Startseite
Blog
Telematische Wahlen

Wie funktionieren Online-Abstimmungen?

Eine Gruppe von Personen, die sich vor einem Laptop versammelt hat, um eine rechtsgültige Online-Abstimmung in einer digitalen Umgebung darzustellen.
eBook herunterladen
Vielen Dank! Wir hoffen, dass es Ihnen gefällt!
Ups, da stimmt etwas nicht, wir können das ebook nicht herunterladen.

Die elektronische Abstimmung gibt es seit 1960 und Online-Abstimmungen seit der Einführung des Internets. Doch nie waren sie so relevant wie heute. Die Pandemie zwang über 3 Milliarden Menschen in den Lockdown. Im Unternehmensbereich ist Telearbeit zunehmend normalisiert, und hybride Veranstaltungen sind mittlerweile häufiger als Präsenzveranstaltungen.

In diesem Kontext sind Vorstände, Hauptversammlungen von Aktionären, Vereinsversammlungen, Gewerkschaftswahlen, Stadtratssitzungen oder Eigentümerversammlungen gezwungen, telematische oder hybride Veranstaltungen abzuhalten. Aber wie kann die rechtliche Gültigkeit dieser kollegialen Entscheidungen sichergestellt werden? Wie lassen sich unerwünschte Anfechtungen vermeiden? In diesem Artikel erklären wir einige Grundbegriffe, damit Sie verstehen, wie Online-Abstimmungen funktionieren und wie sie Ihnen helfen können, mehr Beteiligung mit weniger Aufwand und geringeren Kosten zu erreichen.

Online-Abstimmungen und elektronische Abstimmungen

Es gibt viele elektronische Abstimmungssysteme. Grob lassen sie sich in zwei Gruppen einteilen: Abstimmungssysteme zur Stimmabgabe und Abstimmungssysteme zur Stimmenauszählung. Stimmenauszählungssysteme sind im öffentlichen Bereich am weitesten verbreitet. Viele Länder setzen sie bei ihren allgemeinen und regionalen Wahlen ein. Abstimmungssysteme zur Stimmabgabe sind technologisch ebenfalls ausgereift, werden jedoch hauptsächlich im privaten Bereich eingesetzt - in Unternehmen, Vereinen, Genossenschaften usw. Eines der am häufigsten verwendeten Systeme zur elektronischen Stimmabgabe ist das Online-Abstimmungssystem; daher verwenden wir in diesem Artikel die Begriffe elektronische Abstimmung und Online-Abstimmung synonym.

Das Gesetz sieht die Nutzung von Systemen zur Stimmabgabe und Stimmenauszählung online in Hauptversammlungen von Aktionären, Vorständen, Vereinsversammlungen, Gewerkschaftswahlen, Stadtratssitzungen und anderen Gremien vor. Um dies mit voller Rechtssicherheit durchführen zu können, werden im Wesentlichen zwei Anforderungen gestellt: die Identität des Wählers ordnungsgemäß sicherzustellen und die Sicherheit des Systems zu gewährleisten. Im Folgenden erläutern wir diese beiden Aspekte näher.

Elektronische Identifikationsmittel

Der Schlüssel zur Sicherstellung der rechtlichen Gültigkeit der Online-Abstimmung liegt darin, die Identität des Wählers zu gewährleisten. Der europäische Rechtsrahmen für elektronische Identifizierungsdienste ist die Verordnung 910/2014, bekannt als eIDAS. In diesem Text wird die elektronische Signatur als die Gesamtheit elektronischer Daten definiert, die die Identität des Unterzeichners ordnungsgemäß sicherstellen. Obwohl der Begriff irreführend sein kann, ist eine elektronische Signatur im Grunde nur ein Mittel zur elektronischen Identifizierung. Daher muss der Wähler bei telematischen Abstimmungen unterschreiben (oder eine Reihe von Daten bereitstellen, die ihn identifizieren), um seine Stimme online abzugeben.

Die meisten von uns sind mit den elektronischen Zertifikaten vertraut, die wir beim digitalen Unterzeichnen von Verträgen verwenden. Solche Zertifikate können nur durch persönliche Vorsprache bei einer zuständigen Behörde wie der FNMT oder der Polizei erworben werden. Die mit diesen Zertifikaten erstellte Unterschrift wird als qualifizierte elektronische Signatur bezeichnet. Daneben gibt es zwei weitere Signaturarten, die in der eIDAS-Verordnung geregelt sind: die einfache Signatur und die fortgeschrittene Signatur. Beide sind die am häufigsten genutzten elektronischen Identifikationsmittel, um die Identität der Wähler in Entscheidungsprozessen privater Organisationen ordnungsgemäß sicherzustellen.

Wir können also sagen, dass die elektronische Signatur - sei sie einfach, fortgeschritten oder qualifiziert - die ordnungsgemäße Identifizierung des Wählers ermöglicht. Daher kann jede der drei Signaturarten für telematische Abstimmungen mit gesetzlicher Gültigkeit im privaten Bereich verwendet werden. Der Hauptunterschied liegt im Sicherheitsniveau, das jeweils erreicht werden kann. Bevor wir jedoch auf die Einzelheiten der verschiedenen Signaturarten eingehen, sollten wir zunächst besser verstehen, wie ein Identifizierungsprozess funktioniert.

Persönliche Identifizierung vs. digitale Identifizierung

Ein Identifizierungsprozess besteht aus mehreren Schritten. Einige dieser Schritte sind gegenüber möglichen Betrugsversuchen anfälliger als andere. Daher kann man sagen, dass das Sicherheitsniveau des gesamten Prozesses dem Sicherheitsniveau des schwächsten Schrittes entspricht. Bei digitalen Identifizierungsprozessen konzentriert man sich oft stark auf mögliche Sicherheitslücken. Häufig wird dabei jedoch übersehen, dass auch persönliche Identifizierungsprozesse gleichermaßen anfällig sein können. Schauen wir uns an, warum.

Das Wort Identität stammt aus dem Lateinischen idem entitas (dieselbe Entität). Daher benötigen wir zur Überprüfung der Identität einer Person zwei Elemente: die Person selbst und ein von einer offiziellen Stelle ausgestelltes Attribut, das einen Vergleich ermöglicht (ein Reisepass, ein Führerschein, ein Personalausweis usw.). Traditionell wurde dieser Vergleich von einer qualifizierten Person durchgeführt - einem Polizisten, einem Beamten, einem Notar oder ähnlichen Fachkräften. Eine Person, die darin geschult ist, Betrug und Täuschung zu verhindern. Dennoch kennen wir alle Geschichten von Zwillingen, die sich gegenseitig vertreten, um Fahrprüfungen zu bestehen. Und im Deep Web kann man einen gefälschten Reisepass für etwas mehr als 3.000 Euro kaufen - wenn er deutsch ist; portugiesische Pässe liegen bei etwa 700 Euro.

Einige Anbieter von Online‑Wahlplattformen behaupten, ihre Systeme seien völlig unangreifbar. Doch das stimmt nicht. Die digitale Welt ist genauso verwundbar wie die reale. Es geht darum, diese Risiken so weit wie möglich zu minimieren und dabei stets die jeweils geltende Gesetzgebung für jede Art von Organisation (öffentliche Verwaltungen, Unternehmen oder Vereine) und jede Art von Transaktion zu berücksichtigen (es ist nicht dasselbe, mit der ÖPNV‑Karte meines Partners Bus zu fahren, wie mir einen Louis-Vuitton-Mantel mit seiner Kreditkarte zu kaufen).

Identifizierungsprozess bei Online‑Abstimmungen

Wir haben gesagt, dass das Sicherheitsniveau eines Identifizierungsprozesses dem Sicherheitsniveau des schwächsten Schrittes entspricht. Aber welche Schritte umfasst ein Identifizierungsprozess bei einer elektronischen Abstimmung? Wir unterscheiden vier Schritte: Registrierung, Überprüfung, Identifizierung und Aktivierung.

Stellen wir uns vor, ein börsennotiertes Unternehmen hält seine Hauptversammlung telematisch ab. Der erste Schritt besteht darin, ein Censo zu erstellen. Wenn eine Beantragung der Stimmabgabe erforderlich ist, dürfen nur die Aktionäre abstimmen, die sich registrieren. Andernfalls erfasst das Censo alle Aktionäre. Aber vor der Abstimmung müssen einige Anpassungen vorgenommen werden, um die delegierte Stimmabgabe zu verwalten und die autorisierten Vertreter der stimmberechtigten juristischen Personen zu identifizieren. Es ist in diesem zweiten Schritt notwendig, dass das Unternehmen die Identität seiner Aktionäre überprüft. Es werden deren Personalausweis oder Reisepass angefordert und, wo zutreffend, die Urkunden, die ihre Identität mit der der vertretenen juristischen Person verknüpfen, oder ein Schreiben, das die Person autorisiert, in deren Namen abzustimmen.

In der Regel werden diese beiden ersten Schritte vom Unternehmen ohne die Beteiligung eines Anbieters telematischer Abstimmungen durchgeführt. Und idealerweise sollte die Sicherheit der folgenden Schritte gleich hoch oder höher sein als die der beiden vorherigen. Mit anderen Worten, ein Anbieter von Online-Abstimmungen muss sicherstellen, dass die Sicherheit seines Identifizierungs- und Aktivierungssystems weniger anfällig ist als das Registrierungs- und Überprüfungssystem seines Kunden. Andernfalls wäre es, als hätte man ein hochwertiges Auto und stattdessen gebrauchte, wiederaufbereitete Reifen montiert.

Der dritte Schritt findet also am Tag der Abstimmung statt, wenn die Wähler auf die Online-Abstimmungsplattform zugreifen, um ihr Recht auszuüben. In diesem Moment erfolgt die Identifizierung des Wählers. Um die verschiedenen Sicherheitsstufen in diesem Schritt zu verstehen, ist es sehr hilfreich, die von der Europäischen Union festgelegten Technischen Sicherheitsanforderungen zu lesen (EU-Verordnung 2015/1502).

Kurz gesagt, um ein hohes Sicherheitsniveau zu gewährleisten, ist es wichtig, eine Zwei-Faktor-Authentifizierung durchzuführen. Der typische Prozess besteht darin, dass der Benutzer einen vorhandenen Faktor angibt (wie seine Reisepassnummer oder sein persönliches Passwort) und einen dynamischen Faktor, der ihm in diesem Moment zugesendet wird (zum Beispiel ein SMS-Verifizierungscode). Dies ist das Sicherheitsniveau, das Banken von ihren Kunden für die Autorisierung von Online-Finanztransaktionen verlangen, und ebenso ein angemessenes Sicherheitsniveau für die Art von Abstimmungen, die in diesem Artikel behandelt werden.

Der vierte und letzte Schritt besteht darin, den Wähler zu aktivieren (oder zu autorisieren), damit er seine Stimme online abgeben kann. An dieser Stelle wurde seine Identität bereits ordnungsgemäß gewährleistet. Jetzt geht es darum, die Integrität der Daten sicherzustellen. Das bedeutet, zu garantieren, dass die Daten, einmal erfasst, von niemandem verändert werden können. Hierfür werden üblicherweise die sogenannten Zeitstempel verwendet; Systeme, bei denen ein vertrauenswürdiger Dritter einen alphanumerischen Schlüssel (oder Hash) erzeugt, der mit dem Datum und der Uhrzeit der Stimmabgabe sowie mit weiteren Daten des Wählers verknüpft ist (persönliche Daten, IP-Adresse und das Gerät, von dem aus abgestimmt wird, etc.). Werden die Daten verändert, stimmt der neu vom vertrauenswürdigen Dritten erzeugte Schlüssel nicht mehr mit dem ursprünglichen überein, und die Daten wurden somit verändert.

Eine Alternative zu den von vertrauenswürdigen Dritten erzeugten Zeitstempeln ist die Blockchain-Technologie, die es ermöglicht, etwas Ähnliches durchzuführen, ohne dass eine zertifizierende Autorität erforderlich ist.

Einfache, fortgeschrittene und qualifizierte elektronische Signatur

Jetzt, da wir den gesamten Prozess der Identifizierung und elektronischen Abstimmung gut verstanden haben, ist es einfacher, zwischen der einfachen und der fortgeschrittenen elektronischen Signatur zu unterscheiden. Die erste ermöglicht es uns, die Identität des Wählers ordnungsgemäß zu gewährleisten, in der Regel durch eine sichere Zwei-Faktor-Authentifizierung. Die zweite gewährleistet zusätzlich die Integrität der Daten, dank eines qualifizierten Zeitstempels.

Die einfache elektronische Signatur ist folglich weniger sicher als die fortgeschrittene, aber je nach Art der Organisation, die sie verwendet, und der Bedeutung der getroffenen Entscheidung dennoch rechtsgültig. Das Ergebnis einer elektronischen Abstimmung mit einfacher Signatur ist ein Stimmenprotokoll. Bei der fortgeschrittenen Signatur werden hingegen Dokumente erstellt, die alle Identifizierungsnachweise enthalten und mit einem qualifizierten Zeitstempel versehen sind. Diese Dokumente sind vor Gericht als Beweismittel zulässig und erschweren somit, dass eine mögliche Anfechtung erfolgreich ist.

Schließlich gibt es, wie bereits erwähnt, neben der einfachen und der fortgeschrittenen elektronischen Signatur auch die qualifizierte Signatur. Damit eine Signatur qualifiziert ist, müssen die ersten beiden Schritte des beschriebenen Prozesses von einem anerkannten Zertifizierungsdienstleister (Polizei, FNMT usw.) persönlich durchgeführt werden, wobei ein qualifiziertes Signaturzertifikat ausgestellt wird. Obwohl dies die sicherste Signatur von allen ist, erlaubt sie keinen vollständig telematischen Ablauf.

Welches Online-Abstimmungssystem sollte ich wählen?

Um sicherzustellen, dass Ihr Online- oder elektronisches Abstimmungsverfahren vollständig rechtskonform ist, müssen Sie zunächst wissen, welcher regulatorische Rahmen für Ihre Organisation und die zu treffende Entscheidung gilt. Diese Vorschrift – sei es das Kapitalgesellschaftsgesetz oder die Satzung Ihrer Organisation – verlangt mindestens, dass die Identität der Wähler ordnungsgemäß gewährleistet wird. Gemäß dem Gesetz über elektronische Signaturen können Sie dafür eine einfache, fortgeschrittene oder qualifizierte Signatur wählen. Welche Signatur Sie auch wählen, stellen Sie sicher, dass Ihr Anbieter eine sichere Zwei-Faktor-Authentifizierung bietet und den Nationalen Sicherheitsstandard (Esquema Nacional de Seguridad) sowie die ISO27001 für Informationssicherheit einhält. Wenn es in Ihrem Fall notwendig ist, die Integrität der Abstimmungsprotokolle zu gewährleisten, wählen Sie eine fortgeschrittene Signatur mit qualifiziertem Zeitstempel.

Wir wissen, dass die technische Fachsprache nicht sehr intuitiv ist. Aber wenn Sie diesen Artikel noch einmal in Ruhe durchlesen, werden Sie sehen, dass es eigentlich einfacher ist, als es scheint. Bei Kuorum unterstützen wir seit 2013 öffentliche und private Kunden in sieben Ländern bei ihren telematischen Abstimmungen. Wenn Sie Fragen haben kontaktieren Sie uns unverbindlich.

Teilen Sie
Empfohlene Artikel
Alle sehen
Telematische Wahlen in Sportverbänden - ist das möglich?
Telematische Wahlen
Telematische Wahlen in Sportverbänden - ist das möglich?
Februar 20, 2024
5
min lesen
Vorteile der Online-Abstimmung bei Gewerkschaftswahlen
Telematische Wahlen
Vorteile der Online-Abstimmung bei Gewerkschaftswahlen
19. Juni 2023
5
min lesen
Gewerkschaftswahlen und elektronische Stimmabgabe
Telematische Wahlen
Gewerkschaftswahlen und elektronische Stimmabgabe
22. März 2023
4
min lesen
Demo anfordern

Planen Sie eine 30-minütige Produktdemo mit unseren Experten

Gültige Nummer
Wir haben Ihre Nachricht erhalten!
Wir werden Sie so bald wie möglich kontaktieren.
Ups, da stimmt was nicht, das Formular kann nicht abgeschickt werden.
Rosen sind rot, Veilchen sind blau, und Websites wie diese verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern. Wenn Sie fortfahren, gehen wir davon aus, dass Sie unsere Cookie-Richtlinie zur Kenntnis genommen haben und mit ihrer Verwendung einverstanden sind.
Cookies konfigurierenAkzeptieren