DA+

Urteil : Zulässigkeit des Zensus 2022 trotz Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch das US-Unternehmen Cloudflare : aus der RDV 1/2023 Seite 66 bis 67

(VG Neustadt a.d. Weinstraße, Beschluss vom 27. Oktober 2022 – 3 L 763/22; so auch VG Regensburg, Beschluss vom 1. Dezember 2022 – RN 5 S 22.2413 –)

Archiv RDV
Lesezeit 4 Min.
  1. Die Ausgestaltung des Zensus 2022 entspricht den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil gemacht hat. Die Heranziehung zur Auskunftserteilung verstößt auch nicht gegen datenschutzrechtliche Bestimmungen.
  2. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen amerikanischen Dienstleister ändert nichts an dessen Rechtmäßigkeit. Grund ist, dass die Datenverarbeitung des Dienstleisters gerade nicht die Befragungsdaten der Auskunftspflichtigen zum Zensus umfasst, sondern lediglich allgemein zugängliche Informationen auf der Webseite, z.B. IP-Adresse des Abrufs, Internetbrowser Betriebssystem oder Uhrzeit des Seitenaufrufs.
  3. Wenn ein amerikanischer Auftragsverarbeiter vertragliche Zusagen zur Nutzung europäischer Rechenzentren und europäisch registrierter IP-Adressen abgegeben hat, darf der Verantwortliche hierauf vertrauen. Dennoch denkbare Zugriffe US-amerikanischer Sicherheitsbehörden im Rahmen des sog. „CLOUD-Act“ bleiben spekulativ und können als notwendige Folge hingenommen werden.

Aus den Gründen:

Der Zensus 2022 ist wie der Zensus 2011 ein registergestützter Zensus (vgl. §  1 S.  1 ZensVorbG 2022). Das BVerfG (Urteil vom 19.09.2018, a.a.O.) hat in dem zitierten Urteil das ZensG 2011 (wenngleich zuvörderst mit Blick auf die damalige Haushaltsstichprobe) letztlich nicht beanstandet. Die rechtlichen Schutzmechanismen des ZensG 2022 – bei vergleichbarer Eingriffsintensität des aktuellen Zensus – bleiben nicht hinter denjenigen des ZensG 2011 zurück. […]

Die Heranziehung zur Auskunftserteilung verstößt auch nicht gegen datenschutzrechtliche Bestimmungen; sie ist insbesondere mit den Regelungen der DS-GVO vereinbar. […] So bestimmt Art. 6 Abs. 1 S. 1 Buchst. e) DS-GVO, dass die Verarbeitung personenbezogener Daten u.a. dann zulässig ist, wenn diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt […]. Dies ist vorliegend der Fall […].

Darüber hinaus ergibt sich aus Art. 9 Abs. 2 Buchst j) DSGVO, dass das in Art. 9 Abs. 1 DS-GVO normierte Verbot der Verarbeitung der dort benannten besonders sensitiven Daten nicht gilt, wenn die Verarbeitung bestimmten rechtlichen und inhaltlichen Anforderungen genügt und für u.a. statistische Zwecke gemäß Art. 89 Abs. 1 DS-GVO erforderlich ist. Diese Voraussetzungen liegen vor. […]

Auch das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch das Unternehmen Cloudflare ändert nichts an der Rechtmäßigkeit der Durchführung des Zensus 2022. Hier verweist das Gericht wiederum auf die überzeugenden Ausführungen im Widerspruchsbescheid, denen es folgt (§  117 Abs.  5 VwGO analog). Dort ist näher dargelegt, dass die Verarbeitung von Hosting-Daten durch Cloudflare ausschließlich in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen erfolgt. Wesentlich ist aber hier, dass die Datenverarbeitung durch Cloudflare gerade nicht die Befragungsdaten der Auskunftspflichtigen zum Zensus, sondern lediglich allgemein zugängliche Informationen auf der Webseite, z.B. IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs umfasst, was auch die Antragsteller so eingeräumt haben. Nachdem Cloudflare die entsprechenden vertraglichen Zusagen zum Einsatz als Dienstleister abgegeben hat, darf der Antragsgegner davon ausgehen, dass z.B. keine Datenverarbeitung auf US-amerikanischen Servern erfolgt (ähnlich im Ergebnis: OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22). Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. „CLOUD-Act“ bleiben spekulativ und stehen einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das BVerfG – wie oben dargelegt – verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen durch den Antragsteller grundsätzlich als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert hat. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat zudem am 18.05.2022 auf seiner Homepage vermerkt:

„Demnach war zunächst zu befürchten, dass durch die Einbindung eines US-amerikanischen IT-Dienstleisters im Zusammenhang mit dem Betrieb der Internetseite zensus2022.de auch der hierüber erreichbare Online-Fragebogen und die darin übermittelten personenbezogenen Daten Unbefugten hätten zur Kenntnis gelangen können.

Die unmittelbar eingeleitete Überprüfung hat jedoch ergeben, dass zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat. Ob die beim Aufruf der Seite erfolgende Übermittlung von Metadaten (z.B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse) rechtmäßig erfolgte, ist Gegenstand der noch andauernden Prüfung. Dies hat jedoch keine Auswirkungen auf die Sicherheit der nach einer Anmeldung in dem Online-Fragebogen eingegebenen Daten. Aufgrund der Intervention des BfDI wurde dennoch bereits am Freitag eine Änderung an der Internetseite vorgenommen, so dass beim Aufruf des OnlineFragebogens der IT-Dienstleister nicht mehr zum Einsatz kommt und somit auch eine Übermittlung von Metadaten nicht mehr erfolgt.“

Die von dem EuGH (Rechtssache C-311/18 „Schrems II“) geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die USA greifen damit nicht.

[…] Somit bleibt maßgeblich, dass das Statistische Bundesamt – und keine Dritten – die für die Aufbereitung und Datenhaltung notwendige IT-Infrastruktur in Zusammenarbeit mit dem Informationstechnikzentrum Bund vorhält (§ 2 Abs. 2 S. 3 ZensVorbG 2022).

[…]

Zu guter Letzt erscheint offen, ob tatsächlich datenschutzrechtlich relevante Aspekte die Hauptmotivation der Antragsteller sind, das vorliegende sowie ein anhängiges Klageverfahren zu betreiben. Denn die Antragsteller haben den vorliegenden Eilantrag sowie ihre Klage zunächst per E-Mail bei Gericht eingereicht. Dieser Übermittlungsweg bietet keine hinreichende Gewähr für eine sichere Übermittlung, jedenfalls aber weniger Sicherheit, als die Verschlüsselungstechnik, die der Antragsgegner bei der Durchführung des Zensus 2022 zur Anwendung bringt. Die in der Klageschrift enthaltenen Angaben sind in nicht unerheblichen Bereichen deckungsgleich mit dem vom Antragsgegner erfragten Erhebungsmerkmalen gemäß § 10 Abs. 1 ZensG 2022.