Jusletter IT

Datensicherheit beim E-Voting vor dem Hintergrund der Entscheidung des Verfassungsgerichtshofes zu den Öh-Wahlen

  • Author: Markus Schröder
  • Category: Short Articles
  • Region: Germany
  • Field of law: E-Democracy
  • Collection: Conference proceedings IRIS 2012
  • Citation: Markus Schröder, Datensicherheit beim E-Voting vor dem Hintergrund der Entscheidung des Verfassungsgerichtshofes zu den Öh-Wahlen, in: Jusletter IT 29 February 2012
Die Wahlen zur Österreichischen Hochschülerinnen- und Hochschülerschaft (ÖH) wurden im Jahre 2009 als elektronische Wahlen, im Wege des sog. E-Voting durchgeführt. Jedoch waren diese Wahlen alles andere als eine Erfolgsgeschichte. Lediglich 0,94% der Stimmen wurden elektronisch abgegeben. An 3 Universitäten wurde laut des Evaluierungsberichts des BMWF keine Stimme online abgegeben. Gerade im E-Voting wurde ein Grund für die geringe Wahlbeteiligung gesehen. So wurde bereits im Vorfeld der Wahlen Kritik an der mangelnden Datensicherheit geübt. Zwar würden die Stimmen vor der Übermittlung über das Internet verschlüsselt, aber zusammen mit der Identität der Wähler der Bundeswahlkommission übermittelt. Falls drei der vier Mitglieder der Kommission zusammenarbeiteten, könnten die Stimmen entschlüsselt und so herausgefunden werden, wer wen elektronisch gewählt habe. Zudem sei jede automatisierte Verschlüsselung hackbar. Die Hochschülerschaft habe vor diesem Hintergrund nicht als Versuchsobjekt für die E-Voting-Pläne der Regierung fungieren wollen. Mittlerweile hat der Verfassungsgerichtshof die zugrunde liegenden Normen für gesetzwidrig erklärt. Dieser Beitrag versucht, anhand einer rechtsvergleichenden Bestandsaufnahme die Unterschiede und Gemeinsamkeiten der jeweils eingesetzten Systeme des E-Votings darzustellen und zu bewerten. Davon ausgehend wird die Frage zu stellen sein, welches etwaige Sicherheitsrisiko man zu tragen bereit ist, um durch eine weitere Nutzung des E-Voting demokratische Prozesse zu befördern.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Judikatur
  • 2.1. Verfassungsgerichtshof 13.12.2011, V 85-96/11-15
  • 2.2. Bundesverfassungsgericht 3.3.2009, 2 BvC 3/07, 2 BvC 4/07
  • 2.3. Rechtsvergleichung
  • 3. Stellungnahme
  • 4. Literatur

1.

Einleitung ^

[1]
Unsere heutige Zeit ist von einer grassierenden Politikmüdigkeit bei weiten Teilen der Bevölkerung gekennzeichnet. Bezeichnenderweise haben aber gerade die Piraten-Parteien mit ihrem auf eine größere Partizipation durch den Einsatz technischer Mittel gerichteten Politikansatz großen Zulauf. Ein Beispiel hierfür ist die für parteiinterne Diskussionen der Piratenpartei Deutschland eingesetzte Software Liquid Feedback.1 Zudem wird in der gesamten öffentlichen Verwaltung seit einiger Zeit eine Hinwendung zum E-Government angestrebt. So ist Österreich Vorreiter in der EU hinsichtlich der Einführung elektronischer Verwaltungsprozesse.2 Unter diesen gesellschaftlichen und administrativen Rahmenbedingungen ist das E-Voting ein interessanter und folgerichtiger Ansatz. Unter dem Begriff des E-Voting werden dabei verschiedene elektronische Wahlverfahren zusammengefasst, zu denen auch die Österreich durchgeführten Internetwahlen und die in Deutschland eingesetzten Wahlcomputer gehören.3 In Estland, einem Land, das ebenfalls führend im Bereich des E-Government ist, wurden im Oktober 2010 die weltweit ersten Wahlen über das Internet erfolgreich durchgeführt.4 So vielversprechend dieser Ansatz ist, so kritisch wurde er stets begleitet. Daher kam es in der Folgezeit auch zu Verfassungsbeschwerden gegen diese Wahlen. Schließlich entschied der Verfassungsgerichtshof am 13.12.2011, dass die entsprechenden Normen der Hochschülerinnen- und Hochschülerschaftswahlordnung (HSWO 2005) gesetzwidrig sind. In Deutschland wurde bislang zwar kein E-Voting über das Internet durchgeführt. Allerdings kamen bei der Bundestagswahl 2005 Wahlcomputer zum Einsatz. In Deutschland fand dies ebenfalls unter beachtlicher Kritik statt. Aufgrund einer Wahlbeschwerde entschied schließlich das Bundesverfassungsgericht, dass der Einsatz von Wahlcomputern verfassungswidrig war. Da Programmierfehler oder gezielte Manipulationen schwer zu erkennen seien, müssten Bürgern bei ihrer Stimmabgabe zuverlässig überprüfen können, ob ihre Stimme vom Computer unverfälscht erfasst worden sei. Das Bundesverfassungsgericht stützte sein Urteil im Wesentlichen auf eine Stellungnahme des Chaos Computer Clubs (CCC). Dieser Beitrag versucht, anhand einer rechtsvergleichenden Bestandsaufnahme die Unterschiede und Gemeinsamkeiten der jeweils eingesetzten Systeme des E-Votings darzustellen und zu bewerten. Davon ausgehend wird die Frage zu stellen sein, welches etwaiges Sicherheitsrisiko man zu tragen bereit ist, um durch eine weitere Nutzung des E-Voting demokratische Prozesse zu befördern. Zunächst sollen nun die Entscheidungen der Verfassungsgerichte in Österreich und Deutschland zum E-Voting vorgestellt werden.

2.

Judikatur ^

2.1.

Verfassungsgerichtshof 13.12.2011, V 85-96/11-15 ^

[2]
In seiner Entscheidung vom 13.12.2011 erklärte der Verfassungsgerichtshof die §§ 61-69 der Hochschülerinnen- und Hochschülerschaftswahlordnung 2005 (HSWO 2005), die das E-Voting regelten, für gesetzwidrig. Zunächst führt der Verfassungsgerichtshof aus, dass sich auch eine elektronische Wahl gemäß § 34 Abs. 1 HSG 1998, d.h. auf Grund des allgemeinen, gleichen und geheimen Verhältniswahlrechtes durchzuführen ist. Auch ist das Wahlrecht persönlich auszuüben. Hinsichtlich des Kriteriums der persönlichen und geheimen Wahl sei es erforderlich, dass die elektronische Wahl die Einhaltung dieser Grundsätze zumindest im gleichen Ausmaß garantieren müsse, wie dies bei der Briefwahl der Fall sei, da es sich bei beiden Wahlformen wegen der Art der Stimmabgabe um eine Distanzwahl handele.5 Davon ausgehend kommt der Verfassungsgerichtshof zu der Auffassung, dass die rechtlichen Normen, die ein elektronisches Wahlverfahren ermöglichen, so gestaltet sein müssten, dass es dem Rechtsunterworfenen, der Wahlkommission und den Gerichten möglich sei, die Einhaltung der einfachgesetzlich geregelten Wahlgrundsätze zu prüfen. Zu bedenken sei dabei, dass beim E-Voting im Gegensatz zur Papierwahl Fehler oder Manipulationen – Programmierfehler in der Software oder zielgerichtete Wahlfälschung durch Manipulation – einerseits schwerer zu erkennen und andererseits von größerer Tragweite sein könnten, weshalb die Verordnung das Verwaltungshandeln der Wahlbehörde in einem solchen Maße determinieren müsse, dass die Durchführung des E-Voting sowohl für den Einzelnen nachvollziehbar als auch für die Wahlbehörden überprüfbar sei.6 An diesen Maßstäben gemessen sei die HSWO 2005 jedoch zu unbestimmt. Sie regele nicht, in welcher Weise, mit welchen Mitteln und anhand welcher Kriterien (z.B. eine Dokumentation besonderer Vorkommnisse) die Wahlkommission ihre Aufgaben erfüllen könne.7 Auch regele die Verordnung nicht, dass die (erforderliche) Möglichkeit einer transparenten, in ihren Ergebnissen der interessierten Öffentlichkeit zugänglichen Kontrolle der für elektronische Wahlen eingesetzten Techniken bzw. des verwendeten Systems und der diesem zu Grunde liegenden Software, allenfalls auch deren Quellcode, am Maßstab der Verfahrensvorschriften eröffnet werde, sodass sich auch der einzelne Wähler nicht darauf verlassen könne, dass insbesondere bei der Stimmabgabe die Wahlgrundsätze erfüllt und seine abgegebene Stimme unverfälscht erfasst würden.8

2.2.

Bundesverfassungsgericht 3.3.2009, 2 BvC 3/07, 2 BvC 4/07 ^

[3]
Das Bundesverfassungsgericht stellte in seinem Urteil vom 3.3.2009 fest, dass der Grundsatz der Öffentlichkeit der Wahl gebiete, dass alle wesentlichen Schritte der Wahl öffentlicher Überprüfbarkeit unterlägen, soweit nicht andere verfassungsrechtliche Belange eine Ausnahme rechtfertigten. Zudem müssten beim Einsatz elektronischer Wahlgeräte die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger zuverlässig und ohne besondere Sachkenntnis überprüft werden können.9 Das Urteil des Bundesverfassungsgerichts führt u.a. erhebliche Sicherheitsbedenken auf, die sich im Wesentlichen auf eine Stellungnahme des Chaos Computer Clubs gründen, in der die Manipulationsmöglichkeiten an den eingesetzten Wahlcomputern dargelegt wurden.10

2.3.

Rechtsvergleichung ^

[4]
Zunächst ist festzustellen, dass beide Urteile verschiedene Arten des E-Voting zum Gegenstand haben. Die Entscheidung des Verfassungsgerichtshofes bezieht sich auf eine Internetwahl, wogegen sich dass Urteil des Bundesverfassungsgerichtes auf eine Wahl per Wahlcomputer bezieht. Die grundlegenden Argumente sind jedoch unabhängig von den technischen Details der jeweiligen Form des E-Voting. Die Argumentation in diesen Fällen bezieht sich im Grunde genommen in erster Linie auf das Verständnis und die Erwartungshaltung gegenüber einer demokratischen Gesichtspunkten genügenden Wahl. Die technischen Gesichtspunkte sind demgegenüber nachrangig und werden erst bei den Detailfragen der jeweiligen Modalitäten der Wahldurchführung relevant. Dementsprechend finden sich in beiden Entscheidungen auch ähnliche oder identische Argumente, die jedoch durchaus unterschiedlich gewertet werden. So lässt der Verfassungsgerichtshof das Argument des Bundesverfassungsgerichtes nicht gelten, dass das E-Voting dem Grundsatz der Öffentlichkeit der Wahl genügen müsse. Der Verfassungsgerichtshof führt dazu aus, dass es sich bei der diesem Urteil zu Grunde liegenden Wahl um die Bundestagswahl gehandelt habe. Ein verfassungsrechtlicher Grundsatz der „Öffentlichkeit der Wahl“, wie ihn das deutsche Bundesverfassungsgericht für das Grundgesetz angenommen habe, sei demgegenüber aus dem B-VG für Wahlen in die Österreichische HochschülerInnenschaft nicht ableitbar. Demgegenüber wird in beiden Entscheidungen das Argument anerkannt, dass die wesentlichen Schritt des E-Voting, auch in technischer Hinsicht, auch für den Wähler überprüfbar sein müssten.

3.

Stellungnahme ^

[5]
Die angeführten Entscheidungen haben zwar beide das E-Voting in der jeweils durchgeführten Form verworfen. Fraglich ist es jedoch, ob daraus ein grundsätzliches Verbot für diese Form der demokratischen Teilhabe abzuleiten ist. Ein Vergleich mit der etablierten Briefwahl zeigt, dass die zu Grunde liegende Frage die ist, welches Maß an Risiken und Manipulationsmöglichkeiten man hinzunehmen bereit ist, um demokratische Prozesse zu befördern.11 Gegen die Analogie zur Briefwahl wird vorgebracht, dass sie logisch unzulässig sei, da eine Papierwahlstimme nur einmal physisch existiere, sie sich daher nach Trennung vom äußeren Briefwahlkuvert nicht mehr in diesem befinde. Einmal existierende Zusammenhänge in elektronischen Daten hingegen blieben auch nach einer „Trennung“ bestehen.12 Dieses Argument ist sicherlich faktisch zutreffend. Doch spricht diese Bestandsaufnahme nicht gegen eine Analogie zur Briefwahl, sondern sollte lediglich in die rechtliche Bewertung mit einfließen. Für den Wähler ist es nämlich auch bei der Briefwahl nicht nachvollziehbar, ob und wann die Trennung erfolgt. Bei der etablierten Briefwahl ist die Rechtsordnung jedoch bereit, dieses Risiko zu akzeptieren. Die Entscheidungen und insbesondere die Verhandlungen haben gezeigt, dass zum gegenwärtigen Zeitpunkt erhebliche Risiken bestehen.13 Andererseits zeigen erfolgreiche Beispiele wie Estland, dass das E-Voting ein großes Potential bietet. Die Entscheidungen haben zwar erhebliche Anforderungen sowohl an die technische Durchführung, als auch an die gesetzlichen Grundlagen konstituiert. Dennoch scheint es durchaus möglich, zukünftig eine gesetzeskonforme Durchführung des E-Voting technisch gewährleisten zu können.

4.

Literatur ^

Bundesministerium für Wissenschaft und Forschung, E-Voting bei den Hochschülerinnen- und Hochschülerschaftswahlen 2009, Wien (2010).

Ernst, Stefan (Hrsg.), Hacker, Cracker & Computerviren, Verlag Dr. Otto Schmidt, Köln (2004)

Grabenwarter, Christoph, Briefwahl und E-Voting: Rechtsvergleichende Aspekte und europäische Rahmenbedingungen. In: JRP 2004, 70.

Kurz, Constanze, Rieger, Frank, Gonggrijp, Rop, Beschreibung und Auswertung der Untersuchungen an NEDAP-Wahlcomputern, Chaos Computer Club, Berlin (2007).

Prosser, Alexander, … des Dramas letzter Akt, derStandard.at vom 7.12.2011, aufgerufen: 10.1.2012.

Schröder, Markus, Vom Hacking zum Cyberwar, GRIN Verlag, München (2010).

  1. 1 http://liquidfeedback.org/, aufgerufen: 10.1.2012.
  2. 2 http://www.digitales.oesterreich.gv.at/, aufgerufen: 10.1.2012.
  3. 3 http://de.wikipedia.org/wiki/E-voting, aufgerufen: 10.1.2012.
  4. 4 http://de.wikipedia.org/wiki/I-Voting#Estland, aufgerufen: 10.1.2012.
  5. 5 VfGH 13.12.2011, V 85-96/11-15, Rz 17.
  6. 6 VfGH 13.12.2011, V 85-96/11-15, Rz 22.
  7. 7 VfGH 13.12.2011, V 85-96/11-15, Rz. 22.
  8. 8 VfGH 13.12.2011, V 85-96/11-15, Rz. 23, zur Bewertung der gerügten Wahl vgl. BMWF, E-Voting bei den Hochschülerinnen- und Hochschülerschaftswahlen 2009, Wien (2010).
  9. 9 BVerfG 03.03.2009, 2 BvC 3/07, 2 BvC 4/07 (Leitsätze).
  10. 10 Kurz, C./Rieger, F./Gonggrijp, R., Beschreibung und Auswertung der Untersuchungen an NEDAP-Wahlcomputern, Chas Computer Club, Berlin (2007), zit. in BVerfG 03.03.2009, 2 BvC 3/07, 2 BvC 4/07, Rz. 84 ff.
  11. 11 Zur Briefwahlanalogie vgl. Grabenwarter, Ch., Briefwahl und E-Voting: Rechtsvergleichende Aspekte und europarechtliche Rahmenbedingungen. In: JRP 2004, 70.
  12. 12 Prosser, A., … des Dramas letzter Akt. In: derStandard.at vom 7.12.2011, aufgerufen: 10.01.2012.
  13. 13 Zu IT-Sicherheitsrisiken im Allgemeinen vgl. Ernst, St. (Hrsg.), Hacker, Cracker & Computerviren, Verlag Dr. Otto Schmidt, Köln (2004), Schröder, M., Vom Hacking zum Cyberwar, GRIN Verlag, München (2010).