Jusletter IT

Die Europäische Bürgerinitiative Online − Diskussion eines Schutzprofils

  • Authors: Alexander Balthasar / Alexander Prosser
  • Category: Short Articles
  • Region: Austria
  • Field of law: E-Democracy
  • Collection: Conference proceedings IRIS 2011
  • Citation: Alexander Balthasar / Alexander Prosser, Die Europäische Bürgerinitiative Online − Diskussion eines Schutzprofils, in: Jusletter IT 24 February 2011
Der Beitrag beschäftigt sich mit der Umsetzung der in der Verordnung zur Europäischen Bürgerinitiative (EBI) für das Online-Sammelsystem normierten Anforderungen in ein Schutzprofil nach Common Criteria. Beispielhaft wird dies vorwiegend über die Verhinderung einer Mehrfachunterstützung diskutiert.

Inhaltsverzeichnis

  • 1. Themenstellung
  • 2. Rechtsrahmen
  • 2.1. Die grundsätzliche Konzeption
  • 2.2. Die Umsetzung im Detail
  • 2.3. Möglichkeiten und Grenzen harmonisierender Interpretation
  • 2.3.1. «One Person One Signature»
  • 2.3.2. «Software» vs. «Online-System»
  • 2.3.3. Abänderbarkeit von Formularen im Online-Modus
  • 3. Mögliche Skizze der Grundlagen eines Schutzprofils
  • 3.1. Common Criteria
  • 3.2. Evaluierungsgegenstand (TOE, Target of Evaluation)
  • 3.3. Zu schützende Werte («Assets») und handelnde Subjekte
  • 3.4. (Zusätzliche) Annahmen («Assumptions»)
  • 3.5. Bedrohungen («Threats»)
  • 3.5.1. Art. 6 Abs. 4 lit. a
  • 3.5.2. Art. 6 Abs. 4 lit. b
  • 3.6. Sicherheitsziele (Objectives)
  • 3.7. Relation zwischen Bedrohungen und Sicherheitszielen
  • 4. Verwirklichbarkeit des Schutzprofils
  • 5. Literatur

1.

Themenstellung ^

[1]
Art. 11 Abs. 4 EUV idF. des Vertrages von Lissabon sieht – als Ergänzung zum System der «repräsentativen Demokratie», auf dem «die Arbeitsweise der Union beruht» (Art. 10 Abs. 1 EUV) – das Institut der «Europäischen Bürgerinitiative» (im Folgenden: EBI) vor.1 Gemäß Art. 11 Abs. 4 UAbs. 2 EUV iVm Art. 24 Abs. 1 AEUV sind die näheren «Verfahren und Bedingungen» für die Inanspruchnahme dieses Instituts mittels Verordnung im ordentlichen Gesetzgebungsverfahren nach Art. 294 AEUV festzulegen.
[2]
Ebendiese Verordnung liegt nunmehr vor2 und sie enthält – im Kontext der Regelungen demokratischer Partizipation bis jetzt an sich keineswegs – selbstverständlicherweise – eigene Bestimmungen für «Online-Sammelsysteme» (Art. 6). Der nachfolgende Beitrag analysiert diesen sekundärrechtlichen Rechtsrahmen unter diesem besonderen Gesichtspunkt; dabei ist es allerdings unvermeidlich, als Interpretationsdeterminante auch die Primärrechtsebene sowie, vergleichend, auch den komplementären Modus (im folgenden vereinfachend «Papier-Modus» genannt) einzubeziehen.

2.

Rechtsrahmen ^

2.1.

Die grundsätzliche Konzeption ^

[3]
Erfreulicherweise stellt der nunmehrige erste Erwägungsgrund klar, dass es sich bei der EBI nicht um eine bloße, der Initiative beliebiger Privater entspringende, und auch ausschließlich mit privaten Mitteln zusammengestellte (Sammel-)Petition3 , sondern um ein den Befugnissen des Europäischen Parlamentes (im Folgenden: EP) bzw. des Rates nach Art. 225 bzw Art. 241 AEUV gleichartiges «Recht»4 handelt. Diese Verstärkung des institutionellen Gewichts ist einmal bei dem nunmehrigen normativen Stellenwert des Art. 5 Abs. 3 UAbs. 2 – wonach «Unterzeichner … eine bestimmte … Bürgerinitiativenur einmal unterstützen» dürfen5 – zu beachten.
[4]
Zum andern entspricht dieser Verstärkung die gleichfalls erst im Zuge der parlamentarischen Beratungen eingefügte – freilich effektiv nur für den Online-Modus wirksame6 – Bestimmung des Art. 6 Abs. 2 UAbs. 4, wonach

«… die Kommission eine Open-source-Software [einrichtet], die mit den technischen und sicherheitsspezifischen Funktionen ausgestattet ist, die zur Einhaltung der Vorschriften dieser Verordnung in Bezug auf Online-Sammelsysteme entsprechend notwendig sind; die Kommission wartet diese anschließend. Die Software wird kostenfrei zur Verfügung gestellt.»
[5]
Dazu kommt noch, dass – gleichfalls erst im Zuge der parlamentarischen Beratungen – die grundlegende Anforderung eingefügt wurde, wonach auch die Organisatoren «Unionsbürger» zu sein haben. Denn dies verstärkt nicht nur den politischen Bezug, sondern impliziert auch den Ausschluss juristischer Personen. Angesichts
  • der unvermeidlichen Kosten der Durchführung einer EBI,
  • der primärrechtlichen, aus Art. 9 EUV erfließenden Verpflichtung, allen Unionsbürgern «ein gleiches Maß an Aufmerksamkeit seitens der Organe … der Union zuteil» werden zu lassen
  • sowie schließlich der begrenzten finanziellen Ressourcen zumindest der weit überwiegenden Mehrheit der Unionsbürger (jedenfalls im Unterschied zu zumindest einer erheblichen Anzahl juristischer Personen)
[6]
ist die erwähnte, nachträgliche Einfügung des Art. 6 Abs. 2 UAbs. 4 als grundsätzlicher Ausdruck derAnerkennung des Bestehens einer «staatlichen» – hier eben vom Unionsorgan Kommission (im Folgenden: KO) zu erfüllenden –Gewährleistungspflicht hinsichtlich der faktischen Ausübbarkeit dieses demokratischen Partizipations«rechts» nur zu verständlich.

2.2.

Die Umsetzung im Detail ^

[7]
Sieht man näher zu, dann scheint allerdings der Umstand, dass die gerade in Punkt 2.1. erläuterte Konzeption erst Resultat eines im EP erfolgten Perspektivenwechsels ist, im beschlossenen Text noch in mehrerer Hinsicht nachzuwirken:
  • Zum einen dürfte hierauf der bereits angesprochene Umstand zurückzuführen sein, dass für den Papier-Modus keine vergleichbare Gewährleistung beschlossen wurde, obwohl die Kosten hiefür sicherlich nicht geringer zu veranschlagen sein werden als für den Online-Modus.7

  • Zum andern aber wurde auch innerhalb des Online-Modus die ursprüngliche Struktur des Art. 6 insoferne unverändert beibehalten, als nach wie vor «das Online-Sammelsystem» als solches vom Organisator, als Ausfluss seiner spezifischen Verantwortung (Art. 6 Abs. 2 UAbs. 1), dem jeweils zuständigen Mitgliedsstaat zur Genehmigung vorzulegen ist (Art. 6 Abs. 2 UAbs. 2 und 3). Der Maßstab für eine solche Genehmigung ist zwar, anhand der in Art. 6 Abs. 4 angeführten Determinanten, von der KO zu spezifizieren. Allerdings unterfällt nunmehr auch die von der KO nach Art. 6 Abs. 2 UAbs. 4 bereitzustellende «software» ihrerseits, als Teil des gesamten «Online-Sammelsystems», der letztlichen mitgliedsstaatlichen Genehmigungspflicht, so dass das Szenario zumindest nicht gänzlich ausgeschlossen werden kann, dass eine von der KO dem Organisator zur Verfügung gestellte «software» von einem Mitgliedsstaatnicht genehmigt werde …

2.3.

Möglichkeiten und Grenzen harmonisierender Interpretation ^

2.3.1.

«One Person One Signature» ^

[8]
Angesichts der in Punkt 2.1. herausgestellten nunmehrigen erhöhten Bedeutung des Prinzips «one person one signature» ist wohl davon auszugehen, dass die Einhaltung dieses Prinzips von den in Art. 6 Abs. 2 UAbs. 4 sowie Abs. 4 lit. b normierten Anforderungen erfasst werde, zumal der Wortlaut dieser Bestimmungen einer solchen – vom demokratischen Prinzip8 durchaus nahegelegten – Interpretation keineswegs entgegensteht:
  • Zum einen bezieht sich Art. 6 Abs. 2 UAbs. 4 keineswegs lediglich auf Abs. 4, sondern spricht verbalisiert von der «Einhaltung der Vorschriften dieser Verordnung»; unter diese fällt aber gerade auch Art. 5 Abs. 3 UAbs. 2.9

  • Zum andern gebietet aber auch Art. 6 Abs. 4 lit. b ganz generell die «sichere» Sammlung und Speicherung, während die nachfolgenden Spezifikationen lediglich demonstrativer Art sind (arg «u.a.»); von einer – generell – «sicheren» Sammlung von Unterstützungserklärungen kann aber wohl – zumal angesichts des primärrechtlich fundierten Stellenwertes – nur bei einer Einhaltung auch des Art. 5 Abs. 3 UAbs. 2 gesprochen werden.

2.3.2.

«Software» vs. «Online-System» ^

[9]
Aus den in Punkt 2.1. genannten Gründen wäre zunächst einmal eine Regelung, wonach den Organisatoren jedenfalls im Online-Modusso wenig Kosten wie nur irgend möglich erwachsen, zu erwarten. Dieses systematische, letztlich an Art. 9 EUV orientierte Argument stößt jedoch an gewisse Grenzen, deckt der Begriff «Software» doch – jedenfalls nach gängigem informatorischen Verständnis – nicht folgende Komponenten eines Online-Sammelsystems ab: (i) Hardware, Systemsoftware (Betriebssystem, Datenbank) und Netzkomponenten, (ii) Rechenzentrum und Betriebsinfrastruktur (Strom, Klima, Zutrittskontrolle etc.), (iii) Betriebsdienstleistungen (bspw. Backups, Betriebsüberwachung) und (iv) Helpdesk. Diese seien im Folgenden sprachlich als «Infrastruktur» zusammengefasst; mit anderen Worten: «Online-Sammelsystem» = «Software» + «Infrastruktur».
[10]
Soferne man also die Bereitstellungsverpflichtung der Kommission nach Art. 6 Abs. 2 UAbs. 4 der Verordnung nicht – aus den genannten systematischen Gründen – gegen den Wortlaut interpretiert, erfasst diese Verpflichtung nur die Software, nicht jedoch die Infrastruktur. Die sich ergebenden Konsequenzen wiegen umso schwerer, je enger der Begriff «software» interpretiert wird.10

2.3.3.

Abänderbarkeit von Formularen im Online-Modus ^

[11]
Art. 6 Abs. 1 UAbs. 3 lautet: «Die Modelle der Formulare für Unterstützungsbekundungen können zum Zweck der elektronischen Sammlung abgeändert werden». Diese Modelle sind in Anhang III der Verordnung geregelt; deren Abänderung ist an sich der Kommission im Wege delegierter Rechtssetzung (Art. 290 AEUV) übertragen (Art. 16 ff.). Vor diesem allgemeinen Hintergrund ist die Reichweite der in Art. 6 Abs. 1 UAbs. 3 erteilten Ermächtigung unklar; es kann diese Bestimmung aber vielleicht zur Abwehr zweifelsfrei primärrechtswidriger Ergebnisse der Auslegung der Verordnung herangezogen werden.

3.

Mögliche Skizze der Grundlagen eines Schutzprofils ^

3.1.

Common Criteria ^

[12]
Für die Definition von Sicherheitsmerkmalen von Informationssystemen hat sich der Common Criteria11 Standard weltweit etabliert, so wird er beispielsweise im eVoting für das Sicherheitsprofil PP-003712 des deutschen Bundesamts für Sicherheit in der Informationstechnik verwendet, auch Anhang III der Empfehlung des Europarates zu eVoting13 stellt zwar kein zertifiziertes Profil dar, lehnt sich aber in seiner Beschreibungsmethodik an Common Criteria an. Die Evaluierung kann auf verschiedenen Prüfniveaus (Evaluation Assurance Levels, EAL) ablaufen. Definiert sind EAL 1 bis 7, die sich in ihren Anforderungen an die für die Zertifizierung beizubringende Dokumentation, aber auch den Grad der Formalisierung der Prüfung massiv unterscheiden: EAL 1 stellt als Basisstufe keine Sicherheitszertifizierung im engeren Sinne dar, sondern evaluiert i.W. das korrekte Funktionieren der Anwendung. Funktionale Testpläne sind ab EAL 2, der Source Code ab EAL 4 vorzulegen. Formale Prüfmethoden beginnen ebenfalls erst ab EAL 4. Im Folgenden wird eine nicht formale Form gewählt, wie sie in etwa EAL 2 entspräche.14

3.2.

Evaluierungsgegenstand (TOE, Target of Evaluation) ^

[13]
Den Beginn eines jeden Schutzprofildefinitionsprozesses stellt die Beschreibung des Evaluierungsgegenstandes dar, auf den sich das Profil überhaupt bezieht. In unserem Fall ist dies ein Online- Sammelsystem für die EBI, dessen Speicherkomponente und dessen Subsystem zur Erzeugung der Daten für die nationalen Prüfbehörden, die die Unterstützungserklärungen zur EBI prüfen15 («Prüfschnittstelle»). Es besteht von den Prozessen her im Minimum aus einer (wohl Web-basierten) Komponente zur Abgabe der Erklärungen, einer Überwachungs- und Auswertungskomponente und der Prüfschnittstelle. Nicht Teil des TOE sind die behördenseitigen Prüfinstrumente.
[14]
Zu zertifizieren ist jedenfalls dasgesamte Online-Sammelsystem, nicht bloß die Software.16 Angesichts der nunmehr in der Verordnung angelegten grundsätzlichen Trennung zwischen von der Kommission zur Verfügung zu stellender «Software» (Art. 6 Abs. 2 UAbs. 4) und der von den Organisatoren jeweils neu beizustellenden komplementären Infrastruktur wird die Zertifizierung des gesamten Online-Sammelsystems allerdings wesentlich erschwert, zumal auch eine zertifizierte Software, auf einem schlecht gesicherten Serversystem betrieben, wenig ausrichten kann. In weiterer Folge wird das Sammelsystem als System in seiner Gesamtheit betrachtet und dieser speziellen Erschwernis nicht Rechnung getragen.

3.3.

Zu schützende Werte («Assets») und handelnde Subjekte ^

[15]
Die zu schützenden Werte wurden oben in Punkt 2.3 definiert. An Subjekten können identifiziert werden: die Organisatoren (ORG), Administratoren (ADM) des Sammelsystems, Unterstützer (UNT), Angreifer von außen (ANG)17 . Man beachte, dass diese Rollen in gewissen Personen auch durchaus zusammenfallen können; so kann ein Organisator auch sein Sammelsystem administrieren und selbst eine Unterstützungserklärung abgeben.

3.4.

(Zusätzliche) Annahmen («Assumptions») ^

[16]
Eine Grundannahme eines jeden IT-Systems ist die Frage, ob man dem Administrationspersonal vertraut oder es als potentiellen (und sehr potenten!) Angreifer sieht. Da die Verordnung dazu keine Hinweise enthält, wird wohl u.a. folgende Annahme gelten:
A_Administrator: Der Administrator des online Sammelsystems und die Organisatoren der EBI werden als potentielle Angreifer gesehen.
[17]
Eine weitere Annahme ergibt sich im Zusammenhang mit dem Grundsatz «one person, one signature»:

A_Duplicate: Personen unterstützen vorsätzlich oder fahrlässig ein EBI mehrfach.

3.5.

Bedrohungen («Threats») ^

[18]
Im Folgenden werden die Zertifizierungserfordernisse nach Art. 6 Abs. 4 lit a-b, im Lichte der oben unter Punkt 2.3. angegebenen Interpretation, beispielhaft diskutiert. Lit. c dagegen wird nicht behandelt, da es sich hier um eine bloße Anforderung, ein bestimmtes Druckbild einzuhalten, handelt, nicht um eine Sicherheitsanforderung im eigentlichen Sinne.

3.5.1.

Art. 6 Abs. 4 lit. a ^

[19]

Art. 6 Abs. 4 lit a lässt sich sehr einfach in zwei (interne und externe) Bedrohungen überführen: 

T_Automat: Ein Automat gibt eine oder mehrere Unterstützungserklärungen in das online Sammelsystem ein (durchführbar durch Subjekte UNT, ANG und ADM).

T_ForgeImport: «Erklärungen» von Nichtunterstützern werden automatisiert in die Datenbank des Sammelsystems (also nicht über das Webformular des Sammelsystems) einkopiert (ADM).

3.5.2.

Art. 6 Abs. 4 lit. b ^

[20]
Hier wäre zunächst zu klären, was unter «data provided online» zu verstehen ist: nur die ausgefüllte Unterstützungserklärung oder auch das leere Formular zur Unterstützung, die vorgeschaltete Seite, die den Benutzer eine Sprache bzw. ein nationales Formular auswählen lässt, oder auch die aus dem Sammelsystem exportierten Daten zum Zwecke der Überprüfung durch die nationalen Behörden gem. Art. 8 der Verordnung. Im Folgenden wird von einer weiteren Definition dieses Begriffes ausgegangen. Fokussierend auf das in Art. 5 Abs. 3 normierte «Signatories may only support a given proposed citizens´ initiative once » (d.h. die Sicherung gegen «Duplikate») ergeben sich folgende Bedrohungen (in Klammern die möglichen Angreifer):

T_DeclareDuplicate: Ein Unterstützer gibt seine Erklärung mehrfach ab (UNT); Unterformen dazu wären:
T_DeclareDuplicate.SameState: Der Unterstützer verwendet dasselbe oder unterschiedliche Dokumente (bzw. identifizierende Merkmale) desselben Mitgliedsstaates (MS).
T_DeclareDuplicate.DiffState: Der Unterstützer verwendet dazu mehrere Dokumente bzw. identifizierende Merkmale aus verschiedenen MS, z.B. eine französischen Jagdschein (gem. Anhang III, Teil B) und einen österreichischen Personalausweis (gem. Anhang III, Teil A) oder bspw. eine österreichische Bürgerin, die in einem Staat aus Anhang III, Teil C.1 residiert, und als solche und zusätzlich mit dem österreichischen Reisepass ihre Unterstützung erklärt.
[21]
Da in diesem Fall die Protokollierung der Abgabe der Erklärungen ein wesentliches Sicherheitsmerkmal ist, tangieren hier auch folgende Bedrohungen:
T_Timestamp: Online oder ex-post Fälschung der Timestamp der Abgabe oder Protokollierung.

T_AuditForge: Fälschen von Protokolldaten (ANG, ADM).
T_AuditLoss: Die Protokollierungsdaten gehen verloren (kein Angreifer) oder werden absichtlich vernichtet (ADM, ANG).
[22]
Zu jeder dieser – hier nur beispielhaft aufgelisteten – Bedrohungen sollten angegeben werden, welche Motivation der Angreifer verfolgt18 , welches Angriffsniveau bzw. –methodik für den jeweiligen Angreifer erforderlich ist, wie bzw. über welchen Angriffspunkt ein solcher Angriff erfolgt sowie welche Abhängigkeiten zwischen den Bedrohungen bestehen.19

3.6.

Sicherheitsziele (Objectives) ^

[23]

Aus Annahmen und Bedrohungen ergeben sich die Sicherheitsziele. Allenfalls können noch organisatorische «Policies» definiert werden; falls dies der Fall ist, können diese natürlich ebenfalls weitere Ziele ergeben. Für ein EBI online Sammelsystem lassen sich beispielhaft in Bezug auf die Sicherung gegen «Duplikate» folgende Sicherheitsziele ableiten:

O_IdentifyPerson: Eine Person muss eindeutig identifizierbar sein; dies kann in folgende Sub-Objectives zerlegt werden:

O_IdentifyPerson.InMS: eindeutige Identifikation innerhalb eines MS über die möglichen Identifikationsmerkmale in Anhang III hinweg.

O_IdentifyPerson.OverMS: eindeutige Identifikation über MS hinweg.

O_IdentifyPerson.Doc: die eindeutige Identifikation der Person anhand eines Dokumentes.

O_IdentifyPerson.Resident: die eindeutige Identifikation der Person anhand des «resident» bzw. «wohnhafte Person» Status in den Fällen von Anhang III, Teil C.1

O_IdentityPerson.Move: bei Umzügen innerhalb der EU bzw. innerhalb eines MS während der Laufzeit der Initiative muss die Person eindeutig identifizierbar bleiben.

[24]
Nicht im engeren Bereich der Duplikatsprüfung, aber damit verwandt wäre:
O_IdentityPerson.EU: die Prüfung, ob der Inhaber eines Dokumenteszum Zeitpunkt der Unterstützung EU-Bürger ist, dies gilt insbesondere für alle Führerscheine, Aufenthaltsgenehmigungen, Jagdscheine, Kombattantenkarten udgl. So ist bspw. nicht automatisch sichergestellt, ob der Inhaber einer 1960 im damaligen Departement Oran ausgestellten Kombattantenkarte heute EU-Bürger ist. Dasselbe gilt für alle «wohnhafte Personen» im Sinne des Anhanges III.C.1. Dies muss anhand der Nationalitätsangabe der Formulare in Anhang III.A und .B geprüft werden.
[25]
Natürlich ergeben sich auch für die Integrität des Audit bestimmte Ziele, wie etwa:
O_IntegritätAudit: Das Sammelsystem stellt sicher, dass Auditsätze nicht unbemerkt gelöscht, eingefügt oder verändert werden können.

3.7.

Relation zwischen Bedrohungen und Sicherheitszielen ^

[26]
Hier werden Referenzen aufgebaut zwischen den Sicherheitszielen und den Bedrohungen des Systems, d.h. welche Sicherheitsziele welche Bedrohungen verhindern sollen. So unterstützen bspw. O_IdentifyPerson.InMS, O_IdentifyPerson.Doc und O_IdentifyPerson.Resident die Abwehr von T_DeclareDuplicate.SameState. An dieser Stelle wären dann die definitorischen Präliminarien abgeschlossen und man kann sich der eigentlichen Definition der technischen Anforderungen des Schutzprofils zuwenden.

4.

Verwirklichbarkeit des Schutzprofils ^

[27]
Wie bereits die rein beispielhafte Diskussion eines Schutzprofils im Aspekt «one person, one signature» gezeigt hat, ist eine Duplikatsprüfungohne eineneindeutigen Identifikator der Person (z.B. eine Reisepass-, Personalausweis-, Sozialversicherungs- oder Bürgernummer)nicht möglich ; dieser Identifikator muss dabei – um einen zuverlässigen Abgleich zu ermöglichen –jeder einzelnen Unterstützungsbekundung beigefügt sein.
[28]
Weder im Haupttext der Verordnung noch im Anhang III – der Form und Inhalt der Unterstützungsbekundungen festlegt – ist aber eine solche Angabe zwingend vorgesehen.
  • Gegenteilig hält Art. 8 Abs. 2 UAbs. 2 ausdrücklich fest: «eine Authentifizierung der Unterschriften ist für die Zwecke der Überprüfung der Unterstützungsbekundungen nicht erforderlich».
  • In Anhang III, Teil A wird hinsichtlich der dort aufgelisteten MS keine Pass- oder sonstige Ausweisnummer gefordert.
  • In Anhang III wäre eine eindeutige Identifikation in den allermeisten Fällen über die Kombination Name, Geburtsdatum, Geburtsort der Person möglich. Die Kombination dieser Angaben ist jedoch nicht für alle MS vorgesehen.20
  • In den MS, die neben Reisepass- bzw. Personalausweisnummer auch andere Dokumente für die Abgabe einer Unterstützungserklärung vorsehen (wie etwa Führerscheine, Kombattantenkarten, Meldebestätigung udgl.) ist eindeutige Identifikation der Person nur dann möglich, wenn es zumindest innerhalb des betreffenden MS möglich ist, von einem Nicht-Reisepass- bzw. -personalausweisdokument zweifelsfrei auf den Bürger im Melderegister zu schließen.
  • Selbst bei den MS, die, wie etwa Österreich,für sich ausschließlich die Angabe einer Reisepass- oder Personalausweisnummer fordern, ist aber nicht sichergestellt, dass dieselben Personen nicht mit Dokumenten anderer MS für diese zusätzliche Unterstützungserklärungen abgeben.
[29]
Ob eine Korrektur dieses Mangels zumindest für den Online-Modus ohne förmliche Rechtsänderung möglich sei, erscheint zumindest zweifelhaft.21

5.

Literatur ^

Balthasar, Alexander, Prosser, Alexander : Die Europäische Bürgerinitiative – Gefährdung der Glaubwürdigkeit eines direktdemokratischen Instruments?, JRP 2010, 122 ff.
Müller-Török, Robert, Stein, Robert : Die Europäische Bürgerinitiative aus Sicht nationaler Wahlbehörden; Verwaltung und Management 5 (2010), 255 ff.
Obwexer, Walter, Villotti, Julia : Die Europäische Bürgerinitiative. Grundlagen, Bedingungen und Verfahren, JRP 2010, 108 ff.
Prosser, Alexander, Schiessl, Karl : Elections via the Internet. International Journal on Public Administration in Central and Eastern Europe 2007 (1), 28 ff.



Alexander Prosser, Universitätsprofessor, Wirtschaftsuniversität, Institut für Produktionsmanagement, Augasse 2-6, 1090 Wien, AT
prosser@wu.ac.at, http://e-voting.at
Alexander Balthasar, Ministerialrat, Bundeskanzleramt/Präsidium, Sektionsleitung, Ballhausplatz 2, 1014 Wien, AT
alexander.balthasar@bka.gv.at


  1. 1 Siehe, zum rechtlichen wie historischen Hintergrund, näher etwa jüngstObwexer/Villotti , JRP 2010, 108-110;Balthasar/Prosser , JRP 2010, 122-125.
  2. 2 Konsolidierter (und im Trilog zwischen Kommission, Europäischem Parlament und Rat vereinbarter) Text laut Legislativer Entschließung des Europäischen Parlaments vom 15.12.2010 zu dem Vorschlag für eine Verordnung … über die Bürgerinitiative (KOM(2010)0119 – C7-0089/2010 –2010/0074(COD) ); im folgenden als «Verordnung» (VO) bezeichnet. Alle Artikel- und Absatzreferenzen ohne Dokumentenangabe beziehen sich auf diese Entschließung.
  3. 3 Bereits in seiner Entschließung vom 7.5.2009 (2008/2169(INI)) hat das EP vor der Verwechslung der EBI mit dem Petitionsrecht gewarnt (Erwägungsgrund E). Vgl. auchBalthasar/Prosser , JRP 2010, 124.
  4. 4 Die Setzung dieses Begriffes in Anführungszeichen rechtfertigt sich durch den – möglicherweise unwillkürlichen, aber eben doch nunmehr normativ existenten – Umstand, dass die EBI als einziges der demokratischen Partizipationsrechte weder in Art. 20 AEUV noch im Titel V der Charta der Grundrechte der Europäischen Union aufscheint.
  5. 5 Es handelt sich hier um dasgrundlegende Prinzip egalitärer Partizipation (siehe näherBalthasar/Prosser , JRP 2010, 125).
  6. 6 In dieser eklatanten Ungleichbehandlung der beiden Modi dürfte sich erheblicher rechtlicher Sprengstoff verbergen, zumal kaum sachlich rechtfertigbar sein dürfte, warum die Organisatoren im Papier-Modus vollständige Verantwortung tragen (Art. 5 Abs. 1 iVm Art. 13), während im Online-Modus ihnen wesentliche Entlastung geboten wird.
  7. 7 Infaktischer Hinsicht ist daher jeder Organisator gut beraten, sich nicht des Papier-Modus zu bedienen; sollte deshalb dieser de facto «totes Recht» bleiben, so könnten aus diesem Umstand anlässlich der erstmals in drei Jahren stattzufinden habenden Evaluierung (Art. 22) die entsprechendenrechtspolitischen Schlüsse gezogen werden. Zurrechtlichen Problematik siehe vorige FN.
  8. 8 Vgl Art. 2 EUV.
  9. 9 Den nachfolgenden Passus «in Bezug auf Online-Sammelsysteme» lesen wir so, dass hiemit lediglich klargestellt wird, dass sich diese Vorschrift nicht auf den Papier-Modus bezieht.
  10. 10 Zunächst verbleiben den Organisatoren einer EBI damit die – regelmäßig erheblichen – Kosten der komplementären Infrastruktur. Diese werden noch durch die Verpflichtung der Kommission zur regelmäßigen Wartungnur der Software verstärkt, bedeutet dies doch einen regelmäßigen Fluss von Updates und Patches zur Fehlerbehebung, deren Einspielen in ein – von den Organisatoren bereitzustellendes – Rechenzentrum dort Kosten verursacht.
  11. 11 ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model July 2009 Version 3.1 Revision 3 Final, download z.B. von http://bsi.bund.de.
  12. 12 PP-00.37 Common Criteria Schutzprofil für Basissatz von Sicherheitsanforderungen an Online-Wahlprodukte, Version 1.0, Bundesamt für Sicherheit in der Informationstechnik,https://www.bsi.bund.de/cln_156/ DE/Themen/ZertifizierungundAnerkennung/ZertifizierungnachCCundITSEC/SchutzprofileProtectionProfiles/schutzprofileprotectionprofiles_node.html .
  13. 13 Council of Europe, Rec 2004(11), Anhang III.
  14. 14 Vgl. dazu die Diskussion in Müller-Török/ Stein, Verwaltung und Management 5 (2010).
  15. 15 Vgl. Art. 8 der Verordnung.
  16. 16 Zur Unterscheidung siehe oben Punkt 2.3.2.
  17. 17 Der externe Angreifer gilt ab dem Moment, ab dem er vollständige Kontrolle über die Serverinfrastruktur des Sammelsystems erlangt hat, als ADM.
  18. 18 T_DeclareDuplicate kann auch vollkommen bona fide erfolgen, da die Eintragungsfrist wohl lange genug sein dürfte, um gerade bei diesbezüglich aktiven Personen eine unbewusste Mehrfacheintragung zu provozieren. Auch die bona fide Mehrfachabgabe aufgrund von Kommunikationsproblemen mit dem Server (Mehrfachklick auf die Schaltfläche «Submit», weil die Seite langsam reagiert und der Benutzer mehrfach «draufklickt») sind absolut möglich.
  19. 19 So setzt beispielsweise ein erfolgreicher T_Timestamp immer auch ein T_AuditForge oder T_AuditLoss voraus.
  20. 20 Siehe Fußnoten 3, 7, 8 in Anhang III.
  21. 21 Siehe oben Punkt 2.3.3.