Bund will Zugriff auf sensible Bildungs- und Arbeitsmarktdaten
Während die Öffentlichkeit mit Covid-19-Varianten und Lockdowns beschäftigt war, rauschte im Mai des Jahres 2021 ein Gesetz durch den Gesetzgebungsprozess, das langfristig eine größere Wirkung haben dürfte, als vielen bewusst ist: das Registerzensus-Erprobungsgesetz (RegZensErpG).
Demnach darf das Statistische Bundesamt (StBA) nicht nur auf personenbezogene Daten aus den Datenbeständen der öffentlichen Verwaltung zugreifen, sondern vielmehr auch Tests für eine neue Art der Volkszählung durchführen.
Zunächst ging es hier vor allem um Daten aus den Melderegistern der kommunalen Verwaltungen. Seit Juli liegt nun ein neuer Referentenentwurf für eine Gesetzesänderung vor, wonach das Bundesamt Daten aus zwei weiteren Bereichen für die Erprobung statistisch auswerten können soll – und zwar aus Bildung und Arbeitsmarkt.
Schon im Jahr 2021 bemängelten Datenschützer*innen bei dem ursprünglichen Gesetz den laxen Umgang mit personenbezogenen Daten. Denn seine Tests darf das StBA entsprechend dem alten Gesetz auch mit Echtdaten durchführen. Laut Expert*innen verschärft sich das Problem, wenn mit dem neuen Entwurf weitere Arten von Daten hinzukommen.
Zensus? Register? Was ist das?
Aber erstmal ganz von vorn: Was ist ein Zensus, was ist ein Register und was will das Statistische Bundesamt testen? Besser bekannt ist der Zensus unter dem Namen „Volkszählung“. Das kann man sich so ähnlich vorstellen wie in der Bibel, in der alle Bewohner*innen gezählt wurden. Zweitausend Jahre später befragen Ämter die Bürger*innen nicht mehr direkt, sondern nutzen im Zuge der Digitalisierung personenbezogene Daten aus der öffentlichen Verwaltung. Die hält diese Daten in sogenannten Registern vor, daher der Ausdruck „Registerzensus“.
Bei den letzten beiden Volkszählungen in den Jahren 2011 und 2022 erhoben die Statistischen Ämter von Bund und Ländern Daten über die Bevölkerung nur noch stichprobenartig über Interviewer*innen, die von Haustür zu Haustür gehen. Weil das relativ lautlos vor sich ging, gab es auch keinen Aufschrei mehr wie bei der westdeutschen Volkszählung in den Achtziger Jahren.
Die zukünftigen Volkszählungen sollen, so die Pläne der Bundesregierung, nur noch mit Daten aus den Registern erfolgen. Da dieses Vorgehen verhältnismäßig neu ist, muss das Statistische Bundesamt entsprechende Verfahren ausprobieren.
Um welche Daten geht es?
Mit dem Erprobungsgesetz darf das Bundesamt, gesetzlich abgesichert, sensible Daten von Bürger*innen verarbeiten. Diese erhält es von den Statistischen Ämtern der Länder. Dazu gehören unter anderem „Vor- und Familienname, Wohnanschrift, Gemeinde, Geschlecht, Kalendermonat und Kalenderjahr der Geburt, Familienstand, Staat der Geburt, Kalenderjahr des Zuzugs nach Deutschland und Staatsangehörigkeiten“.
Das StBA darf die Daten aus verschiedenen Quellen zusammenführen und Verfahren testen, um einen reibungslosen Registerzensus zu üben. Künftig will es Daten aus „den Themenbereichen Bevölkerung, Gebäude und Wohnungen, Haushalte und Familien sowie Arbeitsmarkt und Bildung“ aus den Datenbeständen der Verwaltung entnehmen, „automatisiert zusammenführen sowie aufbereiten“, so das StBA auf seiner Website.
Bürger*innen direkt zu befragen, werde nur noch dann notwendig, wenn die entsprechenden Daten nicht zur Verfügung stehen.
Was erprobt das Statistische Bundesamt und wozu?
Um statistische Daten zu erheben, ohne Bürger*innen direkt befragen zu müssen, darf das Statistische Bundesamt auf die Melderegister zugreifen. Hier arbeiten die Statistischen Ämter der Länder mit dem Bundesamt zusammen. Künftig will das StBA Aussagen zu Einkommen oder Familienverhältnissen wie auch demografische Entwicklungen rein aus Registerdaten ableiten. Dazu will es beispielsweise Daten aus anderen Registern probeweise mit den Meldedaten verbinden.
Eigenen Angaben zufolge startete das Statistische Bundesamt 2024 die erste Erprobungsphase und testet seither Methoden für den Registerzensus. Dazu gehören technische Tests von IT-Fachanwendungen. Das Ziel ist, Methoden zu finden, die dem Qualitätsanspruch der bisherigen Völskzählung entsprechen. Sobald die Änderung des RegZensErpG verabschiedet ist, will das Statistische Bundesamt weitere Methodentests in den Modulen Arbeitsmarkt und Bildung durchführen.
Echte Daten statt Dummys
Zwar waren sich bei der öffentlichen Anhörung zum RegZensErpG im Mai 2021 alle Sachverständigen darin einig, dass Politik und Verwaltung eine gute Datenbasis für ihr Handeln brauchen und dass der Registerzensus von der Idee her gut ist. Zudem folgt das Gesetz inhaltlich Vorgaben der Europäischen Union. Hier greift etwa die EU-Rahmenverordnung über Zensus und Bevölkerungsstatistiken (ESOP).
Doch gingen die Meinungen dazu weit auseinander, was beim Testen entsprechender Verfahren erlaubt sein soll. Das mag auch daran liegen, dass das Gesetz nicht eindeutig festlegt, was in den Bereich der Erprobung fällt, was also das StBA konkret testen darf, erklärt Jurist und Datenschutzexperte Christian Aretz gegenüber netzpolitik.org. Der Begriff „Erprobung“ ist hier sehr weit gefasst.
Aus dem Gesetz scheine hervorzugehen, dass das StBA unter anderem „die reine technische Umsetzbarkeit“ testen will. Das sei höchstproblematisch. Denn das Amt testet mit Echtdaten und „ein Test impliziert immer, dass er auch fehlschlagen kann“, so Aretz. „Sonst müsste ich nicht testen. Dazu echte personenbezogene Daten zu verwenden, erzeugt ein unnötiges Risiko für den Datenschutz“, so Christian Aretz. Läuft ein Test schief, könnten etwa mehr Daten übermittelt werden als erlaubt.
Dabei könne das StBA für Tests leicht eine Testumgebung einrichten, erklärt Kirsten Bock von der Stiftung Datenschutz, die im Jahr 2021 Sachverständige im Bundestag zum Thema war. Das lohne sich nicht nur angesichts aller Tests, die das StBA künftig noch ausführen will. „Vielmehr trägt es dem Datenschutz Rechnung und ist in IT-Umgebungen übliches Vorgehen, da hier andernfalls ein großes Risiko für die IT-Sicherheit die Rechte und Freiheiten der Bürger*innen besteht.“
Schafft der Bund ein quasi-Zentralregister?
Das Thema IT-Sicherheit hat der Gesetzgeber kaum mitbedacht. Denn die echten Daten laufen beim StBA zentral zusammen und sollen sogar mit dem jeweiligen Identifier der einzelnen Bürger*innen verknüpft werden. Der Identifier, auch einheitliches Personenkennzeichen genannt, ist mal wieder die Steuer-ID.
Dabei sei es gar nicht erforderlich, Daten zentral zusammenzuführen, sagt Bock gegenüber netzpolitik.org. Meldedaten aus den kommunalen Registern könnten zwar auf Bundesebene miteinander abgeglichen werden. Sie mit Sozial- und Wirtschaftsdaten zusammenzuführen, könnte aber auch gut ausschließlich auf regionaler Ebene erfolgen. Das ist gerade relevant, wenn Lokalpolitiker*innen entscheiden müssen, ob eine Schule gebaut werden soll oder ob eine Gemeinde noch ein Seniorenheim braucht.
Daten könnte man sogar auf föderaler Ebene erheben und dann erst mit Daten auf Bundesebene zusammenführen, wenn sie bereits anonymisiert sind. Das wären echte statistische Daten, so Bock.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Hingegen baue der Bund hier eine zentrale Infrastruktur auf, mit der das StBA die Zweckbindung unterlaufen und sich ein Bild zu verschiedenen Fragen machen kann. Das sei aus gutem Grund verfassungsmäßig für Deutschland nicht vorgesehen. Denn diese Infrastruktur könne „von einer übelmeinenden Regierung ausgenutzt werden“, erklärt Bock.
Großzügige bis unklare Löschfristen
Die zentrale Zusammenführung personenbezogener Daten im StBA hat aber auch noch ein weiteres Problem: Das Amt darf sie laut mindestens drei Jahre lang vorhalten. Ulrich Kelber, damaliger Bundesdatenschutzbeauftragter, kritisierte im Mai 2021: Das Gesetz legt nicht klar fest, wie lange das StBA die Daten bei sich vorhalten darf und wann es die verarbeiteten Daten löschen muss. Er mahnte im Eilverfahren dringend an, das Gesetz nachzubessern. Die damalige Große Koalition ließ diese Mahnung jedoch verpuffen.
Der Gesetzgeber hatte seinerseits bereits einen vorsichtigen Schutzmechanismus ins Gesetz geschrieben. Denn er unterscheidet zwischen sogenannten Erhebungs- und Hilfsmerkmalen und gibt vor, dass letztere möglichst früh zu löschen sind.
Hilfsmerkmale sind die, „mit deren Hilfe man zwei Datenbanken miteinander verheiraten kann“, erklärt Aretz. Das muss man in etwa so vorstellen: „Damit ich den Datensatz zu Max Mustermann aus der Datenbank A dem Datensatz zu Max Mustermann in der Datenbank B zuordnen kann, brauche ich ein Hilfsmittel, beispielsweise die Personalausweisnummer.“
Sobald die Zuordnung geklappt hat, könne man das Hilfsmittel löschen, spätestens nach drei Jahren. „Man rechnet also damit, dass die Daten in dieser Zeit irgendwo herumliegen“, so Aretz. Das verstoße gegen den datenschutzrechtlichen Grundsatz der Erforderlichkeit. Danach dürfen Daten nur dann verarbeitet werden, wenn dies gegenwärtig erforderlich ist. Sie dürfen also nicht vorgehalten werden für den Fall, dass man sie mal braucht.
Dabei handele es sich faktisch nicht mehr um statistische Daten. „Hier müssen wir von personenbezogenen Daten sprechen“, so Bock. Dass das StBA die Daten zentral bei sich und über einen so langen Zeitraum speichert, mache es zu einem attraktiven Ziel für Angreifer. Im Zweifelsfall bekomme es sogar nicht einmal unbedingt jemand mit, wenn an dieser Stelle Daten abfließen.
„Die informationelle Macht von Staat und Verwaltung“
Daten von Bürger*innen in dieser Art und Weise miteinander zu verknüpfen und zentral zu speichern, verstoße laut Bock außerdem gegen den Grundsatz der Gewaltenteilung. Der besage nämlich auch, dass die Verwaltungsbereiche voneinander getrennte Datenhaltungen haben.
Die Trennung hier aufzuheben, widerspreche dem verfassungsmäßigen Schutz der Bürger*innen vor den übermächtigen Zugriffen einer Verwaltung oder Regierung. Die dürften keine Profile zu einzelnen Bürger*innen anfertigen. Es bedeute Schutz der Demokratie, wenn keine staatliche Stelle übermäßig mächtig wird. „Doch was hier aufgebaut wird, ist eine massive informationelle Macht von Staat und Verwaltung.“
Diese Dynamik nehme zu, wenn der Referentenentwurf durchkommt und das StBA zusätzliche Daten zu den Beschäftigungsverhältnissen und Ausbildungswegen der Bürger*innen verarbeiten kann, so Bock.
Der Referentenentwurf liegt nun den Bundesländern, Verbänden, Organisationen und Institutionen vor. Sie haben die Gelegenheit zur schriftlichen Stellungnahme.
Cyberangriff: Bundestagspolizei warnt Fraktionen vor gefährlichen USB-Sticks
Der Bundestag sieht sich erneut mit einem sicherheitsrelevanten Vorfall konfrontiert: Im Laufe der Woche gingen bei Abgeordnetenbüros mehrerer Fraktionen Postsendungen mit einem englischsprachigen Anschreiben und einem USB-Stick ein. Die Bundestagspolizei reagierte umgehend und warnte die Parlamentsfraktionen nachdrücklich davor, diese Geräte an Computer anzuschließen. Dies geht aus einer internen Mail der CDU-Geschäftsführung hervor, über den die Welt berichtet. Andere Fraktionen haben den Erhalt solcher Datenträger ebenfalls bestätigt.
Weiterlesen nach der Anzeige
Die Polizei bat der Meldung zufolge um die Übersendung der Sticks in einem „gesonderten Umschlag“. Ein Sprecher der CDU-Fraktion erklärte gegenüber der Welt, es sei nicht bekannt, dass Volksvertreter oder Mitarbeiter aus den eigenen Reihen den Datenträger in ihre Rechner gesteckt hätten. Die Rückmeldung sei vielmehr, „dass er entsprechend der Anweisung vernichtet oder eben übersendet wurde.“ Auch die AfD-Fraktion meldete, dass „mehrere Abgeordnete der AfD-Fraktion einen Brief mit einem entsprechenden USB-Stick erhalten“ hätten und diese in den „bekannten Fällen“ der Bundestagspolizei übergeben worden seien.
Während die genauen Inhalte der aktuellen Päckchen zunächst unklar blieben und die Bundestagsverwaltung sich bislang nicht dazu äußerte, scheint die Fraktion Die Linke nach Angaben ihrer Parlamentarischen Geschäftsführerin, Ina Latendorf, bisher verschont geblieben zu sein. Zumindest lagen in ihrem Büro bis Freitagnachmittag keine Hinweise darauf vor, dass die Fraktion betroffen wäre. Auch von den Grünen gab es vorerst Entwarnung.
Erinnerungen an den „Bundestagshack“
Unabhängig davon signalisiert die Vorsichtsmaßnahme der Bundestagspolizei und die sofortige Sensibilisierung der Parlamentarier die gesteigerte Aufmerksamkeit und die Lehren, die aus der Vergangenheit gezogen wurden. Social Engineering und Phishing-Versuche, bei denen physische Medien wie USB-Sticks als Einfallstor für Schadsoftware dienen können, gelten als klassische IT-Angriffsarten.
Der Vorgang erinnert an frühere, schwerwiegende Cyberattacken, die das deutsche Parlament und hochrangige Politiker trafen und die anhaltende Bedrohung durch staatlich gesteuerte oder kriminelle Akteure verdeutlichen. Der wohl bekannteste Angriff war der sogenannte Bundestagshack von 2015, bei dem mutmaßlich russische Cybergangster der Gruppe APT28 („Fancy Bear“) über 16 Gigabyte an Daten inklusive E-Mails von Abgeordneten entwendeten und die IT-Systeme des Bundestags massiv kompromittierten. Sogar das Abgeordnetenbüro der damaligen Bundeskanzlerin Angela Merkel (CDU) war betroffen.
Ein weiterer, symbolträchtiger Vorfall war die Cyberattacke auf Merkels Handy 2013, die die Verwundbarkeit selbst der höchsten politischen Ebenen aufzeigte. Solche Vorkommnisse zeigten, dass der Bundestag weiterhin ein „begehrtes Ziel“ für Angriffe bleibe, wie es die Sicherheitsbeauftragte der SPD-Fraktion, Marja-Lisa Völlers, indirekt zum Ausdruck brachte. Sie teilte der Welt mit: „Sicherlich besorgt uns der Vorgang, alle Abgeordneten sowie Mitarbeitenden der Fraktion wurden informiert sowie sensibilisiert. Alles Weitere werden die Ermittlungen zeigen, die durch die Bundestagsverwaltung eingeleitet wurden.“ Völlers ließ offen, ob Sozialdemokraten diesmal betroffen waren.
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
mit Omnibussen assoziiere ich eigentlich gute Dinge. Sie sind für alle da, wie ihr lateinischer Namensursprung klarmacht. Omnibusse gibt es aber nicht nur im öffentlichen Nahverkehr, sondern auch in der Gesetzgebung. Und da ist der Omnibus diese Woche in meiner Gunst deutlich gesunken.
Genauer gesagt der „digitale Omnibus“, den die EU-Kommission bald offiziell präsentieren will. Vor rund einer Woche haben wir vorläufige Entwürfe zu dem Digitalgesetzespaket veröffentlicht. Es geht dabei um grundlegende Änderungen, etwa an der Datenschutzgrundverordnung und der KI-Verordnung der EU. Aber das sind keine Änderungen zum Guten für Nutzer:innen – mit dem Paket werden wichtige Grundsätze der Gesetze geschliffen.
Die Reaktionen waren deutlich: 120 zivilgesellschaftliche Organisationen nannten die Pläne den „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“. Fraktionen aus dem EU-Parlament von Liberalen bis zu den Grünen sehen die Vorreiterrolle Europas in der Digitalpolitik bedroht.
Es ist aber nicht der einzige Omnibus, der wie ein Räumpanzer grundrechtliche Garantien mit der Schaufel aus dem Weg schafft. Das EU-Parlament stimmte am Donnerstag für das „Omnibus-I“-Paket – und schwächte damit das Lieferkettengesetz der EU extrem ab. Das torpediert nicht nur menschenrechtliche Standards, sondern die Europäische Volkspartei hat dafür auch eine Mehrheit mit den Rechtsaußen-Fraktionen erreicht und eine Brandmauer abgerissen.
Ich finde: Omnibusse, egal ob im Verkehr oder in der Gesetzgebung, sollten für alle da sein und nicht nur ein Geschenk an Unternehmen. Omnibusse, die allein im Zeichen des Bürokratieabbaus durch Grundrechte rasen, müssen wir stoppen.
Ein gutes Wochenende wünscht euch
anna
Menschen sind irgendwie auch Herdentiere, die kopflos in eine Richtung mitlaufen. Im KI-Enthusiasmus müssen wir aber nicht blind aufgescheuchten Innovationsherdentieren folgen. Dafür brauchen wir vielleicht nur ein besseres Wappentier, das mehr Bewusstsein hat als jede sogenannte künstliche Intelligenz.
Lesen Sie diesen Artikel: Sei ein Esel weiterlesen
Die grün-schwarze Regierung in Stuttgart winkt die automatisierte polizeiliche Datenanalyse und damit den Einsatz von Software von Palantir durch. Die Grünen machten das nach einem politischen Kuhhandel zu einem Nationalpark möglich. Eine „Experimentierklausel“ im Gesetz gibt außerdem polizeiliche Datenschätze für kommerzielle Unternehmen frei.
Lesen Sie diesen Artikel: Grüne geben Polizeidaten für Palantir frei weiterlesen
Passwort-Manager Bitwarden: Update stellt Biometrie-Log-in wieder her
Der Passwort-Manager Bitwarden ist in Version 2025.11 erschienen. Das Changelog weist lediglich „Bug fixes“ ohne weitere Erläuterungen aus, tatsächlich reaktiviert die Fassung jedoch die Möglichkeit, sich mittels Biometrie durch Windows Hello in Bitwarden unter Windows anzumelden.
Weiterlesen nach der Anzeige
Den Bitwarden-Passwort-Vault kann man wieder biometrisch mit Windows Hello öffnen.
(Bild: heise medien)
Die Funktion, den Passwort-Manager nach dem Windows-Start mit Windows Hello – also PIN, Fingerabdruck oder Gesichtsscan – freizugeben, hatte Bitwarden im August ersatzlos gestrichen. In einem längeren Threat in der Bitwarden-Community brach sich der Unmut darüber die Bahn. Für viele ist die nötige Eingabe des Master-Kennworts nach Rechnerstart ein unerwünschter Aufwand. Bitwarden hat es nicht kommuniziert, aber die Funktion wurde aufgrund von Sicherheitsbedenken deaktiviert – laut einem Github-Issue wird deutlich, dass das Windows-Hello-Fenster nicht verlässlich im Vordergrund erschien.
Reaktivierung des Biometrie-Log-ins
Bitwarden 2025.11 vom Donnerstag dieser Woche reaktiviert die Funktion wieder. Betroffene müssen jedoch dazu aktiv werden.
Die Option ist zurück, mit der Nutzerinnen und Nutzer die Erzwingung der Eingabe des Master-Kennworts oder PIN zum Entsperren nach Neustart deaktivieren können.
(Bild: heise medien)
Allerdings reichte im Versuch der einfache Neustart nach Aktualisierung von Bitwarden nicht dafür aus. Zunächst muss unter „Datei“ – „Einstellungen“ in Bitwarden-Desktop die Option „Mit Windows Hello entsperren“ deaktiviert, der Einstellungsdialog mit „Schließen“ bestätigt und Bitwarden dann beendet werden. Erst dann taucht nach Neustart (und Eingabe des Master-Kennworts) nach Aktivierung von „Mit Windows Hello entsperren“ die Option „Master-Passwort oder PIN beim App-Neustart anfordern“ auf – hier ist der Haken zu entfernen. Der Klick auf die Schaltfläche „Schließen“ übernimmt die geänderte Konfiguration.
Bitwarden stellt eine kurze Anleitung zur Verfügung, die grundsätzlich die Aktivierung der biometrischen Freigabe erläutert. Mit der Aktualisierung auf den neuen Stand lässt sich Bitwarden wieder mit deutlich höherem Komfort nutzen.
