AG Liquid Democracy/Umsetzungen/Teilnehmerverwaltung/Clearingstelle
Inhaltsverzeichnis
Pseudonymisierung durch Clearingstelle
Getrennt von der Mitgliederverwaltung durch den Vorstand gibt es eine unabhängige Clearingstelle. Die Mitgliederverwaltung weist jedem Mitglied eine ID zu. Die Clearingstelle verbindet jede ID mit einem Pseudonym.
formelle Beschreibung
Entnommen aus der aktuellen Datenschutzerklärung des Bundesliquid.
2.1 Bestandsdaten
Bestandsdaten sind nach ihrer rechtlichen Definition diejenigen Daten, die für die Anbahnung, den Abschluss und die Durchführung eines Telemedien-Nutzungsvertrages, wie ihn die Teilnehmer abschließen, geeignet sind. Wir fühlen uns bei der Erhebung dem Grundsatz der Datensparsamkeit verpflichtet. Daher gehen wir hinsichtlich der Erhebung von Bestandsdaten wie folgt vor:
2.1.1 Das Prinzip: Identifizierbarkeit der Teilnehmer und Teilnahme unter einem Pseudonym
LiquidFeedback steht allen Mitgliedern der Piratenpartei offen. Aber eben auch nur diesen, weshalb wir die Eröffnung und auch das Ende der Teilnehmer-Accounts an den Bestand der Parteimitgliedschaft knüpfen müssen. Auch die Verwaltung des Teilnehmer-Accounts – zum Beispiel seine vorübergehende Sperrung aufgrund eines vorübergehenden Verlusts des Stimmrechts in der Partei – bedingt, dass bekannt und sichergestellt ist, dass ein bestimmter Teilnehmer-Account einem bestimmten Parteimitglied zuzuweisen ist. Zudem ist es notwendig, erteilte Zugangsberechtigungen zur Plattform nachträglich überprüfen zu können, weshalb die Möglichkeit der Zuordnung der Teilnehmer-Accounts zu bestimmten Personen unerlässlich ist.
Auf der anderen Seite soll es möglich sein, die Plattform zu nutzen, ohne bei der Registrierung oder später während der Nutzung von LiquidFeedback seinen Klarnamen angeben zu müssen (möglich ist das natürlich, wenn du willst).
Wir haben uns vor diesem Hintergrund für das in Ziffer 2.1.2 beschriebene Procedere entschieden.
2.1.2 Schlüsselerstellung und Verwaltung
Wir verorten die Informationen, die zu einer Identifikation eines bestimmten Teilnehmers führen, an drei verschiedenen Stellen. Diese Stellen können die Informationen nur unter ganz bestimmten Bedingungen zusammenführen (siehe unten unter Ziffer 4.1).
Zunächst fordert die Mitgliederverwaltung der Partei („Stelle 1“) von einer extra für LiquidFeedback eingerichteten Clearingstelle („Stelle 2“) die Erstellung einer zu benennenden Anzahl von Schlüsselpaaren an, bestehend jeweils aus einem Einladungs- und einem Referenzschlüssel. Die Clearingstelle erzeugt diese Schlüsselpaare und dokumentiert die Paare in einer Verknüpfungsliste.
Die erstellten Einladungsschlüssel übermittelt die Clearingstelle im nächsten Schritt an die Liquid-Feedback-Administratoren („Stelle 3“). Wer die jeweils amtierenden Administratoren der Plattform sind, erfährst du hier. Die Übermittlung erfolgt verschlüsselt unter Nutzung eines dem Stand der Technik entsprechenden kryptographischen Verfahrens. Die Administratoren fügen die neu erstellten Einladungsschlüssel der Liste der gültigen Einladungsschlüssel hinzu.
Die erstellten Referenzschlüssel wiederum werden von der Clearingstelle ebenso verschlüsselt an die Mitgliederverwaltung der Partei übertragen. Die Mitgliederverwaltung ordnet dann jedem neu aufgenommenen bzw. jedem bestehenden Mitglied, das noch keinen solchen Schlüssel erhalten hat und daher noch nicht zur Teilnahme an LiquidFeedback eingeladen wurde, einen Referenzschlüssel zu und übersendet diesen Schlüssel an das betreffende Mitglied.
Im letzten Schritt dieses Prozesses gibt das Mitglied den Referenzschlüssel auf einer speziell hierfür vorgesehenen Internetseite in ein Webformular ein. Daraufhin wird dem Mitglied ein (einziges) Mal der Einladungsschlüssel angezeigt. Mit diesem Einladungsschlüssel kann das Mitglied dann den Registrierungsprozess für LiquidFeedback beginnen.
Am Ende steht danach folgenden Ergebnis: Das Mitglied kann sich für LiquidFeedback mit einem Pseudonym registrieren. Die Auflösung des Pseudonyms ist nur möglich, wenn alle drei Stellen die bei ihnen vorliegenden Informationen zusammenbringen (zu den Fällen, in denen dies zulässig ist, siehe unten Ziffer 4.1 sowie, bei Statusänderungen des Teilnehmers, unten Ziffer 3.1). Damit ist dem Interesse der Teilnehmer an einer pseudonymen Nutzung gerecht geworden. Auf der anderen Seite existiert die grundsätzliche Möglichkeit einer Identifikation, die wir aus den oben genannten Gründen benötigen.
2.1.3 Die einzelnen Bestandsdaten
Bestandsdaten sind zunächst der Referenzschlüssel und der Einladungsschlüssel, wie sie in Ziffer 2.1.2 beschrieben sind. Bestandsdaten sind zudem – wenn auch nur potentiell, da nicht von einer Stelle zu entschlüsseln – dein bürgerlicher Name sowie die Tatsache, dass du Parteimitglied bist.
Im Zuge deiner Registrierung unmittelbar auf der Website erfragen und speichern wir von dir noch die folgenden weiteren Bestandsdaten:
- Deine E-Mail-Adresse, die du für die Nutzung von LiquidFeedback verwenden willst,
- den von dir gewählten Teilnehmernamen, mit dem deine späteren Beiträge auf LiquidFeedback für die anderen Teilnehmer sichtbar gekennzeichnet werden,
- den von dir gewählten Anmeldenamen, mit dem du dich später einloggst, der aber anderen Teilnehmern nicht sichtbar gemacht wird, und
- das von dir gewählte Passwort.
Sowohl beim Teilnehmernamen als auch beim Anmeldenamen bist du frei, deinen bürgerlichen Namen anzugeben oder ein Pseudonym zu wählen. Du kannst beide Namen im Übrigen später ändern. Änderungen des Teilnehmernamens werden einschließlich des Zeitpunkts der Änderung gespeichert, anderen Teilnehmern angezeigt (Namenshistorie) und sind in den nach Ziffer 4.2 zulässigen Downloads der LiquidFeedback-Datenbank enthalten. Wenn du daher als Teilnehmernamen deinen bürgerlichen Namen verwendet hast, ist eine spätere Änderung auf ein Pseudonym nicht mehr geeignet, eine echte Pseudonymität herbeizuführen.
Welche Anforderungen werden erfüllt?
Anforderungen aus Abstimmungsverfahren
Qualitätskriterien für Wahlen
- bedingt - Nur berechtigte Wähler dürfen an der Wahl teilnehmen.
- nur, wenn man Clearingstelle und Vorstand vertraut
- ja - Alle berechtigten Wähler können an der Wahl teilnehmen.
- bedingt - Korrekte Auszählung: Das Ergebnis der Wahl ist unabhängig überprüfbar.
- nur, wenn Punkte 1 als erfüllt angesehen wird und somit die Überprüfung der Pseudonyme ausreicht
- bedingt - Grundsatz der Freien Wahl: Die Wahl ist geheim.
- viel Aktivität kann zur Verknüpfung vom Pseudonym mit der realen Person führen
- Durch Kooperation der Clearingstelle mit der Mitgliederverwaltung kann die Pseudonymität aufgehoben werden
- nein - Erpressungfreiheit: Niemand kann gezwungen werden auf eine bestimmte Art abzustimmen.
- nein - Käuflichkeit: Niemand kann nachweisen wie er abgestimmt hat.
Meta-Qualitätskriterien für Wahlen
- ja - Auch für Laien verständlich (insbesondere keine komplizierte Mathematik)
- ja - Geringer Aufwand bei der Organisation der Durchführung
- ja - Geringer Aufwand für jeden einzelnen Beteiligten