Massive Datenschutz- und DSGVO-Verstöße beim Bayerischen Mikrozensus 2025

Dieser Artikel ist eine Kurzversion meines ausführlichen Beitrags. Er erhält nur die belegbaren Fakten und sich daraus direkt ergebende Schlussfolgerungen, die bis zu einem möglichen Verstoß gegen Art. 20 des Grundgesetzes reichen. 

Disclaimer/Haftungsausschluss:

1. Ich gebe hier lediglich meine eigene Meinung wieder, die sich durch direkt eigene Erfahrungen mit dem Bayerischen Landesamt für Statistik gebildet hat.
   
   
2. Wertende Begriffe und kritische Einschätzungen sind als meine subjektive Bewertung zu verstehen, nicht als Tatsachenbehauptungen.
   
   
3. Ich habe keine juristische Ausbildung und erteile keine Rechtsberatung. Die dargestellten Rechtsanalysen sind Laieninterpretationen.
   
   
4. Alle Darstellungen beziehen sich ausschließlich auf die mir vorliegenden Dokumente und meine persönlichen Erfahrungen mit diesem konkreten Verfahren.
   
   
5. Jeder ist vollständig selbst für Ergebnisse verantwortlich, die sich aus der Anwendung meiner hier dargestellten Analysen und Schreiben ergeben oder nicht ergeben.
   
   
6. Jeder Leser/jede Leserin, der/die über diesen Disclaimer hinaus weiterliest, stimmt damit automatisch und unwiderruflich zu, dass er oder sie die hier dargestellten Informationen vollständig eigenverantwortlich verwendet oder nicht verwendet.

Zur schnelleren Orientierung nachfolgend das Inhaltsverzeichnis:

Das Mikrozensusgesetz - Eine akzeptable Ausnahme für Deutschland? Der deutsche "Sonderweg"

Das Mikrozensusgesetz (MZG) verstößt in seiner jetzigen Form zwar nicht „offiziell“, aber sehr wohl im Geiste gegen die DSGVO. Die DSGVO ist, als EU-Vorschrift, nationalem Recht übergeordnet: kein nationales Recht darf EU-Recht entgegenstehen. Die DSGVO hat also direkten Anwendungsvorrang vor nationalem - deutschem - Recht. Das bedeutet: sie ist zwingend anzuwenden, nationale Gerichte und Behörden sind verpflichtet, DSGVO-widriges nationales Recht nicht anzuwenden.
Während die DSGVO (Art. 25, 32) verlangt, dass personenbezogene Daten so früh wie möglich getrennt oder pseudonymisiert werden, erlaubt § 14 Abs. 1 MZG das genaue Gegenteil: Die Trennung von Hilfsmerkmalen (Name, Adresse etc.) und Erhebungsdaten erfolgt erst nach Abschluss der Plausibilitätsprüfung.

Das bedeutet:

• Längere Speicherung im vollen Personenbezug als technisch notwendig wäre.
• Mehr Risiko für die Betroffenen, weniger Datenschutz durch Technikgestaltung.
• Mehr Bequemlichkeit für die Behörden, weniger Umsetzung des europäischen Grundgedankens.

Deutschland schafft sich damit faktisch eine Sonderzone, in der Datenschutz zugunsten verwaltungstechnischer Einfachheit zurückgestellt wird. Rein formal ist das legal, inhaltlich aber ein klarer Bruch mit den Grundsätzen der DSGVO. 

Wesentlich gravierender ist jedoch der Umgang des insbesondere Bayerischen Landesamts für Statistik mit seiner Informationspflicht, die sich direkt aus dem zweiten Absatz des MZG in Verbindung mit Art. 7 DSGVO ergibt. Denn obwohl die Teilnahme am Mikrozensus keineswegs freiwillig ist, sondern eine Teilnahme- und Auskunftspflicht für die jeweils "Auserwählten" 🤩 besteht, findet sich mit § 14 Abs. 2 MZG eine nationale Regelung, die eine zwingende Informationspflicht nach Art. 7 DSGVO begründet. Dort heißt es - § 14 Abs. 2 MZG: Mit Einwilligung der Betroffenen dürfen für die Durchführung der Folgebefragungen nach § 5 Absatz 1 Angaben zu den Erhebungsmerkmalen aus den vorangegangenen Befragungen verwendet werden.

Klären wir zunächst kurz, weshalb diese Einwilligung für den Mikrozensus wesentlich ist: Im Gegensatz zum nur alle 10 Jahre stattfindenden Zensus, bei dem insgesamt weniger Daten als beim Mikrozensus abgefragt werden, besteht der Mikrozensus aus insgesamt 4 Befragungen: einer ersten und 3 Folgebefragungen. Daher können - die Einwilligung der Befragten vorausgesetzt - die anfangs erhobenen Daten innerhalb eines einzigen Mikrozensus insgesamt dreimal wiederverwendet werden. Ich empfehle, sich unbedingt das Kapitel "Warum sich ein Widerspruch nach § 14 Abs. 2 MZG lohnt" weiter unten anzusehen.

Wie mit Einwilligungen umzugehen ist, wird in Art. 7 DSGVO geregelt. Der rechtskonforme Umgang mit Einwilligungen ist die grundlegendste Pflicht jedes Datenverarbeiters, um sicherzustellen, dass der Betroffene informiert und selbstbestimmt handelt.

Dazu ist selbstverständlich erforderlich, dass der Betroffene zunächst über seine Einwilligungsmöglichkeiten informiert wird, weshalb Art. 7 DSGVO auch eine entsprechende Informationspflicht beinhaltet. Und genau hiergegen hat das Bayerische Landesamt für Statistik systematisch verstoßen, wodurch der gesamte Mikrozensus von vornherein rechtswidrig ist.

Hieraus wiederum ergibt sich sofort die Frage: Hat nur das Bayerische Landesamt rechtswidrig gehandelt oder möglicherweise bundesweit alle Behörden, die den Mikrozensus durchführen? Sind also deshalb möglicherweise sämtliche Mikrozensi seit 2018 bundesweit rechtswidrig? Mehr und ausführlicher dazu unten unter "Ein bundesweiter Skandal?"

Konzentrieren wir uns zunächst auf die konkreten Datenschutzverstöße des Bayerischen Landesamts für Statistik im Jahr 2025. 

Datenschutzverstoß 1: Meldekennung und Passwort im selben Behördenschreiben

Mir liegen - noch - zwei Schreiben vor - die vorhergehenden habe ich nicht aufgehoben - in denen ich zur Teilnahme am Mikrozensus per Internet aufgefordert werde (ich habe die Teilnahme über Papierfragebogen erzwungen, siehe meinen ausführlichen Artikel) - die beide Meldekennung und Passwort im selben Schreiben enthalten:

"Mahnung" vom 03.07.2025 - Meldekennung und Passwort sind selbstverständlich nach der jeweils ersten Ziffer geschwärzt

Zwangsgeld-Bescheid vom 27.07.2025 - hier zunächst nur Seite 4. Der eigentliche Bescheid folgt im Kapitel "Behördenrecht"

Die Übermittlung von Meldekennung und Passwort in einem einzigen Schreiben verstößt gegen DSGVO Art. 32 (Sicherheit der Verarbeitung) und elementare IT-Sicherheitsstandards wie das Zwei-Kanal-Prinzip des BSI-Grundschutzes - während Banken und Versicherungen diese Daten grundsätzlich getrennt versenden, ignoriert die Behörde bewusst und reproduzierend bewährte Sicherheitsmaßnahmen und ermöglicht Identitätsdiebstahl mit der Gefahr von Bußgeldern bis 5.000 € für den betroffenen Bürger. Dieser Verstoß gegen Industriestandards legt den Verdacht nahe, dass die unsichere Online-Teilnahme bewusst unattraktiv gestaltet wird, um Bürger zur noch fragwürdigeren Telefon-Befragung zu drängen - ausführliche Begründung im ausführlichen 😋 Beitrag.

Massiver Datenschutzverstoß 2 - Direkte Verbindung zwischen erhobenen Daten und KLARNAMEN 

Nachdem ich die Teilnahme über den Papierfragebogen erwirkt und diese - es waren insgesamt zwei für zwei "Berichtswochen" - zurückgesandt hatte, kam, wegen einer Nachfrage der Behörde und daraufhin von mir verlangter erneuter Schriftform, ein weiterer Papierfragebogen zu mir.

Auf dem so genannten „Einklapp- oder Aufklappbogen“, der - perforiert - wohl zum Abtrennen gedacht ist, befanden sich die Klarnamen von mir und meiner Frau! Diese waren von den Behördenmitarbeitern eingetragen worden, und, jetzt kommt’s, ohne dass ich, bzw. wir, den Namen meiner Frau jemals gegenüber der Behörde angegeben hatten.

Denn ich hatte, da ja die Anonymität angeblich oberstes Gebot ist, in den entsprechenden Spalten lediglich ein „x“ angebracht, um zu bedeuten, dass unser Haushalt nicht mehr als 2 Personen umfasst. Die eindeutige Zuordnung des Geschlechts der jeweiligen Person ergibt sich durch weitere Fragen ohnehin aus dem Fragebogen selbst.

Das "Beste" daran ist jedoch, dass ich bereits in meinem vorhergehenden Schreiben vom 27.08.2025 erhebliche Datenschutzbedenken geäußert hatte - und sie machen es trotzdem! Und beweisen damit das, was ich vorher nur vermutet hatte. Ist das jetzt Dreistigkeit oder schlichte strukturelle Nachlässigkeit?

Hier ist der Beweis für die vorausgefüllten Klarnamen (durch Anklicken des Bildes lässt es sich vergrößern):

Das heißt also: Die Mitarbeiter des Bayerischen Landesamts für Statistik, die meinen Namen natürlich aus dem Melderegister kannten, denn ich war immer angeschrieben worden, haben zusätzlich – und vollkommen überflüssig, denn unser Haushalt umfasst eben zur zwei – den Namen meiner Frau offensichtlich ebenfalls aus dem Melderegister oder von anderen Behörden erhalten und diesen eindeutig – also potentiell für jeden anderen Mitarbeiter sichtbar – direkt mit den übrigen - nachverlangten - Daten verknüpft, obwohl ich durch mein vorheriges Verhalten eindeutig zu erkennen gegeben hatte, dass ich genau das nicht will.

Jetzt wird’s aber noch bunter: die Reihenfolge der Personen ist gegenüber meiner durchgängig in beiden Papierfragebögen eingehaltenen Reihenfolge vertauscht:

Die haben aus Person 1 Person 2 gemacht und – natürlich – umgekehrt. Mehr - viel mehr (die erhobenen Daten sind durch die Frageführung teilweise systematisch unbrauchbar) - dazu im ausführlichen Beitrag.

Da sie nun wollten – siehe das Begleitschreiben -, dass ich den an den markierten Stellen noch einmal ausgefüllten Fragebogen – also mit den Klarnamen – wieder zurücksende, können wir jetzt Folgendes konstatieren:

Das Bayerische Landesamt für Statistik hat sich mit den vorausgefüllten Klarnamen nicht nur selbst entlarvt - es hat einen systematischen Datenschutzverstoß dokumentiert. Die Behörde verfügt offensichtlich über umfangreiche Datenbestände (Name der Ehefrau ohne dessen direkte Angabe), verknüpft diese eigenmächtig mit Befragungsdaten und macht sie prinzipiell für beliebige Mitarbeiter (im Extremfall sogar für einen unzuverlässigen Postmitarbeiter, der den Brief öffnen könnte) zugänglich, indem sie Klarnamen direkt in die Fragebögen einträgt.

Daraus ergeben sich konkrete Rechtsverstöße:

1. DSGVO Art. 25 (Privacy by Design, Datenschutz durch Technikgestaltung):
   
   "Der Verantwortliche trifft [...] geeignete technische und organisatorische Maßnahmen [...], um die Datenschutzgrundsätze [...] wirkungsvoll umzusetzen."
   
   Ein System, das Klarnamen offen sichtbar mit Befragungsinhalten verknüpft, verletzt dieses Grundprinzip.
   
   
2. DSGVO Art. 32 (Sicherheit der Verarbeitung):
   
   Die Verordnung fordert "Gewährleistung der Vertraulichkeit [...] der personenbezogenen Daten."
   
   Wenn beliebige Sachbearbeiter Klarnamen und Antworten gleichzeitig sehen können, ist diese Vertraulichkeit nicht gewährleistet.
   
   
3. Bundesstatistikgesetz § 16 (Geheimhaltung):
   
   "Die Erhebungsmerkmale [...] sind geheim zu halten."
   
   Klarnamen im Fragebogen machen eine Geheimhaltung strukturell unmöglich.

Die "Abtrennungs"-Ausrede macht es noch schlimmer: Sollte die Behörde argumentieren, die Klarnamen seien nur auf dem "abtrennbaren" Einklappbogen sichtbar, liefert sie damit den endgültigen Beleg für strukturelles Datenschutzversagen:

Vom Eingang bis zur Abtrennung existiert ein permanentes Zeitfenster der Datenschutzverletzung. Organisatorische Kontrolle ist unmöglich - ein einziger Fehler kompromittiert das gesamte System.

Die DSGVO verlangt technische Schutzmaßnahmen von Anfang an, nicht die Hoffnung auf fehlerfreies menschliches Verhalten.

Dabei wäre einwandfreier Datenschutz technisch sehr leicht umzusetzen: der Einklappbogen entfällt einfach vollständig – die dort abgefragten Personen ergeben sich ohnehin aus dem Kontext – oder die auf dem Einklappbogen abgefragten Daten werden von vornherein getrennt an zwei vollkommen verschiedene und getrennte Bereiche innerhalb der Behörde versandt. Die Abfrage der vollständigen Klaranschrift des Arbeitgebers hat mich ohnehin von Anfang an mißtrauisch gemacht.

Der Nachweis unzulässiger Datenverknüpfung: Der Name meiner Frau ohne meine diesbezügliche Angabe beweist, dass diese Verknüpfungen bereits VOR dem Versand im System existieren und bearbeitet werden.

Und jetzt denken wir noch ein wenig weiter nach: wenn schon bei der Verarbeitung der Papierfragebögen derart eklatante Fehler auftreten, könnte es dann vielleicht sein, dass bei den telefonisch gewonnenen Daten ähnlich "gschlambert" verfahren wird? Und könnte es insbesondere sein, dass die Internet-Teilnahme, die nur gegenüber Behörden und Unternehmen durchgesetzt werden darf, während bei mir versucht wurde, sie dennoch per Zwangsgeld durchzusetzen - ich habe in meinem ausführlicheren Artikel darauf hingewiesen, wie versteckt der erst mit dem Zwangsgeld-Bescheid gegebene Hinweis auf schriftliche Teilnahme war -, ebenfalls massive inhärente Datenschutzprobleme aufweist?

Warum sollte sich die Behörde den Luxus offensichtlicher Datenschutzverstöße nur bei den Papierfragebögen leisten?

Behördenrecht

Hier nur so kurz wie möglich. Im ausführlichen Artikel gehe ich zusätzlich auf zwei Konstrukte ein, mit denen der durch die Anwendung des "Behördenrechts" andernfalls entstehende Verdacht der versuchten Nötigung umgangen wird.

Folgende Fakten lassen sich feststellen:

1. Die Möglichkeit der schriftlichen Teilnahme - die über die Papierfragebögen realisiert wird - ist gesetzlich vorgeschrieben (§ 15 Abs. 4 BStagG), Zitat: 
   
   "Die Antwort kann elektronisch, schriftlich, mündlich oder telefonisch erteilt werden, soweit diese Möglichkeit zur Antworterteilung von der Erhebungsstelle angeboten wird. Im Falle einer mündlichen oder telefonischen Befragung ist auch die Möglichkeit einer schriftlichen Antworterteilung vorzusehen. Die Pflicht zur elektronischen Antworterteilung darf nur unter den Bedingungen des § 11a oder aufgrund eines Bundesgesetzes vorgegeben werden."
   
   Das bedeutet:
   a) die Teilnahme per Online-Befragung darf bei Privatpersonen nicht durchgesetzt werden (wegen des Verweises auf § 11a BStatG, der klarstellt, dass Behörden und Unternehmen etc. unter bestimmten Bedingungen online teilnehmen müssen).
   b) Da die telefonische Teilnahme mir sogar als erstes, noch vor der Internet-Teilnahme - und auch in nachfolgenden Schreiben - angeboten wurde, muss zwingend die Möglichkeit der schriftlichen Teilnahme vorgesehen werden. Deshalb konnte ich die Zusendung der Papierfragebögen erzwingen.
   
   
2. Die Möglichkeit der schriftlichen Teilnahme wird, so weit irgend möglich, verschwiegen und verschleiert - siehe nachfolgende Ziffern:
   
   
3. In der offiziellen Pressemitteilung des Bayerischen Landesamts für Statistik vom 20.01.2025, also ganz am Anfang der Kampagne, wird sie überhaupt nicht genannt.
   
   
4. In der offiziellen Pressemitteilung vom 07.07.2025 wird sie nur im - farblich grau gehaltenen - Kleingedruckten und zusätzlich banalisierend genannt.
   
   
5. In keinem Schreiben vor dem Zwangsgeldbescheid, einschließlich der Mahnung vom 03.07.2025, wird sie aufgeführt. Sie wird dort sogar ausdrücklich nicht genannt, denn als einzige explizite Alternative wird auf die telefonische Teilnahme hingewiesen. Die Mahnung enthält jedoch bereits einen deutlichen Hinweis auf ein Zwangsgeld.
   
   
6. Sie wird erstmals im dann folgenden Zwangsgeld-Bescheid vom 24.07.2025 genannt und auch dort erst auf der letzten Seite, zusätzlich "versteckt" in den Alternativen unterhalb des erneuten - rechtmäßig nicht durchsetzbaren - Angebots der Online-Teilnahme.
   
   

Das bedeutet also: durch die weitgehende Ausblendung/Verschleierung der Möglichkeit der schriftlichen Teilnahme bei gleichzeitiger Drohung eines Zwangsgeldes schon in dem mit "Mahnung" betitelten Schreiben vom 03.07.2025, in dem die Möglichkeit der schriftlichen Teilnahme gleichzeitig explizit nicht enhalten ist, versucht die Behörde deutlich - jedenfalls für mich - erkennbar, entweder die telefonische Teilnahme - die gesetzlich zwingend die Möglichkeit der schriftlichen Teilnahme erst auslöst - oder die - rechtmäßig jedenfalls mir und anderen Privatpersonen gegenüber überhaupt nicht durchsetzbare - Möglichkeit der Online-Teilnahme zu erzwingen, indem - unterstützt durch (nach meiner Erinnerung) zwei vorherige Angebote der telefonischen Teilnahme und, vor der "Mahnung", soweit mir erinnerlich, zwei weitere Angebote zur Online-Teilnahme - ein rein psychologisches Szenario aufgebaut wird, das den Eindruck erweckt, es gebe ausschließlich die Möglichkeit der telefonischen oder Online-Teilnahme und bei Nichtteilnahme würde das Zwangsgeld fällig. 

Dabei ist gerade der Zwangsgeld-Bescheid schon in sich hinfällig (und darüber hinaus materiell rechtswidrig, weil in der vorhergehenden Mahnung die Möglichkeit der schriftlichen Teilnahme explizit verschwiegen wurde), denn das Zwangsgeld wird automatisch nicht fällig, sobald die - ich sage das hier noch einmal ausdrücklich: rechtlich zwingend vorgeschriebene - Möglichkeit der schriftlichen Teilnahme genutzt wird.  

Diese rechtlich zwingend vorgesehene Möglichkeit kann rechtmäßig nicht umgangen werden, denn:

• Eine Online-Teilnahme ist für Privatpersonen rechtmäßig nicht durchsetzbar
• Also bleibt - aus praktischen Erwägungen - nur die Möglichkeit des Telefoninterviews, das wiederum die Möglichkeit der schriftlichen Teilnahme gesetzlich erzwingt
  
  

 Der Verdacht: Die strukturell bedingte Umöglichkeit der gesetzlich geforderten Anonymität bei Teilnahme über die Papierfragebögen war von vornherein bekannt

Zählen wir "eins und eins zusammen" - hier noch einmal die Fakten:

1. Die Pressemitteilung vom 20.01.2025 verschweigt die Möglichkeit der schriftlichen Teilnahme - über Papierfragebogen - vollständig
2. Die Pressemitteilung vom 07.07.2025 nennt sie nur im - farblich grau gehaltenen - Kleingedruckten
3. Die Möglichkeit der schriftlichen Teilnahme wurde bis ganz zuletzt - bis es gar nicht mehr anders ging - insbesondere in den Schreiben an mich verschwiegen
4. Durch die Nachfrage des Landesamts vom 26.08.2025 und meine Weigerung, diese telefonisch zu beantworten und einen - vermutlich strukturell bedingten - "Fehler" der Behörde kam der massive Datenschutzverstoß ans Licht

Könnte es also sein - ich stelle hier lediglich diese Frage - dass die Möglichkeit der schriftlichen Teilnahme weitestgehend verschwiegen wurde, weil die datenschutzrechtlichen Probleme im Zusammenhang mit dem Papierfragebogen von vornherein bekannt waren?

Könnte es - weiter - sein, dass das "Behördenrecht" eingesetzt wurde, weil die datenschutzrechtlichen Probleme im Zusammenhang mit dem Papierfragebogen von vornherein bekannt waren?

Falls das zuträfe - und ich wage zu behaupten, dass es zutrifft - hätten wir hier einen handfesten Skandal, denn:

dann läge eine systematische Rechtsbeugung vor: Eine Behörde würde vorsätzlich gesetzliche Vorgaben umgehen, Bürger über ihre Rechte täuschen und bewusst Datenschutzverstöße in Kauf nehmen. Das zeigt sich besonders daran, dass im Zwangsgeld-Bescheid die Papierfragebogen-Option zwar genannt wird - aber "ganz klein und verschämt" auf der letzten Seite versteckt, nach konkreter Zwangsgeld-Drohung und ausführlicher Werbung für die Online-Teilnahme. Die Behörde muss die Option anbieten (sonst wäre das Vorgehen, wie im ausführlichen Beitrag diskutiert, versuchte Nötigung), will aber offensichtlich nicht, dass sie genutzt wird.

Rechtlich ist das Vorgehen unheilbar fehlerhaft: Wenn die gesetzlich vorgeschriebene schriftliche Teilnahmeoption in der Mahnung verschwiegen und erst im Zwangsgeld-Bescheid versteckt erwähnt wird, bleibt der Bescheid materiell rechtswidrig. Ein rechtswidriger Verwaltungsakt kann nicht durch nachträgliche, verschleierte Information geheilt werden - zumal die Drohwirkung bereits auf unvollständiger Rechtsbelehrung basierte.

Das wäre nicht nur Verwaltungsversagen, sondern ein systematischer Verstoß gegen Art. 20 Abs. 3 GG - die Bindung aller Staatsgewalt an Gesetz und Recht. Besonders brisant: Dieser Verfassungsartikel ist durch die Ewigkeitsklausel des Art. 79 Abs. 3 GG unantastbar geschützt - er bildet den unveränderlichen Kern unserer Rechtsordnung. Wenn eine Landesbehörde bewusst gegen diese fundamentalen rechtsstaatlichen Prinzipien verstößt, steht nicht weniger als die verfassungsrechtliche Ordnung zur Disposition. Ausgerechnet beim Mikrozensus, einer der wichtigsten statistischen Erhebungen des Staates, würde damit das Fundament demokratischer Transparenz und rechtsstaatlichen Handelns untergraben - ein Verfassungsbruch mit weitreichenden Folgen für das Vertrauen in staatliche Institutionen.

Ich gehe sogar noch einen Schritt weiter, auch wenn ich mich damit jetzt möglicherweise "sehr weit aus dem Fenster lehne", aber ich stelle hier ja nur Fragen:

Wurde die telefonische Teilnahme möglicherweise insbesondere deshalb forciert, weil unter diesen Bedingungen Datenschutzversöße niemals feststellbar wären? Laut Pressemitteilung vom 07.07.2025 antworteten "etwa die Hälfte" der bis dahin befragten "rund 65 000 bayerische Bürgerinnen und Bürger" per Telefon-Interview.

Wurde die Möglichkeit der Online-Teilnahme insbesondere deshalb forciert - für diejenigen, die sich der telefonischen Befragung verweigerten - weil unter diesen Bedingungen Datenschutzversöße niemals feststellbar wären?

Update 17.09.2025:

Gestern erhielt ich dieses interessante Schreiben als Antwort auf mein Schreiben vom 08.09.2025. Man beachte den "verzweifelten" Versuch, § 24 VwVfG zu umgehen und mir die geforderten Beweise nicht vorzulegen, Zitat: "Diese Bitte bedarf dabei keiner Beweisführung durch uns". Klar, eine reine Bitte nicht. Aber wir wissen ja bereits, dass das tatsächlich keine Bitte ist, sondern im Hintergrund immer mit dem Zwangsgeld operiert wird. Kann es vielleicht sein, dass die Beweise gar nicht - mehr - vorgelegt werden können, weil die Papierfragebögen sofort entsorgt wurden? 

Die Behörde versucht jetzt, sich auf § 14 Abs. 5 MZG zurückzuziehen, gemäß dem die Verwendung so genannter Hilfsmerkmale für Folgebefragungen erlaubt ist.

ABER: Dieser Teil - Absatz 5 - des § 14 MZG ist für den von mir monierten Fall überhaupt nicht einschlägig!! Denn: Das Problem ist ja nicht die reine Wiederverwendung der Hilfsmerkmale, sondern deren Verknüpfung mit den Erhebungsdaten. Und diese Verknüpfung wird in Absatz 1 behandelt, der, wie ich eingangs schon ausgeführt habe, in seiner derzeitigen Fassung massiv gegen die DSGVO verstößt. Hat hier also die Behörde möglicherweise absichtlich den falschen, "unverdächtigen", Absatz genannt, weil ihr das Problem mit Absatz 1 ganz genau bekannt ist? Fragen über Fragen, je mehr ich mich damit beschäftige.

Und genau hier liegt das Problem und genau deshalb bleibe ich nicht nur bei meiner Kritik, sondern verstärke sie sogar, denn:

Die DSGVO ist EU-Recht und nationales Recht darf EU-Recht nicht entgegenstehen. Da das in § 14 MZG niedergelegte Verfahren insbesondere den Artikeln 25 und 32 der DSGVO entgegen steht, frage ich:

Kann es sein, dass damit das gesamte Mikrozensusverfahren so, wie es derzeit durchgeführt wird, rechtswidrig ist?

Ich rufe hiermit ganz bewusst entsprechend spezialisierte Juristen auf, sich dieser Thematik anzunehmen und darauf hinzuwirken, dass das Mikrozensus-Verfahren so schnell wie möglich an die DSGVO-Standards angepasst wird. Nach entsprechender Recherche sind andere Länder - Dänemark, Holland, Schweden - diesbezüglich schon wesentlich weiter und haben ihre Verfahren streng an die DSGVO angepasst.

Das Landesamt für Statistik gibt anscheinend auf!

Update 04.10.2025

Nachdem das Landesamt mit Schreiben vom 10.09.2025 noch vollmundig die Ansicht vertrat, es brauche mir keine Beweise für deren Behauptung angeblich fehlender/unplausibler Angaben vorzulegen, habe ich seit meinem darauf folgenden Schreiben vom 17.09.2025 kein weiteres Schreiben erhalten.

Selbstverständlich habe ich die angeblich fehlenden/unplausiblen Angaben nicht ergänzt – weil mir keine Beweise vorgelegt wurden.

Mit Schreiben vom 29.09.2025 hatte ich nochmals Frist bis zum 04.10.2025 gesetzt, um mir meine sechs förmlichen Fragen – nach § 29 VwVfG – vom 17.09.2025 zu beantworten und hatte eine zusätzliche förmliche Anfrage gestellt:

„Auf welcher Rechtsgrundlage sandten Sie dem Unterzeichner für die zweite Berichtswoche einen Frageboten mit verkürztem Erhebungsteil ohne vorherige explizite Zustimmung des Unterzeichners und seiner Ehefrau zu § 14 Abs. 2 MZG zu?“

Erwartungsgemäß erfolgte bis zum Ablauf der Frist – heute – keine Antwort.

So einfach kann es sein, eine Behörde in die Schranken zu weisen, die massiv rechtswidrig agiert und das anscheinend auch ganz genau weiß.

Ich fasse hier nochmals das von Anfang an rechtswidrige Vorgehen des Bayerischen Landesamts für Statistik zusammen:

• Rechtswidriges Verschweigen der Möglichkeit der schriftlichen Teilnahme bis zum Zwangsgeldbescheid,
• Dadurch von vornherein materiell rechtswidriger Zwangsgeldbescheid – also ein Bescheid "für die Tonne", der deshalb deutlich erkennbar nichts weiter war als ein weiterer - letzter - verzweifelter Versuch, psychologisch Druck in Richtung telefonischer oder Online-Teilnahme auszuüben,
• Rechtswidriges Verschweigen der gemäß § 14 Abs. 2 MZG notwendigen aktiven Einwilligung der Befragten in die Wiederverwendung von Erhebungsdaten für Folgebefragungen,
• Rechtswidrige Unterlassung, eine einfache Möglichkeit für die Einwilligung und den Widerruf zu schaffen,
• Dadurch rechtswidrige Zusendung eines Fragebogens mit verkürztem Erhebungsteil für die zweite Berichtswoche – also wurden Erhebungsdaten ohne meine Einwilligung und ohne die Einwilligung meiner Frau wiederverwendet,
• Rechtswidrige Nennung des Klarnamens meiner Frau und meiner selbst im Einklappbogen („Namenslasche“) gegen meinen vorher ausdrücklich durch mein Handeln (konkludentes Handeln) erkennbaren Willen.

Damit hat sich das Bayerische Landesamt für Statistik auf eine Art und Weise und in einem Umfang rechtswidrig verhalten, die ihresgleichen suchen: Die Befragten wurden systematisch von Anfang an nicht über ihre Rechte aufgeklärt – erforderliche Einwilligung nach § 14 Abs. 2 MZG – und aktiv über die Möglichkeit der schriftlichen Teilnahme getäuscht.

Zusätzlich wurde versucht, mit psychologischen Tricks die telefonische Befragung oder die Online-Befragung durchzusetzen, die bei korrekter Aufklärung über die Rechtslage vermutlich in diesem Umfang niemals durchsetzbar gewesen wäre.

Ich bin jetzt sehr gespannt, ob wir von denen überhaupt noch etwas erhalten – es stehen ja noch die dritte und vierte "Befragungsrunde" ab Anfang Januar nächsten Jahres aus…

Und nun fragen wir uns zum Abschluss dieses Kapitels, warum mir keine Beweise für die angeblich fehlenden Angaben vorgelegt wurden:

Könnte es vielleicht sein, dass sie keine Beweise vorlegen konnten, weil meine Papierfragebögen einfach in deren Ablage P entsorgt wurden?

Wenn wir "Ockhams Messer" anwenden, lautet die Antwort auf diese Frage eindeutig: Ja.

Denn: wo sie angeblich die Angaben aus den Papierfragebögen händisch in die EDV übertragen und dabei so sorgfältig vorgehen wollen, die Person jeweils korrekt den Antworten zuzuordnen, wäre es wohl kein Problem gewesen, mir eben "die paar Seiten" zu kopieren und zuzusenden, auf denen angeblich falsche/fehlende Angaben waren.

Es könnte natürlich als zweite Möglichkeit sein, dass tatsächlich meine Angaben weder fehlerhaft, noch unplausibel waren und das aufgeflogen wäre, wären mir die geforderten Beweise zugesandt worden.

Meiner Ansicht nach war die ganze Aktion bezüglich angeblich fehlender/unplausibler Angaben also nichts weiter als eine Finte, um mich doch noch in ein telefonisches Gespräch in der Hoffnung zu verwickeln, mir die wirklich interessanten Fragen zu stellen und Angaben zu entlocken, die ich ansonsten niemals freiwillig gemacht hätte – und über den Papierfragebogen auch nicht gemacht habe.

KONZEPTIONELLER Datenschutzverstoß!

Verstoß gegen Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung)

Die Behörde hat sich selbst eines bewussten Verstoßes gegen das Datenminimierungsgebot überführt:

In ihrem Schreiben vom 10.09.2025 erklärt sie ausdrücklich, dass "die Reihenfolge der Personen in einem Papierfragebogen nicht relevant ist, da die Eingaben in das IT-System händisch durch unsere Mitarbeiterinnen und Mitarbeiter erfolgt und der korrekten Person zugeordnet werden."

Die logische Konsequenz:

Wenn die korrekte Personenzuordnung ohne Klarnamen möglich ist - wie die Behörde selbst behauptet - dann sind die - von der Behörde angebrachten! - Klarnamen für den statistischen Zweck nicht erforderlich. Die Personenidentifikation erfolgt bereits über die systematischen Eingangsfragen zu Geschlecht, Alter, Haushaltszusammensetzung etc.

Der systematische Charakter des Verstoßes:

Bereits in Eingangsfrage 3 des Fragebogens werden die Befragten explizit zur Angabe ihrer Klarnamen aufgefordert. Dies beweist, dass der DSGVO-Verstoß nicht zufällig, sondern von vornherein in das Verfahren eingebaut wurde.

Zum Beweis: Die erste Seite des mir aktuell vorliegenden Fragebogens zur "Berichtswoche 18" - das Bild lässt sich durch Anklicken vergrößern.

Die Behörde sammelt also systematisch Daten, die sie nach eigener Aussage nicht benötigt:

• Sie fordert Klarnamen im Fragebogen an (Eingangsfrage 3)
• Sie fragt nicht nur das Geschlecht, sondern explizit das Geburtsdatum für alle Personen ab (ausschließlich des genauen Geburtstags), womit die Personenzuordnung zweifelsfrei möglich wird, auch ohne dass die Klarnamen im Einklappbogen ("Namenslasche") erforderlich sind. Die einzig denkbare Ausnahme wären Mehrlinge, die zusätzlich alle dasselbe Geschlecht hätten.
• Sie bestätigt, dass die Klarnamen für die Zuordnung nicht erforderlich sind (Schreiben 10.09.)
• Sie verwendet sie trotzdem (vorausgefüllte Namen auf Einklappbogen)

Der rechtliche Verstoß:

Art. 5 Abs. 1 lit. c DSGVO verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein" müssen.

Fazit: Die Behörde verstößt systematisch und bewusst gegen DSGVO-Grundsätze, indem sie mehr Daten sammelt und verarbeitet als für den erklärten Zweck erforderlich.

Besondere Brisanz: Damit ist gerade auf dem gesetzlich zwingend vorgeschriebenen Papierfragebogen der systematische Verstoß gegen Art. 5 DSGVO bereits konzeptionell angelegt und erfolgt von der ersten Frage an.

Die Ironie ist perfekt: Ausgerechnet die Teilnahmeoption, die nach § 15 Abs. 4 BStatG zwingend angeboten werden muss und die die Behörde so lange zu verschleiern suchte, ist von Grund auf DSGVO-widrig konzipiert. Das erklärt möglicherweise, warum diese gesetzlich vorgeschriebene Option in den Pressemitteilungen verschwiegen und erst im Zwangsgeldbescheid erwähnt wurde - die Behörde wusste um die strukturellen Rechtsverstöße.

Der nachfolgende Soll-Ist-Vergleich macht die Diskrepanz zwischen dem konzeptionellen Aufbau der Mikrozensus-Befragung und den entsprechenden Anforderungen der DSGVO für Deutschland besonders deutlich:

DSGVO vs. Mikrozensusgesetz: Ein Soll-Ist-Vergleich

1. DSGVO – Die Soll-Vorgaben

Artikel 25 DSGVO – Datenschutz durch Technikgestaltung („Privacy by Design“)

• Absatz 1: Verantwortliche müssen schon bei der Planung und Durchführung von Verarbeitungen sicherstellen, dass Datenschutzgrundsätze (u. a. Datenminimierung, Zweckbindung) technisch und organisatorisch umgesetzt werden.
• Absatz 2: Standardmäßig dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (Privacy by Default).
• Kernbotschaft: Personenbeziehbare Daten sind so früh wie möglich zu trennen oder zu pseudonymisieren, um Risiken für Betroffene zu minimieren.

Artikel 32 DSGVO – Sicherheit der Verarbeitung

• Verantwortliche müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
• Beispiele: Pseudonymisierung, Verschlüsselung, frühzeitige Trennung von Identifikatoren und Inhaltsdaten.
• Kernbotschaft: Daten dürfen nicht länger im klaren Personenbezug vorgehalten werden, als es absolut notwendig ist.

2. Mikrozensusgesetz (MZG) – Die Ist-Regelung

§ 14 Abs. 1 MZG – Trennung der Hilfsmerkmale

• Hilfsmerkmale (Name, Adresse, Geburtsdatum usw.) müssen von den Erhebungsdaten getrennt werden.
• Aber: Diese Trennung erfolgt erst nach Abschluss der Schlüssigkeits- und Vollständigkeitsprüfung (also: solange noch kontrolliert wird, ob Antworten plausibel und vollständig sind, bleibt der volle Personenbezug bestehen).
• Folge: Über einen nicht unerheblichen Zeitraum liegen Identifikatoren und hochsensible Erhebungsdaten (Bildung, Einkommen, Erwerbstätigkeit, Lebensumstände) gemeinsam in einer verknüpften Form vor.

3. Soll-Ist-Diskrepanz

1. Zeitpunkt der Trennung
   • DSGVO-Soll: Frühe Pseudonymisierung/Trennung, so bald wie technisch möglich.
   • MZG-Ist: Späte Trennung erst nach behördlicher Prüfung. → Längere Phase mit vollem Personenbezug.
2. Privacy by Design
   • DSGVO-Soll: Verfahren muss von Beginn an so angelegt sein, dass Risiken minimiert werden.
   • MZG-Ist: Gesetz schreibt ausdrücklich ein Vorgehen fest, das die Risiken bis zum Ende der Plausibilitätskontrolle bestehen lässt.
3. Datenminimierung
   • DSGVO-Soll: Nur die unbedingt erforderlichen Daten dürfen verarbeitet werden.
   • MZG-Ist: Erhebung erfolgt umfassend (inklusive sehr sensibler Angaben) und bleibt bis nach der Prüfung voll personenbezogen verknüpft.
4. Integrität und Vertraulichkeit
   • DSGVO-Soll: Risiken müssen durch technische Maßnahmen (z. B. sofortige Trennung, Pseudonymisierung, Verschlüsselung) minimiert werden.
   • MZG-Ist: Gesetz erlaubt eine Konstruktion, bei der sensible Daten bewusst länger ungeschützt im Personenbezug verbleiben.

Bewertung der Diskrepanzen

Die gesetzliche Konstruktion des § 14 MZG wirkt wie ein gesetzlich normierter DSGVO-Ausnahmezustand:

• Formal wird zwar eine Trennung vorgeschrieben (→ scheinbare DSGVO-Konformität).
• Faktisch wird diese Trennung aber aufgeschoben, wodurch der Kerngedanke von Art. 25 und 32 DSGVO (frühzeitige Minimierung von Risiken) unterlaufen wird.

Das Ergebnis ist eine Schieflage zugunsten staatlicher Bequemlichkeit:

• Die Statistikbehörden wollen die „Komfortzone“ haben, Antworten solange direkt mit der Person verknüpft zu halten, bis alles durchgeprüft ist.
• Für die Betroffenen bedeutet das: Ihre sensibelsten Angaben liegen länger als nötig im Klarnamenbezug vor – ein klarer Widerspruch zum Geist der DSGVO.

Ich verweise also zurück auf mein Kapitel "Behördenrecht", das vor diesem Hintergrund zusätzliches Gewicht bekommen hat.

§ 14 Absatz 2 MZG - der eingebaute "Sicherheitsanker"

Wer jetzt schon etwas tun möchte, sehe sich den Absatz 2 von § 14 MZG an. Dort heißt es: "Mit Einwilligung der Betroffenen dürfen für die Durchführung der Folgebefragungen nach § 5 Absatz 1 Angaben zu den Erhebungsmerkmalen aus den vorangegangenen Befragungen verwendet werden. Zu diesem Zweck dürfen Angaben zu den Erhebungsmerkmalen aus den vorangegangenen Befragungen mit den Angaben zu den Hilfsmerkmalen vorübergehend zusammengeführt werden."

Dazu ist selbstverständlich erforderlich, dass der Betroffene zunächst über seine Einwilligungsmöglichkeiten informiert wird, weshalb Art. 7 DSGVO auch eine entsprechende Informationspflicht beinhaltet. Und genau hiergegen hat das Bayerische Landesamt für Statistik systematisch verstoßen, wodurch der gesamte Mikrozensus von vornherein rechtswidrig ist. 

Zusätzlicher DSGVO-Verstoß: Fehlende informierte Einwilligung

Gemäß § 14 Abs. 2 MZG und  Art. 7 DSGVO benötigt das Landesamt für Statistik die aktive, informierte und eindeutige Einwilligung, um Erhebungsdaten aus vorherigen Befragungen für Folgebefragungen wiederverwenden zu dürfen.

Die DSGVO-Anforderungen sind klar:

• Einwilligung muss ausdrücklich erfolgen (nicht durch Schweigen)
• Sie muss auf vollständiger Information basieren
• Sie muss jederzeit widerrufbar sein

Meines Wissens hat die Behörde weder über § 14 Abs. 2 MZG informiert, noch die entsprechende Einwilligung jemals vor den Folgebefragungen - überhaupt - eingeholt, aber dennoch für die Folgebefragungen die "verkürzte" Erhebung angewant. Das war jedenfalls bei mir so: ich wurde weder über meine explizit nach § 14 Abs. 2 MZG erforderliche Einwilligung informiert, noch wurde diese Einwilligung von mir verlangt. Meine Einwilligung wurde anscheinend einfach vorausgesetzt, denn anders ist nicht erklärbar, dass ich für die zweite Berichtswoche dies hier erhielt - verkürzter Erhebungsteil zur Arbeitsmarktbeteiligung:

Verkürzt kann in diesem Zusammenhang nur bedeuten, dass bereits erhobene Daten wiederverwendet wurden. Andernfalls hätten alle Daten noch einmal vollständig erhoben werden müssen. Damit hat die Behörde nicht nur rechtswidrig entgegen § 14 Abs. 2 MZG und Art. 7 DSGVO gehandelt, sondern zusätzlich das DSGVO-gemäße "Opt in"-Verfahren des § 14 Abs. 2 MZG in ein "Opt out"-Verfahren verwandelt, was den Rechtsbruch noch verstärkt  - sie hat erneut "Behördenrecht" eingesetzt.

Warum sich ein Widerspruch nach § 14 Abs. 2 MZG lohnt 

Nachdem also das Bayerische Landesamt für Statistik anscheinend rechtswidrig so tut, als lägen die Einwilligungen aller Beteiligten vor, wäre es meiner Ansicht nach ein zu hoher Aufwand, den Beweis für das Vorliegen der Einwilligung von der Behörde zu verlangen, der gegebenenfalls schlicht nicht geliefert wird. Wesentlich einfacher erscheint mir daher ein Widerspruch gegen die Wiederverwendung der Erhebungsdaten, denn auf diese Weise reicht der Zugangsbeweis bei der Behörde, um der Wiederverwendung der Daten jedenfalls für weitere Folgebefragungen zu widersprechen.

Wer der Nutzung seiner Angaben für Folgebefragungen widerspricht, erhöht aktiv die Sicherheit seiner Daten. Denn ohne Einwilligung dürfen die Statistikämter frühere Antworten nicht erneut mit den persönlichen Hilfsmerkmalen (Name, Adresse) zusammenführen. Damit entfällt die Möglichkeit, über mehrere Jahre hinweg ein durchgehendes personenbezogenes Dossier aufzubauen.

Der praktische Effekt: Jede Befragungsrunde beginnt „bei null“ – es gibt keine Vorausfüllung der Bögen. Der eigentliche Gewinn liegt jedoch tiefer: Die Phase, in der Name und Antworten gemeinsam im System vorliegen, wird auf ein Minimum reduziert. Das stärkt Datensparsamkeit, senkt das Risiko der Re-Identifizierung und verhindert, dass aus mehreren Erhebungen ein umfassendes Profil entstehen kann.

Kurz gesagt: Ein Widerspruch nach § 14 Abs. 2 MZG bedeutet mehr Aufwand beim Ausfüllen – aber zugleich spürbar mehr Schutz für die Privatsphäre. 

Ein bundesweiter Skandal? Alle Mikrozensi bundesweit seit 2018 rechtswidrig?

Der "Sicherheitsanker" aus § 14 Abs. 2 MZG könnte sich zum bundesweiten Damoklesschwert für alle seit dem Inkrafttreten der DSGVO (25.05.2018) durchgeführten Mikrozensi entwickeln, denn möglicherweise wurde seitdem bundesweit gegen die sich aus Art. 7 DSGVO ergebende Informationspflicht verstoßen, wodurch alle Mikrozensi - gemäß DSGVO - unmittelbar rechtswidrig würden oder waren. Der Bayerische Mikrozensus 2025 ist auf jeden Fall rechtswidrig, denn das Landesamt für Statistik ist in seinen Schreiben nicht ein einziges Mal seiner Informationspflicht nachgekommen und hat die entsprechenden Informationen meiner Kenntnis nach nicht einmal über öffentliche Kanäle verbreitet, was den Erfordernissen gemäß Art. 7 DSGVO ohnehin nicht genügen würde.

Sehen wir uns zunächst an, wie die entsprechende Information gegeben werden müsste:

Art. 7 Abs. 3 Satz 3 DSGVO verlangt, dass die betroffene Person "vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt" wird. Das erfordert:

• Direkte Information an jeden Betroffenen
• Rechtzeitige Information vor der ersten Datenverknüpfung, also spätestens vor der ersten Wiederholungsbefragung
• Klare und verständliche Aufklärung über das Widerrufsrecht

Das Landesamt für Statistik hätte also in seinem ersten Schreiben an jeden Haushalt explizit und prominent, also sofort auffällig sichtbar, erklären müssen:

• Was § 14 Abs. 2 MZG bedeutet
• Dass die Einwilligung aktiv gegenüber dem Landesamt erteilt werden muss
• Welche einfachen Möglichkeiten der Einwilligung und des Widerrufs der Einwilligung geschaffen wurden
• Welche Folgen ein Widerruf der Einwilligung hat

Analysieren wir nun anhand von Art. 7 DSGVO ganz konkret, was die Behörde hätte tun müssen und wogegen sie insbesondere verstoßen hat.

Art. 7 Abs. 3 DSGVO:

• Satz 1: „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen.“
• Satz 3: „Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt.“
• Satz 4: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“

Das heißt, das Landesamt hat nicht nur gegen seine Informationspflicht verstoßen, sondern insbesondere gegen Art. 7 Absatz 3 Satz 4 DSGVO: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Das ist bei der derzeitigen DSGVO-widrigen Anwendung des § 14 Abs. 2 MZG durch die Behörde selbstverständlich nicht möglich, weil bereits nicht über § 14 Abs. 2 MZG informiert wurde.

Die Behörde hätte also mindestens eine sehr einfache Möglichkeit der Einwilligung, insbesondere aber des Widerrufs schaffen und prominent ihren Schreiben beifügen müssen, sei es durch ein nur noch zu unterschreibendes Formular, das unfrei versandt werden kann und umgehend eine Bestätigung auslöst, sei es duch die Möglichkeit, den Widerruf per SMS abzusenden oder über eine Internetplattform mit jeweils umgehender rechtsverbindlicher Bestätigung des Widerrufs. Insbesondere daran mangelt es systematisch.

Nun müssen wir natürlich noch feststellen, weshalb dieses Vorgehen der Nichtinformation und Nichtschaffung einer einfachen Widerrufsmöglichkeit unmittelbar - gemäß DSGVO! - zur Rechtswidrigkeit des gesamten Mikrozensus führt. Hier werden wir in Art. 5 DSGVO fündig.

Dort heißt es: 

Grundsätze für die Verarbeitung personenbezogener Daten:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

Wenn nun gegen den wesentlichen, wenn nicht wesentlichsten Art. 7 DSGVO - der die informationelle Selbstbestimmtheit bei der Einwilligung festlegt und fordert - in derart eklatanter Weise verstoßen wird, dann ist die durch das Bayerische Landesamt für Statistik erfolgte Verarbeitung personenbezogener Daten spätestens mit der ersten Folgebefragung gerade nicht auf rechtmäßige Weise, sondern in eindeutig rechtswidriger Weise erfolgt, wodurch der gesamte Mikrozensus insgesamt rechtswidrig wird.

Auch Buchstabe f dieses Artikels begründet direkt die Rechtswidrigkeit des Mikrozensus insgesamt:

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Die Behörde hat durch ihren massiven Datenschutzverstoß - Nennung der Klarnamen im Einklappbogen (so genannte "Namenslasche") gegen meinen ausdrücklichen Willen und die Aufforderung, genau diesen zurückzusenden - gezeigt, dass die angemessene Sicherheit meiner personenbezogenen Daten und denen meiner Frau, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung gerade nicht gegeben ist, denn solange die "Namenslasche" mit den erhobenen Daten verbunden ist, kann prinzipiell jeder, auch ein völlig unbefugter Postmitarbeiter, der - selbstverständlich rechtswidrig, doch darum geht es nicht; es geht um die grundsätzliche Datensicherheit - gegebenenfalls die Versandtasche öffnet und den Papierfragebogen temporär entnimmt, eine Verknüpfung zwischen den Klarnamen und den erhobenen Daten vornehmen.

Alle Mikrozensi seit 2018 bundesweit rechtswidrig?

Widmen wir uns nun der Frage, ob möglicherweise alle Mikrozensi seit 2018 sogar bundesweit rechtswidrig sind. Was spricht dafür?

Zunächst einmal ist meiner Ansicht nach mehr als merkwürdig, dass der Paragraph des bundesweit gültigen Mikrozensusgesetz (MZG), der der DSGVO direkt entgegen stehen, auch mehr als 7 Jahre nach deren Inkrafttreten nicht an die DSGVO angepasst ist. Dabei bedürfte es lediglich einiger Korrekturen im Text, um sie DSGVO-konform zu gestalten: aus Abs. 1 müsste das "nachdem" unbedingt ersetzt werden durch "von vornherein": Die Angaben zu den Hilfsmerkmalen nach § 11 sind von vornherein von den Angaben zu den Erhebungsmerkmalen [...] zu trennen. Ich habe keine juristische Ausbildung und kann daher nur meine laienhaften Verbesserungsvorschläge nennen.

Meiner Ansicht nach kann diese Diskrepanz zwischen nationalem Gesetz und übergeordneter DSGVO nicht mit der "typisch deutschen Langsamkeit" erklärt werden - dazu sind mir 7 ganze Jahre einfach zu viel und die DSGVO ist insgesamt zu wichtig, als dass ausgerechnet übersehen worden wäre, dass § 14 Abs. 1 MZG einer dringenden Anpassung bedarf.

Ich vermute, dass die Behörden, die jeweils für den Mikrozensus zuständig sind, sehr konkrete Vorteile davon haben, dass das nationale Gesetz, auf das sie anscheinend glauben, sich - dem uninformierten Bürger gegenüber - zurückziehen zu können, nach wie vor nicht an die DSGVO angepasst ist:

Sie können weiterhin bequem mit verknüpften Datensätzen arbeiten, ohne die kostenintensive Systemarchitektur für echtes "Privacy by Design" implementieren zu müssen. Die nachträgliche Trennung erlaubt flexiblere Datenverarbeitung, einfachere Qualitätskontrollen und Nachbearbeitungen - alles operative Vorteile, die bei einer DSGVO-konformen Lösung wegfielen.

Zudem verschafft ihnen die rechtliche Grauzone einen faktischen Schutzschild: Solange das nationale Gesetz nicht angepasst wird, können sie sich gegenüber kritischen Bürgern auf das MZG berufen - in der Hoffnung, dass diese die DSGVO-Widrigkeit nicht erkennen oder nicht durchsetzen. Es ist ein klassisches "Aussitzen" auf Kosten des Datenschutzes.

Diese institutionelle Trägheit hat System: Warum sollten Statistikämter freiwillig ihre bewährten, bequemen Verfahren aufgeben, wenn der Gesetzgeber sie durch unterlassene Anpassung faktisch dabei unterstützt? Das Resultat ist ein bundesweiter Vollzugsnotstand bei der DSGVO-Umsetzung - mit möglicherweise dramatischen Konsequenzen für die Rechtmäßigkeit aller Mikrozensi seit 2018.

Die entsprechenden Beweise kann ich bis jetzt nur für Bayern erbringen - und habe sie erbracht. Das Bayerische Landesamt für Statistik hat die rechtliche Grauzone sogar gegen meinen zuvor - durch konkludentes Handeln: Markierung der Klarnamenspalten mit lediglich einem "x" - erklärten Willen ausgenutzt.

Hierdurch wird dann auch unmittelbar deutlich, weshalb das Landesamt für Statistik gegen seine Informationspflicht gemäß Art. 7 DSGVO verstoßen hat: bei 130.000 Befragten würde die Filterung nach "Einwilligung, Nicht-Einwilligung" einen erheblichen zusätzlichen Aufwand und ein erhebliches rechtliches Risiko bedeuten, denn bei Zuwiderhandlung drohen drakonische Strafen:

Was Behörden bei bewusster Missachtung einer verweigerten Zustimmung droht:

• Drakonische DSGVO-Bußgelder nach Art. 83 Abs. 5: Bis zu 20 Millionen Euro oder 4% des Jahreshaushalts - ohne Ermessensreduzierung bei vorsätzlichem Handeln gegen den ausdrücklichen Bürgerwillen
• Schadenersatzforderungen nach Art. 82 DSGVO: Immaterieller Schaden von 500 - 2.000 € pro betroffenem Bürger - bei vorsätzlicher Missachtung deutlich mehr. Bei zehntausenden Mikrozensus-Haushalten eine "existenzbedrohende" Summe
• Kostenpflichtige Abmahnungen: Unterlassungsansprüche durch Rechtsanwälte mit Kostenerstattung von 200 - 1.000 € + pro Fall - und jeder betroffene Haushalt könnte abmahnen
• Präzedenzwirkung: Ein einziger erfolgreicher Präzedenzfall könnte einen bundesweiten "Abmahn- und Klagetsunami" auslösen

Das System wird entlarvt:

Solange § 14 Abs. 1 MZG bewusst DSGVO-widrig bleibt, können Behörden behaupten, "nach geltendem Recht" zu handeln. Eine DSGVO-konforme Neuregelung würde diese Schutzbehauptung zerstören - und bei Verstößen die volle Wucht der europäischen Datenschutz-Sanktionen entfesseln.

Die "Vergesslichkeit" des Gesetzgebers ist also kein Versehen, sondern eiskaltes Kalkül: Lieber rechtliche Grauzone als klare DSGVO-Verantwortlichkeit mit ruinösen Haftungsrisiken.

Die Behörde hat bereits massiv gegen die DSGVO verstoßen! 

Interessanterweise hat das Bayerische Landesamt für Statistik bereits, wie dargelegt, massiv gegen die DSGVO verstoßen. In meinem Fall besonders gravierend, aber der Verstoß gegen die Informationspflicht nach Art. 7 Abs. 3 DSGVO dürfte bayernweit erfolgt sein. Daher wäre - durch auf Datenschutz spezialisierte Rechtsanwälte - zu prüfen, inwieweit bereits jetzt abgemahnt, Schadensersatz verlangt und der Datenschutzbeauftragte informiert werden kann. Übrigens: für eine fundierte Beschwerde beim Datenschutzbeauftragten bedarf es keines spezialisierten Fachanwalts. Jeder betroffene Bürger kann das alleine und selber bewerkstelligen.

Beschwerde an den Datenschutzbeauftragten

Ich habe meine Beschwerde an den Datenschutzbeauftragten bereits verfasst.

Sie kann hier heruntergeladen werden: 

In diesem Zusammenhang ein wichtiger Hinweis: Es ist sicherlich der Sache dienlich, wenn jetzt so viele Beschwerden beim Datenschutzbeauftragten eingehen wie möglich. Ich "warne" aber ausdrücklich davor, meine Beschwerde einfach zu kopieren. Eine Kopie wird mit Sicherheit als solche erkannt werden und die beabsichtigte Wirkung komplett verlieren. Nehmt gerne meinen Text als Anregung, aber schreibt Eure eigene, individuelle, auf Euren konkreten Fall zugeschnittene Beschwerde.

Aufruf an engagierte Journalisten

Es bedarf jetzt der Unterstützung engagierter Journalisten, die wesentlich mehr Rechte gegenüber den Behörden als ich haben, um über gezielte Anfragen bei den Statistikämtern meinen Verdacht entweder zu bestätigen oder zu widerlegen. 

Der Imageschaden und die politischen Konsequenzen können verheerend sein. Wenn herauskäme, dass alle Mikrozensi seit 2018 rechtswidrig waren, wäre das ein datenschutzpolitischer Super-GAU. Die individuellen Schadenersatzansprüche nach Art. 82 DSGVO von Millionen von Bürgern sind bei diesem Szenario noch gar nicht berücksichtigt.

 

DSGVO-konforme Alternativen des Papierfragebogens für den Mikrozensus

Das Kernproblem des aktuellen Mikrozensus-Systems liegt in der technischen Umsetzung: Obwohl die Idee des Einklappbogens formal - gemäß MZG - korrekt ist, aber gegen die zwingend anzuwendenen DSGVO verstößt, bleiben Klarnamen und sensible Erhebungsdaten während der gesamten Plausibilitätsprüfung für alle Bearbeiter sichtbar. Es gibt keine systemische Trennung, und die Behörden müssen sich auf menschliche Zuverlässigkeit statt auf echte technische Sicherheit verlassen.

Eine DSGVO-konforme Lösung könnte so aussehen:

1. Zwei-Datenbank-System:

• Datenbank A: Nur pseudonymisierte Erhebungsdaten mit einer Referenznummer
• Datenbank B: Nur Referenznummer + Kontaktdaten
• Physische und systemische Trennung der Zugriffe
• Verknüpfung nur bei begründetem Nachfragebedarf

2. Verschlüsselte Identifikatoren:

• Klarnamen werden verschlüsselt gespeichert
• Nur autorisierte Personen haben Entschlüsselungsrechte
• Automatische Löschung der Entschlüsselungsinformationen nach Erhebungsende

3. Separate Verarbeitungsstellen:

• Identitätsverwaltung erfolgt in einer separaten Abteilung
• Datenauswertung erfolgt vollständig anonymisiert
• Nachfragen der Statistik nur über verschlüsselte Kommunikationswege

Hauptidee:
Statt die Verknüpfung von Identität und Erhebungsdaten erst nach Abschluss der Plausibilitätsprüfung vorzunehmen, müssen die Verfahren von Anfang an getrennt sein. Eine Zusammenführung darf nur bei nachweisbarem Bedarf erfolgen – und stets unter den strengsten technischen Sicherheitsvorkehrungen.

So würde Privacy by Design wirklich greifen: Die Daten der Bürger bleiben geschützt, die statistische Auswertung bleibt zuverlässig, und das System wäre DSGVO-konform. Und, das Wichtigste: es bedürfte keines "Behördenrechts", weil wir uns "sicher" sein könnten, dass alles vollständig korrekt abläuft - jedenfalls sicherer als jetzt.