Jusletter IT

«Securing free and fair European Elections»

  • Authors: Gregor Wenda / Robert Stein
  • Category: Articles
  • Region: Austria, EU
  • Field of law: E-Voting, E-Democracy, Data Protection
  • Collection: Conference proceedings IRIS 2019
  • Citation: Gregor Wenda / Robert Stein, «Securing free and fair European Elections», in: Jusletter IT 21. February 2019
Im Herbst 2018 präsentierte die Europäische Kommission aufgrund der für den 23. bis 26. Mai 2019 anberaumten Europawahl ein umfassendes Maßnahmenpaket mit dem Titel «Securing free and fair European elections». Im Fokus stehen unter anderem Cybersicherheit, Online-Transparenz, der Kampf gegen Desinformation und der Datenschutz. Der Beitrag beschreibt die Inhalte des Pakets und bisherige Schritte, die auf dem Weg zur Europawahl 2019 in der EU und in Österreich gesetzt worden sind.

Inhaltsverzeichnis

  • 1. Ausgangslage
  • 2. Inhalte
  • 3. Auf dem Weg zur Europawahl
  • 4. Wahl-Kooperationsnetzwerk
  • 5. Bisherige Maßnahmen in Österreich
  • 6. Ausblick

1.

Ausgangslage ^

[1]

Während des österreichischen EU-Ratsvorsitzes1 präsentierte Jean-Claude Juncker, Präsident der Europäischen Kommission (EK), am 12. September 2018 im Rahmen seiner Rede zum «State of the Union» ein umfassendes Maßnahmenpaket mit dem Titel «Securing free and fair European elections» («Gewährleistung freier und fairer Europawahlen»).2 Auslöser des Pakets waren insbesondere die Vorkommnisse rund um die Causa «Facebook/Cambridge Analytica», Cyberangriffe und versuchte Einflussnahmen, auch durch fremde Staaten, bei Wahlen in der jüngeren Vergangenheit. Im Fokus des Pakets stehen unter anderem Fragen der Transparenz von Online-Kampagnen und der Online-Kommunikation anlässlich der Europawahl, Fragen der Wahlkampffinanzierung, Handlungen politischer Parteien, der Schutz von persönlichen Daten, der Schutz der Wählerinnen und Wähler vor Beeinflussungen bzw. Falschinformation, die Bekämpfung von organisierten «Desinformationskampagnen»3, das Setzen technischer und organisatorischer Maßnahmen zur Gewährleistung von Cyber- bzw. Netzwerksicherheit, Informationssicherheit und sonstige infrastrukturelle Sicherheit sowie die Interaktion mit «Dritten», insbesondere Medien, Online-Plattformen und IT-Providern. Das «Wahlpaket» der EK ist auch integraler Bestandteil des am 5. Dezember 2018 vorgestellten Aktionsplans der EK gegen Desinformation.4

2.

Inhalte ^

[2]

Mit einer Mitteilung zur Gewährleistung freier und fairer Europawahlen, einer umfangreichen Empfehlung der Kommission, einem Leitfaden für die Anwendung des EU-Datenschutzrechts bei Wahlen und einem Legislativvorschlag sollen die Mitgliedstaaten, in deren primärer Zuständigkeit die Vollziehung der Europawahl liegt, zur Zusammenarbeit und zur Bildung von Kooperations-Netzwerken angehalten werden.

[3]

In der Mitteilung zur Gewährleistung freier und fairer Europawahlen5 empfiehlt die EK mehr Transparenz in Bezug auf politische Werbeanzeigen und die Nutzung von Zielgruppen-Profilen im Internet. Europäische und nationale politische Parteien, Stiftungen und Wahlkampforganisationen sollten Informationen über Ausgaben für Online-Werbekampagnen bereitstellen und angeben, welche Partei oder politische Unterstützergruppe hinter politischen Online-Werbungen steht und welche Auswahlkriterien bei der Verbreitung von Informationen angewendet werden. Bei Nichteinhaltung der Grundsätze wird den Mitgliedstaaten die Verhängung nationaler Sanktionen empfohlen.

[4]

Die Empfehlung der Kommission6 zu Wahlkooperationsnetzwerken, zu Online-Transparenz, zum Schutz vor Cybersicherheitsvorfällen und zur Bekämpfung von Desinformationskampagnen im Zusammenhang mit Wahlen zum Europäischen Parlament (EP) enthält ein umfangreiches Bündel: Mitgliedstaaten sollen nationale Netzwerke für die Zusammenarbeit bei Wahlen einrichten, zugleich soll pro Mitgliedstaat eine nationale Kontaktstelle («national contact point») benannt werden, die sich auch an einem europäischen Kooperationsnetz für Wahlen beteiligt, um potenzielle Gefahren rascher erkennen zu können, schnellere Reaktionszeiten auf Risiken zu gewährleisten und einen regelmäßigen Informationsaustausch voranzutreiben. Dazu hält die EK die Mitgliedstaaten an, technische und organisatorische Maßnahmen für Netzwerksicherheit und infrastrukturelle Sicherheit zu setzen, ebenso die Durchführung von Risikoanalysen (Analyse möglicher «Cyber-Vorfälle») zur Setzung von Maßnahmen zum Schutz vor Cyber-Attacken.

[5]

Im Leitfaden der Kommission7 für die Anwendung des EU-Datenschutzrechts bei Wahlen werden das neue Datenschutzregime der Datenschutz-Grundverordnung (DSGVO) vom 27. April 2016 behandelt und Datenschutzvorgaben und -empfehlungen für folgende Akteure herausgestrichen: Wahlbehörden, politische Parteien und Stiftungen, Informationsbroker und Anbieter von Datenanalysen sowie Social-Media-Plattformen und Online-Werbenetzwerke.

[6]

Zuletzt wurde von der EK ein Legislativvorschlag (Verordnungsvorschlag) vorgelegt, der die Verordnung (EU, Euratom) Nr. 1141/2014 im Hinblick auf ein Überprüfungsverfahren für im Zusammenhang mit Wahlen zum EP begangene Verstöße gegen Vorschriften zum Schutz personenbezogener Daten zu ändern trachtet: Bei Verstößen von europäischen politischen Parteien gegen Datenschutzvorschriften sind darin Sanktionen angedacht; die Sichtbarkeit, Transparenz und Rechenschaftspflicht europäischer politischer Parteien und Stiftungen soll erhöht werden. Zugleich soll die unabhängige Behörde für europäische politische Parteien und Stiftungen gestärkt werden.

3.

Auf dem Weg zur Europawahl ^

[7]

Nach einer ersten Diskussion beim informellen Gipfel der Staats- und Regierungschefs am 19. und 20. September 2018 in Salzburg8 wurde das Paket am 28. September 2018 in Brüssel in der Ratsarbeitsgruppe (RAG) «Allgemeine Angelegenheiten» (General Affairs Group – GAG) vorgestellt. Im Oktober 2018 erfolgte die dauernde Zuteilung zur «GAG», sowie, je nach Dossier (etwa bei «Cyber-Themen»), in einem erweiterten Format unter der Bezeichnung «Allgemeine Angelegenheiten + 1» («GAG+1»).

[8]

Am 15. und 16. Oktober 2018 fand in Brüssel eine «High-Level Conference and Member State Workshop» zur Thematik «Election Interference in the Digital Age» statt, die ganz im Zeichen der Vorbereitung der Europawahl 2019 und der vielschichtigen Inhalte des Maßnahmenpakets stand. Besondere Bedeutung wurde dabei der Bildung nationaler Wahl-Kooperationsnetzwerke und eines europäischen Wahlnetzwerks verliehen (vgl. unten Pkt. 4).

[9]

Die Trilogverhandlungen zum Legislativvorschlag wurde nach zum Großteil unter österreichischem Ratsvorsitz geführten Verhandlungen unter rumänischer Präsidentschaft abgeschlossen; das Ergebnis des Trilogs wurde am 25. Jänner 2019 vom Ausschuss der Ständigen Vertreter (AStV II)9 unterstützt; die Annahme im Plenum des Europäischen Parlaments (EP) ist für 11. März 2019 geplant.

[10]

Der Europäische Rat hat sich in Schlussfolgerungen im Oktober und Dezember 2018 mit dem Maßnahmenpaket befasst und den Rat ersucht, weiter über die Frage des Maßnahmenpakets zu beraten und dem Europäischen Rat im März 2019 erneut zu berichten. In den Schlussfolgerungen vom Dezember 2018 fanden der Aktionsplan gegen Desinformation10 und das Wahlpaket11 explizite Erwähnung.

4.

Wahl-Kooperationsnetzwerk ^

[11]

In Entsprechung der Empfehlung der Kommission waren in allen Mitgliedstaaten «Wahl-Kooperationsnetzwerke» zu gründen, in denen für Wahlen zuständige Behörden mit Behörden zur Gewährleistung von Cyber-Sicherheit, Aufsichtsbehörden gemäß Artikel 51 der Verordnung (EU) 2016/67912, Regulierungsbehörden und/oder Regulierungsstellen gemäß der Richtlinie 2010/13/EU13 und zuständigen Behörden gemäß Richtlinie 2016/114814 zusammenarbeiten sollen, um sich zu vernetzen, relevante Informationen zum Maßnahmenpaket auszutauschen und die Umsetzung der Punkte des Maßnahmenpakets zu prüfen. In jedem Staat war zudem ein «national contact point» zu benennen, der in einem «European elections network» auf EU-Ebene mitzuwirken hat. Bereits früh wurde in den meisten Mitgliedstaaten klar, dass die Auflistung der sehr heterogenen Inhalte des Maßnahmenpakets zwar in ihrer Gesamtheit mit der Europawahl 2019 zusammenhängt, die tatsächliche Vollziehung von Wahlen jedoch lediglich ein Viertel oder ein Drittel des Gesamtumfanges betrifft. Die immer wiederkehrende Vermischung von nicht mit Wahlangelegenheiten im engeren Sinn zusammenhängenden Materien – wie beispielsweise die Bekämpfung der Verbreitung von «fake news» – mit den tatsächlichen Agenden des Wahlvollzuges – etwa die Überprüfung von Wahlvorschlägen oder die Erstellung von Wählerverzeichnissen – stellt in den betroffenen Arbeitsgruppen und Fachgremien eine immer wiederkehrende Herausforderung dar, sind doch in aller Regel eine Vielzahl von Stellen berührt und zum Teil Sachverhalte betroffen, die nur partiell reguliert sind.

[12]

Auch in Österreich zeigte sich ein solches Bild nach Veröffentlichung von «Securing free and fair European elections» durch die EK. Soweit die unmittelbare Vollziehung der Europawahl berührt ist, wurde von Anfang an eine Zuständigkeit des Bundesministeriums für Inneres und der dortigen Abteilung für Wahlangelegenheiten gesehen. In einer weiterführenden Analyse wurden jedoch bei interministeriellen Konsultationen auch folgende fachliche Berührungspunkte herausgearbeitet:

[13]
  • Cybersicherheit, Netzwerksicherheit, Behörden gemäß «NIS-Richtlinie» (BKA15, BMI16)
  • Cyber-Defense (BMLV17)
  • Medienrecht, Wahlkampffinanzierung, politische Parteien, Zuständigkeit für die medienrechtliche Regulierungs- bzw. Aufsichtsbehörde (BKA)
  • Wahlangelegenheiten (BMI)
  • Register-Angelegenheiten, Cyberkriminalität (BMI)
  • Online-Dienste, Digitalisierung (BMDW18)
  • Allgemeiner Datenschutz, Strafrecht, Zuständigkeit für die Datenschutzbehörde (BMVRDJ)19
  • Europarechtliche und institutionelle Angelegenheiten, Mitvollzug bei Wahlangelegenheiten für Auslandsösterreicherinnen und Auslandsösterreicher (BMEIA20)
[14]

Am 22. November 2018 lud das Bundesministerium für Inneres in Abstimmung mit dem Bundeskanzleramt zu einem ersten Abstimmungstreffen aller zuständigen Ministerien (BMI, BKA, BMVRDJ, BMEIA, BMLV, BMDW) ein; bei diesem Termin wurde das entsprechende nationale Kooperationsnetzwerk gegründet und das BMI als «national contact point» bestimmt, das seither als Bindeglied im «European elections network» fungiert und in Abstimmung mit dem BKA den Vorsitz in der Plattform führt. Nach dem ersten Vernetzungstreffen in Wien am 22. November 2018 fand – wiederum in Wien – ein Folgetreffen am 18. Februar 2019 statt. Das Anschlussstück auf EU-Ebene – das «European elections network» – tagte in Brüssel erstmals erstmals am 21. Jänner 2019. Bei dieser Zusammenkunft auf europäischer Ebene zeigte sich, dass etwa ein Drittel der Mitgliedstaaten das Ansinnen zur Schaffung eines Kooperationsnetzwerkes noch nicht – oder nicht gänzlich – umgesetzt hatte. Die nächsten Treffen des «European elections network» sind in Brüssel für 27. und 28. Februar sowie für den 4. April 2019 geplant.

5.

Bisherige Maßnahmen in Österreich ^

[15]

Neben der Bildung des bereits beschriebenen nationalen Wahl-Kooperationsnetzwerks (siehe oben Pkt. 4) informierte das BMI insbesondere die Bundeswahlbehörde, die Landeswahlleiter, Bezirkswahlleiter, den Städtebund und den Gemeindebund über das Maßnahmenpaket.

[16]

Seitens des im BMI angesiedelten Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) wurde über die Landesämter für Verfassungsschutz und Terrorismusbekämpfung (LVT) mit allen Ämtern der Landesregierungen Kontakt aufgenommen, da für die Administration von Wahldaten (Sofortmeldung von Wahlergebnissen) eine IT-Infrastruktur in jedem der neun Bundesländer besteht, die mit der Bundesebene zusammenspielt. Cybersicherheits-Experten von BVT und LVT leisten hierbei Beratungsarbeit hinsichtlich der Sicherheit des Wahlprozesses (insbesondere für eine gesamtheitliche und Stakeholder-bezogene Risikoanalyse) und unterstützen bei der Ableitung von Maßnahmen mit speziellem Fokus auf die Integrität und Vertraulichkeit von Wahldaten. Zudem sollen bereits durchgeführte Sicherheitsprüfungen einer zusätzlichen Cyber-bzw. IKT–Sicherheits-Analyse unterzogen werden.

[17]

Für die Gemeinden wurden Inhalte der Cybersicherheit in Zusammenarbeit mit dem BVT in mehrere Schulungsveranstaltungen integriert.

6.

Ausblick ^

[18]

Die Cybersicherheit von Wahlen und der Kampf gegen Desinformation21 sind schon länger Themen, denen sich die EK angenommen hat. So erarbeitete beispielsweise die auf EU-Ebene installierte «NIS-Kooperationsgruppe» ab 28. November 2017 das Compendium on Cyber Security of Election Technology22, das am 8. Jänner, 20. März und 24. Mai 2018 in Workstreams entwickelt und im Juli 2018 beschlossen wurde. Das Kompendium gilt als wichtiges Referenzdokument in puncto Cybersicherheit für die kommende Europawahl. Dessen ungeachtet kam die Vielfalt der Dokumente der EK mit teils sehr weitreichenden Auswirkungen für die Mitgliedstaaten im September 2018 vielfach einigermaßen überraschend.

[19]

In den kommenden Wochen werden die gemeinsamen Anstrengungen der EU-Vernetzung, aber auch des nationalen Wahl-Kooperationnetzwerks, auf der Vorbereitung und Durchführung eines EU-weiten Planspiels («table-top exercise») liegen, in dem an einem Tag oder allenfalls an zwei Tagen – voraussichtlich im April bzw. Mai 2019 – in allen Mitgliedstaaten verschiedene Krisenszenarien behandelt und gelöst werden sollen. Die bisherigen Vorbereitungsarbeiten, die auch in der «NIS-Kooperationsgruppe» behandelt werden23, zielen auf eine genauere Ausarbeitung der Szenarien und eine klarere Definition der Rahmenbedingungen ab. Zudem soll es zum Thema Desinformation unter den Mitgliedstaaten eine umfangreichere Befragung («mapping exercise») geben.

[20]

Aus Sicht der Autoren ist anzumerken, dass viele Aktivitäten der EK gemessen an den ambitionierten Absichten und mit Blick auf den nahen Wahltermin zu einem sehr späten Zeitpunkt gesetzt worden sind. Dies führt in zunehmendem Maß dazu, dass in den Mitgliedstaaten Ressourcen bereitgehalten werden müssen, die zeitgleich bereits zu Vorbereitungsarbeiten für die Europawahl 2019 benötigt werden. Es bleibt zu hoffen, dass in der noch verbleibenden Zeit bei den geplanten Aktivitäten ein größeres Augenmerk auf die Abgrenzung zwischen dem Erfordernis der Verhinderung von Angriffen auf die Ergebnisermittlung der Europawahl in den einzelnen Mitgliedstaaten einerseits, und auf den Themenkomplex «Desinformation» andererseits gelegt wird. Diese Einschätzung ändert aber nichts an der Bedeutung des Schutzes von Wahlen vor Störungen und Manipulationen. Dazu bedarf es zweifellos gemeinsamer Anstrengungen auf EU-Ebene. Österreich hat deshalb bereits während des EU-Ratsvorsitzes das Paket «Securing free and fair European elections» prioritär behandelt und leistet derzeit unter anderem aktive Beiträge im «European elections network».

  1. 1 Österreich hatte von 1. Juli bis 31. Dezember 2018 den Ratsvorsitz in der EU inne (https://www.eu2018.at/de/).
  2. 2 Eine Zusammenfassung des Maßnahmenpakets findet sich auf der EK-Website: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-factsheet-free-fair-elections_en.pdf.
  3. 3 Vgl. «Code of Practice» gegen Desinformation vom September 2018 (https://ec.europa.eu/digital-single-market/en/news/code-practice-disinformation).
  4. 4 Vgl. Maßnahme 10 des Aktionsplanes, gemäß der die Mitgliedstaaten unter Beobachtung der Europäischen Kommission dafür zu sorgen haben, dass das «Wahlpaket» und insbesondere die darin enthaltene Empfehlung wirksam weiterverfolgt werden.
  5. 5 COM(2018) 637 final.
  6. 6 COM(2018) 5949 final.
  7. 7 COM(2018) 638 final.
  8. 8 Zum genauen Ablauf des Gipfels vgl. https://www.eu2018.at/de/calendar-events/political-events/Salzburg-Summit.html.
  9. 9 https://eur-lex.europa.eu/summary/glossary/coreper.html?locale=de.
  10. 10 Aus den Schlussfolgerungen: «(…) Die Verbreitung von vorsätzlicher, großangelegter und systematischer Desinformation, auch als Teil hybrider Kriegsführung, stellt eine akute und strategische Herausforderung für unsere demokratischen Systeme dar. Es bedarf einer dringenden Antwort, die unter uneingeschränkter Achtung der Grundrechte langfristig beibehalten werden muss. (…)»
  11. 11 Aus den Schlussfolgerungen: «(…) ruft zu zügigem und entschiedenem Handeln sowohl auf europäischer als auch auf nationaler Ebene auf, um sicherzustellen, dass die Europawahl und die nationalen Wahlen frei und fair verlaufen.»
  12. 12 In Österreich die Datenschutzbehörde.
  13. 13 In Österreich die Kommunikationsbehörde Austria (KommAustria).
  14. 14 Behörden gemäß der «NIS-Richtlinie» (in Österreich bei BMI und BKA eingerichtet).
  15. 15 Bundeskanzleramt.
  16. 16 Bundesministerium für Inneres.
  17. 17 Bundesministerium für Landesverteidigung.
  18. 18 Bundesministerium für Digitalisierung und Wirtschaftsstandort.
  19. 19 Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz.
  20. 20 Bundesministerium für Europa, Integration und Äußeres.
  21. 21 So befasste sich eine «High-Level Expert Group» ab Ende 2017 mit der Thematik, ein Bericht der Expertengruppe stand nach Konsultationen ab März 2018 zur Verfügung, die EK veröffentlichte im April 2018 die Kommunikation «Tackling online disinformation: a European approach»; im September 2018 wurde der selbstbindende «Code of Practice» gegen Desinformation veröffentlicht (https://ec.europa.eu/digital-single-market/en/news/code-practice-disinformation).
  22. 22 Quelle: https://ec.europa.eu/digital-single-market/en/nis-cooperation-group (CG Publication 03/2018).
  23. 23 So fand beispielsweise am 15. Februar 2019 mit der NIS-Kooperationsgruppe eine Videokonferenz für die Mitgliedstaaten betreffend die weitere Gestaltung der «table-top exercise» statt.