Überprüfbarkeit demokratischer Prozesse – 2. Teil: offene elektronische Abstimmungen sowie Wahlcomputer Typ 1 und Typ 2
Nachdem im ersten Teil des Artikels die Überprüfbarkeit herkömmlicher demokratischer Abstimmungsverfahren durch die Teilnehmer beleuchtet wurde, handelt der zweite Teil von der Überprüfbarkeit elektronischer Abstimmungen.
Zu elektronischen Abstimmungen sei vorweg gesagt, dass diese immanenter Bestandteil aller elektronischen Beteiligungssysteme sind, die mit quantisierten Bewertungen arbeiten. Bei LiquidFeedback ist beispielsweise bereits jede Unterstützerstimme oder Bewertung der Teilnahme an einer elektronischen Abstimmung gleichzusetzen. Bei anderen elektronischen Beteiligungssystemen findet Vergleichbares statt. Elektronische Beteiligungssysteme erheben das Abstimmen zum permanenten Grundprinzip.
Aber nun zur Betrachtung verschiedener Möglichkeiten der Umsetzung einer elektronischen Beteiligung unter Gesichtspunkten der Überprüfbarkeit durch die Teilnehmer.
Offene elektronische Abstimmung
Die Akkreditierung sowie die Stimmabgabe bei einer offen elektronischen Abstimmung findet unter einem den Teilnehmern hinreichend bekanntem, eindeutigen Identifikationsmerkmal statt. Wie bei der Abstimmung per Handzeichen oder per Wahlurne ist es somit möglich, dass Teilnehmer Fehler oder Manipulationen bei der Akkreditierung erkennen können. Auch hier reicht ein einzelner Teilnehmer, der einen Fehler oder eine Manipulation erkennt, damit dieser bzw. diese aufgedeckt werden kann.
Die mehrfache Abgabe von Stimmen durch die gleiche Person würde auffallen, denn dann würden zwei oder mehr Stimmen über das Identifikationsmerkmal mit der selben Person verknüpft.
Ebenfalls können Teilnehmer überprüfen, dass nur Stimmen von Berechtigten abgegeben werden, und nicht z. B. von Vertretern der Presse.
Auch die Auszählung kann durch die Teilnehmer überprüft werden, da alle Stimmen offengelegt werden.
Bei offener elektronischer Abstimmung durch die Teilnehmer prüfbar:
Nur berechtigte Personen nehmen teil: eingeschränkt überprüfbar
Jede Person nimmt nur einmal teil: vollständig überprüfbar
Die Stimmen werden korrekt ausgezählt: vollständig überprüfbar
Da offenes Abstimmen manchmal nicht erwünscht ist, wurden Möglichkeiten erdacht, wie bei elektronischen Abstimmungen die abgegebene Stimme von der abgebenden Person getrennt werden kann. Im Wesentlichen gibt es hierbei zwei Ansätze, zum einen die Entkopplung des elektronischen Stimmzettels von der abgebenden Person (elektronische Wahlurne) und zum anderen die Entkopplung der Person von der Identität des Abstimmenden. Um diese in der Praxis besser erkennen und benennen zu können, bezeichnen wir sie nunmehr als Wahlcomputer Typ 1 und Wahlcomputer Typ 2.
Wahlcomputer Typ 1 (Entkopplung von elektronischem Stimmzettel und Person)
Der erste Ansatz, die abgegebene Stimme von der abgebenden Person zu trennen, versucht die Fähigkeit der physikalischen Wahlurne mittels Computersoftware nachzubilden. Egal ob hierbei ein elektronisches Wahlgerät oder eine über das Internet verteilt betriebene Computersoftware zum Einsatz kommt, sind diese Verfahren alle durch die Teilnehmer nicht überprüfbar. Denn im Gegensatz zum geringen notwendigen Verständnis um die Funktionsweise einer echten Wahlurne zu verstehen und ihre korrekte Anwendung zu überprüfen, ist bei elektronischen Geräten oder Computersoftware immer ein erhebliches Fachwissen erforderlich, um das Verfahren überhaupt im Detail verstehen zu können. Aber selbst mit dem nötigen Fachwissen, ist es für Teilnehmer an Abstimmungen mit einem Wahlcomputer Typ 1 nicht möglich, das tatsächlich eingesetzte Wahlgerät oder die tatsächlich an der Abstimmung beteiligten, mit dem Internet verbundenen Computer selber einer Untersuchung zu unterziehen.
Bezugnehmend auf den Wahlcomputer diesen Typus sei auch auf die Arbeiten des Chaos Computer Clubs und die Kampagne Wij vertrouwen stemcomputers niet verwiesen, die hierzu viele Informationen zusammengetragen haben.
Beim Wahlcomputer Typ 1 durch die Teilnehmer prüfbar:
Nur berechtigte Personen nehmen teil: nicht überprüfbar
Jede Person nimmt nur einmal teil: nicht überprüfbar
Die Stimmen werden korrekt ausgezählt: nicht überprüfbar
Wahlcomputer Typ 2 (Entkopplung von Person und Identität des Abstimmenden)
Der zweite Ansatz ist eine Entkopplung der mit der Abstimmung verknüpften Identität von der Person. Hierzu wird eine von einer zentralen Stelle garantierte Identität benötigt, die eindeutig sein muss, jedoch nicht mit der Person in Verbindung gebracht werden können soll. Diese zentrale Stelle kann z. B. der Vorstand einer Organisation sein, der jedem Mitglied eine eindeutige Identität in Form eines Pseudonyms zuweist oder z. B. die Bundesregierung, die mittels des elektronischen Personalausweises eine eindeutige, aber pseudonyme Identität für jeden Ausweisinhaber garantiert. Ob tatsächlich hinter jeder Identität genau eine Person steht kann durch die Teilnehmer jedoch nicht geprüft werden.
Da dieses Pseudonym nicht geeignet ist, anderen Teilnehmern die Identifikation der Person zu erlauben, kann von den Teilnehmern die Akkreditierung in keiner Weise geprüft werden. Die Teilnehmer können auch nicht prüfen, ob von jeder Person nur eine Stimme gezählt wird, da nicht geprüft werden kann, ob eine Person mehrfach akkreditiert wurde. Hier muss dann z. B. auf die zertifizierende Regierungsstelle sowie auf die Administratoren des Abstimmungssystems vertraut werden.
Letztendlich bleibt – wie im ersten Teil des Artikels schon bei der Briefwahl ausgeführt – den Teilnehmern nur noch zu beobachten, dass Stimmen ausgezählt werden, von denen die Teilnehmer nicht prüfen können, ob sie von berechtigten Teilnehmern stammen. Die offene Auszählung beim Wahlcomputer Typ 2 verleiht dem Verfahren also einen trügerischen Schein von Überprüfbarkeit, den es jedoch gar nicht erfüllen kann.
Beim Wahlcomputer Typ 2 durch die Teilnehmer prüfbar:
Nur berechtigte Personen nehmen teil: nicht überprüfbar
Jede Person nimmt nur einmal teil: nicht überprüfbar
Die Stimmen werden korrekt ausgezählt: vollständig überprüfbar
Fazit
Aus der Betrachtung der Überprüfbarkeit von elektronischen Abstimmungen durch die Teilnehmer bleibt folgendes Fazit zu ziehen: Möchte man überprüfbare elektronische Abstimmungen durchführen, müssen diese als offene Abstimmung mit Identitäten stattfinden, die für die anderen Teilnehmer hinreichend mit den abstimmenden Personen verknüpft sind. Möchte man diese den anderen Teilnehmern bekannte Verknüpfung vermeiden, bleibt einem nur entweder vollständig auf die Überprüfbarkeit des Verfahrens durch die Teilnehmer zu verzichten und damit einer Autorität blind vertrauen zu müssen oder zu Papier, Stift und Wahlurne zu greifen.
LiquidFeedback wurde für offene Abstimmungen konzipiert und implementiert, denn nur so konnte ein System geschaffen werden, das vertrauenswürdige, durch die Teilnehmer überprüfbare Ergebnisse liefern kann. Die Akkreditierung der Teilnehmer ist jedoch nicht Teil von LiquidFeedback sondern muss durch die einsetzende Organisation selber umgesetzt werden. Zur Akkreditierung gehört auch die Frage, ob eine Trennung der verwendeten Identitäten von den dahinterstehenden Personen vorgenommen wird oder ob jedes Benutzerkonto in LiquidFeedback für alle Teilnehmer hinreichend mit einer echten Person verknüpft wird. Ob LiquidFeedback – wie vorgesehen – für offene Abstimmungen genutzt oder als Wahlcomputer Typ 2 betrieben wird, ist somit allein die Entscheidung der einsetzenden Organisation.
Das Thema Überprüfbarkeit ist auch Teil der vorhergehenden Artikel 5 Jahre Liquid Democracy in Deutschland sowie Die 5 W-Fragen politischer Beteiligung: Wer soll an was, womit, wie und wozu beteiligt werden?
Ich möchte ergänzend zu diesem Artikel eine weitere aufgekommene Idee beleuchten, die ebenfalls versucht, anonyme und gleichzeitig überprüfbare Abstimmungen über das Internet zu realisieren:
Wir betrachten das folgende Verfahren:
Auf diese Weise kann sich jeder Teilnehmer selbst von der korrekten Auszählung seiner eigenen Stimme überzeugen. Das Hinzufügen weiterer Stimmen kann potentiell von den anderen Teilnehmern erkannt werden, da die Liste der Teilnehmer einer Abstimmung veröffentlicht wird, so dass zum einen die Anzahl von teilnehmenden Personen und Kennungen abgeglichen werden kann und zum anderen Teilnehmer, die in der Liste der Abstimmenden namentlich auftauchen, gefragt werden könnten, ob sie tatsächlich teilgenommen haben.
Der postulierte Widerspruch anonymer und gleichzeitig überprüfbarer Abstimmungen via Internet scheint hier überwunden zu sein, doch betrachten wir die Auswirkungen des Verfahrens im Detail:
Eine Überprüfung der korrekten Auszählung der Stimmen durch jeden Teilnehmer ist nicht mehr möglich, da lediglich eine Aussage über die Stimme, die mit der eigenen Kennung verknüpft ist, getroffen werden kann. Über alle anderen Stimmen kann keine Aussage getroffen werden. Eine Überprüfung des Gesamtverfahrens ohne Aufdeckung der Anonymität wäre nur wie folgt möglich: Hinreichend viele Teilnehmer gleichen die veröffentlichte Liste der Namen der Teilnehmer sowie die Liste der (anonymen) Kennungen mit den dazugehörigen Stimmen ab; weiterhin prüft jeder Teilnehmer selbstständig, ob seine Kennung mit dem korrekten Stimmverhalten veröffentlicht wurde.
Bei disziplinierter Prüfung der prüfbaren Aspekte jeder Abstimmung durch jeden einzelnen Teilnehmer ist eine Überprüfung des Gesamtsystems also theoretisch möglich. Deckt ein Teilnehmer eine Manipulation auf, müsste er sein eigenes Abstimmverhalten jedoch offenlegen, um diesen Umstand öffentlich zu machen. Weiterhin steht die Prüfungsmöglichkeit, wie erwähnt, nicht mehr jedem einzelnen Teilnehmer offen, sondern ergäbe sich nur in einem kollektiven Prozess, bei dem sich die anderen Teilnehmer korrekt verhalten müssen. Die Wahrscheinlichkeit, dass eine Manipulation unbemerkt bleibt, steigt gegenüber einer offenen namentlichen Abstimmung deutlich: Sind die Namen der Abstimmenden nicht mit dem Stimmverhalten verknüpft, dann entfällt die Motivation bei ungewöhnlichem Stimmverhalten eine Prüfung vorzunehmen. Andere Nutzer des Systems können einen Teilnehmer nicht auf ungewöhnliches Verhalten aufmerksam machen. Erschwerend kommt hinzu, dass sich eine Überprüfung der Zählung der eigenen Stimme sehr kompliziert gestaltet: Eine Prüfung am eigenen Computer mit dem eigenen Systemzugang reicht hierzu nämlich nicht aus! Vielmehr muss überprüft werden, ob in den Auszählungsergebnissen, die anderen Teilnehmern präsentiert wurden, die eigene Kennung mit der korrekten Stimme ebenfalls wiederzufinden ist.
Über die Frage, wie hoch die Wahrscheinlichkeit ist, dass Manipulationen unentdeckt bleiben, kann nur spekuliert werden, doch bleibt folgendes Problem hiervon unabhängig bestehen: Entdeckt man als Teilnehmer eine Manipulation der eigenen Stimme, dann steht man vor der unglücklichen Frage, ob man das tatsächliche Abstimmungsverhalten bekannt geben will und damit die eigene Anonymität aufgibt, da ansonsten eine Aufklärung der Situation prinzipbedingt unmöglich ist. Da dieses Dilemma allen Beteiligten und auch potentiellen Angreifern bekannt wäre, ist weiterhin denkbar, dass ein Angreifer gezielt Stimmen von Personen manipuliert, die mit der Aufdeckung ihrer Identität ein Problem hätten.
Selbst wenn die Anonymität aufrecht erhalten werden könnte, da z.B. keiner der Teilnehmer berechtigter oder unberechtigter Weise die Integrität der Ergebnisse öffentlich in Frage stellt, dann wäre die Abstimmung dennoch nicht geheim, da z.B. Betreiber oder Administratoren in das persönliche Abstimmungsverhalten Einsicht nehmen könnten.
Fazit:
Das hier präsentierte Verfahren ist ebenfalls NICHT geeignet um gleichzeitig überprüfbare und anonyme Abstimmungen via Internet durchzuführen, denn einer Äußerung, das System sei manipuliert worden, kann nicht begegnet werden, ohne dass die fraglichen Stimmen gegenüber den Teilnehmern wieder einer echten Person zugeordnet werden. Ursache hierfür ist die Tatsache, dass die Teilnehmer im Gegensatz zur echten Wahlurne nicht nachvollziehen können, was die an der Abstimmung beteiligten Computer tatsächlich tun oder getan haben. Offene namentliche Abstimmungen hingegen ermöglichen es, eine angeblich falsch erfasste Stimme zu korrigieren und ggf. weitere Teilnehmer nach ihrem tatsächlichen Stimmverhalten zu befragen.
Die angeführte Kritik am genannten Wahlverfahren ist teilweise berechtigt.
Dennoch denke ich, dass dieses Prinzip eine sinnvolle Möglichkeit darstellt.
- Jeder Teilnehmer kann nur die Auszählung seiner eigenen Stimme überprüfen.
Dies ist richtig, allerdings sehe ich hier kein Hindernis. Es sollte keine Schwierigkeit sein, im “Client” des Wählers eine automatische Prüfung einzubauen, sodass ein Großteil der Wähler diese Prüfung vornimmt.
- Im Betrugsfall muss ein Wähler seine Identität aufdecken.
Auch richtig, allerdings muss für eine relevante Beeinflussung der Wahl eine signifikante Anzahl Stimmen manipuliert werden. Die Wahrscheinlichkeit, dass wenigstens ein einzelner der “betrogenen” Wähler (denn ein einzelner genügt), dieses in Kauf nimmt um den Betrug aufzudecken halte ich für hoch.
- Es muss überprüft werden, ob in den Auszählungsergebnissen, die anderen Teilnehmern präsentiert wurden, die eigene Kennung mit der korrekten Stimme ebenfalls wiederzufinden ist.
Hier stimme ich nicht zu. Ich gehe davon aus, dass die Wahlergebnisse auch anonym einsehbar sind. Somit ist es nicht möglich, jedem Benutzer eine eigene “Realität” vorzutäuschen.
- Die Abstimmung wäre dennoch nicht geheim, da z.B. Betreiber oder Administratoren in das persönliche Abstimmungsverhalten Einsicht nehmen könnten.
Dies kann ich nicht nachvollziehen. Wie sollte dies möglich sein? Prinzip des Verfahrens ist ja gerade, dass nur der Wähler über seine eigene Stimme Bescheid weiß.
Ich verweise hierzu auch auf http://www.cs.colostate.edu/~indrajit/wecwis01ext.pdf , eine Spezifizierung für ein anonymes Wahl-Protokoll, das ein ähnliches Verfahren verwendet.
Mit dem Prinzip des Delegated-Voting lässt sich eine geheime Wahl aber natürlich nicht vereinbaren, schließlich hat jeder Delegierende ein berechtigtes Interesse, die Wahl seines Delegierten zu erfahren.
Hallo “wasser”,
Eine automatisierte Prüfung ist nicht das selbe wie eine Prüfung durch den Teilnehmer selbst. Im einfachsten Falle könnte ein Trojaner oder eine “angepasste” Version der Wahlsoftware eine korrekt erfolgte Prüfung vortäuschen, obwohl die eigene Stimme anders als gezählt abgegeben wurde.
Grundsätzlich stimmt es, dass bei wachsender Nutzerzahl die Wahrscheinlichkeit steigt, dass Manipulationen des gleichen prozentualen Umfangs entdeckt werden. In jedem Falle bleibt allerdings das Problem bestehen, dass ein einzelner Teilnehmer behaupten kann, die eigene Stimme sei falsch gezählt worden, man jedoch nicht bereit sei, das tatsächliche Stimmverhalten aufzudecken. In einem solchen Falle gibt es nur zwei Handlungsmöglichkeiten: Die Abstimmung ohne Beweis für ungültig zu erklären oder dem Teilnehmer keinen Glauben zu schenken.
Wie ich bereits in meinem vorhergehenden Kommentar geschrieben habe:
“Ursache hierfür ist die Tatsache, dass die Teilnehmer im Gegensatz zur echten Wahlurne nicht nachvollziehen können, was die an der Abstimmung beteiligten Computer tatsächlich tun oder getan haben. Offene namentliche Abstimmungen hingegen ermöglichen es, eine angeblich falsch erfasste Stimme zu korrigieren und ggf. weitere Teilnehmer nach ihrem tatsächlichen Stimmverhalten zu befragen.”
Wenn ich weiß, dass ein Stimmberechtigter X sich immer von IP-Adresse Y verbindet, dann könnte ich alle Downloads von IP-Adresse Y so verändern, dass in diesem Ergebnis der Stimmberechtigte X korrekt abgestimmt hat, während allen anderen Teilnehmern ein anderes Abstimmungsverhalten übermittelt wird. Eine potentielle Lösungsmöglichkeit wäre hier ein dezentrales System, welches die Daten automatisiert untereinander abgleicht, oder hinreichend viele Teilnehmer, die die Daten von verschiedenen Standorten herunterladen. Die im ersten Fall beschriebene automatisiere Prüfung könnte wie bereits erläutert von Trojanern oder einer modifizierten Software umgangen werden und der im zweiten Fall beschriebene Abgleich unterschiedlicher Daten entspricht ja gerade dem von mir benannten erhöhten Aufwand der Prüfung.
Der Server muss einen Benutzer anhand seiner Authentisierungsdaten freigeben. Hierbei entsteht auf dem Server (mindestens temporär) eine Verknüpfung zwischen der eingehenden Verbindung und der Identität des Teilnehmers. Aus diesem Grunde kann ein Administrator oder Hacker Einsicht in das Abstimmungsverhalten nehmen.
Obwohl es in dem von dir verlinkten Dokument heißt “The protocol we propose, does not require any complex cryptographic schemes [...]“, dürfte das dort beschriebene Verfahren, welches auf Zahlentheorie und Einwegfunktionen basiert, einer Mehrheit von Menschen unverständlich bleiben.
Entscheidend ist jedoch, dass nicht nur ein geschlossenes mathematisches Modell auf Richtigkeit überprüft werden muss, sondern ebenso dessen korrekte Anwendung und die Gegebenheit der getroffenen Grundannahmen. Betrachten wir beispielsweise folgenden Umstand:
Das Paper preist an, dass kein komplizierter Mechanismus zur anonymen Übertragung vorgesehen wird:
Die Geheimheit der Stimme soll vielmehr durch einen einfachen Upload realisiert werden:
Für einen Hacker ist es sicherlich möglich einen anonymen Upload durchzuführen, für einen durchschnittlichen Anwender jedoch vermutlich nicht. Auch hier gilt wieder: Automatisiert man dies (z.B. mittels Onion Routing), dann muss sichergestellt sein, dass die eingesetzte Software, die den anonymen Upload durchführt, tatsächlich vertrauenswürdig ist und kein Trojaner installiert ist. Wie dieses Problem gelöst werden soll, wird in der referenzierten Arbeit nicht beleuchtet. Vielmehr wird ein einfacher Dateiupload vergleichbar mit einem FTP-Gast-Zugriff als hinreichend für die Sicherstellung der Anonymität dargestellt.
Auf die Details des kryptografischen Teils des Verfahrens muss hier gar nicht eingegangen werden, denn bereits die vorausgesetzten Rahmenbedingungen sind zweifelhaft. Der Behauptung, eine mit einem FTP-Gast-Zugriff vergleichbare Datenübertragung (egal ob verschlüsselt oder nicht) sei hinreichend anonym, möchte ich mich nicht anschließen.
Alle Detailfragen ändern im Übrigen nichts an der Aussage des Blogbeitrags zum Wahlcomputeransatz Typ 1:
“Der erste Ansatz, die abgegebene Stimme von der abgebenden Person zu trennen, versucht die Fähigkeit der physikalischen Wahlurne mittels Computersoftware nachzubilden. Egal ob hierbei ein elektronisches Wahlgerät oder eine über das Internet verteilt betriebene Computersoftware zum Einsatz kommt, sind diese Verfahren alle durch die Teilnehmer nicht überprüfbar. Denn im Gegensatz zum geringen notwendigen Verständnis um die Funktionsweise einer echten Wahlurne zu verstehen und ihre korrekte Anwendung zu überprüfen, ist bei elektronischen Geräten oder Computersoftware immer ein erhebliches Fachwissen erforderlich, um das Verfahren überhaupt im Detail verstehen zu können. Aber selbst mit dem nötigen Fachwissen, ist es für Teilnehmer an Abstimmungen mit einem Wahlcomputer Typ 1 nicht möglich, das tatsächlich eingesetzte Wahlgerät oder die tatsächlich an der Abstimmung beteiligten, mit dem Internet verbundenen Computer selber einer Untersuchung zu unterziehen.”
Selbst wenn unter der Voraussetzung der Gültigkeit bestimmter mathematischer Annahmen davon ausgegangen werden könnte, dass man dem Verhalten aller anderen Computer außer dem eigenen nicht vertrauen muss, so bleibt das Problem, dass die eigene Stimme letztendlich von einem elektronischen Endgerät an das Internet übermittelt werden muss. Kann ich als Abstimmender nicht genau überblicken, was in diesem Computer passiert, ist mir eine echte Überprüfung des Verfahrens unmöglich. Das Fehlen dieses Überblicks sorgt bereits im Falle weniger Wähler aus berechtigten Gründen für einen Vertrauensverlust gegenüber dem Gesamtsystem. Auch bleibt die Angriffsmöglichkeit den eigenen Computer selbst mit einem Trojaner zu infizieren bzw. die installierte Prüfsoftware zu manipulieren, um nachträglich Unsicherheit bezüglich einer erfolgten Abstimmung streuen zu können.
Zwar können auch offene namentliche Abstimmungen manipuliert werden, doch ist man bei offenen Abstimmungen nicht auf eine konkrete Software oder eine längere Zuordnungsliste angewiesen um die korrekte Auszählung der eigenen Stimme zu überprüfen. Auch andere Stimmen lassen sich auf Plausibilität überprüfen und es können bei Bedarf stichprobenartige Kontrollen durchgeführt werden (“Hast du wirklich so abgestimmt?”).
Gruß
Jan Behrens
Das öffnet Tor und Tür für Missbrauch anderer Art, da eine Manipulation zwar erkannt, aber nicht bewiesen werden kann.
Daraus folgt: jeder, dem ein Ergebnis nicht passt, könnte hingehen und sagen: es wurde manipuliert – so habe ich nicht abgestimmt. Damit müsste die Abstimmung für nichtig erklärt werden – obwohl ein Beweis nicht erfolgen könnte.
Es ist korrekt, dass bei einer Abstimmung mittels Internet eine tatsächliche Manipulation durch einen Dritten prinzipbedingt nicht von einer zu Unrecht getätigten Behauptung eines Teilnehmers, dass die Stimme falsch gezählt wurde, unterschieden werden kann.
Nur wenn diese Abstimmungen als offene namentliche Abstimmung durchgeführt werden, gibt es jedoch einen einfachen Umgang mit solchen Vorfällen: Besteht die Behauptung, dass eine Stimme falsch gezählt wurde, korrigiert man die Auszählung einfach entsprechend. Sind rechtsverbindliche Entscheidungen notwendig, ist die Verwendung einer Widerspruchsfrist denkbar, in der die abstimmenden Teilnehmer die Gelegenheit haben, vermeintlich falsch gezählte Stimmen korrigieren zu lassen.
Damit dies ohne Verlust der Überprüfbarkeit möglich ist, müssen natürlich die Zuordnungen zwischen jeder abgegebener Stimme und der jeweiligen abstimmenden Person öffentlich bekannt sein. Überprüfbare Abstimmungen über das Internet können also nicht anonym sein.