Jusletter IT

Elektronische Aufbewahrung bei Onlinewahlen aus rechtlicher und sicherheitstechnischer Sicht

  • Authors: Zoi Opitz-Talidou / Lucie Langer
  • Category: Short Articles
  • Region: Germany
  • Field of law: E-Democracy
  • Collection: Conference proceedings IRIS 2009
  • Citation: Zoi Opitz-Talidou / Lucie Langer, Elektronische Aufbewahrung bei Onlinewahlen aus rechtlicher und sicherheitstechnischer Sicht, in: Jusletter IT 1 September 2009
Eine beweiskräftige elektronische Aufbewahrung relevanter Wahldaten ist eine Voraussetzung für gesetzlich bindende Onlinewahlen. Aufgrund der bestehenden Unsicherheit hinsichtlich einer beweiskräftigen elektronischen Aufbewahrung wird gegenwärtig allerdings häufig auf ein Ausdrucken elektronischer Wahldaten zurückgegriffen. Wir haben rechtliche Anforderungen an die beweissichere Aufbewahrung untersucht und konkrete Maßnahmen für deren Ausgestaltung vorgeschlagen.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Notwendigkeit der elektronischen Aufbewahrung
  • 2.1. Rechtliche Gründe
  • 2.2. Sicherheitstechnische Gründe
  • 3. Anforderungen an die elektronische Aufbewahrung
  • 4. Umsetzung
  • 5. Fazit

1.

Einleitung ^

[1]

Der Wechsel von der Präsenz- und der Briefwahl zur Onlinewahl wird auf die Erfüllung der wahlrechtlichen Aufbewahrungspflichten Auswirkungen haben. Die Stimmabgabe im Wahlraum und die briefliche Stimmabgabe werden mit Hilfe von Wahlausschreiben, Stimmzetteln, Wählerverzeichnissen, Wahlscheinverzeichnisse und Wahlniederschriften auf dem Träger Papier ausgeführt. Onlinewahlen sind hingegen auf die Verwendung elektronischer Wahlsysteme und spezieller Software angewiesen und erfolgen auf der Basis von Übertragung und Speicherung elektronischer Daten und Auszählung elektronischer Stimmen. Die Anforderungen an die Aufbewahrung der wahlrelevanten Dokumente müssen bei Onlinewahlen ebenfalls erfüllt werden. Dafür muss man die Ziele der Aufbewahrung von Wahldokumenten bei Onlinewahlverfahren identifizieren.

[2]

Die Aufbewahrung nach einer Onlinewahl erfolgt gegenwärtig meist hybrid: Die Daten werden einerseits in elektronischer Form aufbewahrt und andererseits ausgedruckt und auf Papier archiviert. Dabei erfolgt die Aufbewahrung in Papierform meist ergänzend zur elektronischen Aufbewahrung, d.h. Teile der Wahldokumentation, wie beispielsweise die Wahlergebnisse, werden gedruckt. Darin äußert sich jedoch bereits die bestehende Unsicherheit hinsichtlich der sicheren elektronischen Aufbewahrung: Eine beweiskräftige Aufbewahrung elektronischer Dokumente macht eine parallele Archivierung in Papierform überflüssig. Darüber hinaus stellt das Ausdrucken einen Medienbruch dar, der immer mit einem Informationsverlust verbunden ist.1

[3]

Unser Beitrag untersucht rechtliche Anforderungen an die elektronische Aufbewahrung von Dokumenten bei Onlinewahlverfahren und gibt Empfehlungen bezüglich der technischen und organisatorischen Maßnahmen zu deren Umsetzung. Dazu führen wir in Abschnitt 2 zunächst rechtliche, sicherheitstechnische und wirtschaftliche Argumente für die elektronische Aufbewahrungsform auf. Daraufhin untersuchen wir in Abschnitt 3 rechtliche Anforderungen an die Aufbewahrung von Onlinewahldaten. Abschließend geben wir in Abschnitt 4 Empfehlungen hinsichtlich der Umsetzung der aufgeführten Anforderungen. Ziel der Arbeit ist, einen interdisziplinären Vorschlag auszuarbeiten, der sowohl rechtliche als auch sicherheitstechnische Kriterien berücksichtigt.

2.

Notwendigkeit der elektronischen Aufbewahrung ^

2.1.

Rechtliche Gründe ^

[4]

Die sichere Aufbewahrung der Wahldokumente in einer konventionellen papierbasierten Wahl dient der Durchführung von Wahlprüfungsangelegenheiten und wahlstatistischen Arbeiten und der Aufklärung von Wahlstraftaten. Bei Onlinewahlverfahren reicht alleine die Aufbewahrung der Wahldokumente zur Erfüllung dieses Zwecks nicht aus. Die Protokollierung der wesentlichen Schritte und die Dokumentation des Wahlprozesses sind zur nachträglichen Überprüfung des ordnungsmäßen Wahlablaufs erforderlich, weil sich funktionale Unstimmigkeiten oder sicherheitsrelevante Mängel auf das Wahlergebnis auswirken und somit die Wahl anfechtbar machen können. Darüber hinaus stellt die sichere Aufbewahrung der Wahldaten und der Dokumentation der Onlinewahl eine geeignete Vorkehrung dar, um die sonst bei Onlinewahlen schwer umsetzbaren Grundsätze der Öffentlichkeit sowie der Transparenz der Wahlhandlung und der Auszählung in Erfüllung zu bringen. Mit Hilfe einer sicheren elektronischen Aufbewahrung von Wahldaten könnte man die vom Bundesverfassungsgericht in seiner Entscheidung2 vom 03.03.2009 gestellten Anforderungen an elektronische Wahlsysteme teils oder auch gänzlich umsetzen und somit eine zuverlässige Überprüfbarkeit der Wahlhandlung und der Wahlergebnisse ermöglichen. Es ist zu bezweifeln, dass die technischen Mechanismen, die bei einer elektronischen Dokumentation die Sicherheit, Vertraulichkeit und Integrität des Prozesses sichern (z.B. elektronische Signaturen), sich vollständig auf Papier übertragen lassen. Die elektronische Aufbewahrungsform empfiehlt sich, um die allgemeine Verifizierbarkeit der Onlinewahl sicherzustellen. Indem die Öffentlichkeit kontrolliert auf die elektronische Wahldokumentation zugreifen kann, wird eine Möglichkeit zur aktiven Beteiligung am Verifikations- und Legitimationsprozess der Wahl geschaffen.

2.2.

Sicherheitstechnische Gründe ^

[5]

Die rechtliche Forderung nach angemessener Verifizierbarkeit der Onlinewahl impliziert die Nachvollziehbarkeit des gesamten elektronischen Wahlprozesses von Anfang bis Ende. Diese ist nur bei einer elektronischen Aufbewahrung gegeben: Eine Kontrollinstanz oder gegebenenfalls auch die Wählerschaft kann in diesem Fall nach der Wahl die Stimmen erneut auszählen lassen, um das Wahlergebnis zu überprüfen. Darüber hinaus können auch Signaturen des Stimmdatensatzes bzw. einzelner Stimmen verifiziert werden, und es ist überprüfbar, ob die Stimmen vor ihrer Auszählung korrekt entschlüsselt wurden.

[6]

Zur sicheren Umwandlung elektronischer Wahldaten in Papierform genügt es außerdem nicht, diese lediglich auszudrucken. Es ist davon auszugehen, dass die elektronischen Wahldaten in signierter Form vorliegen. Dies bedeutet, dass statt einer reinen Konvertierung der Daten eine Transformation stattfinden muss.3 Eine sichere Transformation liegt vor, sofern «das Zieldokument die durch den Zweck der Transformation bestimmte Art der Inhaltstreue zum Ausgangsdokument aufweist und dies in einer vertrauenswürdigen Form vermerkt wurde,» d.h. nachträglich überprüfbar ist.4 Im Rahmen des Projektes TransiDoc wurde dazu ein Phasenmodell entwickelt, welches nach einer Vorbereitungs- und Konvertierungsphase eine Prüfung und Siegelung der Transformation vorsieht. Eine Transfomationsakte enthält die im Verlauf der Transformation angefallenen Dokumente, unter anderem einen Regelsatz. Der Regelsatz für die Transformation elektronischer Wahldaten wird beispielsweise Sicherheitsanforderungen an die Umgebung sowie die verwendeten Geräte wie Drucker und Computer enthalten, die zu erfüllen sind.

3.

Anforderungen an die elektronische Aufbewahrung ^

[7]

Die rechtlichen Anforderungen, die an die Aufbewahrung elektronischer Wahldokumente zu stellen sind, müssen im Zusammenhang mit den jeweiligen Zwecken betrachtet werden, die mit der Aufbewahrung verfolgt werden. Wie bereits aufgeführt, werden die wahlrechtlichen Dokumente vorwiegend zur Kontrolle und Erhaltung der Beweissicherung aufbewahrt: Einerseits soll die Dokumentation und die anschließende Aufbewahrung von bestimmten Vorgängen sicherstellen, dass berechtigte Dritte das Handeln des Wahlvorstands nachvollziehen und gegebenenfalls den gesamten Ablauf der Onlinewahl kontrollieren können. Andererseits soll sichergestellt werden, dass sowohl das wahlrelevante Material als auch der elektronische Prozess beweissicher festgehalten wird, um für die Zukunft die Gewissheit zu haben, einen Sachverhalt im Rechtsstreit nachweisen zu können.

[8]

Aus diesen Zielsetzungen der Aufbewahrung ergeben sich die folgenden rechtlichen Anforderungen. Erstens müssen alle Unterlagen für die erforderliche Dauer vollständig, jederzeit verfügbar, lesbar und fälschungssicher bleiben. Es muss sichergestellt sein, dass sie weder verfälscht, verändert, vernichtet oder gelöscht noch einzelne Informationen entfernt oder hinzugefügt worden sind.5

[9]

Zweitens muss aus den Dokumenten eine eindeutige Bestimmung ihres Ausstellers (ausgenommen der für eine Wahl unabdingbare Unzuordenbarkeit zwischen der Stimme und dem Wähler) hervorgehen, was bei elektronischen Dokumenten nicht ohne Weiteres gegeben ist.6 Während Papierdokumente von ihrem Aussteller eigenhändig unterschrieben und in dieser Form dauerhaft aufbewahrt werden können, stellt die Authentizität bei elektronischer Aufbewahrung eine besondere Herausforderung dar. Der Erhalt der Beweiskraft elektronischer Dokumente erfordert den Erhalt der Sicherheit elektronischer Signaturen. Dabei ist zu beachten, dass nur qualifizierte elektronische Signaturen die Beweiskraft einer eigenhändigen Unterschrift haben und daher nur diese für eine beweiskräftige Archivierung eingesetzt werden sollten. Zum Erhalt qualifizierter Signaturen fordert die Signaturverordnung vor Ablauf der Sicherheitseignung der verwendeten Algorithmen und Parameter eine neue qualifizierte Signatur, die die bisherigen Signaturen einschließt, sowie einen qualifizierten Zeitstempel.7 Sofern der verwendete Hash-Algorithmus noch als sicher gilt, reicht es aus, lediglich die bisherigen Signaturen mit einem qualifizierten Zeitstempel zu versehen.8 Weiterhin müssen die Verifikationsdaten auch nach Jahren verfügbar sein. Um dies zu erreichen, ist es sinnvoll, nur akkreditierte Zertifizierungsdiensteanbieter heranzuziehen, da für sie im Falle der Einstellung ihrer Tätigkeit das Signaturgesetz eine Übernahme ihrer Dokumentation durch einen anderen akkreditierten Zertifizierungsdiensteanbieter oder durch die zuständige Behörde vorsieht.

[10]

Drittens muss die in den elektronischen Dokumenten niedergelegte Information von Menschen gelesen werden können. Dies setzt voraus, dass sowohl die nötige Hardware, die die auf einem Datenträger gespeicherten Daten sichtbar macht, als auch die nötige Software, die die Daten interpretiert und präsentiert, verfügbar sind. Dazu müssen für die elektronische Aufbewahrung der Wahldaten geeignete Datenformate gewählt werden. Diese sollten standardisiert und langlebig sein, da Formatänderungen während der Aufbewahrungsfrist mit erheblichem Aufwand verbunden sind.

[11]

Viertens müssen die elektronischen Wahldokumente als Beweismittel geeignet sein.9 Daraus ergibt sich zunächst die Anforderung der Verkehrsfähigkeit der aufzubewahrenden elektronischen Dokumente: Es muss die Möglichkeit bestehen, sie auf einem portablen Datenträger zu speichern oder sie auf elektronischem Wege zu übermitteln.10 Wenn die in Frage kommenden elektronischen Dokumente als Beweismittel in einem Prozess eingeführt werden, muss ferner ein hoher Beweiswert angestrebt werden und somit die Anforderungen von § 371a ZPO erfüllt werden.11 Nicht zuletzt müssen datenschutzrechtliche Anforderungen ihre Berücksichtigung finden können, solange die aufzubewahrenden Dokumente, wie etwa die Wählerverzeichnisse, personenbezogene Daten erhalten. Sofern im Rahmen der Wahldokumentation verschlüsselte Daten aufbewahrt werden, ist zu beachten, dass die verwendeten kryptographischen Verfahren (ebenso wie die Signaturen) einem Alterungsprozess unterliegen und mit der Zeit angreifbar werden können.

[12]

Die wesentlichen Anforderungen bestehen somit darin, die Integrität und Authentizität der Dokumente nachweisen zu können, ihre Verkehrsfähigkeit und jederzeitige Lesbarkeit sicherzustellen und, wenn diese in einen bestimmten Vorgang eingebunden sind, dessen Vollständigkeit zu gewährleisten.12

4.

Umsetzung ^

[13]

Zur Erfüllung der rechtlichen Anforderungen sind geeignete Sicherungsmittel zu wählen. Erste Wahl sind dokumentbezogene Sicherungsmittel wie z.B. elektronische Signaturen oder Zeitstempel, da diese unabhängig vom verwendeten Datenträger und eingesetztem System durch Dritte überprüft werden können und damit in besonderem Maße die Verkehrsfähigkeit der Wahldokumentation gewährleisten.13 Wie bereits erwähnt sollten qualifizierte elektronische Signaturen verwendet werden. Zu signieren sind alle Dokumente, deren Integrität und Authentizität gewahrt bleiben muss, insbesondere das Wählerverzeichnis und der Stimmdatensatz ebenso wie die einzelnen Stimmen. Dies sollte jedoch nicht erst nach Ende der Wahl geschehen, sondern bereits durch das eingesetzte Wahlprotokoll vorgesehen sein, da sonst Manipulationen während der Wahl nicht beweiskräftig widerlegt werden können.14 Dagegen dürfen die Stimmen während der Wahl (zum Beispiel bei Eingang in die elektronische Wahlurne) nicht mit einem Zeitstempel versehen werden, da dies die Anonymität der Wahl gefährden kann.

[14]

Als für die Langzeitaufbewahrung geeignete Formate gelten unter anderem PDF/A sowie XML. Dabei eignet sich XML insbesondere für strukturierte Datensätze, die sowohl menschen- als auch maschinenlesbar dargestellt werden. Wir empfehlen daher XML als Format für die Stimmdatensätze. Zum Signieren dieser Daten sollten XML-Signaturen eingesetzt werden, da diese speziell auf XML-Dateien abgestimmt sind und überdies hohe Flexibilität bieten. So könnten beispielsweise die Stimmen, welche aus einer bestimmten Region stammen, vom jeweiligen Wahlleiter signiert sein und das aus diesen Datensätzen bestehende Gesamtdokument zusätzlich durch die Signatur des übergeordneten Wahlleiters geschützt sein. Auf diese Weise kann sowohl die Integrität und Authentizität als auch die Vollständigkeit der Daten gewährleistet werden.

[15]

Um datenschutzrechtliche Anforderungen zu erfüllen, können verschiedene Maßnahmen angewandt werden. Eine Möglichkeit ist eine im Archivsystem implementierte Zugriffskontrolle, die dem Benutzer beispielsweise den Zugriff auf das Wählerverzeichnis nur in der Rolle «Wahlvorstand» gestattet. Nachteilig ist hierbei jedoch, dass der Zugriffsschutz erlischt, sobald das Dokument aus dem Archivsystem herausgenommen wird, um es beispielsweise vor Gericht einzubringen. Um das Dokument direkt vor unbefugtem Zugriff zu schützen, kann es auch verschlüsselt werden. In diesem Fall müssen die verwendeten Schlüssel ebenfalls in das Archivsystem aufgenommen werden. Die Schlüssellänge ist dabei von vornherein so zu wählen, dass die eingesetzten kryptographischen Verfahren für diesen Zeitraum voraussichtlich sicher bleiben. Dies ist möglich, da die Aufbewahrungsdauer bei Wahlen unter zehn Jahren liegt. Dennoch sollte an Hand einschlägiger Quellen kontinuierlich beobachtet werden, ob die verwendeten Verfahren kompromittiert wurden, damit gegebenenfalls rechtzeitig neuverschlüsselt werden kann.

[16]

Die relevanten Wahldaten sind unter Einsatz einer rollenbasierten Zugriffskontrolle so aufzubewahren, dass der Benutzer (z.B. Wähler oder Wahlvorstand) Auszüge davon je nach Verfügbarkeitsbedarf und -notwendigkeit einsehen kann. Wir empfehlen, dass beispielsweise der Wählerkreis für den Zeitraum, in dem eine Anfechtung der Wahl möglich ist, Zugriff auf die Stimmen bekommt und diese durch eine vom Wahlsystem bereitgestellte vertrauenswürdige Routine erneut auszählen lassen kann, um das Ergebnis zu überprüfen. Dies geht über die Verifikationsmöglichkeiten hinaus, die der Wähler bei konventionellen papierbasierten Wahlen hat; angesichts der bei Onlinewahlen schwierigen Transparenz der Wahlhandlung und der Auszählung halten wir diese Maßnahme jedoch für angemessen und förderlich für die Akzeptanz der Onlinewahl in der Öffentlichkeit. Der Zugriff auf andere Wahldaten sollte Aufsichts- und Kontrollbehörden vorbehalten sein. Der Quellcode des Wahlsystems wird als Geschäftsgeheimnis behandelt.15 Über seine Einsichtnahme hat allerdings bei einer Anfechtung der Wahl im Rahmen eines Wahlprüfungsverfahrens der Richter zu entscheiden. Die mangelnde Nachvollziehbarkeit des Quellcodes kann zum Teil durch eine Zertifizierung des Wahlsystems beispielsweise nach Common Criteria ersetzt werden. Während beispielsweise Vereinswahlen ohne Zertifizierung des eingesetzten Wahlsystems auskommen sollten, ist eine Zertifizierung bei Wahlen von höherem Rang wie z.B. Betriebsratswahlen zu empfehlen; bei politischen Wahlen ist diese als zwingend erforderlich anzusehen.

5.

Fazit ^

[17]

Eine beweiskräftige elektronische Aufbewahrung relevanter Wahldaten ist eine Voraussetzung für gesetzlich bindende Onlinewahlen. Aufgrund der bestehenden Unsicherheit hinsichtlich einer beweiskräftigen elektronischen Aufbewahrung wird gegenwärtig allerdings häufig auf ein Ausdrucken elektronischer Wahldaten zurückgegriffen. Diese Vorgehensweise ist jedoch nicht nur aufgrund des Medienbruchs problematisch, sondern darüber hinaus nicht dazu geeignet, den Prozess der Onlinewahl als Ganzes abzubilden. Wir haben rechtliche Anforderungen an die beweissichere Aufbewahrung untersucht und konkrete Maßnahmen für deren Ausgestaltung vorgeschlagen. Auch in Zukunft ist ein Dialog zwischen Juristen und Informatikern für die Etablierung sicherer und rechtskräftiger Onlinewahlen unerlässlich.



Lucie Langer, Technische Universität Darmstadt, Fachbereich Informatik, Kryptographie und Computeralgebra
Hochschulstraße 10, 64289 Darmstadt, DE, langer@cdc.informatik.tu-darmstadt.de
Zoi Opitz-Talidou, Universität Kassel, FB 07, Wilhelmshöher Allee 64-66, 34109 Kassel, DE, z.talidou@uni-kassel.de

  1. 1 S. Roßnagel/Schmücker (Hrsg.), Beweiskräftige elektronische Archivierung : bieten elektronische Signaturen Rechtssicherheit?, Economica, 2006, S.10.
  2. 2 2 BvC 3/07, 2 BvC 4/07
  3. 3 SRoßnagel/Schmücker (Hrsg.), Beweiskräftige elektronische Archivierung : bieten elektronische Signaturen Rechtssicherheit?, Economica, 2006, S.38.
  4. 4 Fischer-Dieskau/Kunz/Schmidt/Viebeg, Grundkonzepte rechtssicherer Transformation signierter Dokumente, in Federrath (Ed.): Sicherheit 2005, Beiträge der 2. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.v. (GI), LNI 62, GI, 2005, S.6.
  5. 5 Zur Sicherstellung der Integrität elektronischer Dokumente s. Roßnagel/Fischer-Dieskau/Jandt/Knopp, Langfristige Aufbewahrung elektronischer Dokumente. Anforderungen und Trends, Baden-Baden 2007, S. 44f.
  6. 6 Zu den unterschiedlichen Manipulationsmöglichkeiten der Authentizität elektronischer Dokumente s. Roßnagel/Pfitzmann, NJW 2003, 1210.
  7. 7 §17 SigV
  8. 8 Brandner, Pordesch, Roßnagel, Schachermayer, Langzeitsicherung qualifizierter elektronischer Signaturen, DuD 26 (2), 2002.
  9. 9 Eingehende Ausführungen zu den rechtlichen Anforderungen einer beweissichernden Aufbewahrung elektronischer Dokumente s. Fischer-Dieskau, Das elektronisch signierte Dokument als Mittel zur Beweissicherung, Baden-Baden 2005, 83 ff.
  10. 10 S. Roßnagel/Fischer-Dieskau/Jandt/Knopp, Langfristige Aufbewahrung elektronischer Dokumente. Anforderungen und Trends, Baden-Baden 2007, 47f.
  11. 11 Für private elektronische Dokumente findet entsprechend § 416 ZPO Anwendung, wenn sie mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen sind; Für öffentliche Dokumente gilt die Vermutung ihrer Echtheit nach § 437 As. 1 ZPO, wenn sie qualifiziert elektronisch signiert sind.
  12. 12 Zu den rechtlichen Anforderungen an die Aufbewahrung von Dokumenten s. Roßnagel/Fischer-Dieskau/Pordesch, in:Roßnagel/Schmücke (Hrsg.), Beweiskräftige elektronische Archivierung: bieten elektronische Signaturen Rechtssicherheit?, Economica 2006, Kap C. 3.
  13. 13 Roßnagel/Fischer-Dieskau/Jandt, Handlungsleitfaden zur Aufbewahrung elektronischer und elektronisch signierter Dokumente, BMWi Dokumentation Nr.564, 2007.
  14. 14 Kein Archivsystem kann Fehler ausgleichen, die bereits bei der Dokumenterstellung gemacht wurden: Die Integrität eines Dokuments, welches ohne entsprechenden Schutz erstellt worden ist, kann nicht mehr für den Zeitraum vor der Aufnahme in das Archiv verifiziert werden. Siehe Roßnagel/Fischer-Dieskau/Jandt, Handlungsleitfaden zur Aufbewahrung elektronischer und elektronische signierter Dokumente, BMWi Dokumentation Nr.564, 2007.
  15. 15 Quellcode von Software ist nach § 2 i.V.m. 69a UrhG urheberrechtlich geschützt. Über die Möglichkeiten, den Quellcode frei zu geben siehe statt vieler Ernst, Stefan, Die Verfügbarkeit des Source Codes – Rechtlicher Know-How-Schutz bei Software und Webdesign, MMR 2001, 208 ff.