Liquid-Anonymität

Zuerst ein Hinweis: Ich bin kein Mitglied einer Partei aber ein großer Fan der Optimierung von Demokratie und bin prinzipiell begeistert von der Liquid Democracy Idee – hatte aber keine Zeit mich mit den Vorschlägen und der Umsetzung zu befassen. Nun finde ich den Streit zwischen den Lagern der Piratenpartei um Transparenz vs. Datenschutz sehr interessant und möchte einen Lösungsansatz besonders hervorheben:

Mittelpunkt des Ansatzes ist das Verhältnis von Macht und Verantwortung.

Bürger haben das Recht, geheim zu wählen und eine anonyme politische Meinung zu haben. Gewählte Politiker müssen sich für ihre Entscheidungen verantworten und auch offenbaren, mit welchen anderen Machthabern sie in welcher Beziehung stehen. Wo ist aber die Grenze zwischen Bürger und Politiker? In der politischen Macht. Deshalb sehe ich eine Schwelle, über die das Parteimitglied zum Politiker wird. Über den Wert der Schwelle kann ja abgestimmt werden.

Jedes Parteimitglied ist zunächst anonymisiert und kann sich anonym in Gestaltung von Anträgen und in Abstimmungen einbringen. Wenn aber zum Beispiel ein Mitglied mehr als zum Beispiel 3, 10 oder 50 Delegationen für seine Stimme bezüglich einer Entscheidung erhält, dann kann er zunächst entscheiden, ob er diese Delegationen akzeptiert oder ablehnt. Akzeptiert er die Delegationen und somit die politische Macht, so muss er sich auch für Historie seiner bisherigen unterschwelligen Entscheidungen verantworten und sie wird offengelegt. Entscheidungen, die er zukünftig unterhalb der Schwelle tätigt, sind dann zunächst nicht öffentlich, bis er das nächste Delegationspaket oberhalb der Schwelle akzeptiert. Zudem sind in der Historie auch alle Delegationen an und von dritten Mitgliedern zu sehen, die mit den veröffentlichten Historien der dritten Mitglieder verknüpft sind. Diese Verknüpfungen zwischen Mächtigen ist notwendig, um über Deals zwischen den Mächtigen Rückschlüsse zu ermöglichen.

Man hat also zwei Datenbanken – eine mit nicht-veröffentlichten Historien und der Anonymisierungstabelle und eine mit den öffentlichen Historien. Leserecht allen Daten und Schreibrecht aller Programme, die in Verbindung mit dem nicht-öffentlichen Teil des Systems zu tun haben, hat nur Root. Aber jeder Mensch darf sich eine Kopie des gesamten Systems und der öffentlichen Datenbank im jeweils aktuellen Stand (natürlich ohne geheime Datenbank) ziehen, um sich technisch und politisch zu informieren.

Root wird von der Partei gewählt. Sobald sich Root einloggt, werden alle Mitglieder automatisch vom System darüber informiert. Root darf sich aber nur in einer öffentlichen Versammlung über Beamer oder Großraumdisplay einloggen.

Update: Ich möchte hier nicht den Eindruck erwecken, ich wäre für Wahlcomputer, da sie unter den Bedingungen, wie sie konzipiert und eingesetzt werden bzw. würden gefährlich sind. Ich glaube aber, dass es im Prinzip nicht unmöglich ist, ein hinreichend sicheres und anonymisiertes System zu erstellen, wenn Konzeption und Durchführung absolut transparent sind. Und in naher Zukunft werden wir ein solches System wohl nicht sehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

21 Ergänzungen

  1. Jetzt muss man nur noch einen Weg finden wie jeder Wahlberechtigte einen (und sicher nur einen) anonymen Account in einem „LD-Deutschland“ bekommt und wir können endlich unsere unfähigen und korrupten Repräsentanten nach Hause schicken. —-> Nie wieder Krieg / Atomkraft etc….

  2. Das mit dem Root funktioniert leider nicht. Irgendwer wartet immer das System und hat vollen Zugriff, man kann sowieso nicht kontrollieren welche Software auf dem Server läuft oder wer damit arbeitet. Also sollte man lieber nicht den Eindruck machen, dass es irgendwie möglich ist.

    1. @steffen
      Da darf eben nicht irgendwer das System warten. Es dürfen auch keine Laufwerke, Medien oder ähnliches an das System angeschlossen werden. Zugang zum Server-Raum hat nur Root und auch nur unter Beobachtung durch die Öffentlichkeit.
      Das Hauptproblem ist wohl, dass das System so konzipiert wird, dass die Wartung so minimal ist, dass Sie unter Aufsicht der Öffentlichkeit durchgeführt werden kann.
      Welche Software auf dem Server läuft, sollte von allen Kontrolliert werden können, denn die komplette Server-Software soll jederzeit von jedem downgeloaded werden können – natürlich bis auf die (temporären) Daten.

      1. Hm Andreas, ich glaube nicht, dass das so umsetzbar ist. Auf nem normalen x86 Rechner läuft soviel software und firmware im bios etc, es gibt den http://de.wikipedia.org/wiki/System_Management_Mode . Ich denke wirklich nicht, dass man da irgendwas sicherstellen kann, die einzige Methode dafür ist immer noch Kryptographie. Und wenn man für Liquid Feedback n Webserver braucht und Postgres, kann die Wartung nie minimal sein.

        Das Problem mit den Wahlcomputern ist nicht nur, dass jeder an die Kisten ran kann, sondern dass es wie bei jedem Computer absolut intransparent ist, welche Software da läuft und was die Hardware überhaupt macht.

        1. @steffen
          Ja da hast du recht. Sowas wie absolute Sicherheit gibt es nicht und bei der Konzeption kann man nicht alles bedenken. Aber wenn man Anonymität realisieren möchte, muss man mit allem transparent sein, was das System betrifft. Auch die Hardware muss Open-Source sein. Da muss man wohl den Start des Systems ein paar Jahre verschieben ;)

  3. Schöne Idee, lieber Andreas.
    Die Sache hat nur einen Haken: Mit Computern sind keine anonyme/geheime und gleichzeitig nachvollziehbare Wahlen möglich.
    Mit Computern sind nur namentliche, transparente Abstimmungen möglich. Pseudonyme sind da das höchste der Gefühle. Wer anderes behauptet hat bei den Diskussionen zum Thema Wahlcomputer nicht aufgepasst.

    Die von einigen Piraten vorgeschlagene \Lösung\, dass die Abstimmungsdaten nach einer gewissen Zeit gelöscht werden, ist dabei nicht mehr als ein Placebo. Gerade Piraten sollten doch wissen, dass das Löschen einmal veröffentlichter Daten nicht wirklich möglich ist.

    1. @Florian
      Das die Wahl nachvollziehbar ist, ist dann gegeben, wenn man dem Programm vertraut. Und natürlich lässt sich im System leider nachvollziehen, welche Identität hinter der anonymen Identität steckt. Die Frage ist halt, wer Zugriff auf die Übersetzungstabelle hat und natürlich auf alle anderen Wege der Kommunikation der Nutzer mit dem System.
      Dieser Zugriff darf nur auf Root beschränkt sein und der darf nur unter Aufsicht der Öffentlichkeit operieren.
      Das Problem heutzutage mit dem Wahlcomputern ist ja, dass da jeder mit Tricks an die Kisten ran kann.

    2. für jede Abstimmung einmalig per Zufallsgenerator an die Wähler vergebene IDs, unter denen die jeweilige Entscheidung von einem beliebigen öffentlichen Terminal abrufbar ist, würde sowohl die Kontrolle für jeden Bürger ermöglichen, ob seine Stimme so im System erfasst wurde, wie er sie abgegeben hat (da Root nicht wissen kann, wer gerade an welchem öffentl. Terminal die Daten abruft, kann er sie nicht manipulieren), als auch die Prüfung der Auszählung durch jeden Bürger bei Wahrung der Anonymität durch die Zufalls-IDs.

  4. Wenn dieses „Liquid Democracy“ funktionieren soll, darf es keine anonymen Meinungen auf der Plattform geben. Ich muss in der Lage sein die abgegebenen Meinungen vollständig zu bewerten und zu entscheiden, ob ich selbst abstimme/mich beteilige oder jemand anderes damit beauftrage. Und ich will ja wissen, welche Meinung dieser jemand hat.

    Wie sagte doch Lenin so schön: „Nicht aufs Wort glauben, aufs strengste prüfen – das ist die Losung der marxistischen Arbeiter.“ ;-)

    In einem solchen System wird jeder Teilnehmer zum Politiker und muss sich für seine Entscheidungen öffentlich verantwortet. Sonst kann es m.E. nicht funktionieren.

  5. „Das die Wahl nachvollziehbar ist, ist dann gegeben, wenn man dem Programm vertraut.“

    „Da darf eben nicht irgendwer das System warten. Es dürfen auch keine Laufwerke, Medien oder ähnliches an das System angeschlossen werden.“

    Also sind Wahlcomputer auch OK?

    1. @Torsten
      wenn man darin so viel Planung steckt wie in eine Marsmission – und alles (aber auch wirklich alles) technische vollkommen transparent ist – ja.

  6. @Andreas Pohl
    Kein technisches System ist 100 % manipulationssicher.

    Die Nachvollziehbarkeit ist nur dann gewährleistet, wenn *jeder* die Möglichkeit hat, das Ergebnis zu kontrollieren.
    Das geht mit LQFB beispielsweise durch den Download der Daten und Nachrechnen des Abstimmungsergebnisses.
    Wenn die Daten nun aber alle anonymisiert wären, kann ich nicht erkennen, ob sie von einem tatsächlich existierenden Mitglied oder einer Sockenpuppe stammen.
    Die Nachvollziehbarkeit wäre also nicht gegeben.

  7. Serh schöner Beitrag. Danke für die Gedanken und Vorschläge!

    Eines sollte man aber nicht vergessen: Die Gefahr durch Lobbyisten.
    Wenn die Schwelle nur an Zahl der Delegationen liegt, aber nicht berücksichtigt oder geprüft werden kann , von wem eigentlich Vorschläge gemacht werden, gehen Informationen verloren:
    Ein vermeintlicher gut gemeinter Vorschlag eines engagierten Parteimitglieds kann, wenn dieser Anonym ist, in Wirklichkeit nichts weiter als das Statement einer Industrie sein, die es über ein Mitarbeiter in die Partei einreicht.

    Einerseits muss Anonymität gewährleistet sein, andererseits sollte es eine Möglichkeit geben, unter welchen Background jemand Vorschläge macht.
    Dei Piraten haben selbst gerade eine Initiative mit gemacht gegen die Abgeordnetenbestechung. Schön und gut. Aber wieviel kostet der Abgeordnete in diesem System? Antwort: Soviel Mitgliederbeiträge wie es notwendig ist, damit einer der Lobbyisten hinreichend genügend Delegationen erhält.
    Ich schätze mal, 20 Fake-Mitglieder, die in wirklichkeit von einer Industrie angestellte Lobbyisten sind, reichen aus um mittels LD Anträge weit nach oben zu bringen.

    Wie auch immer: probleme und Ecken und Kanten hat jedes neue System. Es gibt keine fertigen Systeme. Man muss alle Systeme und Verfahren erst erproben um im Betrieb zu sehen, was man noch verbessern kann.
    Aus Angst vor Missbrauch, vor Datenverrat oder anderem ein System nicht in Betrieb zu stellen ist jedoch auf alle Fälle eine vertane Chance auf Wissen, Erfahrung und einer potentiellen guten Sache.

  8. @Andreas:

    Du löst ein Problem, das nicht existiert. Man erhält nämlich nur dann (viele) Delegationen, wenn man bekannt ist. Dafür muss man aber in der einen oder anderen Art seine Identität preisgeben.

    Somit regelt sich das mit der Transparenz eigentlich von alleine.

    Das eigentliche Problem ist was anderes:
    Selbst wenn man ein Pseudonym benutzt und halbwegs aktiv ist, wird man anhand der unterstützen Initiativen (oder sogar eingestellten Initiativen) gute Rückschlüsse auf die Person hinter dem Pseudonym schließen können.

    Andersherum hat man das Problem, dass man gerne außerhalb von LF über die Inhalte in LF diskutieren möchte (z.B. über Mailinglisten etc.) dabei ist es unvermeidlich, dass dann jemand schreibt „aber xyz hat doch abc unterstützt“. Das ist z.B. tatsächlich in Berlin passiert und es wurde daraufhin sogar mit einer Klage gedroht (weil Datenschutz verletzt wurde). Als Folge dessen wurden in Berlin dann die Datenschutzbedingungen entwickelt, die im Bund nun durchgefallen sind.

    Gelöst werden kann das Problem mMn nur, wenn man den Leuten anbietet regelmäßig neue Pseudonyme (die nicht koppelbar sind) anzunehmen.

    Technisch lässt sich sogar eine nicht auflösbare Pseudonymverteilung realisieren:

    http://wiki.piratenpartei.de/Anonymous_Id

  9. Und wenn ich lesen muss, dass ernsthaft (?) die Gefahr gesehen wird, dass Lobbyisten die Piratenpartei unterwandern, dann frage ich mich, ob man die Partei (in dem Fall dann besser ohne mich) nicht lieber in Paranoidenpartei umbenennen sollte.

  10. Anstatt ihre Strukturen aufzubauen und Parteiarbeit zu leisten haben die Piraten eine Modelleisenbahn* hingestellt.
    Ein wenig erinnern die Piraten an den Jungunternehmer, der, nachdem er vier Wochen lang (ohne einen blassen Schimmer von Design) die „perfekte“ Visitenkarte gestaltet hat, weitere vier Wochen mit der Einarbeitung in eine Verwaltungssoftware verbringt. Jedoch hat er drei Dinge vergessen. Er hat weder Mitarbeiter, Produkte noch Aufträge, die er verwalten kann.
    Die Piraten haben keine eigenen Ideen, sondern nur allerhand gekapert… Wobei nicht mal das, denn die Grünen haben die Ideen ja weiterhin, also … kopiert.
    Experten sind auch nicht präsentiert worden. In keiner Ebene wäre auch nur einer zu sehen gewesen, der wenigstens Arbeitstreffen ein bisschen produktiver gestaltet hat. Ergo sieht man, wenn es ein in sich tragendes Produkt der Piratenpartei gab, meist das Werk eines Einzelkämpfers. Als Beispiel könnte man das Wahlprogramm zur Bundestagswahl 09 an sehen.
    Letzlich schießt die Liquid*-Debatte am Ziel vorbei. Ohne Tannenbaum hat man nichts, wo man den Stern aufsetzen kann.
    Außerdem wage ich zu bezweifeln, dass wenn man z.B. die Frage nach bedingungslosem Grund-Einkommen stellt, die Partei die Integrationskraft hat, die, deren Minderzahl nun vor Augen geführt wurde, in der Partei zu halten. Selbst wenn es nur 25% sein sollten, die der Ansicht sind, dass man für Geld auch arbeiten kann und die, die arbeiten, es auch behalten können sollten, dann gehen nach der flüssigen Umfrage eben 25% entweder in den Passivmitgliederbestand oder ganz aus der ewigen Kindergartenpartei und nach der Frage, ob man Strom in bezahlbar oder ökologisch haben möchte noch mal 25% und nach dem Krieg in Afghanistan, Soli-Verlängerung, Steuer-CD.
    Wenn 6 mal ein Viertel ging, sind nur 18% aktiv. Transparenz muss man sich leisten können. Die Bezahlquote der Mitgliedsbeiträge jedoch spricht Bände.

    Falk D.

    * Projekt, das nie fertig wird.

  11. Also ich mache diesen LQFB-Mist sicher nicht mit. Wenn die Partei mich zwingen will, mich dazwischen zu entscheiden, alles gläsern zu machen oder nicht mehr mitstimmen zu können, entscheide ich mich für die Freiheit und trete aus….

  12. vielleicht solltet ihr euch mal gedanken zu der frage machen, was demo(s)-kratie eigentlich heisst und wie das mit einer hirarchischen struktur wie der einer partei vereinbar ist. hirarchie bedeutet macht und macht zieht immer opportunisten an. alle parteien haben mit humanistischen ansätzen angefangen und alle sind rüber zum „realismus“ und von da zum konservativen und weiter zum reaktionären gedriftet.

    dann noch: „wärend die klugen noch grübeln, verändern die dummen die welt.“ und ihr wisst, warum gruppensysteme (parteisysteme) grundsätzlich demokratiefeindlich sind. es liegt in der natur der sache. wenn sich menschen zu festen gruppen (lagern) zusammenfinden, geht das ziel „gemeinschaft“ verloren und das taktische „gegen die anderen“ gewinnt die oberhand.

    das ist ungefähr so, als würde man behaupten, es müsse nur der „richtige“, der ehrliche menschenfreund auf den abzug einer waffe drücken, dann könne es frieden geben.

    ghandi wusste, warum er sich selber der gewalt verweigern musste, um die gewalt der kolonialmacht anprangern und besiegen zu können.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.