In Pandemiezeiten sind wir gezwungen, Gremiensitzungen und die darin notwendigen Abstimmungen online durchzuführen.
Wir diskutieren hier, wie geheime Abstimmungen online durchgeführt werden können und zeigen einige Grenzen auf.
Außerdem verweisen wir auf eine ausführliche Anleitung für das Abstimmungstool in Webex.
Die Anforderungen an geheime Abstimmungen entsprechen im Grunde genommen denen an geheime Wahlen. Wir nennen die wichtigsten Punkte:
- Erreichbarkeit
Die Abstimmung muss zugänglich und barrierearm sein, so dass jede*r Abstimmungsberechtigte teilnehmen kann. - Identifizierbarkeit und Vollständigkeit
Die Abstimmungsberechtigten sind identifizierbar und nur diese können teilnehmen. Der Kreis der Abstimmungsberechtigten ist vollständig, d.h. alle berechtigten Personen sind zugelassen und keine weiteren. - Geheimhaltung
Die Abstimmung ist geheim, d.h. es ist unmöglich abgegebene Stimmen einzelnen Personen zuzuordnen. Auch die Abstimmenden selbst können nicht nachweisen, welche Stimme sie abgegeben haben. - Nachweisbarkeit
Die Stimmabgabe wird registriert, d.h. es wird dokumentiert wer abgestimmt hat.
- Eindeutigkeit
Eine Stimme kann nur einmalig abgegeben werden. - Manipulationssicherheit
Jede abgegebene Stimme wird gezählt, Stimmen können nicht geändert werden und es werden nur abgegebene Stimmen gezählt, d.h. es gibt keine zusätzlichen Stimmen (z.B. von Berechtigten, die der Abstimmung ferngeblieben sind). - Korrektheit
Das Ergebnis der Abstimmung entspricht den abgegebenen Stimmen. Was als gültige und ungültige Stimme gezählt wird, ist klar definiert. - Überprüfbarkeit
Die abgegebenen Stimmen können bei Bedarf nachträglich überprüft werden, z.B. in einer Nachzählung. - Rechtliche Zulässigkeit
Das gewählte Abstimmungsverfahren ist zulässig und setzt alle rechtlichen Vorgaben um. - Transparenz und Kontrollierbarkeit
Alle das Abstimmungsverfahren betreffenden Aspekte sind dokumentiert und frei einsehbar. Eine unabhängige Kontrolle sowohl des Verfahrens als auch einer einzelnen Abstimmung ist möglich.
Die Herausforderung besteht nun darin, diese Kriterien auch bei Online-Abstimmungen zu erfüllen, was zumeist nicht vollständig möglich sein wird. Es wird nötig sein, Abstriche hinzunehmen, bspw. ist es bei Online-Abstimmungen leichter möglich als bei Urnenwahlen, seine Stimmabgabe aufzuzeichnen.
Wichtig ist in jedem Fall, dass das Abstimmungsergebnis fehlerfrei und nachvollziehbar zustande kommt, denn sonst bräuchten wir keine Abstimmungen.
Urnenwahlen
Bei Abstimmungen mit Wahlvorstand, Wählerverzeichnissen, festen Fristen und Stimmabgabe per Urnenwahl oder Briefwahl kann es im Einzelfall zu Unregelmäßigkeiten kommen, so dass ein Abstimmungsergebnis nachträglich angezweifelt werden kann. Wahlbetrug ist auch immer wieder Thema, zuletzt in Weißrussland und den USA.
Geheime Abstimmungen sind das Herzstück der Demokratie und deshalb ist es wichtig, dass sie korrekt ablaufen. Bei Wahlen gibt es dafür klar definierte rechtsstaatlich abgesicherte und teilweise aufwändige Prozesse. Es kommt trotzdem immer wieder vor, dass Stimmen verlorengehen oder zusätzliche Stimmen sich in Wahlurnen finden – auch klassische Abstimmungen sind nicht vor Manipulation sicher. Wahlbeobachtung spielt deshalb eine wichtige Rolle, damit es bei einer Wahl mit rechten Dingen zugeht.
Online-Abstimmungen
Mittlerweile gibt es viele Möglichkeiten, online Umfragen vorzunehmen, Stimmungsbilder einzuholen oder Abstimmungen durchzuführen.
Es gibt spezielle Softwareprodukte für Online-Abstimmungen, für geheime Abstimmungen ist die Auswahl jedoch nicht sehr ergiebig. Online-Umfragetools können ebenfalls für Abstimmungen genutzt werden. Tools wie Webex und Moodle verfügen über entsprechende Funktionen, die genutzt werden können.
Die Anforderungen an geheime Abstimmungen zu erfüllen, ist dabei allerdings schwierig, so dass zumeist Kompromisse eingegangen werden müssen. Weiter unten gehen wir auf einzelne Tools genauer ein, das Fazit ist allerdings ernüchternd:
Nach unserer Einschätzung gibt es derzeit kein Tool, dass alle der oben genannten Anforderungen ohne Einschränkungen erfüllt.
Nichtsdestotrotz können geheime Abstimmungen mit bestimmten Tools durchgeführt werden, wenn dabei einige Grundsätze beachtet werden.
Naheliegender Grundsatz: Diejenigen, die die Abstimmung durchführen, müssen glaubwürdig sein, damit ihnen vertraut werden kann; als zusätzliche Absicherung kann ein Vier-Augen-Prinzip implementiert werden. Das ist insofern wichtig, da die Durchführenden immer leichter Zugriff auf Möglichkeiten haben, den Ausgang einer Abstimmung zu beeinflussen.
Man/frau sollte auch berücksichtigen, dass die Anforderungen an Wahlen höher anzusetzen sind, als an geheime Online-Abstimmungen in Gremien. Die Korrektheit einer Abstimmung ist leichter abzusichern, wenn sie während einer Gremiensitzung durchgeführt wird (synchron), als wenn eine Abstimmung über einen längeren Zeitraum läuft (asynchron).
Am Rande: Vor einer Abstimmung sollte auch immer vorab die rechtliche Zulässigkeit geprüft werden, ggf. sind dafür auch neue Rechtsgrundlagen zu schaffen, z.B. in Wahlordnungen.
Geeignete Tools
Wir sehen drei Kategorien von Softwareprodukten:
- Tools für Online-Wahlen und -Abstimmungen
- Umfrage-Tools
- Abstimmungs-Tools als integriertes Feature in anderen Softwareprodukten
Wir gehen davon aus, dass sich ein Tool besser für geheime Abstimmungen eignet, wenn es für diesen Zweck konzipiert wurde. Bei unserer Untersuchung zeigte sich aber auch, dass sich integrierte Abstimmungs-Tools durchaus für geheime Abstimmungen nutzen lassen. Diese haben den Vorteil, dass eine Abstimmung direkt ausgeführt werden kann, ohne dass die genutzte Software -z.B. ein Videokonferenztool- verlassen werden muss.
Tools für Online-Wahlen und -Abstimmungen
Es gibt Cloud-Anbieter von Online-Abstimmungssoftware. Allerdings sollte man/frau bedenken, dass bei der Nutzung eines Dienstes die Hoheit über die Daten an Dritte abgegeben wird – und zwar sowohl über die Daten der Abstimmungsberechtigten (in der Regel E-Mail-Adressen) als auch die Kontrolle über die Abstimmung selbst.
Es kann im Einzelfall schwierig werden nachzuweisen, dass eine Abstimmung nicht manipuliert wurde. Insbesondere die Punkte Transparenz und Kontrollierbarkeit erscheinen schwer erfüllbar. Inwieweit über eine vertragliche Vereinbarung mit dem Dienstleister die rechtliche Zulässigkeit hergestellt werden kann, ist im Einzelfall zu prüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Zertifizierung von Online-Wahl-Software an, diese könnte eine Vorraussetzung für die Nutzung sein.
Alternativ dazu gibt es einige wenige Softwareprodukte für geheime Online-Abstimmungen oder -Wahlen, die im eigenen Rechenzentrum betrieben werden können. Ob die verfügbaren Produkte bereits ausgereift genug sind, muss detailliert geprüft werden.
Ein Beispiel ist die kalifornische Open Source Software Helios Voting. Diese erscheint uns den ersten Blick aus Datenschutzsicht allerdings problematisch, da sie ein Login mit Google- oder anderen Social Media-Accounts voraussetzt.
Der Aufwand für den Betrieb solch einer Software lohnt sich nur, wenn die Software regelmäßig eingesetzt wird, auch da zumeist technische Anpassungen notwendig sind (wie bei Helios Voting das Login).
Umfrage-Tools
Es gibt eine Reihe von Tools für Online-Umfragen. Wir berücksichtigen an dieser Stelle ausschließlich Tools, die im eigenen Rechenzentrum betrieben werden können.
Diese Tools bieten oft Token-basierte anonyme Umfragen, die für geheime Abstimmungen genutzt werden können. Ein Token ist hierbei eine generierte Nummern- oder Ziffernfolge, die für das einmalige Abgeben einer Stimme erforderlich ist.
EvaSys
Die TU Berlin nutzt die Software EvaSys für die Evaluation von Lehrveranstaltungen.
Wir haben ein Szenario für Online-Abstimmungen mit EvaSys entworfen, bei der eine Abstimmung als Evaluations-Umfrage einer Veranstaltung abgebildet werden kann. Das ist praktikabel, wenn auch etwas umständlich.
Die Abstimmungsberechtigten werden direkt aus EvaSys per E-Mail angeschrieben und können mit dem übermittelten individuellen Token ihre Stimme anonym abgeben. Wenn die Token-Liste nicht vom/von der Abstimmungsdurchführenden gespeichert wird, ist dadurch eine geheime Stimmabgabe gewährleistet. Aufgrund von Verzögerungen beim Versenden und Empfangen der E-Mails ist ein synchrone Abstimmung jedoch nicht immer möglich, insbesondere bei vielen Abstimmungsberechtigten.
In Tests hat sich gezeigt, dass das notwendige händische Erstellen der E-Mail-Adressen-Liste aller Abstimmungsberechtigten fehleranfällig ist, da diese für das Versenden syntaktisch einwandfrei sein muss. Die Liste sollte rechtzeitig vor der Abstimmung erstellt werden und ggf. vorab eine Testabstimmung durchgeführt werden.
Falls Sie EvaSys für Abstimmungen nutzen wollen, teilen wir unsere Erfahrungen gern mit Ihnen. Da die Software recht komplex ist, sollten Sie sich mit EvaSys zunächst vertraut machen.
LimeSurvey
LimeSurvey ist eine vielfach eingesetztes Open-Source-Software für Online-Umfragen. Für geheime Abstimmungen sollte die Software selbst betrieben werden.
Leider wird die Software bislang nicht zentral an der TU betrieben, so dass dafür technischer Aufwand entsteht.
Für das Tool spricht seine Nutzerfreundlichkeit. Wir konnten LimeSurvey bislang nicht auf seine Eignung für geheime Abstimmungen prüfen, die positiven Erfahrungen anderer mit dem Tool lassen uns aber vermuten, dass es sich analog zu EvaSys Token-basiert nutzen lässt.
Sofern Sie beabsichtigen, LimeSurvey an der TU für Umfragen und/oder Abstimmungen einzusetzen, unterstützen wir Sie gern bei der Umsetzung und stimmen mit Ihnen ein geeignetes Vorgehen ab.
Abstimmungs-Tools als integriertes Feature in anderen Softwareprodukten
Um den Kreis der Abstimmungsberechtigten direkt zu erreichen ist es von Vorteil, wenn dieser über eine Plattform verwaltet werden kann, da dann keine Versendung von E-Mails notwendig ist.
Aktivität Feedback in Moodle (ISIS)
Sehr praktikabel ist es, in der an der TU Berlin eingesetzte Lernplattform Moodle (ISIS) eine Abstimmung über die Aktivität Feedback einzurichten. Diese Lösung wird von einigen Berliner Hochschulen seit dem Frühjahr für Gremienabstimmungen genutzt. Teilweise ist über Moodle auch das Videokonferenz-Tool erreichbar, so dass es eine Lösung „aus einem Guss“ ist.
Die Abstimmungsberechtigten müssen sich vorher einmalig anmelden und für das Gremium muss ein Kurs eingerichtet werden, dem die Abstimmungsberechtigten hinzugefügt werden.
Ein uns bekanntes Manko ist allerdings, dass die abgegebenen Stimmen in der Moodle-Datenbank gespeichert werden, so dass Moodle-Admins darauf zugreifen könnten. Die Geheimhaltung kann dann organisatorisch sichergestellt werden, indem sich die Moodle-Admins verpflichten, diese Daten nicht einzusehen sondern (regelmäßig) ungesehen zu löschen.
Am Rande: Da es sich bei Moodle um eine Open Source Software handelt ist es grundsätzlich möglich, einen neue Aktivität „geheime Abstimmung“ basierend auf der Aktivität Feedback zu implementieren, bei der die Stimmabgabe nicht aufgezeichnet wird.
Sofern Sie beabsichtigen, Moodle für geheime Abstimmungen einzusetzen, unterstützen wir Sie gern bei der Umsetzung und stimmen mit Ihnen ein geeignetes Vorgehen ab.
Abstimmungs-Tool in Webex (Cloud)
In einigen Videokonferenztools besteht die Möglichkeit Umfragen vorzunehmen. Diese sind nicht zwangsläufig geheim, jedoch ist es beispielsweise bei Webex Cloud möglich zu vermeiden, dass die Stimmabgabe von den Videokonferenzteilnehmer*innen eingesehen oder gespeichert werden kann.
Aufwendig ist es bei Webex Cloud, den Kreis der Abstimmungsberechtigten exakt zu erfassen, da genau diese Personen zeitgleich angemeldet sein müssen. Da es sich um ein Cloud-Produkt handelt, welches die TU nicht vollständig kontrolliert, kann nicht ausgeschlossen werden, dass die Abstimmung bzw. die Daten ggf. Dritten zugänglich werden. Die lokal gehostete Version tubmeeting verfügt leider nicht über die Umfrage-Funktion.
Nichtsdestotrotz ist es möglich Abstimmungen in WebEx geheim umzusetzen, wenn einige Dinge dabei beachtet werden. Wir haben eine ausführliche Anleitung für das Umfragetool in Webex erstellt (Link siehe unten).
Weitere Informationen
Für die 2023 geplanten Online-Sozialwahlen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Report erarbeitet, der die technische Komplexität aufzeigt:
Informationen zu den genannten Tools
- Helios Voting
- TU Berlin – Evaluationssoftware EvaSys
- LimeSurvey – Community Edition
- Moodle – Aktivität Feedback
- TU-Berlin / Referat K3 – Anleitung zur Nutzung des Umfragetools von WebEx (pdf)
Herzliche Grüße ins Forum!
Möglich wäre eine anonyme Online-Absimmung über eine dezentralisierte Blockchain. Beispielsweise über die umweltfreunliche Cardano-Blockchain.
Das Vorgehen:
1. Einen ‚fungible token‘ in der Anzahl der abstimmungsberechtigten Personen erstellen. (Minting)
2. Jede Abstimmungsberechtigte Person richtet sich eine Wallet ein und erhält jeweils einen Abstimmungs-Token.
3. Abgestimmt wird, indem der Abstimmungs-Token an eine entsprechende Wallet gesendet wird.
Die Wahl ist anonym und nicht manipulierbar, das Ergebnis ist transparent überprüfbar. Die technische Hürde wäre vertretbar.
Hallo,
Danke für Deinen Kommentar.
Dass mittels einer Blockchain-Architektur ein elektronische Wahl sicher umgesetzt werden kann, halte ich für eine gewagte These. Abgesehen davon, dass Blockchains bislang nur bei Crypto-Währungen eine ernsthafte Rolle spielen.
Eine technische Lösung dafür muss die oben genannten Punkte erfüllen, insbesondere ist die geheime Stimmabgabe in Verbindung mit einer Verhinderung von Manipulation abgegebener Stimmen ein zentrales Problem. Auch die genannte Token-Übergabe muss sicher erfolgen, d.h. dieser darf nicht in falsche Hände gelangen.
Wir dürfen gespant bleiben, ob es künftig dafür gute Lösungen geben wird.