Jusletter IT

Juristisch-informatische Herleitung von Sicherheitsanforderungen für Internetwahlen am Beispiel des Grundsatzes der Öffentlichkeit der Wahl

  • Authors: Philipp Richter / Katharina Hupf / Grimm Rüdiger
  • Category: Short Articles
  • Region: Germany
  • Field of law: E-Democracy
  • Collection: Conference proceedings IRIS 2010
  • Citation: Philipp Richter / Katharina Hupf / Grimm Rüdiger, Juristisch-informatische Herleitung von Sicherheitsanforderungen für Internetwahlen am Beispiel des Grundsatzes der Öffentlichkeit der Wahl, in: Jusletter IT 1 September 2010
Der Beitrag führt vor, wie mit der Methode KORA die Beschreibungslücke zwischen rechtlichen Vorgaben und technischen Sicherheitsanforderungen für die Gestaltung von Internetwahlen geschlossen werden kann. Die Methode wird ausführlich dargestellt und anhand des Grundsatzes der Öffentlichkeit der Wahl ausgeführt. Die aus dem Wahlcomputerurteil des deutschen Bundesverfassungsgerichts zu entnehmenden verfassungsrechtlichen Vorgaben werden herausgearbeitet und ihre Bedeutung für Internetwahlen untersucht. Anschließend werden die rechtlichen Vorgaben in Bezug auf die Chancen und Risken von Internetwahlen konkretisiert und zu technischen Zielen präzisiert.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Allgemeine Beschreibung der Methode KORA
  • 3. Rechtliche Vorgabe - Öffentlichkeit der Wahl
  • 4. KORA am Grundsatz der Öffentlichkeit der Wahl
  • 4.1. Rechtliche Anforderung - Laienkontrolle
  • 4.2. Rechtliche Kriterien – Individual- und Publikumskontrolle
  • 4.3. Technische Ziele
  • 4.4. Gestaltungsvorschlag des Bundesverfassungsgerichts
  • 5. Fazit
  • 6. Literatur

1.

Einleitung ^

[1]

Internetwahlen sind seit Jahren Gegenstand sowohl der informatischen als auch der juristischen Forschung [BuchmannR09], [GrimmRWW09], [HelbachKMMV07], [Rüß00], [Volkamer09], [Will02]. Der Grundsatz der Öffentlichkeit der Wahl wird in der Informatik jedoch erst seit dem Wahlcomputerurteil des deutschen Bundesverfassungsgerichts[BVerfG09] als rechtliche Vorgabe behandelt.

[2]

Es wurden bereits zahlreiche Sicherheitsanforderungen an Internetwahlen erarbeitet. Bisher sind dies in der Regel entweder technische Anforderungen ohne detaillierte rechtliche Begründung wie beispielsweise [VolkamerV08] oder aber rechtliche Anforderungen ohne technische Konkretisierung wie zum Beispiel [Will02] [Hanßmann04]. Um im Bereich parlamentarischer Wahlen bestehen zu können, müssen Sicherheitsanforderungen aber sowohl juristisch haltbar und umfassend, als auch technisch fundiert und anwendbar sein. Dies legt eine Zusammenführung der Disziplinen der Rechtswissenschaften und der Informatik bereits bei der Entwicklung von Internetwahlsystemen nahe. Dadurch kann zum einen die Chance genutzt werden, die rechtlichen Vorgaben einzubringen und aufrechtzuerhalten, solange die Technik noch nicht umgesetzt und die nötigen Investitionen noch nicht getätigt wurden. Zum anderen tritt das Recht der Technik nicht nach erfolgten Investitionen verbietend entgegen, sondern steckt den Rahmen des Möglichen und Nötigen von vornherein ab.

[3]

Dieser Beitrag zeigt, wie anhand der Methode zur Konkretisierung rechtlicher Anforderungen (KORA) juristische Vorgaben für Wahlen in interdisziplinärer Zusammenarbeit zu Sicherheitsanforderungen für Internetwahlsysteme konkretisiert werden können. Dabei setzt die nachfolgende Untersuchung bewusst auf Ebene von Bundestagswahlen an und geht von einem vollständigen Ersatz der Präsenzwahl aus. Es wird dadurch zunächst ein Referenzmodell mit den höchsten Anforderungen erstellt. Von diesem lassen sich dann Teilmodelle für weniger anspruchsvolle Wahlen wie beispielsweise Sozial-, Betriebsrats- oder Vereinswahlen und/oder für einen weniger umfassenden Einsatz von Internetwahlen zum Beispiel ausschließlich als Ersatz von Briefwahlen ableiten.

[4]

Dieser Artikel gliedert sich wie folgt: Die Methode KORA wird zunächst in Kapitel 2 in allgemeiner Weise beschrieben. Anschließend wird die systematische Vorgehensweise bei der Methode KORA am Grundsatz der Öffentlichkeit der Wahl nachgezeichnet und exemplarisch verdeutlicht. Der Grundsatz der Öffentlichkeit der Wahl dient dabei als Anwendungsbeispiel, da dieser seit dem Wahlcomputerurteil die Diskussion um elektronische Wahlen stark prägt.

2.

Allgemeine Beschreibung der Methode KORA ^

[5]

Die Methode KORA wurde von der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) mit dem Ziel entwickelt, die Entwicklung von Technologie in einer möglichst frühen Phase juristisch zu begleiten [HammerPR93]. Die Methode beschreibt, wie abstrakte rechtliche Vorgaben in einem interdisziplinären Diskurs schrittweise zu technischen Gestaltungsvorschlägen konkretisiert werden können.

[6]

KORA schließt somit die Beschreibungslücke zwischen den meist unspezifischen rechtlichen Vorgaben und konkreten technischen Zielen und schlägt eine Brücke zwischen der Rechtswissenschaft und den technischen Disziplinen. Die rechtlichen Vorgaben werden identifiziert und schrittweise zu technikadäquaten Formulierungen der rechtlichen Anforderungen präzisiert. Wird diese Beschreibungslücke zwischen rechtlichen Vorgaben und technischen Sicherheitsanforderungen nicht bereits bei der Entwicklung einer Technologie geschlossen, bleibt dem Recht im Nachhinein meist lediglich die Rolle, die Technologie als rechtmäßig oder rechtswidrig zu beurteilen. Im letzteren Fall wird das Recht entweder zum Hindernis bei der Entwicklung neuer Technologien oder muss sich geschaffenen Fakten anpassen. Wird die Beschreibungslücke jedoch erfolgreich geschlossen, können neue Technologien von Beginn an so gestaltet werden, dass sie die Forderungen rechtlicher Vorgaben erfüllen. Die mit KORA erarbeiteten Ergebnisse können bei dieser Herangehensweise auch über den Minimalanforderungen an die Rechtmäßigkeit einer Technologie liegen.

[7]

Vor der Anwendung von KORA sind die für eine neue Technologie einschlägigen rechtlichen Vorgaben zu identifizieren. Sie können aus dem Grundgesetz und einschlägigen Gesetzen entnommen werden. Dabei müssen sowohl der rechtliche Kontext als auch schon grundlegende Besonderheiten einer Technologie beachtet werden. Im Falle von Internetwahlen müssen die Wahlgrundsätze des Art. 38 Abs. 1 Satz 1 GG, sowie der nun in Art. 38 i.V.m. 20 Abs. 1 und Abs. 2 GG verankerte Öffentlichkeitsgrundsatz Beachtung finden. Überdies bilden die informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG weitere rechtliche Vorgaben für Internetwahlen, da ein Internetwahlverfahren die Verarbeitung personenbezogener Daten und fernmeldetechnische Kommunikation erfordert.

[8]

Die Methode KORA beschreibt einen vierstufigen Prozess, welcher wie folgt untergliedert ist:

[9]

Die rechtlichen Vorgaben werden in einem ersten Schritt zurechtlichen Anforderungen konkretisiert, die dafür sorgen sollen, dass die sozialen Funktionen der rechtlichen Vorgaben auch bei Anwendung der zu gestaltenden Technologie erfüllt werden. Dazu werden dieChancen und Risiken beschrieben, die durch den Einsatz der Technologie für die sozialen Funktionen entstehen. Die rechtlichen Anforderungen stellen dann auf diese Umstände der Technologie präzisierte Rechtsnormen dar, durch deren Einhaltung die Risiken möglichst weit ausgeschlossen und die Chancen der zu entwickelnden Technologie gefördert werden sollen. Die Anforderungen werden in der Sprache des Rechts beschrieben.

[10]

In einem zweiten Schritt werden die rechtlichen Anforderungen zurechtlichen Kriterien weiter konkretisiert. Diese beschreiben, wie die einzelnen Aspekte der Anforderungen von der spezifischen Technologie erfüllt werden können, ohne sich für einen bestimmten technischen, organisatorischen oder rechtlichen Lösungsansatz zu entscheiden. Alle Gestaltungslösungen sollen auf dieser Ebene noch möglich bleiben. Auch die Kriterien werden noch in der Sprache des Rechts beschrieben, sind jedoch schon techniknäher anzulegen.

[11]

Die rechtlichen Kriterien werden dann zutechnischen Zielen konkretisiert. Diese beschreiben Elementarfunktionen, die erfüllt sein müssen, damit die Technologie als kriteriengerecht gelten kann. An dieser Stelle findet ein Sprachwechsel statt. Die technischen Ziele werden in der Sprache der technischen Disziplin beschrieben.

[12]

Schließlich werden aus den technischen Zielen konkretetechnische Gestaltungsvorschläge für Hersteller und Anwender abgeleitet, bei deren Einhaltung die zu gestaltende Technologie sich im Einklang mit den rechtlichen Vorgaben befindet. Die Gestaltungsvorschläge werden im folgenden Anwendungsbeispiel noch nicht beschrieben, da sie sich in Bezug auf den Forschungsgegenstand noch in Arbeit befinden. Es wird stattdessen ein dem Wahlcomputerurteil entnommener Gestaltungsvorschlag für elektronische Wahlen in Augenschein genommen.

[13]

Die Methode KORA beschreibt eine systematische Vorgehensweise zur Ableitung technischer Ziele aus abstrakten rechtlichen Vorgaben. Sie stellt jedoch keinen Automatismus zur Generierung technischer Sicherheitsanforderungen aus Rechtsnormen dar. Vielmehr ist die Methode ein disziplinierter interdisziplinärer Diskurs, ebenso wie ein iterativer Prozess. D.h. die Ergebnisse der einzelnen Arbeitsschritte können in einem wechselseitigen Verhältnis zueinander stehen, so dass Rückkoppelungen zwischen den einzelnen Ableitungsschritten durchaus möglich sind.

[14]

Nicht alle mittels KORA erarbeiteten Ergebnisse müssen während der Arbeit neu erfunden werden. Ganz im Gegenteil können und sollen bereits bestehende Normen daraufhin untersucht werden, ob sie im Abstraktionsniveaurechtlichen Anforderungen ,rechtlichen Kriterien ,technischen Zielen odertechnischen Gestaltungsvorschlägen zuzuordnen sind und ob sie im Angesicht der jeweiligen Technologie die rechtlichen Vorgaben umsetzen können.

[15]

Die Methode KORA lässt bei der Ableitung den technologischen Entwicklungsstand außer Acht. KORA bewertet die Rechtadäquanz einer Technologie nicht anhand eines möglicherweise schon bald überholten Entwicklungsstandes, sondern weist darauf hin, bei welcher Entwicklungshöhe eine Technologie als rechtsadäquat gelten kann.

3.

Rechtliche Vorgabe - Öffentlichkeit der Wahl ^

[16]

Die öffentliche Wahl wurde nicht im Wahlcomputerurteil erfunden. Sie fand sich einfachgesetzlich schon zuvor in § 31 Bundeswahlgesetz und war als in einem freiheitlich demokratischen Rechtsstaat selbstverständlich angesehen [Schreiber02]. Sie wurde auch im Hinblick auf Internetwahlen schon ausdrücklich als ungeschriebener Wahlrechtsgrundsatz mit Verfassungsrang behandelt [Hanßmann04]. Jedoch wurde ihr der Status eines Verfassungsgrundsatzes erst kürzlich höchstrichterlich ausdrücklich zuerkannt. Inhalt und Zweckbestimmung des Öffentlichkeitsgrundsatzes als Garantie einer umfassenden Kontrollmöglichkeit bezüglich der Einhaltung aller anderen verfassungsrechtlichen Wahlgrundsätze waren bereits im Jahr 2008 angedeutet worden [BverfG08, Abs. 81 ff.] und wurden im Wahlcomputerurteil ausgearbeitet.

[17]

Der Grundsatz der Öffentlichkeit ist in begrenztem Umfang einschränkbar, um anderen verfassungsrechtlichen Belangen, insbesondere den Wahlgrundsätzen aus Art. 38 Abs. 1 Satz 1 GG Geltung zu verschaffen. Beim Einsatz rechnergesteuerter Wahlgeräte konnte das Gericht jedoch keine Verfassungsprinzipien erkennen, die die Einschränkung des Öffentlichkeitsgrundsatzes durch die verwendeten Geräte hätten ausgleichen können [BVerfG09, Abs. 126]. Insbesondere konnte dort nicht eine Förderung der Allgemeinheit der Wahl angeführt werden, da es sich bei den im Urteil behandelten Wahlgeräten um eine elektronische Präsenzwahl handelte. Bei Internetwahlen, die Fernwahlen sind, könnte die Allgemeinheit der Wahl hingegen an dieser Stelle für gewisse Spielräume sorgen.

4.

KORA am Grundsatz der Öffentlichkeit der Wahl ^

4.1.

Rechtliche Anforderung - Laienkontrolle ^

[18]

Aus dem Grundsatz der öffentlichen Wahl ergibt sich für Internetwahlverfahren die Anforderung der Laienkontrolle.

[19]

Nach dem Öffentlichkeitsgrundsatz müssen die wesentlichen Schritte von Wahlhandlung und Ergebnisermittlung vom Wähler selbst, den Wahlorganen und von interessierten Bürgern zuverlässig überprüft werden können [BVerfG09, Abs. 111]. Hinsichtlich der Wahlhandlung bedeutet dies für den einzelnen Wähler, dass er die inhaltlich korrekte Behandlung seiner eigenen Stimme nachvollziehen und kontrollieren können muss. Für alle Bürger muss der verfassungsgemäße Ablauf jeder Stimmabgabe nachvollziehbar und kontrollierbar sein [BverfG09, Abs. 119]. Dies gilt in Bezug auf den Einsatz elektronischer Geräte bei der Wahl unter dem zusätzlichen Erfordernis, dass die Nachvollziehbarkeit gerade nicht auf besonderer technischer Sachkenntnis beruhen darf, sondern dem technischen Laien gleichermaßen möglich sein muss. Hierbei reicht es nicht aus, dass der Wähler ohne die Möglichkeit eigener Einsicht auf die generelle Funktionsfähigkeit eines Systems verwiesen ist. Eine elektronische Anzeige darüber, dass die abgegebene Stimme unverfälscht erfasst und in die Auszählung eingegangen ist, genügt daher nicht.

[20]

Das Bundesverfassungsgericht schließt aus diesen Vorgaben jedoch nicht auf einen generellen Ausschluss der Durchführung elektronischer Wahlen, soweit die Möglichkeit einer Richtigkeitskontrolle gegeben ist. Es stellt sich also einer Wahltechnik, die eine höhere technische Komplexität als die Papierwahl aufweist, nicht grundsätzlich entgegen. Ob andere technische Möglichkeiten, als die bei den Wahlcomputern der Firma Nedap vorhandenen, ein auf Nachvollziehbarkeit begründetes Vertrauen in die Korrektheit des Verfahrens ermöglichen könnten und so dem Öffentlichkeitsgrundsatz gerecht würden, lässt das Bundesverfassungsgericht ausdrücklich offen [BverfG09, Abs. 122]. Die Kontrollmöglichkeit der Bürger kann bei der Bundestagswahl aber jedenfalls nicht dadurch ersetzt werden, dass eine amtliche Stelle Wahlsysteme auf ihre Funktionsfähigkeit hin überprüft (TÜV-Modell). Auch eine umfangreiche Gesamtheit technischer und organisatorischer Sicherheitsmaßnahmen ist alleine nicht geeignet, die Nachvollziehbarkeit der wesentlichen Schritte der Wahl durch den Bürger zu ersetzen.

[21]

Der Öffentlichkeitsgrundsatz schützt die Einhaltung der Wahlgrundsätze des Art. 38 Abs. 1 GG, indem er fordert, dass der Ablauf der Wahl für jeden Bürger nachvollziehbar sein muss. Er schafft hierdurch begründetes Vertrauen im Volk und sichert damit die demokratische Legitimation des Parlaments und [BVerfG09, Abs. 108]. Hier wird auch deutlich, wieso Nachvollziehbarkeit nicht durch blindes Vertrauen ersetzt werden kann, denn erst Nachvollziehbarkeit schafft begründetes Vertrauen und Legitimation verlangt begründetes Vertrauen.

[22]

Für die Öffentlichkeit der Wahl bestehen bei Internetwahlverfahren zunächst erhebliche Risiken, da hier die wesentlichen Schritte der Wahl in einem elektronischen Rechenprozess stattfinden, der mit dem bloßen Auge nicht nachvollzogen werden kann. Dies nimmt dem einzelnen Wähler die Möglichkeit der Kontrolle, ob die von ihm abgegebene Stimme auch mit dem von ihm gewünschten Inhalt in das Wahlergebnis einfließt und hindert die Öffentlichkeit daran, nachzuvollziehen, ob die Wahldurchführung den verfassungsrechtlichen Vorgaben entspricht. Insbesondere ergibt sich gegenüber den Wahlcomputern, die im Wahllokal eingesetzt werden, das zusätzliche Risiko, dass nicht bloß Stimmspeicherung und Verarbeitung, also Bereiche, die in erster Linie die Grundsätze der allgemeinen, unmittelbaren und gleichen Wahl betreffen, der öffentlichen Kontrolle entzogen werden, sondern bei Stimmabgabe aus dem individuellen Bereich auch die Einhaltung der freien und geheimen Wahl aus dem Sichtfeld der Öffentlichkeit verschwindet.

[23]

Würde für diese Risiken eine Lösung gefunden, könnten sich für den Öffentlichkeitsgrundsatz aber auch Vorteile gegenüber dem bisherigen Wahlmodus ergeben, der aus Präsenz- und alternativ Briefwahl besteht. Anders als bei der Briefwahl, bei der der Wähler gar keine Einsicht darin hat, was mit seiner Stimme geschieht, nachdem er sie abgesendet hat, könnte er bei der Internetwahl beispielsweise augenblicklich darüber unterrichtet werden, dass seine Stimme mit einem bestimmten Inhalt in das Wahlergebnis einfließt [Rüß01]. Überdies kann die Internetwahl auch gegenüber der Öffentlichkeit im Wahllokal Vorteile bringen. Müssen Bürger heutzutage den ganzen Wahltag im Wahllokal verbringen, um die mögliche Kontrolle auch wirklich durchzuführen, könnten sie dies bei der Internetwahl möglicherweise durch verschiedenartige Kontrollen des Ergebnisses in aller Ruhe von zu Hause aus und nicht begrenzt auf ein einzelnes Wahllokal erledigen. Insoweit kann die Öffentlichkeit der Wahl durch Internetwahlen also auch wachsen.

[24]

Dass sich aus dem Öffentlichkeitsgrundsatz darüber hinaus auf rechtlicher Ebene ergibt, dass die Wählenden in der realen Welt körperlich symbolisch zusammen kommen müssen, ist dem Wahlcomputerurteil nicht zu entnehmen. Ein solcher rechtlicher Inhalt wird der öffentlichen Wahl zwar teilweise zugesprochen [Hanßmann04]. Das Bundesverfassungsgericht widerspricht dieser Annahme im Wahlcomputerurteil auch nicht ausdrücklich. Allerdings wird die soziale Funktion des Öffentlichkeitsgrundsatzes im Einzelnen dargestellt [BverfG09, Abs. 108], ohne die integrierende Wirkung der Wahl auf die Symbolik der Körperlichkeit zu stützen. Zwar wird die Formulierung «vor den Augen der Öffentlichkeit verwendet», dies aber nur um zu verdeutlichen, dass sich die Bevölkerung selbst von der Rechtmäßigkeit der Wahl überzeugen können muss. Die Notwendigkeit körperlichen Zusammenkommens der Wählenden im öffentlichen Raum, ist jedenfalls auch anhand dieser Metapher nicht ersichtlich. Vielmehr bringt das Gericht zum Ausdruck, die integrierende Wirkung der Wahl entstehe durch die Möglichkeit der Kontrolle[BverfG09, Abs. 108].

[25]

Eine körperliche Auslegung von Öffentlichkeit verschließt sich auch dem Umstand, dass Öffentlichkeit im Angesicht eines Mediums wie dem Internet auch auf anderem Wege entsteht [Neymanns02] als durch Körperlichkeit. Es besteht auch keinerlei Klarheit darüber, wie genau eine solche Wirkung körperlich entstehen soll, ob die Bürger sich beispielsweise dafür sehen müssen, ob es reicht, dass sie sich im selben Raum aufhalten, wie viele zusammen kommen müssen und ob Interaktion stattfinden muss. Es mag gesellschaftlich sinnvoll erscheinen, neue Formen symbolischer Öffentlichkeit auch im Internet bereit zu halten. Dass diese aus rechtlicher Sicht jedoch auf Körperlichkeit beruhen müssen, ist nicht ersichtlich.

4.2.

Rechtliche Kriterien – Individual- und Publikumskontrolle ^

[26]

Anhand der vom Bundesverfassungsgericht vorgegebenen Adressaten von Öffentlichkeit, dem Einzelnen in Bezug auf die Verarbeitung seiner eigenen Stimme, allen Bürgern in Bezug auf den korrekten Ablauf der Wahl, wird die Anforderung Laienkontrolle zu den rechtlichen Kriterien Individualkontrolle und Publikumskontrolle weiter konkretisiert.

[27]

DieIndividualkontrolle steht dem einzelnen Wähler zu. Er muss kontrollieren können, ob seine Stimme vom Wahlverfahren mit dem von ihm gewollten Inhalt gespeichert und gezählt wird. Zu diesem Zweck kann das Wahlverfahren so eingerichtet sein, dass der einzelne Wähler den Inhalt seiner eigenen Stimme jederzeit, auch nach der verbindlichen Abgabe, einsehen kann.

[28]

DiePublikumskontrolle richtet sich nicht bloß an die einzelnen Wahlberechtigten, sondern an die gesamte Öffentlichkeit also auch Nicht-Wahlberechtigte. Allen Bürgern muss es möglich sein, den verfassungsgemäßen Ablauf jeder Stimmabgabe nachzuvollziehen, also die Einhaltung der Wahlgrundsätze des Art. 38 Abs. 1. Satz 1 GG. Dabei darf jedoch das Wahlgeheimnis nicht gebrochen, der Inhalt fremder Stimmen also nicht wahrgenommen werden.

4.3.

Technische Ziele ^

[29]

Aus dem Kriterium der Individualkontrolle folgt, dass der Wähler die Integrität seiner Stimme von der Stimmabgabe und Verarbeitung auf Seiten des Wahlclients über die Übertragung bis hin zur Speicherung und Stimmauszählung auf dem Wahlserver nachvollziehen können muss.

[30]

Jeder Wähler muss ohne besonderes technisches Vorwissen nachvollziehen können,

  1. dass die Integrität seiner Stimme bei der Verarbeitung auf Seiten des Wahlclients gewahrt bleibt ( Cast-as-Intended [Adida06] ).
  2. dass die Integrität seiner Stimme auf dem Übertragungsweg gewahrt bleibt (Cast-as-Intended [Adida06] ).
  3. dass die Integrität seiner Stimme bei der Speicherung auf Seiten des Wahlservers gewahrt bleibt (Recorded-as-Cast [Adida06] ).
  4. dass seine Stimme bei der Stimmauszählung unverfälscht (integer) und korrekt (zählgleich) einfließt.
[31]

Gemäß dem Kriterium der Publikumskontrolle muss die Öffentlichkeit die Möglichkeit haben, die Integrität jeder abgegebenen Stimme sowie die Korrektheit der Stimmauszählung nachzuvollziehen.

[32]

Alle Bürger müssen ohne besonderes technisches Vorwissen nachvollziehen können,

  1. dass die Integrität aller Stimmen bei der Verarbeitung auf Seiten des Wahlclients gewahrt bleibt, ohne die Vertraulichkeit der Stimmen dabei brechen zu können.
  2. dass die Integrität aller Stimmen auf dem Übertragungsweg gewahrt bleibt, ohne die Vertraulichkeit der Stimmen dabei brechen zu können.
  3. dass die Integrität aller Stimmen bei der Speicherung auf Seiten des Wahlservers gewahrt bleibt, ohne die Vertraulichkeit der Stimmen dabei brechen zu können.
  4. dass die Integrität der Stimmauszählung gewahrt bleibt. Dies umfasst die Überprüfbarkeit, dass die Stimmen bei der Stimmauszählung unverfälscht (integer) und korrekt (zählgleich) und vollständig einfließen, ohne dass die Vertraulichkeit der Stimmen dabei gebrochen werden kann (Counted-as-Recorded [Adida06]).
  5. dass die Vertraulichkeit aller Stimmen zu jeder Zeit gewahrt bleibt, ohne selber die Vertraulichkeit der Stimmen dabei brechen zu können.
  6. dass der Zugang zu der Wahlanwendung nicht in irgendeiner Weise unzulässig beschränkt wird, ohne die Vertraulichkeit der Stimmen dabei brechen zu können.
  7. dass keine unzulässige Beeinflussung des Wählers bei der Wahlentscheidung erfolgt, ohne die Vertraulichkeit der Stimmen dabei brechen zu können.
  8. Im Falle einer Manipulation der Stimmen auf Seiten des Wahlclients, auf dem Übertragungsweg, der Speicherung auf dem Wahlserver oder der Manipulation der Stimmauszählung muss diese für jeden erkennbar sein.
[33]

Aus dem Wahlcomputerurteil selbst ergeben sich darüber hinaus folgende technische Ziele:

  1. Die Stimmen dürfen nach der Stimmabgabe nicht lediglich auf einem elektronischen Speicher abgelegt werden [BVerfG09, Abs. 120].
  2. Die auf einem elektronischen Speicher abgelegten Stimmen dürfen nicht bloß anhand eines zusammenfassenden Papierausdrucks oder auf einer elektronischen Anzeige als Ergebnis dargestellt werden [BverfG09, Abs. 120].

4.4.

Gestaltungsvorschlag des Bundesverfassungsgerichts ^

[34]

Als denkbare Gestaltungsmöglichkeit für eine öffentliche elektronische Wahl führt das Bundesverfassungsgericht im Wahlcomputerurteil einen Papierausdruck für jeden Wähler an, anhand dessen dieser vor der endgültigen Abgabe der Stimme und im Nachhinein die richtige Erfassung der Stimme kontrollieren könne. Diese Ausdrucke könnten dann nach der Stimmabgabe zur Kontrollierbarkeit des Gesamtergebnisses gesammelt werden [BverfG09, Abs. 121]. Hierbei handelt es sich jedoch um einen «untauglichen Versuch der Technikgestaltung» [BuchmannR09] durch das Gericht, denn ein Wähler kann nicht darauf verwiesen sein, einem Wahlverfahren, dem er nicht traut, deshalb zu vertrauen, weil er von eben diesem Wahlverfahren eine Bestätigung der Richtigkeit erhält. Kann eine elektronische Anzeige manipuliert sein, so gilt dies ebenso für einen Papierausdruck.

5.

Fazit ^

[35]
Dieser Beitrag ist im Rahmen des DFG-geförderten Projektes «juristisch-informatische Modellierung von Internetwahlen» (ModIWa) entstanden und zeigt exemplarisch am Grundsatz der Öffentlichkeit der Wahl, wie die rechtlichen Vorgaben in interdisziplinärer Zusammenarbeit mit Hilfe der Methode KORA produktiv zu Sicherheitsanforderungen für Internetwahlen konkretisiert werden können. Die so extrahierten Sicherheitsanforderungen grenzen sich dabei auf Grund ihrer detaillierten rechtlichen Begründung deutlich von bereits existierenden Sicherheitsanforderungen ab. Nichtsdestotrotz bleiben sowohl auf juristischer als auch auf informatischer Seite noch Fragestellungen offen und bieten Raum für anschließende Arbeiten.
[36]
Analog zu den Sicherheitsanforderungen bzgl. des Öffentlichkeitsgrundsatzes sind in interdisziplinärer Zusammenarbeit die rechtlichen Anforderungen für Internetwahlen vollständig zu erfassen und zu technischen Zielen zu konkretisieren. Auf Seiten der Rechtswissenschaften bleibt zu klären, ob die strengen Anforderungen an die Öffentlichkeit der Wahl gerade für nicht-parlamentarische Wahlen oder für Internetwahlen als Ersatz für die Briefwahl ebenso umfassend gelten müssen und welche Freiräume sich auch nach dem Wahlcomputerurteil für die Anwendung von Internetwahlverfahren ergeben. Auf Seiten der Informatik sind die Sicherheitsanforderungen an Internetwahlen formal zu modellieren. Die formale Modellierung ermöglicht die Eliminierung von Interpretationsspielräumen, welche durch die natürlichsprachliche Formulierung gegeben sind und ermöglicht einen formalen Beweis, dass eine Spezifikation oder Implementierung eines konkreten Internetwahlsystems die Sicherheitsanforderungen erfüllt. Darüber hinaus sind aus den technischen Zielen Gestaltungsvorschläge für Hersteller und Anwender von Internetwahlsystemen zu erarbeiten, welche diesen eine Handlungsempfehlung für die rechtskonforme Gestaltung und Implementierung ihrer Systeme liefern.

6.

Literatur ^

[Adida06]Adida, Neff, Ballot Casting Assurance, EVT '06, Proceedings of the First Usenix/ACCURATE Electronic Voting Technology Workshop, Vancouver, Canada, 2006.
[BVerfG08 ] BVerfG, 2 BvC 1/07 vom 3.7.2008,
www.bverfg.de/entscheidungen/cs20080703_2bvc000107.html .
[BverfG09] BVerfG, 2 BvC 3/07 vom 3.3.2009,
www.bverfg.de/entscheidungen/cs20090303_2bvc000307.html .
[BverfG81] BVerfGE 59, 119 (124 f.),
http://sorminiserv.unibe.ch:8080/tools/ainfo.exe?Command=ShowPrintVersion&Name=bv059119 .
[BverfG02] BVerfGE 107, 59 (92),
http://sorminiserv.unibe.ch:8080/tools/ainfo.exe?Command=ShowPrintVersion&Name=bv107059 .
[BuchmannR09]Buchmann ,Roßnagel (2009): Das Bundesverfassungsgericht und Telemedienwahlen, K&R 9/2009, S. 543.
[Fitting06]Fitting , Betriebsverfassungsgesetz mit Wahlordnung, Handkommentar, 23. Auflage 2006, § 14 WO Rn. 5.
[GrimmRWW09]Grimm, Reinhard, Winter, Witte (2009): Erfahrungen mit Online-Wahlen für Vereinsgremien, DuD 02/2009, S. 97-101.
[HammerPR93]Hammer, Pordesch, Roßnagel , Betriebliche Telefon- und ISDN-Anlagen rechtsgemäß gestaltet, 1993, S. 43 ff.
[Hanßmann04]Hanßmann , Möglichkeiten und Grenzen von Internetwahlen, 2004, S. 180 ff.
[HelbachKMMV07]Helbach, Krimmer, Meletiadou, Meißner, Volkamer (2007): Zukunft von Online-Wahlen, DuD 6/ 2007, S. 434.
[Neymanns02]Neymanns , in: Online-Wahlen,Buchstein/ Neymanns (Hrsg.), 2002, S. 36.
Rüß , Wahlen im Internet, MMR 2000, 73.
Rüß, E-democracy – Demokratie und Wahlen im Internet, ZRP 2001 Heft 11,
S. 518 (520).
Will , Internetwahlen, 2002.
[Volkamer09]Volkamer (2009): Evaluation of Electronic Voting, 2009.
[VolkamerV08]Volkamer, Vogt (2008): Basissatz von Sicherheitsanforderungen an Online-Wahlprodukte, Common Criteria Protection Profile BSI-PP-0037,www.bsi.de/cc/pplist/pplist#PP0037 .
[Schreiber02]Schreiber , Kommentar BWG, 7. Auflage 2002, § 31 Rn. 2.



Philipp Richter, Universität Kassel, FB 07 – provet, Wilhelmshöher Allee 64-66, 34109 Kassel, DE
prichter@uni-kassel.de

Katharina Hupf, Universität Koblenz-Landau, Universitätsstr. 1, 56070 Koblenz, DE
hupfi@uni-koblenz.de