Gastbeitrag
28. Februar 2024 | 08:40 Uhr

Datenschutzverstöße beim Mikrozensus 2024 – Wenn der Angler selbst zum Fisch wird

Es folgt ein Gastbeitrag eines Lesers, der im Rahmen des Mikrozensus 2024 ausgewählt wurde. Das Verfahren und insbesondere die Vorgehensweise der Interviewer werfen erhebliche datenschutzrechtliche Fragen auf.

Gastbeitrag

Ein Gastbeitrag von Andreas Börner.

tl;dr

Die unter Androhung eines Bußgeldes von bis zu 5.000 € gesetzlich vorgeschriebene Abfrage sensibelster privater Daten der Bürgerinnen und Bürger im Kontext des Mikrozensus erfolgt entgegen dem proklamierten Datenschutz unter Missachtung einfachster datenschutzrechtlicher Aspekte. Der Mikrozensus erfolgt im Rahmen eines Phishing-anfälligen Verfahrens sowie unter Verwendung privater Smartphones und Mobilfunknummern durch die Erhebungsbeauftragten, was aus meiner Sicht einen eklatanten Datenschutzverstoß darstellt.

Langfassung

Wir schreiben das Jahr 2024. Jeder kennt es: Der Gang zum (physischen) Briefkasten ist in Zeiten zunehmenden Bürokratiewahnsinns, mangelnder Serviceorientierung seitens öffentlicher Institutionen, und – wie eine südkoreanische Bekannte die Situation in Deutschland einmal mit Ihrem Heimatland verglich – einer entschleunigten, mittelalterlichen Digitalisierung, immer wieder für eine Überraschung gut. So sollte ich auch dieses Mal nicht enttäuscht werden: Ein handschriftlich adressierter Brief mit einer Briefmarke aus dem Jahr 2022 und dem Absender Statistisches Landesamt des Freistaates Sachsen (SL). Ein Brief aus der Vergangenheit? Nein, der Mikrozensus.

Der Begriff Mikrozensus bedeutet »kleine Bevölkerungszählung«. Es ist die größte jährliche Haushaltsbefragung der amtlichen Statistik in Deutschland und wird seit 1957 von den Statistischen Ämtern des Bundes und der Länder gemeinschaftlich durchgeführt (Statistisches Bundesamt). Und ich, ja ich, gehöre zu dem glücklichen 1% der Bevölkerung in Deutschland, dem gefühlten Inner Circle, der bis zu viermal in fünf aufeinander folgenden Jahren absolut sensible Informationen über seine Arbeits- und Lebensbedingungen preisgeben darf. Ich betrachte es natürlich als Auftrag und als meine Pflicht als anständiger Bürger, meine privaten Informationen im Sinne des Gemeinwohls zusammenzutragen und preiszugeben. Informationen, die der Bund aufgrund eigener Versäumnisse bei der Digitalisierung wieder einmal selbst nicht zusammenführen kann. Und Informationen, die man selbst unter diesem dreisten, gesetzlichen Zwang in Wirklichkeit lieber nicht preisgeben will.

Meine ausgelassene Gefühlslage wurde leider sofort überschattet. Das Wort muss spielt nämlich eine ganz besondere Rolle. »Freundlich« wurde ich darauf hingewiesen – Grüße an das SL –, dass ich auskunftspflichtig bin. Bei Auskunftsverweigerung oder falschen Angaben drohen Strafen bis zu 5.000 € und ein Verwaltungsverfahren.

Im Anschreiben wurde ich aufgefordert, mich zwecks einer Terminvereinbarung bei einem benannten Erhebungsbeauftragten telefonisch zu melden. Dies ermögliche eine direkte und zeitsparende telefonische Befragung. Alternativ könne das Interview bei mir zu Hause oder zeitaufwändiger schriftlich erfolgen. Ferner enthielt das Schreiben den Namen des Erhebungsbeauftragten, dessen Mobilfunknummer und die Adresse des Funktionspostfaches mikrozensus2020@statistik.sachsen.de (ich wiederhole: 2020). Wichtig: Es enthielt weder eine personalisierte E-Mail-Adresse des Erhebungsbeauftragten, noch eine einfache digitale Möglichkeit diese amtliche, hochsensible Anfrage anhand eines effizienten und sicheren Mechanismus online zu verifizieren, ebensowenig einen Link, um eine Online-Beantwortung beantragen und durchführen zu können.

Druckausübung durch Androhung hoher Bußgelder, Preisgabe sensibelster Informationen am Telefon oder bei mir zu Hause, zahlreiche unseriöse Merkmale des Schreibens – Es fehlte lediglich die Zustellung durch einen reitenden Boten. Ich begann mich zu fragen, ob es sich tatsächlich nicht nur um eine amtliche Phishinganfrage auf dem Stand des Jahres 1957 handelte, begann den Prozess zu analysieren und kontaktierte das SL.

Auf der Webseite des SL suchte ich zunächst nach der, auf dem Anschreiben vermerkten, E-Mail- Adresse aus dem Jahr 2020, und gab diese Suche nach 15 Minuten gelebter Erfolglosigkeit auf. Ich blätterte mich durch die Werbeunterlagen des Mikrozensus. Ein Meer von Verweisen, Paragraphen und Hinweisen, dass meine Daten auch wirklich sicher verarbeitet werden. Benutzerfreundlich und vertrauenserweckend eben, so wie man es schon vom Zensus 2022 kennt.

Mein Modus wechselte von »skeptisch« zu »etwas skeptischer«. Also kontaktierte ich das SL unter der offiziellen Info-E-Mail-Adresse. Für den weiteren Verlauf ist es wichtig zu erwähnen, dass ich bewusst von einer E-Mail-Adresse schrieb, die zwar meinen Namen enthielt, der E-Mail aber keine weiteren Informationen zum Nachweis meiner Identität beifügte. Prompt erhielt ich, ohne Nachweis meiner Identität, die Bestätigung zum Anschreiben, und, dass der Erhebungsbeauftragte für mich korrekt sei. Außerdem wurde mir folgendes bestätigt:

  • Die Merkmale des unseriös wirkenden Anschreibens sind sozusagen by design. It’s not a bug, it’s a feature. Der Beauftragte kann die Briefmarken nach eigenem Ermessen wählen und die Adresse handschriftlich verfassen. In diesem Moment hätte ich mir noch einen handgezeichneten »sad panda« gewünscht.
  • Die E-Mail-Adresse mikrozensus2020@statistik.sachsen.de ist korrekt. Es ist ein Funktionspostfach und hat nichts mit dem Jahr 2024 zu tun. Es stammt noch aus dem Jahr 2020. Erinnert irgendwie an die Zeit, als man online noch Pseudonyme mit Geburtsjahr à la bubu87 oder knuffelmaus89 verwendete.
  • Auf digitalem Wege kann das Anschreiben nur durch eine Anfrage beim SL, z.B. über ein Funktionspostfach, verifiziert werden. Einen effizienteren Weg der Überprüfung gibt es nicht. Dies führt mit Sicherheit zu einer erhöhten Motivation seitens der Bürgerinnen und Bürger, Anfragen zu überprüfen, und lässt definitiv keinen Raum für nicht-amtliche Phishing-Anfragen.
  • Und: Der Mikrozensus unterliegt einem sehr hohen Schutzbedarf, sodass wir Ihnen versichern können, dass Ihre Daten geheim gehalten werden und ausschließlich für statistische Zwecke verwendet werden.

Ich fand diese Bestätigungen im Kontext der proklamierten Datensicherheit sympathisch, weshalb ich weiter nachfragte und interessante Informationen erhielt:

  • Die ehrenamtlichen Beauftragten verwenden private Smartphones. D.h. bei einem telefonischen Interview, eben dem Austausch meiner intimen Informationen, mit dem ehrenamtlichen Beauftragten, werden meine Kontaktdaten und privaten Informationen potentiell mit Alphabet (Google) oder Apple geteilt, und auch Dritt-Apps können den Austausch potentiell aufzeichnen.
  • Die ehranamtlich Beauftragten nutzen private Mobilfunknummern. Das bedeutet, dass Phishing-Angreifer mit eigenen Mobilfunknummern leicht vortäuschen können, ehrenamtliche Beauftragte zu sein.
  • Es besteht die Möglichkeit, die Befragung über ein Online-Formular (IDEV) durchzuführen. Getreu dem Motto »Warum sollte jemand seine intimen Details nicht mit einer fremden Person bei einem frisch gebrühten Kaffee in der eingeheizten Stube austauschen wollen?« steht diese Variante jedoch hinter den ursprünglich kommunizierten Wegen der Befragung zurück. Denn dazu muss die ehrenamtlich beauftragte Person (in meinem Fall im Auftrag der Sachbearbeiterin) lediglich eine Befragungsausfallmeldung erstellen. Alsdann erhalte ich postalisch Login-Informationen und muss mit dem Beauftragten selbst nicht in Kontakt treten. Effizienz und Benutzerfreundlichkeit.

Meine Sympathie steigerte sich zur Euphorie. Das SL stellte mir personliche Informationen per E- Mail zur Verfügung, ohne meine Identität zu überprüfen! Ohne Identitätsnachweis konnte ich Einfluss auf den Verlauf der Befragung nehmen, und die ehrenamtlich beauftragten Personen verletzen den Datenschutz erheblich aufgrund der Nutzung (angreifbarer) privater Smartphones und Mobilfunknummern.

Die Zugangsdaten für das Online-Formular sollten mir postalisch zugestellt werden. Da ich bisher alle Informationen ohne meinen Identitätsnachweis erhalten hatte, versuchte ich nun auch diese Login-Daten ohne Identitätsnachweis und per (unverschlüsselter) E-Mail zu erhalten. Zwei Tage später waren auch diese in meinem E-Mail-Postfach.

Abgesehen davon, dass ich den Mikrozensus an sich für eine systematische und dreiste Datenschutzverletzung einstufe, konnten ohne großen Aufwand (zum Teil kritische) Datenschutzverletzungen, trotz einer Verpflichtung zur Geheimhaltung festgestellt werden. Google, Apple oder eine Dritt-App hören potentiell auf den privaten Smartphones mit, Phishing-Angreifer können private Informationen vom SL abfragen, den Prozess beeinflussen oder sogar als vermeintlicher ehrenamtlicher Beauftragter problemlos Informationen von ungeschützten Bürgerinnen und Bürgern abrufen. Und all das auf Basis einer gesetzlichen Gängelung aus dem Jahr 1957, die vermutlich wieder nur wenigen Interessensgruppen nützt.

Abschließend stellt sich für mich die bisher ungeklärte Frage, ob Befragungen vor Ort vom ehrenamtlich Beauftragten ebenfalls mit privater Hardware aufgezeichnet werden und über welche (ungesicherten?) Netzwerke oder Kanäle diese Informationen zum SL gelangen.

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
Phishing
30. August 2017

Phishing: Das Abfischen von Zugangsdaten vermeiden

Phishing ist eine beliebte Betrugsmasche, um eure Zugangsdaten abzufischen. Einfache Tipps helfen bei der Erkennung.
chipTAN-Verfahren
12. Juli 2018

Online-Banking: Aber sicher – Das chipTAN-Verfahren

Aussschlagebend für ein »sicheres« Online-Banking ist insbesondere das genutzte TAN-Verfahren.
Kuketz-Blog
1. Dezember 2021

Kuketz-Blog: Jahresrückblick 2021 und Ausblick

Jahresrückblick 2021, Spendenaufruf und Ausblick für das Jahr 2022 vom Kuketz-Blog.
Kuketz-Blog
3. Dezember 2018

Kuketz-Blog: Jahresrückblick 2018 und Ausblick

Jahresrückblick 2018, Spendenaufruf und Ausblick für das Jahr 2019 vom Kuketz-Blog.
IT-Sicherheits- und Datenschutztipps
1. März 2021

Ungewöhnliche IT-Sicherheits- und Datenschutztipps – Teil2

Weitere IT-Sicherheits- und Datenschutztipps: Von sinnvoll über skurril bis hin zu gefährlich - da ist für jeden etwas dabei.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.