<\/h2>\n

\"\"Seit Sonntag, den 15. Mai 2022, l\u00e4uft in Deutschland der Zensus 2022, bei dem eine Bev\u00f6lkerungs-, Geb\u00e4ude- und Wohnungsz\u00e4hlung erfolgt. Verantwortlich ist das Statistische Bundesamt, welches Millionen Haushalte in Deutschland f\u00fcr diese Erhebung angeschrieben hat. Die Leute haben eine entsprechende Benachrichtigung mit einem Zugangscode f\u00fcr eine Webseite erhalten und soll die notwendigen Daten in einer Webseite Zensus 2022 <\/em>eintragen. Das Statistische Bundesamt (Destatis), welches diesen Zensus 2022 durchf\u00fchrt, erkl\u00e4rt zwar, dass man den Datenschutz ernst nehme.<\/p>\n

Aber die Zugriffe auf die Webseite Zensus 2022 <\/em>werden \u00fcber die US-Dienst Cloudflare geleitet. Da doch sehr pers\u00f6nliche Daten beim Zensus 2022 per Web erfasst werden und ein US-Anbieter involviert ist, steht die Frage im Raum \"Kann die US-Administration\" diese Daten mitlesen – es gilt ja schlie\u00dflich der Cloud Act, der den USA den Zugriff auf von US-Unternehmen gespeicherte Daten erm\u00f6glicht. Gleichzeitig hatte das Statistische Bundesamt nichts \u00fcber die Einbindung von Cloudflare in seiner Datenschutzerkl\u00e4rung verlauten lassen, aber \u00fcber eine Datenweitergabe an Twitter, Facebook und Instagram informiert.<\/p>\n

Vor einigen Tagen hatte ich daher – neben heise und Mike Kuketz – \u00fcber den Zensus 2022 und dessen Umsetzung durch das Statistische Bundesamt berichtet und darauf verwiesen, dass dort die Webzugriffe \u00fcber den US-Anbieter Cloudflare laufen (siehe Statistisches Bundesamt hostet seinen Zensus 2022 \u00fcber Cloudflare<\/a>).<\/p>\n

Datenschutzerkl\u00e4rung nachgebessert<\/h2>\n

Auf Grund der Berichterstattung hatte sich Herr Kelber als Datenschutzbeauftragte in die Diskussion eingeschaltet und Kl\u00e4rungen mit dem Statistischen Bundesamt durchgef\u00fchrt. Samstag, den 14. Mai 2022, also noch vor dem Start der Erhebung, wurde die Datenschutzerkl\u00e4rung nachgebessert – die betreffende Diskussion\/Information findet sich in diesen Kommentaren<\/a>. Nachfolgend der betreffende Passus, der erg\u00e4nzt wurde.<\/h3>\n

Einsatz von Content Delivery Network<\/strong><\/p>\n

Zur Einbindung von Skripten und Bibliotheken auf dieser Webseite wird ein sogenanntes Content Delivery Network (CDN) der Firma Cloudflare, Inc., 101 Townsend Street, San Francisco, California 94107, USA (\"Cloudflare\") eingesetzt. Content Delivery Networks haben den Zweck, Ihnen die Inhalte dieser Website in einer hohen Verf\u00fcgbarkeit und Geschwindigkeit zur Verf\u00fcgung zu stellen und Angriffe auf die Webseite, die die Verf\u00fcgbarkeit einschr\u00e4nken, wie z. B. DDoS -Attacken, besser abzuwehren. Zu diesen Zwecken werden die zuvor genannten Zugriffsdaten bei jeder Nutzung dieser Website an einen Server innerhalb der EU der o.g. Firma weitergeleitet.<\/p>\n

Die Datenverarbeitung durch Cloudflare ist erforderlich, um die hohe Verf\u00fcgbarkeit der Webseite auch in unsicheren Zeiten im Internet zu erm\u00f6glichen. Wir wollen damit eine hohe Funktionsf\u00e4higkeit und Sicherheit unserer Systeme f\u00fcr die Nutzer gew\u00e4hrleisten.<\/p>\n

In diesem Zusammenhang weisen wir daraufhin, dass unter Umst\u00e4nden die genannten Daten von Cloudflare in einen Drittstaat (insbesondere USA) transferiert werden k\u00f6nnen, wenn dies zur Einhaltung eines Gesetzes oder aufgrund einer verbindlichen Anordnung einer Regierungsbeh\u00f6rde in den USA erforderlich ist.<\/p>\n

Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. e) DS-GVO in Verbindung mit \u00a7 3 BDSG in Verbindung mit den Zensusgesetzen in Verbindung mit den Standarddatenschutzklauseln nach Art. 46 Abs. 2 c) DS-GVO sowie weiterer im Vertrag mit der Firma Cloudflare gesicherten Garantien.
\nWeitere Informationen zur Datenverarbeitung seitens der Firma Cloudflare finden Sie in der \u201eCloudflare Privacy Policy<\/a>\".<\/p><\/blockquote>\n

Besonders wichtig ist dabei der nachfolgend herausgezogene Abschnitt aus dieser Erg\u00e4nzung, den ich f\u00fcr relevant erachte.<\/p>\n

Die Datenverarbeitung durch Cloudflare betrifft nicht die Befragungsdaten der Auskunftspflichtigen zum Zensus, sondern lediglich die allgemein zug\u00e4nglichen Informationen auf der Website www.zensus2022.de<\/a>. Nach erfolgreichem Einloggen werden Sie auf die Seite fragebogen.zensus2022.de weitergeleitet. Die Daten, die an fragebogen.zensus2022.de \u00fcbermittelt werden, sind mit einem Sicherheitszertifikat des ITZBund Ende-zu-Ende-verschl\u00fcsselt und werden ohne Nutzung des CDN Cloudflare weitergeleitet. Die von den Auskunftspflichtigen bereitgestellten Informationen sind in diesem Bereich als private Daten sicher und werden ausschlie\u00dflich in Rechenzentren des Bundes in Deutschland verarbeitet.<\/p><\/blockquote>\n

Es hat sich zumindest informationsm\u00e4\u00dfig etwas getan – es gibt den Hinweis auf das Cloudflare CDN und die Zusicherung, dass die per Fragebogen erhobenen Daten nicht \u00fcber Cloudflare geleitet werden – nachpr\u00fcfen kann ich das nicht, muss dies also glauben.<\/p>\n

Die Cloudflare-Stellungnahme<\/h2>\n

Auch die Pressebetreuung der deutschen Dependance von Cloudflare hat sich per Mail im Hinblick auf \"Cloudflare, den Zensus 2022 und den Datenschutz\" gemeldet und weist auf folgendes hin.<\/p>\n

Um die Sicherheit des Zensus zu gew\u00e4hrleisten und mit Datenschutzvorgaben in Einklang zu bringen haben wir eng mit dem Statistischen Bundesamt zusammengearbeitet.<\/p>\n

Kurz gesagt, es werden keine Volksz\u00e4hlungsdaten in die Vereinigten Staaten gesendet.<\/u><\/p>\n

Zensus hat die Nutzung der Netzwerkdienste von Cloudflare so konfiguriert, dass der gesamte Datenverkehr innerhalb der EU bleibt. Die Daten der Volksz\u00e4hlungsformulare bleiben verschl\u00fcsselt und unter der Kontrolle von Zensus 2022 (Cloudflare hat keinen Zugriff darauf).<\/p><\/blockquote>\n

Die europ\u00e4ischen Datenschutzbeh\u00f6rden haben die Messlatte f\u00fcr die Bedingungen, die erf\u00fcllt sein m\u00fcssen, damit EU-Unternehmen ihre personenbezogenen Daten von einem US-Cloud-Anbieter verarbeiten lassen k\u00f6nnen, nach Ansicht von Cloudflare in den letzten zwei Jahren sehr hoch gelegt. Das Unternehmen teilt mit, dass es mit Regulierungs- und Datenschutzbeh\u00f6rden in der gesamten EU besprochen habe. Es zeigt sich in seiner Mitteilung zuversichtlich, dass europ\u00e4ische Kunden die Dienste von Cloudflare auf eine Art und Weise nutzen k\u00f6nnen, die mit den aktuellen EU-Leitlinien zu den Standards f\u00fcr grenz\u00fcberschreitende Daten\u00fcbertragungen gem\u00e4\u00df der Allgemeinen Datenschutzverordnung (\"GDPR\") \u00fcbereinstimmt. Auch Cloudflare ist sich bewusst, dass viele Kunden ihre personenbezogenen Daten in der EU behalten wollen oder m\u00fcssen.<\/p>\n

Daher hat Cloudflare seine Data Localization Suite, einschlie\u00dflich unserer Customer Metadata Boundary, mit Blick auf diese europ\u00e4ischen Kundenanforderungen entwickelt. In Bezug auf diese Data Localization Suite, die wohl auch bei der Zensus 2022-Seite zum Einsatz kommt, erkl\u00e4rt Cloudflare die technischen Abl\u00e4ufe so:<\/p>\n

Wie Cloudflare die deutsche Volksz\u00e4hlung sch\u00fctzt<\/h3>\n

Der deutsche Zensus nutzt Cloudflare-Dienste, um die Integrit\u00e4t und Sicherheit der Volksz\u00e4hlung zu verbessern. F\u00fcr die Landing Page auf www.zensus2022.de<\/em> (der eigentliche Fragebogen zur Datenerfassung wird ja, laut obiger Datenschutzerkl\u00e4rung, nicht \u00fcber Cloudflare geleitet) wird der Datenverkehr nur in europ\u00e4ischen Rechenzentren mit Hilfe unseres Produktes Regional Services gepr\u00fcft. Regional Services stellt sicher, dass TLS in unserem Netzwerk nur in unseren Rechenzentren innerhalb der definierten EU-Region terminiert wird; es findet keine Entschl\u00fcsselung in den Rechenzentren von Cloudflare statt, die sich au\u00dferhalb der EU-Mitgliedstaaten befinden. Cloudflare schreibt dazu:<\/p>\n

Eine Analogie dazu w\u00e4re die Art und Weise, wie ein Spediteur Pakete auf dem Weg von A nach B kontrolliert. Bei Besuchern der Landing Page \u00f6ffnen wir den Karton kurz (und verschlie\u00dfen ihn wieder), um zu pr\u00fcfen, ob der Inhalt gef\u00e4hrlich ist – diese Pr\u00fcfung findet nur in Europa statt.<\/p><\/blockquote>\n

Das Unternehmen schreibt, dass die f\u00fcr die Landing Page erstellten Protokolle der Endnutzer niemals die Europ\u00e4ische Union hinaus verlassen. Dies werde durch die erw\u00e4hnte Customer Metadata Boundary erreicht. Diese wurde letztes Jahr eingef\u00fchrt, um sicherzustellen, dass Metadaten \u00fcber den Datenverkehr – die kundenidentifizierenden Endnutzerprotokolle und Analysen, die Cloudflare in seiner Rolle als (Auftragsdaten-)Datenverarbeiter f\u00fcr Kunden verarbeitet – die EU nicht verlassen. Wichtig ist dabei folgende Aussage:<\/p>\n

F\u00fcr den eigentlichen Volksz\u00e4hlungsfragebogen entschl\u00fcsselt Cloudflare den Datenverkehr in keiner Weise und kann die von den Nutzern eingegebenen Daten nicht einsehen. Es ist wichtig zu betonen, dass Cloudflare die von den Nutzern bereitgestellten Inhalte der Volksz\u00e4hlungsformulare nicht sieht oder speichert.<\/p><\/blockquote>\n

Dies entspricht auch den Angaben in der Datenschutzerkl\u00e4rung des Statistischen Bundesamts, die vorgeben, Cloudflare nur f\u00fcr die Hauptseite (die sogenannte Landing Page) zu verwenden.<\/p>\n

Die Verwendung von IP-Adressen durch Cloudflare<\/h3>\n

Um die Bereitstellung von Websites zu unterst\u00fctzen, muss Cloudflare eine IP-Adresse f\u00fcr einen Domainnamen zur\u00fcckgeben. Vor dem 11. Mai war die IP-Adresse f\u00fcr Zensus auf Cloudflare, Inc. in den Vereinigten Staaten registriert. In einigen Berichten wurde behauptet, dass diese Registrierung \"beweist\", dass die Daten in die USA \u00fcbertragen wurden. Dies ist nicht wahr: Die physische Registrierungsadresse f\u00fcr eine bestimmte IP-Adresse hat keinen Einfluss darauf, wie der Internetverkehr weitergeleitet wird.\u00a0 Es handelt sich lediglich um eine Verwaltungsfunktion, damit andere Akteure im Internet wissen, wer f\u00fcr diese IP-Adressen verantwortlich ist.<\/p>\n

Um Verwirrung zu vermeiden, hat Cloudflare die Zensus-IP-Adressen in europ\u00e4ische (RIPE-registrierte) IP-Adressen ge\u00e4ndert, um besorgten europ\u00e4ischen B\u00fcrgern zu versichern, dass keine pers\u00f6nlichen Daten im Zusammenhang mit dem deutschen Zensus jemals die Europ\u00e4ische Union verlassen.<\/p>\n

Daten bleiben in Europa<\/h3>\n

Der Anbieter schreibt, dass er mit Hilfe von Regional Services, Spectrum und der Customer Metadata Boundary sicherstellen kann, dass die Zensusdaten der Deutschen vollst\u00e4ndig in Europa bleiben und dass Cloudflare selbst keinen Zugriff auf die Zensusdaten hat (und auch nicht haben k\u00f6nnte). Diese Daten bleiben verschl\u00fcsselt, w\u00e4hrend Cloudflare mit seinen Diensten gleichzeitig das h\u00f6chstm\u00f6gliche Ma\u00df an Sicherheit und Datenschutz bietet.<\/p>\n

Cloudflare betont, dass seit der Gr\u00fcndung des Unternehmens der Datenschutz als eine unserer h\u00f6chsten Priorit\u00e4ten behandelt wird. Es seien noch nie Kundendaten verkauft worden (was in keinem der Berichte, die ich so gesehen habe, behauptet wurde).<\/p>\n

Fazit: Was bleibt?<\/h2>\n

Es ist dumm gelaufen – dass die obigen nachgereichten Erkl\u00e4rungen nicht von Anfang an in den Datenschutzhinweisen zu finden waren. \"Am Ende ist man schlauer\", ist die Erkenntnis, die man aus dem Fall ziehen k\u00f6nnte. Ich vergesse leider immer die Abl\u00e4ufe solchen Projekten – da wird am Anfang abgestimmt und geplant und im letzten Augenblick kommt eine \u00c4nderung, so dass der Aspekt Cloudflare in der Datenschutzerkl\u00e4rung untergegangen ist.<\/p>\n

Das ist korrigiert und es gibt wohl vertragliche Zusicherungen, dass die Daten der Webseitenbesucher in Europa bleiben – die Zensus-Daten werden laut den obigen Erkl\u00e4rungen eh nicht \u00fcber Cloudflare geroutet. Dass Cloudflare keine Daten verkauft, ist eigentlich auch klar.<\/p>\n

Mike Kuketz hat in diesem Beitrag<\/a> noch eine Nachbetrachtung durchgef\u00fchrt. Ob die von ihm aufgef\u00fchrten europ\u00e4ischen CDN-Anbieter eine Alternative sind und warum diese nicht ber\u00fccksichtigt wurden, kann ich nicht beurteilen. Aber die Frage bleibt, warum man sich f\u00fcr Cloudflare entschieden, dies aber initial verschwiegen hat. Kuketz weist in seiner Analyse auf offene Fragen hin.<\/p><\/blockquote>\n

Interessant ist auch dieser Beitrag<\/a> von Kuketz, wo die einschl\u00e4gigen US-Gesetze aufgef\u00fchrt sind, die bei solchen Themen Knackpunkte sein k\u00f6nnten. Im Grunde kommt es jetzt auf die Sichtweise des Betrachters an. Dass keine Daten mutwillig an die US-Beh\u00f6rden gehen, ist auch klar. Aber es muss klar sein, dass im Fall der F\u00e4lle die US-Administration Zugriff auf die Daten erhalten kann – was dann auch der Streitpunkt in Richtung Schrems II-Urteil (Urteil Az. C-311\/18<\/a>) zum Privacy-Shield-Abkommen zwischen der EU und den USA tangiert. Und es kann mit Recht die Frage gestellt werden, m\u00fcssen deutsche Beh\u00f6rden unbedingt die Abh\u00e4ngigkeit von US-IT-Unternehmen zementieren?<\/p>\n

Zumindest hat die Berichterstattung dazu gef\u00fchrt, dass sich das Statistische Bundesamt in der gegenst\u00e4ndlichen Sache etwas bewegt hat und sich erkl\u00e4ren musste. Das ist schon mal ein Teilerfolg. Wie das Ganze jetzt zu werten ist, ob die Nachbesserungen ausreichend sind, das sollte jeder Blog-Leser und jede Blog-Leserin f\u00fcr sich selbst entscheiden. Und vielleicht bekommen wir am Ende des Tages ja auch eine Kl\u00e4rung vor dem EuGH in Punkto US-IT- und Cloud-Anbieter versus GDPR-Datenschutzauflagen.<\/p>\n

Erg\u00e4nzungen: Das ZDF hat ein Interview mit dem Bundesbeauftragter f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI), Herrn Ulrich Kelber, wegen Datenschutzbedenken im Umfeld des Zensus 2022 gef\u00fchrt. Ich bin auf Twitter<\/a> auf das Thema aufmerksam geworden. Das Interview Sind meine Zensus-Daten sicher, Herr Kelber?<\/a>ist vor Bekanntwerden des Cloudflare-Falls ver\u00f6ffentlicht worden.<\/p>\n

Die Parteil PIRATEN Saarland hat laut nachfolgendem Tweet<\/a> Beschwerde wegen der Daten\u00fcbermittlung an den US-Anbieter Cloudflare eingelegt.<\/p>\n

\"Beschwerde<\/a><\/p>\n

Der Bundesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit (BfDI) hat zum 18. Mai 2022 diese Stellungnahme<\/a> zur Pr\u00fcfung ver\u00f6ffentlicht: Der BfDI hat in einer ersten \u00dcberpr\u00fcfung festgestellt, dass keine Gefahr f\u00fcr die auf der Zensus-Webseite eingegebenen Daten bestanden hat. Die Pr\u00fcfung der Seite zensus2022.de ist aber noch nicht abgeschlossen.\u00a0<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Vor einigen Tagen hatte ich – neben heise und Mike Kuketz – \u00fcber den Zensus 2022 und dessen Umsetzung durch das Statistische Bundesamt berichtet und darauf verwiesen, dass dort die Webzugriffe \u00fcber den US-Anbieter Cloudflare laufen. Die Berichtet haben etwas … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265474","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265474"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265474\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}