Jusletter IT

Art. 11 Abs. 4 EUV idF. des Vertrages von Lissabon sieht – als Ergänzung zum System der «repräsentativen Demokratie», auf dem «die Arbeitsweise der Union beruht» (Art. 10 Abs. 1 EUV) – das Institut der «Europäischen Bürgerinitiative» (im Folgenden: EBI) vor.¹ Gemäß Art. 11 Abs. 4 UAbs. 2 EUV iVm Art. 24 Abs. 1 AEUV sind die näheren «Verfahren und Bedingungen» für die Inanspruchnahme dieses Instituts mittels Verordnung im ordentlichen Gesetzgebungsverfahren nach Art. 294 AEUV festzulegen.

Ebendiese Verordnung liegt nunmehr vor² und sie enthält – im Kontext der Regelungen demokratischer Partizipation bis jetzt an sich keineswegs – selbstverständlicherweise – eigene Bestimmungen für «Online-Sammelsysteme» (Art. 6). Der nachfolgende Beitrag analysiert diesen sekundärrechtlichen Rechtsrahmen unter diesem besonderen Gesichtspunkt; dabei ist es allerdings unvermeidlich, als Interpretationsdeterminante auch die Primärrechtsebene sowie, vergleichend, auch den komplementären Modus (im folgenden vereinfachend «Papier-Modus» genannt) einzubeziehen.

Erfreulicherweise stellt der nunmehrige erste Erwägungsgrund klar, dass es sich bei der EBI nicht um eine bloße, der Initiative beliebiger Privater entspringende, und auch ausschließlich mit privaten Mitteln zusammengestellte (Sammel-)Petition³ , sondern um ein den Befugnissen des Europäischen Parlamentes (im Folgenden: EP) bzw. des Rates nach Art. 225 bzw Art. 241 AEUV gleichartiges «Recht»⁴ handelt. Diese Verstärkung des institutionellen Gewichts ist einmal bei dem nunmehrigen normativen Stellenwert des Art. 5 Abs. 3 UAbs. 2 – wonach «Unterzeichner … eine bestimmte … Bürgerinitiativenur einmal unterstützen» dürfen⁵ – zu beachten.

Zum andern entspricht dieser Verstärkung die gleichfalls erst im Zuge der parlamentarischen Beratungen eingefügte – freilich effektiv nur für den Online-Modus wirksame⁶ – Bestimmung des Art. 6 Abs. 2 UAbs. 4, wonach

Dazu kommt noch, dass – gleichfalls erst im Zuge der parlamentarischen Beratungen – die grundlegende Anforderung eingefügt wurde, wonach auch die Organisatoren «Unionsbürger» zu sein haben. Denn dies verstärkt nicht nur den politischen Bezug, sondern impliziert auch den Ausschluss juristischer Personen. Angesichts

• der unvermeidlichen Kosten der Durchführung einer EBI,
  
• der primärrechtlichen, aus Art. 9 EUV erfließenden Verpflichtung, allen Unionsbürgern «ein gleiches Maß an Aufmerksamkeit seitens der Organe … der Union zuteil» werden zu lassen
  
• sowie schließlich der begrenzten finanziellen Ressourcen zumindest der weit überwiegenden Mehrheit der Unionsbürger (jedenfalls im Unterschied zu zumindest einer erheblichen Anzahl juristischer Personen)
  

ist die erwähnte, nachträgliche Einfügung des Art. 6 Abs. 2 UAbs. 4 als grundsätzlicher Ausdruck derAnerkennung des Bestehens einer «staatlichen» – hier eben vom Unionsorgan Kommission (im Folgenden: KO) zu erfüllenden –Gewährleistungspflicht hinsichtlich der faktischen Ausübbarkeit dieses demokratischen Partizipations«rechts» nur zu verständlich.

Sieht man näher zu, dann scheint allerdings der Umstand, dass die gerade in Punkt 2.1. erläuterte Konzeption erst Resultat eines im EP erfolgten Perspektivenwechsels ist, im beschlossenen Text noch in mehrerer Hinsicht nachzuwirken:

• Zum einen dürfte hierauf der bereits angesprochene Umstand zurückzuführen sein, dass für den Papier-Modus keine vergleichbare Gewährleistung beschlossen wurde, obwohl die Kosten hiefür sicherlich nicht geringer zu veranschlagen sein werden als für den Online-Modus.⁷
  
  
• Zum andern aber wurde auch innerhalb des Online-Modus die ursprüngliche Struktur des Art. 6 insoferne unverändert beibehalten, als nach wie vor «das Online-Sammelsystem» als solches vom Organisator, als Ausfluss seiner spezifischen Verantwortung (Art. 6 Abs. 2 UAbs. 1), dem jeweils zuständigen Mitgliedsstaat zur Genehmigung vorzulegen ist (Art. 6 Abs. 2 UAbs. 2 und 3). Der Maßstab für eine solche Genehmigung ist zwar, anhand der in Art. 6 Abs. 4 angeführten Determinanten, von der KO zu spezifizieren. Allerdings unterfällt nunmehr auch die von der KO nach Art. 6 Abs. 2 UAbs. 4 bereitzustellende «software» ihrerseits, als Teil des gesamten «Online-Sammelsystems», der letztlichen mitgliedsstaatlichen Genehmigungspflicht, so dass das Szenario zumindest nicht gänzlich ausgeschlossen werden kann, dass eine von der KO dem Organisator zur Verfügung gestellte «software» von einem Mitgliedsstaatnicht genehmigt werde …
  

Angesichts der in Punkt 2.1. herausgestellten nunmehrigen erhöhten Bedeutung des Prinzips «one person one signature» ist wohl davon auszugehen, dass die Einhaltung dieses Prinzips von den in Art. 6 Abs. 2 UAbs. 4 sowie Abs. 4 lit. b normierten Anforderungen erfasst werde, zumal der Wortlaut dieser Bestimmungen einer solchen – vom demokratischen Prinzip⁸ durchaus nahegelegten – Interpretation keineswegs entgegensteht:

• Zum einen bezieht sich Art. 6 Abs. 2 UAbs. 4 keineswegs lediglich auf Abs. 4, sondern spricht verbalisiert von der «Einhaltung der Vorschriften dieser Verordnung»; unter diese fällt aber gerade auch Art. 5 Abs. 3 UAbs. 2.⁹
  
  
• Zum andern gebietet aber auch Art. 6 Abs. 4 lit. b ganz generell die «sichere» Sammlung und Speicherung, während die nachfolgenden Spezifikationen lediglich demonstrativer Art sind (arg «u.a.»); von einer – generell – «sicheren» Sammlung von Unterstützungserklärungen kann aber wohl – zumal angesichts des primärrechtlich fundierten Stellenwertes – nur bei einer Einhaltung auch des Art. 5 Abs. 3 UAbs. 2 gesprochen werden.
  

Aus den in Punkt 2.1. genannten Gründen wäre zunächst einmal eine Regelung, wonach den Organisatoren jedenfalls im Online-Modusso wenig Kosten wie nur irgend möglich erwachsen, zu erwarten. Dieses systematische, letztlich an Art. 9 EUV orientierte Argument stößt jedoch an gewisse Grenzen, deckt der Begriff «Software» doch – jedenfalls nach gängigem informatorischen Verständnis – nicht folgende Komponenten eines Online-Sammelsystems ab: (i) Hardware, Systemsoftware (Betriebssystem, Datenbank) und Netzkomponenten, (ii) Rechenzentrum und Betriebsinfrastruktur (Strom, Klima, Zutrittskontrolle etc.), (iii) Betriebsdienstleistungen (bspw. Backups, Betriebsüberwachung) und (iv) Helpdesk. Diese seien im Folgenden sprachlich als «Infrastruktur» zusammengefasst; mit anderen Worten: «Online-Sammelsystem» = «Software» + «Infrastruktur».

Soferne man also die Bereitstellungsverpflichtung der Kommission nach Art. 6 Abs. 2 UAbs. 4 der Verordnung nicht – aus den genannten systematischen Gründen – gegen den Wortlaut interpretiert, erfasst diese Verpflichtung nur die Software, nicht jedoch die Infrastruktur. Die sich ergebenden Konsequenzen wiegen umso schwerer, je enger der Begriff «software» interpretiert wird.¹⁰

Art. 6 Abs. 1 UAbs. 3 lautet: «Die Modelle der Formulare für Unterstützungsbekundungen können zum Zweck der elektronischen Sammlung abgeändert werden». Diese Modelle sind in Anhang III der Verordnung geregelt; deren Abänderung ist an sich der Kommission im Wege delegierter Rechtssetzung (Art. 290 AEUV) übertragen (Art. 16 ff.). Vor diesem allgemeinen Hintergrund ist die Reichweite der in Art. 6 Abs. 1 UAbs. 3 erteilten Ermächtigung unklar; es kann diese Bestimmung aber vielleicht zur Abwehr zweifelsfrei primärrechtswidriger Ergebnisse der Auslegung der Verordnung herangezogen werden.

Für die Definition von Sicherheitsmerkmalen von Informationssystemen hat sich der Common Criteria¹¹ Standard weltweit etabliert, so wird er beispielsweise im eVoting für das Sicherheitsprofil PP-0037¹² des deutschen Bundesamts für Sicherheit in der Informationstechnik verwendet, auch Anhang III der Empfehlung des Europarates zu eVoting¹³ stellt zwar kein zertifiziertes Profil dar, lehnt sich aber in seiner Beschreibungsmethodik an Common Criteria an. Die Evaluierung kann auf verschiedenen Prüfniveaus (Evaluation Assurance Levels, EAL) ablaufen. Definiert sind EAL 1 bis 7, die sich in ihren Anforderungen an die für die Zertifizierung beizubringende Dokumentation, aber auch den Grad der Formalisierung der Prüfung massiv unterscheiden: EAL 1 stellt als Basisstufe keine Sicherheitszertifizierung im engeren Sinne dar, sondern evaluiert i.W. das korrekte Funktionieren der Anwendung. Funktionale Testpläne sind ab EAL 2, der Source Code ab EAL 4 vorzulegen. Formale Prüfmethoden beginnen ebenfalls erst ab EAL 4. Im Folgenden wird eine nicht formale Form gewählt, wie sie in etwa EAL 2 entspräche.¹⁴

Den Beginn eines jeden Schutzprofildefinitionsprozesses stellt die Beschreibung des Evaluierungsgegenstandes dar, auf den sich das Profil überhaupt bezieht. In unserem Fall ist dies ein Online- Sammelsystem für die EBI, dessen Speicherkomponente und dessen Subsystem zur Erzeugung der Daten für die nationalen Prüfbehörden, die die Unterstützungserklärungen zur EBI prüfen¹⁵ («Prüfschnittstelle»). Es besteht von den Prozessen her im Minimum aus einer (wohl Web-basierten) Komponente zur Abgabe der Erklärungen, einer Überwachungs- und Auswertungskomponente und der Prüfschnittstelle. Nicht Teil des TOE sind die behördenseitigen Prüfinstrumente.

Zu zertifizieren ist jedenfalls dasgesamte Online-Sammelsystem, nicht bloß die Software.¹⁶ Angesichts der nunmehr in der Verordnung angelegten grundsätzlichen Trennung zwischen von der Kommission zur Verfügung zu stellender «Software» (Art. 6 Abs. 2 UAbs. 4) und der von den Organisatoren jeweils neu beizustellenden komplementären Infrastruktur wird die Zertifizierung des gesamten Online-Sammelsystems allerdings wesentlich erschwert, zumal auch eine zertifizierte Software, auf einem schlecht gesicherten Serversystem betrieben, wenig ausrichten kann. In weiterer Folge wird das Sammelsystem als System in seiner Gesamtheit betrachtet und dieser speziellen Erschwernis nicht Rechnung getragen.

Die zu schützenden Werte wurden oben in Punkt 2.3 definiert. An Subjekten können identifiziert werden: die Organisatoren (ORG), Administratoren (ADM) des Sammelsystems, Unterstützer (UNT), Angreifer von außen (ANG)¹⁷ . Man beachte, dass diese Rollen in gewissen Personen auch durchaus zusammenfallen können; so kann ein Organisator auch sein Sammelsystem administrieren und selbst eine Unterstützungserklärung abgeben.

Eine Grundannahme eines jeden IT-Systems ist die Frage, ob man dem Administrationspersonal vertraut oder es als potentiellen (und sehr potenten!) Angreifer sieht. Da die Verordnung dazu keine Hinweise enthält, wird wohl u.a. folgende Annahme gelten:
A_Administrator: Der Administrator des online Sammelsystems und die Organisatoren der EBI werden als potentielle Angreifer gesehen.

Eine weitere Annahme ergibt sich im Zusammenhang mit dem Grundsatz «one person, one signature»:

Im Folgenden werden die Zertifizierungserfordernisse nach Art. 6 Abs. 4 lit a-b, im Lichte der oben unter Punkt 2.3. angegebenen Interpretation, beispielhaft diskutiert. Lit. c dagegen wird nicht behandelt, da es sich hier um eine bloße Anforderung, ein bestimmtes Druckbild einzuhalten, handelt, nicht um eine Sicherheitsanforderung im eigentlichen Sinne.

Art. 6 Abs. 4 lit a lässt sich sehr einfach in zwei (interne und externe) Bedrohungen überführen: 

T_Automat: Ein Automat gibt eine oder mehrere Unterstützungserklärungen in das online Sammelsystem ein (durchführbar durch Subjekte UNT, ANG und ADM).

T_ForgeImport: «Erklärungen» von Nichtunterstützern werden automatisiert in die Datenbank des Sammelsystems (also nicht über das Webformular des Sammelsystems) einkopiert (ADM).

Hier wäre zunächst zu klären, was unter «data provided online» zu verstehen ist: nur die ausgefüllte Unterstützungserklärung oder auch das leere Formular zur Unterstützung, die vorgeschaltete Seite, die den Benutzer eine Sprache bzw. ein nationales Formular auswählen lässt, oder auch die aus dem Sammelsystem exportierten Daten zum Zwecke der Überprüfung durch die nationalen Behörden gem. Art. 8 der Verordnung. Im Folgenden wird von einer weiteren Definition dieses Begriffes ausgegangen. Fokussierend auf das in Art. 5 Abs. 3 normierte «Signatories may only support a given proposed citizens´ initiative once » (d.h. die Sicherung gegen «Duplikate») ergeben sich folgende Bedrohungen (in Klammern die möglichen Angreifer):

Da in diesem Fall die Protokollierung der Abgabe der Erklärungen ein wesentliches Sicherheitsmerkmal ist, tangieren hier auch folgende Bedrohungen:
T_Timestamp: Online oder ex-post Fälschung der Timestamp der Abgabe oder Protokollierung.

Zu jeder dieser – hier nur beispielhaft aufgelisteten – Bedrohungen sollten angegeben werden, welche Motivation der Angreifer verfolgt¹⁸ , welches Angriffsniveau bzw. –methodik für den jeweiligen Angreifer erforderlich ist, wie bzw. über welchen Angriffspunkt ein solcher Angriff erfolgt sowie welche Abhängigkeiten zwischen den Bedrohungen bestehen.¹⁹

Aus Annahmen und Bedrohungen ergeben sich die Sicherheitsziele. Allenfalls können noch organisatorische «Policies» definiert werden; falls dies der Fall ist, können diese natürlich ebenfalls weitere Ziele ergeben. Für ein EBI online Sammelsystem lassen sich beispielhaft in Bezug auf die Sicherung gegen «Duplikate» folgende Sicherheitsziele ableiten:

O_IdentifyPerson: Eine Person muss eindeutig identifizierbar sein; dies kann in folgende Sub-Objectives zerlegt werden:

O_IdentifyPerson.InMS: eindeutige Identifikation innerhalb eines MS über die möglichen Identifikationsmerkmale in Anhang III hinweg.

O_IdentifyPerson.OverMS: eindeutige Identifikation über MS hinweg.

O_IdentifyPerson.Doc: die eindeutige Identifikation der Person anhand eines Dokumentes.

O_IdentifyPerson.Resident: die eindeutige Identifikation der Person anhand des «resident» bzw. «wohnhafte Person» Status in den Fällen von Anhang III, Teil C.1

O_IdentityPerson.Move: bei Umzügen innerhalb der EU bzw. innerhalb eines MS während der Laufzeit der Initiative muss die Person eindeutig identifizierbar bleiben.

Nicht im engeren Bereich der Duplikatsprüfung, aber damit verwandt wäre:
O_IdentityPerson.EU: die Prüfung, ob der Inhaber eines Dokumenteszum Zeitpunkt der Unterstützung EU-Bürger ist, dies gilt insbesondere für alle Führerscheine, Aufenthaltsgenehmigungen, Jagdscheine, Kombattantenkarten udgl. So ist bspw. nicht automatisch sichergestellt, ob der Inhaber einer 1960 im damaligen Departement Oran ausgestellten Kombattantenkarte heute EU-Bürger ist. Dasselbe gilt für alle «wohnhafte Personen» im Sinne des Anhanges III.C.1. Dies muss anhand der Nationalitätsangabe der Formulare in Anhang III.A und .B geprüft werden.

Natürlich ergeben sich auch für die Integrität des Audit bestimmte Ziele, wie etwa:
O_IntegritätAudit: Das Sammelsystem stellt sicher, dass Auditsätze nicht unbemerkt gelöscht, eingefügt oder verändert werden können.

Hier werden Referenzen aufgebaut zwischen den Sicherheitszielen und den Bedrohungen des Systems, d.h. welche Sicherheitsziele welche Bedrohungen verhindern sollen. So unterstützen bspw. O_IdentifyPerson.InMS, O_IdentifyPerson.Doc und O_IdentifyPerson.Resident die Abwehr von T_DeclareDuplicate.SameState. An dieser Stelle wären dann die definitorischen Präliminarien abgeschlossen und man kann sich der eigentlichen Definition der technischen Anforderungen des Schutzprofils zuwenden.

Wie bereits die rein beispielhafte Diskussion eines Schutzprofils im Aspekt «one person, one signature» gezeigt hat, ist eine Duplikatsprüfungohne eineneindeutigen Identifikator der Person (z.B. eine Reisepass-, Personalausweis-, Sozialversicherungs- oder Bürgernummer)nicht möglich ; dieser Identifikator muss dabei – um einen zuverlässigen Abgleich zu ermöglichen –jeder einzelnen Unterstützungsbekundung beigefügt sein.

Weder im Haupttext der Verordnung noch im Anhang III – der Form und Inhalt der Unterstützungsbekundungen festlegt – ist aber eine solche Angabe zwingend vorgesehen.

• Gegenteilig hält Art. 8 Abs. 2 UAbs. 2 ausdrücklich fest: «eine Authentifizierung der Unterschriften ist für die Zwecke der Überprüfung der Unterstützungsbekundungen nicht erforderlich».
  
• In Anhang III, Teil A wird hinsichtlich der dort aufgelisteten MS keine Pass- oder sonstige Ausweisnummer gefordert.
  
• In Anhang III wäre eine eindeutige Identifikation in den allermeisten Fällen über die Kombination Name, Geburtsdatum, Geburtsort der Person möglich. Die Kombination dieser Angaben ist jedoch nicht für alle MS vorgesehen.²⁰
  
• In den MS, die neben Reisepass- bzw. Personalausweisnummer auch andere Dokumente für die Abgabe einer Unterstützungserklärung vorsehen (wie etwa Führerscheine, Kombattantenkarten, Meldebestätigung udgl.) ist eindeutige Identifikation der Person nur dann möglich, wenn es zumindest innerhalb des betreffenden MS möglich ist, von einem Nicht-Reisepass- bzw. -personalausweisdokument zweifelsfrei auf den Bürger im Melderegister zu schließen.
  
• Selbst bei den MS, die, wie etwa Österreich,für sich ausschließlich die Angabe einer Reisepass- oder Personalausweisnummer fordern, ist aber nicht sichergestellt, dass dieselben Personen nicht mit Dokumenten anderer MS für diese zusätzliche Unterstützungserklärungen abgeben.
  

Ob eine Korrektur dieses Mangels zumindest für den Online-Modus ohne förmliche Rechtsänderung möglich sei, erscheint zumindest zweifelhaft.²¹

Balthasar, Alexander, Prosser, Alexander : Die Europäische Bürgerinitiative – Gefährdung der Glaubwürdigkeit eines direktdemokratischen Instruments?, JRP 2010, 122 ff.
Müller-Török, Robert, Stein, Robert : Die Europäische Bürgerinitiative aus Sicht nationaler Wahlbehörden; Verwaltung und Management 5 (2010), 255 ff.
Obwexer, Walter, Villotti, Julia : Die Europäische Bürgerinitiative. Grundlagen, Bedingungen und Verfahren, JRP 2010, 108 ff.
Prosser, Alexander, Schiessl, Karl : Elections via the Internet. International Journal on Public Administration in Central and Eastern Europe 2007 (1), 28 ff.

---

Alexander Prosser, Universitätsprofessor, Wirtschaftsuniversität, Institut für Produktionsmanagement, Augasse 2-6, 1090 Wien, AT
prosser@wu.ac.at, http://e-voting.at
Alexander Balthasar, Ministerialrat, Bundeskanzleramt/Präsidium, Sektionsleitung, Ballhausplatz 2, 1014 Wien, AT
alexander.balthasar@bka.gv.at

---