Wie für jeden leicht festzustellen war, ist der Datenschutz in Liquid Feedback ein heiß umstrittenes Thema. Darum haben wir für diesen Teil unserer Reihe zwei Personen interviewt: Simon Weiß und Justus Wingert. Beide vertreten gegenteilige Meinungen. Keine davon soll übernommen werden. Es geht uns hier darum, euch beide Seiten der Medaille aufzuzeigen, damit sich schlussendlich jeder selbst eine Meinung bilden kann.
– Wer bist du und was tust du in der Piratenpartei?
Justus: Ich bin 21 Jahre alt, einfacher Pirat und studiere an der Universität Karlsruhe Informatik. Ich bin seit 7 Jahren immer weiter in die (Un-)Tiefen des Internets vorgestoßen und entwickle derzeit freiberuflich Web 2.0 Applikationen. Mein besonderes Hobby sind alle Arten von IT-Sicherheit, dies geht vom Absichern meiner eigenen Scripte und Server bis hin zum Entwickeln von Theorien für sichere Wahlcomputer. Für die Piratenpartei bin ich gelegentlich auch schon als Programmierer tätig geworden, so stammt zum Beispiel der „Piratisierer“, mit dem man einen Avatar mit dem „Ich wähle Piraten“ / „Ich bin Pirat“ Logo versehen konnte, von mir. Weitere Projekte sind zurzeit in Arbeit, aber noch geheim 😉 Auch im „echten Leben“ bin ich aktiv, ich baue beispielsweise für einige umliegende Stammtische zurzeit Prospektständer, von denen einer auf dem Bundesparteitag als Rednerpult hergehalten hat.
Simon: Mein Name ist Simon Weiß, ich bin 25, Mathematiker und Mitglied der Piratenpartei seit Juli 2009. Was Liquid Feedback angeht, war ich seit Januar 2010 erst mal nur begeisterter Anwender im LV Berlin. Danach habe ich angefangen, mich im Berliner LF-Squad zu beteiligen, insbesondere um die dahinterstehenden Ideen und das Wissen, um die Benutzung weiterzuverbreiten. Dabei habe ich den größten Teil einer ausführlichen FAQ zum Berliner LiquidFeedback geschrieben, die jetzt auch die Grundlage einer FAQ für den bundesweiten Einsatz sein soll. Außerdem bin ich seit kurzem angehender Admin auf lqpp.de (dem Server, auf dem die Berliner Instanz und die der anderen Landesverbände laufen).
– Warum wird im Zusammenhang mit LiquidFeedback so oft mangelnder Datenschutz kritisiert?
Simon: Mit der Benutzung einer Software wie LiquidFeedback für die innerparteiliche Willensbildung betreten wir gewissermaßen Neuland. Das heißt, dass man sich über grundsätzliche Fragestellungen im Umgang damit erst einmal klar werden muss, ohne auf existierende Vorbilder zurückgreifen zu können, wie es z. B. beim Wiki oder bei Mailinglisten der Fall ist. Natürlich fällt darunter insbesondere der Umgang mit den im System erzeugten Daten.
Dabei geht es in der Hauptsache um Antragstexte und Informationen zur Unterstützung von Anträgen und abgegebenen Stimmen, die in LF zumindest einem Pseudonym zugeordnet und dort dauerhaft nachvollzogen werden können.
Justus: Die Hauptursache für die enorme Kritik liegt in der Argumentationsweise mancher LiquidFeedbackbefürworter. Ich selbst war auf dem BPT Bingen noch ein Unterstützer von LQFB, wurde aber durch Aussagen von einigen Personen zum Thema Transparenz geradezu in die „Opposition“ getrieben. Insbesondere ist es vielen Kritikern des mangelhaften Datenschutzes schwergefallen, überhaupt Gehör, geschweige denn vernünftige Informationen zu finden. Was hier wichtig ist: In der Regel wird mangelnder Datenschutz kritisiert, aber nicht der Betrieb von LQFB in Frage gestellt. LQFB ist ein wichtiges Tool für die Zukunft der Piraten, lediglich die Ausgestaltung stelle ich mir anders vor.
– Was ist daran so strittig?
Justus: Strittig ist vor allem die Gewichtung von Transparenz gegen Datenschutz, die politische Meinung wird vom Bundesdatenschutzgesetz, völlig zurecht, als besonders schützenswertes Datum definiert, es ist für mich daher unverständlich, wie hier teilweise einfach gesagt wurde, dass man mit der Veröffentlichung dieser Daten leben muss, sobald man in einer Partei mitarbeiten will. Es handelt sich hierbei um Forderungen nach einer personenbezogene Transparenz, die meiner Meinung nach im direkten Widerspruch zum Schutz der Privatsphäre und der prozessbezogenen Transparenz steht wie wir sie beide im Parteiprogramm stehen haben. Meine Forderung lautet: Transparenz der Prozesse, Schutz der personenbezogenen Daten. Eine generelle Offenlegung der politischen Meinung von Parteimitgliedern halte ich für völlig überzogen und nicht im Sinne einer vernünftigen Abwägung zwischen Transparenz und Datenschutz. Nicht jeder Pirat ist ein Politiker.
Simon: Die in LiquidFeedback stattfindenden Prozesse sind vollständig offengelegt. Insbesondere ist es für jeden nachvollziehbar, wie jeder andere Benutzer abgestimmt hat. Dabei kann zwar jeder Benutzer unter einem Pseudonym auftreten, wenn er dies möchte, tatsächlich geheime Abstimmungen sind aber nicht möglich. Hier sehen einige die Gefahr, dass damit ein wichtiges demokratisches Prinzip vernachlässigt wird. Allerdings sollte man beachten, dass die Ergebnisse von LF keine unmittelbar verbindliche Wirkung haben werden. Auch wenn z. B. ein Antrag an den Bundesparteitag in LiquidFeedback erfolgreich beschieden wird, so muss er dort immer noch gestellt und abgestimmt werden, wobei auf dem Bundesparteitag auf Antrag auch eine geheime Abstimmung möglich ist. Der Schutz der eigenen Identität durch Pseudonymisierung innerhalb von LF ist zudem sehr stark, solange man eine Zuordnung des eigenen Namens zum Pseudonym konsequent vermeidet.
Ebenso wird unter dem Aspekt des Datenschutzes die Speicherdauer und Veröffentlichung von Daten im System diskutiert. Eine Speicherung ist aus Gründen der Nachvollziehbarkeit notwendig, allerdings besteht die Forderung Daten nach Ablauf einer gewissen Zeit aus dem System zu löschen. Strittig ist auch die Frage, inwieweit bestimmte Daten aus dem System über die Parteiöffentlichkeit hinaus einsehbar sein sollten. Während z. B. bei Profildaten von Benutzern definitiv keine Veröffentlichung geplant ist, stellt sich dies bei Dingen wie Antragstexten und Abstimmungsergebnissen unter dem Gesichtspunkt der Transparenz anders dar.
– Warum werden diese Daten überhaupt offengelegt und gespeichert?
Simon: Die Offenheit aller Abstimmungen ergibt sich zwangsläufig, da in elektronischen Systemen geheime Abstimmungen prinzipiell problematisch sind (Stichwort Wahlcomputer). Eine Abstimmung mit überprüfbaren und somit vor Manipulation gesicherten Ergebnissen ist dort nur dann möglich, wenn alle Stimmen öffentlich sind. Durch Pseudonymität ist dabei aber das höchstmögliche Maß an Datenschutz sichergestellt.
Die Offenlegung und Speicherung der anfallenden Daten ist aus Gründen der Nachvollziehbarkeit notwendig. Um potenzielle Manipulationen auch durch Überprüfung im Nachhinein noch ausschließen zu können, sollte die Dauer der Speicherung mindestens die Amtszeit eines Vorstands abdecken.
Bei der Frage der Veröffentlichung von Antragstexten, Abläufen und Abstimmungsergebnissen ist der Grundsatz der politischen Transparenz, dem wir uns verpflichtet haben, von entscheidender Bedeutung. Wenn man den basisdemokratischen Anspruch ernst nimmt, dass politische Entscheidungen in der Piratenpartei nicht von Vorständen, sondern gemeinsam von allen Mitgliedern getroffen werden sollen, dann müssen auch an diese Prozesse die gleichen Anforderungen bezüglich Transparenz gestellt werden, wie dies sonst bei Entscheidungen von Vorständen geschieht.
Justus: Von Seiten der Entwickler von LiquidFeedback und anderen LiquidDemocracy Tools wird dies mit einer Schutzfunktion gegen Manipulation begründet. Jeder Benutzer könne kontrollieren, ob seine Stimme richtig gezählt wurde oder nicht. Hier liegt aber gleichzeitig einer der größten Fehler der von Entwicklerseite begangen wurde: Aus sicherheitstechnischer Sicht ist diese Aussage schlichtweg falsch. Es ist, auch durch totale Transparenz des Systems, selbst wenn man Vollzugriff auf die gesamte Datenbank gewähren würde, unmöglich, im System Manipulationen zu beweisen. Der Grund ist, da der potenzielle Angreifer entweder alle Admins getäuscht hat oder selbst ein Admin ist, kann er alle Daten die den Server verlassen nach Belieben manipulieren, so auch die Datenbankkopien. Insbesondere kann er dies userbezogen machen, was in Verbindung mit der Tatsache, dass jeder nur die Korrektheit seiner eigenen Stimme nachvollziehen kann, die komplette Transparenz ad absurdum führt. Insbesondere kann man nie beweisen, ob die Stimme gefälscht wurde oder ob nur eine fehlerhafte Usereingabe vorliegt.
– Was genau ist denn wann und für wen überprüfbar?
Justus: Genau genommen ist für niemanden, nichts überprüfbar. Ich sehe nur was in der Datenbankkopie steht und was in LiquidFeedback steht, die Korrektheit dieser Informationen kann ich nicht beurteilen. Rein theoretisch kann ich überprüfen, wie ich selbst abgestimmt habe, es ist mir aber unmöglich zu überprüfen, ob ein dritter Account manipuliert wurde. Ein Problem, das dabei entsteht, ist die Manipulation von Abstimmungen über inaktive Accounts, von denen es im Betrieb, beispielsweise in Berlin, genügend gibt. Egal durch welche Kontrollfunktion, kein normaler User kann die Veränderung von Stimmabgaben an anderen Accounts außer dem eigenen nachvollziehen. Damit ist simpel und einfach jedes Ergebnis, das in LQFB steht, nur so gut wie das Vertrauen in die Administratoren und deren Sicherheitsvorkehrungen. Zusammengefasst: Da nichts überprüfbar ist, muss man den Administratoren und Verantwortlichen sowohl in der Clearingstelle als auch im Vorstand vertrauen.
Simon: Die Abstimmungsergebnisse sind für jeden Teilnehmer des Systems einmal in dem Sinne überprüfbar, dass die Auszählung der Stimmen nachvollziehbar ist (auf dem Datenbankdump lässt sich das sogar leicht automatisieren). Zudem ist es jedem möglich, nicht nur die korrekte Zählung seiner eigenen Stimme zu überprüfen, sondern durch die Möglichkeit des Abgleichs mit den Informationen anderer Benutzer auch sicherzustellen, dass diese Zählung jedem gleich mitgeteilt wird.
– Wenn alle Abstimmungen öffentlich einsehbar sind, wie lässt sich dann verhindern, dass man anhand des Abstimmungsverhaltens die Identitäten hinter den Pseudonymen rekonstruieren kann?
Simon: Es ist derzeit nicht geplant, namentliche Abstimmungsergebnisse zu veröffentlichen; dies wäre auch ein Verstoß gegen die Datenschutzerklärung. Die Teilnehmer des Systems haben aber natürlich Zugriff darauf und könnten daraus (und aus anderen im System erfassten Daten) Rückschlüsse auf die Identität eines Teilnehmers ziehen. Wer es aber vermeidet, dort Informationen einzustellen, die einen Bezug zu ihm herstellen, sollte davor relativ sicher sein. Prinzipiell ist es natürlich nicht auszuschließen, dass allein aus dem Abstimmungsverhalten ein politisches Profil erstellt werden kann, das einen Teilnehmer eindeutig identifiziert, das erfordert allerdings eine bereits vorhandene genaue Kenntnis seiner politischen Meinung.
Justus: Dies ließe sich durch verschiedene Maßnahmen erreichen:
1. Schaffung einer Möglichkeit, Initiativen und Texte anonym einzustellen.
2. Schaffung einer Möglichkeit, die Accounts verzögerungsfrei zu wechseln (alten Account deaktivieren, neuen Account anlegen).
3. Streichung der Möglichkeit, Datenbankkopien herunterzuladen.
4. Begrenzung der Veröffentlichung auf das reine Endergebnis ohne einzelne namentliche Auflistung.
– Wenn die „Entscheidungen“, die in LQFB getroffen werden, nicht bindend sind, wieso müssen sie dann so transparent sein?
Justus: Aus meiner Sicht müssen sie das nicht, sie sollten sogar darüber hinausgehend auf keinen Fall so transparent sein, da dadurch ein falscher Eindruck von Sicherheit entstehen könnte. Der Hauptfehler des Systems ist, dass es auf den ersten Blick durch die enorme Transparenz sicher wirkt, die gefährlichen Fallstricke, die enthalten sind, erkennt man erst beim näherem Hinsehen. LiquidFeedback ist ein hervorragendes Tool zum Bestimmen von unverbindlichen Meinungsbildern, aber ganz sicher nicht mehr. Für alles Verbindliche müsste man die Maßstäbe eines Wahlcomputers anlegen, und Wahlcomputer sind nach heutigem Stand der Technik nicht sicher. Aus gutem Grund wird selbst in den gescheiterten Wahlcomputern ein hohes Maß an Verschlüsselungstechnik angewandt. Man könnte beispielsweise durch sogenannte Signaturen sicherstellen, dass eine Eingabe auf jeden Fall von einem bestimmten Benutzer stammt, LQFB verwendet aber keine derartige Technologie und ein Einsatz ist designtechnisch auch nur schwer umsetzbar.
Simon: Dieses Argument – dass die Anforderungen an Transparenz für nicht verbindliche Beschlüsse niedriger sein sollten – habe ich in der Diskussion schon mehrmals gelesen, ich kann es jedoch nicht nachvollziehen. Ein Entscheidungsprozess muss dann transparent sein, wenn anzunehmen ist, dass sein Ergebnis umgesetzt wird; die rechtliche Verbindlichkeit spielt dabei erst einmal keine Rolle. Nicht umsonst kritisieren wir ja z.B. bei anderen Parteien die Intransparenz geheimer Absprachen, obwohl auch diese natürlich rechtlich nicht bindend sein können.
– Es gab an den Nutzungsbedingungen viel Kritik. Was genau wird bemängelt?
Simon: Die Kritik richtet sich vor allem auf die inhaltlichen Aspekte von Datenspeicherung und Veröffentlichung. Daneben gab es auch Kritik an einer Reihe von Details, wie z. B. der rechtlichen Haftung für Inhalte oder einer unglücklichen Verwendung des Worts „Raubkopie“.
Justus: Insbesondere die Abschnitte bezüglich des Ausschlusses der Löschung von Daten, die dem Benutzer jede Kontrolle über von ihm erzeugte Inhalte absprechen, und der völlig fehlende Gedanke an Datenschutz in der gleichnamigen Erklärung sind die Hauptmängel dieser Nutzungsbedingungen. Das erstere finde ich übrigens besonders paradox, dass ausgerechnet in einer Partei in deren Programm sinngemäß steht: „Jeder sollte private Daten aus Datenbanken löschen beziehungsweise sperren können“, den eigenen Parteimitgliedern genau dies versagt wird.
– Ist eine Überarbeitung dieser strittigen Passagen vorgesehen?
Justus: Hier kann ich als Außenstehender praktisch keine Aussage machen, es wurden hier so viele, teils widersprüchliche Dinge vom Vorstand kommuniziert, dass jede Aussage praktisch ein pures Ratespiel wird. Auf dem Politikforum zum Thema Datenschutz in LQFB wurde unter Anwesenheit eines Berliner Administrators und anderer LQFB Experten vom Vorstand zugesichert, den sogenannten „Morpheus-Prozess“ zur Anonymisierung von Daten in LQFB anzubieten. Bei der letzten Vorstandssitzung wurde der Antrag, den „Morpheus-Prozess“ anzubieten, dann aber ohne Gegenstimme abgelehnt. Warum? Ein LQFB Entwickler erklärte, dass es den „Morpheus-Prozess“ eigentlich gar nicht gäbe und dass alles irgendwie ein großes Missverständnis sei … Dies ist nur eines von vielen Kaninchen, das von Seiten der Entwickler von LQFB aus dem Hut gezaubert wurden. Beispielsweise wissen auch die allerwenigsten, dass die sogenannte Pseudonymisierung, die ständig genannt wird, gar nichts mit dem Wechsel der sogenannten „Nicknames“ (Anzeigename im System selbst) zu tun hat, sondern dass damit der gesamte Account gemeint ist. Einer meiner ersten Anträge an den Bundesvorstand scheiterte an genau diesem Kaninchen, allerdings erst nachdem ich 20 Piraten mobilisiert hatte, um den Antrag zu unterstützen. Wie unter solchen Bedingungen eine konstruktive Kritik möglich sein soll, wurde mir bis heute nicht wirklich erklärt.
Simon: Es wird zwar noch eine redaktionelle Überarbeitung der Version der Nutzungsbedingungen und der Datenschutzerklärung geben, wie sie auf dem Vorstandsblog veröffentlicht wurde (der Verweis auf „Raubkopien“ wird z. B. wohl durch „Kopien“ ersetzt werden); weitergehende, insbesondere inhaltliche Änderungen wird es aber wohl nicht geben. Eine grundlegende Änderung würde wohl auch eine weitere Rücksprache mit JBB erfordern, also weitere Kosten verursachen.
Man sollte allerdings beachten, dass auch wenn die Nutzungsbedingungen jetzt in dieser Form beschlossen werden, sie deshalb nicht für alle Zeiten in Stein gemeißelt sind. Ein Beschluss des Vorstands oder des Bundesparteitags kann sie jederzeit ändern (natürlich mit Einwilligung der Benutzer). Sie stellen auch kein Hindernis für den Vorstand dar, Benutzern weitergehende Rechte zuzugestehen als sie dort aufgeführt sind.
– Wie sicher ist die Pseudonymisierung?
Simon: Um sicherzustellen, dass eine Zuordnung von Pseudonymen und Realnamen nur dort stattfindet, wo es aus unbedingt nötig ist, wurde die in den bereits existierenden Instanzen von LF umgesetzte Trennung zwischen den Datensätzen von Administratoren und Vorständen weiter ausgebaut. Dazu wurde eine zusätzliche Clearingstelle eingerichtet, sodass eine Zuordnung nur noch durch einen Prozess unter Beteiligung aller drei Stellen möglich ist.
Eine solche Auflösung der Pseudonymisierung ist nur unter genau definierten Bedingungen möglich und erfordert in jedem Fall einen Beschluss durch den Vorstand.
Justus: Je nach Art und Weise des Angriffs und der im System vorhandenen Daten ist sie sehr sicher bis kaum sicher. Ein Benutzer, über den keine öffentlichen Daten vorliegen, der in LiquidFeedback nur abstimmt oder delegiert, ohne jemals Texte zu veröffentlichen, braucht sich keine Gedanken zu machen. Das Problem sind die öffentlichen Daten: Ist ein Nutzer beispielsweise in Twitter oder anderen Social Networks aktiv, lassen sich Daten verknüpfen die in der Summe auf einmal für Text- oder Relationsanalysen interessant werden. Dabei wird gewissermaßen der Schreibstil und die verschiedenen Freundschaften, die ein Benutzer hat, mit verschiedenen Programmen untersucht und eine Art Fingerabdruck erstellt. Sobald nun in LQFB Daten wie Texte und Delegationen veröffentlicht werden, kann man mit Sicherheiten von teilweise bis zu 99 % sagen, welche reale Person zu welchem Pseudonym gehört. Zur Aufdeckung reicht bei einer ausreichenden Datenbasis übrigens schon ein einziger Text (also etwa eine Initiative oder ein Kommentar). Die Pseudonymisierung ist also insbesondere für aktive Nutzer des Web 2.0 besonders schlecht, für besonders zurückhaltende Nutzer eher gut. Hinzu kommt die soziale Komponente: Gespeicherte Daten wecken Begehrlichkeiten, niemals wurde das deutlicher als in LiquidFeedback. In Berlin ist es, nachdem was ich gehört habe, mittlerweile Gang und Gäbe, Kandidaten für Personenwahlen nach ihrem LQFB Pseudonym zu befragen, wobei Kandidaten, die nicht freiwillig diese sehr sensible Information rausrücken, einfach nicht mehr gewählt werden. Denkt man an die Aggressivität zurück, mit der einige Kandidaten auf dem BPT teils angegangen wurden, möchte ich nicht wissen, wie tief unter der Gürtellinie manche Mitpiraten zuzuschlagen bereit wären.
– Kann man sein Pseudonym wechseln?
Justus: Möglicherweise. Nach Zusage im Politikforum sollte dies eigentlich sicher sein, leider wurde aus verschiedenen Gründen ein entsprechender Antrag an den Bundesvorstand mittlerweile abgelehnt. Es sollte eigentlich ein Prozess eingeführt werden, bei dem man ohne größere Verzögerung einen Account löschen beziehungsweise deaktivieren kann und dann einen neuen bekommt, ob und wann dies geschehen wird, ist mir nicht bekannt. Der Wechsel des Anzeigenamens in LQFB selbst ist ja wie bereits mehrfach erwähnt unwirksam und bestenfalls Augenwischerei. Es bleibt zu hoffen, dass der entsprechende Prozess zeitnah umgesetzt wird.
Simon: Ein Wechsel des Pseudonyms ist jederzeit möglich, allerdings sollte man beachten, dass dies nur einem Wechsel des Nicknames entspricht und die Verbindung zum alten Pseudonym bestehen bleibt.
Um die Zuordnung zu allen bisherigen Aktivitäten im System zu entfernen, wäre es notwendig, den bisher genutzten Account zu sperren und einen neuen anzulegen, indem ein neuer Referenzschlüssel an das Mitglied verschickt wird. Im letzten Politikforum des Bundesvorstands wurde von Vorstandsmitgliedern angekündigt, dass man diese Möglichkeit prinzipiell jedem anbieten wird.
– Vielen Dank euch beiden für die ausführlichen Antworten!