Anonymous-Maske Bild: Jürgen Stemke Bild: Jürgen Stemke

Liquid Datenschutz ?

Pseudonyme können mit Hilfe von Crawlern automatisch sehr leicht und zuverlässig enttarnt werden.[] Wie ist diese Erkenntnis bei den Piraten und insbesondere bei Liquid Feedback zu berücksichtigen? Was ist generell in Punkto Datenschutz zu beachten? Hat die Partei schon lange so einen Gau, wie die PPlattform mit der Veröffentlichung ihrer Bewertungen zu Bewerbungen einen hatte?

Einführung

Der Riss durch die Piraten geht tief und es ist nicht ein Riss, es sind viele.

Die erste Zäsur, die mir auffiel, war der Beschluss zur Einführung von Liquid Feedback in Bingen. Wer die Historie kennt, darf gleich weiter springen, zur nächsten Überschrift.

In Bingen gab es den ersten heftigen Schlagabtausch zwischen zwei wesentlichen Spannungsfeldern der Piraten. Der Forderung nach Datenschutz und der Forderung nach einem elektronischen Werkzeug, das mehr Beteiligung ermöglichen soll, an dessen Ende eine flüssige „Basisdemokratie“ stehen soll.

Ich war da und ich war dabei. Am Ende der Debatte hat man sich darauf verständigt Gelder zu genehmigen um das System testen zu können. Abgestimmt wurde jedoch der original Antrag. Dort steht nichts von einem Testbetrieb. Das ist vielen nicht aufgefallen. Um zu sensibilisieren habe ich vor der Abstimmung noch mit einem Meinungsbild versucht darauf aufmerksam zu machen. Ich wollte wissen, wem wirklich klar ist, was da nun abgestimmt wird. Ich denke, mein Hinweis war nicht deutlich genug. Das belegen meine Befragungen von Leuten nach der Abstimmung und der ganze Stress, der in den folgenden Monaten durch die Partei ging. In Bingen stimmten 79,9% dafür. In der Folge haben sich viele getäuscht gefühlt. Das ist eine schlechte Basis.

800 Euro wurden freigegeben. Die waren nach etwa einem Monat verbraucht und der BuVo beschloss, das Geld entsprechend deutlich aufzustocken, anstatt das Projekt noch vor dem Start wieder abzubrechen. Die Kosten-Struktur und wann was wofür beim Liquid ausgegeben wurde, würde mich wirklich mal interessieren. Leider mangelt es uns aber scheinbar an Transparenz, ich konnte diese Angaben nicht finden.

[Update] Der Vorstand konnte mir inzwischen einige Zahlen nennen. Ab 2012 werden im BoVo Ausgaben zu LQFB auf ein entsprechendes Konto gebucht:

  • 4915,52 € Ausgaben in 2012 bis 2014 (IT-Kosten + Reisekosten)
  • 3813.83 € Einnahmen (Spenden + Aufwandsverzicht)
  • 1101,69 € Kosten (effektiv)

Das entspricht Ausgaben von ca. 1700 € pro Jahr. Leider habe ich keine Aufschlüsselung der Kosten erhalten. Unklar ist daher z.B., ob in diesen Summen auch die Kosten für das Klarnamen-Gutachten des LV Berlin enthalten sind (1785 €). Ich habe nicht weiter nachgefragt. Die o.g. Summen zu erhalten hat 5 Monate in Anspruch genommen. Ich vermute, dass Ausgaben von Landesverbänden in den o.g. Summen nicht aufgeführt sind. Laut Betriebsdoku wurden am 26.03.2013 letztmalig Zugänge erstellt oder gesperrt. [Update ende]

Post Privacy

Die Piraten haben den Konflikt zwischen Datenschutz und Liquid Feedback nie gelöst. Des lieben Frieden willens wurde irgendwann möglichst stillgehalten. Es gab nur noch vereinzelt Debatten ohne Ergebnis. Beide Seiten haben sich damit arrangiert, dass manche es nutzen und andere eben nicht. Das Durchdrücken des Werkzeugs mit Macht, als zwingendes Tool ist bisher auf Bundesebene und in den meisten Verbänden gescheitert, in manchen Landesverbänden wurde der Einsatz aus Datenschutzgründen komplett unterbunden oder gestoppt. Manche wollen dennoch noch weiter gehen.

Es gibt Bestrebungen die Teilnahme im Liquid von der Verwendung der Klarnamen der Teilnehmer abhängig zu machen. Hintergrund dürfte unter anderem sein, dass eine Überprüfbarkeit der Abstimmungen durch jedes Mitglied nur dann möglich ist, wenn man jedes andere Mitglied kennt und die Abstimmung durch Nachfrage verifizieren kann. Werden Pseudonyme verwendet, könnte man Abstimmungen dadurch manipulieren, dass der Angreifer Sockenpuppen für sich abstimmen lässt, die ggf. keiner kennt, was wiederum auch keiner weiß. Ein solcher Eingriff könnte von innen kommen, aber auch Übernahmen von aktiven Accounts wurden bereits erfolgreich demonstriert (natürlich mit Einverständnis des Inhabers des Gehackten Accounts).

Vermutlich müsste man zu Klarnamen auch noch Real-Adressen offen legen, um die gewünschte Nachvollziehbarkeit, also eine sichere Überwachung zu erreichen. Exemplarisch dazu folgernder Auszug aus Twitter. Es geht um alle 6 Beiträge:

LQFB - teilnehmer kann man nicht überprüfen

Damit sind wir wieder bei dem Konflikt zur Überprüfbarkeit von elektronischen Abstimmungen kontra Datenschutz. Übrigens kann man auch Klarnamen leicht umgehen, indem man zum Beispiel nur unter einem Künsternamen auftritt. Das ist zulässig, leicht umzusezten und wird von manchen Leuten erfolgreich praktiziert, zum Beispiel um die eigene Familie zu schützen. Damit kommen Leute pseudonym ins Liqid, wenn sie den richtigen Hack kennen. Leute, die den Hack nicht kennen, hätten keine Ahnung davon.

In Berlin wurde ein Gutachten in Auftrag gegeben[] um zu eruieren wie, bzw. dass ein Liquid mit Klarnamen datenschutzrechtlich in Ordnung ist.[] Aufraggeber waren Thomas Wied (Pirat im LV Berlin) und Lars Hohl (damals Datenschutzbeauftragter des LV Berlin, heute noch der GAZPROM Germania GmbH), die wohl im Namen der Piratenpartei Deutschland aufgetreten sind. Die Kosten von 1785 Euro hat der LV Berlin übernommen.[] Dieses Gutachten durch Rechtsanwälte der JBB-Kanzlei sah keine Beanstandungen an der Klarnamenspflicht. Festgemacht wurde dies an der freiwilligen Teilnahme am Liquid Feedback und dass man sein Stimmrecht auch ohne Teilnahme am LQFB wahrnehmen kann.

Zu einem ganz anderen Ergebnis kommt der Datenschutzbeauftragte des Landes Berlin.[] Das „vorgelegte Konzept für ein Klarnamenprinzip ist … nicht datenschutzkonform“. Es werden erhebliche Zweifel an der Zulässigkeit aus Sicht des Datenschutz-Gesetzes wie auch des Grundgesetzes geäußert. Ebenso wird auf das Parteiengesetz verwiesen. Durch das Klarnamensprinzip würden schützende demokratische Vorkehrungen wie der Schutz von Persönlichkeitsrechten oder der Schutz von Minderheiten ausgehebelt. Eine echte Freiwilligkeit der Teilnahme sieht der Datenschutzbeauftragte eher nicht gegeben, wenn im LQFB entsprechend Meinungen und Beschlüsse vorbereitet werden sollen. Ebenso kritisch sieht der Landesdatenschützer die angegebenen Gründe zur Erforderlichkeit der Klarnamenspflicht. Er hält eine Erfordernis für Klarnamen in der Regel für nicht gegeben oder fragwürdig.

Die dauerhafte Speicherung der Daten steht ebenfalls in der Kritik der Aufsichtsbehörde. Auch wenn ein Mitglied zunächst sein Einverständnis gegeben hat, müssen auf Widerruf auch alle zugehörigen Bestandsdaten gelöscht werden. Insbesondere bei Parteiaustritt müssen alle Daten zu politischen Ansichten eines Mitglieds aus dem LQFB gelöscht werden. Ein Neutralisieren des Pseudonyms oder Klarnamens genügt dem nicht. Die Daten müssen aus dem System entfernt werden. Der Datenschutzbeauftragte macht dies sehr deutlich. Würde man dem entsprechen, ist die Nachvollziehbarkeit im Liquid spätestens ab diesem Zeitpunkt Geschichte. LQFB ist nach wie vor ein einziger Datenschutz-Gau. Die Klarnamenspflicht verschärft dies ins Extreme.

Besonders kritisch sieht der Datenschutzbeauftragte, dass die weitgehenden Möglichkeiten automatischer Datenverarbeitung von den Verantwortlichen unberücksichtigt bleiben und LQFB mit einem öffentlichen Parteitag verglichen wird. Technisch versierte Personen können jedoch die Daten aus dem Liquid (auch automatisch, z.B. per Crawler) abgreifen und mit weiteren Daten, wie zum Beispiel den Profilseiten, Twitter oder die Beziehungen der Teilnehmer untereinander verknüpfen. Diese und weitere Daten können dann auch an die Öffentlichkeit gelangen. Es ist also zum Beispiel leicht möglich, automatisch Personen und Beziehungen und deren politische Einstellung zu ermitteln.

Automatisch nicht Anonym

An dem Punkt „Crawler und automatische Datenverarbeitung“ kommt jetzt das oben genannte Paper [] ins Spiel.

In dem Paper haben zwei Freaks in einer lauen Stunde und aus einer Laune heraus einen Crawler gebastelt, der Accounts auf Flicker und Twitter automatisch de-anonymisiert. Die beiden waren überrascht, wie flott das ging und wie gut das funktioniert. Der Crawler nutzt lediglich Metadaten, er fragt dazu über die API der beiden Social-Media-Dienste die Beziehungen der Nutzer untereinander ab und identifiziert damit Nutzer mit einer Trefferquote von 88%, rein auf Basis der Metadaten zu Kontakten und zu Beziehungen. Im Liquid könnte man das durch Teilnahme an Themen und durch Delegationen abbilden.

Verbessern lässt sich die Quote, wenn man zu den genannten Metadaten auch noch weitere Daten verwendet, die man aus den Texten herleiten kann, wie z.B. politische Ansichten oder Schreibstil. Es gibt mindestens einen Piraten, der bereits „Warnungen“ gegenüber Leuten aussprach, denen er mit Hilfe von von Textanalysewerkzeugen anonyme Aussagen zugeordnet haben will.

Unterm Strich bedeutet dies, dass die Teilnehmer in einem pseudonymen LQFB durch Leute mit dem entsprechenden Know How wahrscheinlich sehr leicht enttarnt werden können. Das geht dann völlig automatisch und wenn der echte Name im Such-Radius des Tools auftaucht, kann man sogar den Klarnamen im LQFB zuordnen.

Die Piraten haben einen Datenschutz-Gau im Hause, der so langsam vor sich hin köchelt. Streng genommen müsste man mit der Erkenntnis aus der Expertise des Landesdatenschützers Berlin und dem Paper der Studenten aus Texas die Daten von Parteimitgliedern entsprechend schützen, um datenschutzkonform zu handeln. Seit 2012 wird das versäumt. Bereits im Januar 2011 hat der Landesdatenschützer gewarnt.

Konsequenzen?

Die Piratenpartei war einmal angetreten als Partei, die personenbezogene Daten schützen möchte. Öffentliche Daten nutzen, private Daten schützen. Transparenz des Staatswesens, Schutz der Privatsphäre. Bei der Definition, ab wann Daten nicht mehr privat sind, sondern zur Öffentlichkeit, zum Staatswesen gehören, darum gibt es innerhalb der Piraten einen deutlichen Dissenz. Diesen Konflikt muss man lösen und dann handeln. Nichts tun verbessert das Problem nicht und bringt die Piraten nicht voran.

Update: Der LV Niedersachsen hat sein LQFB inzwischen aus Datenschutzgründen offline genommen.

Links

Anmerkungen

  1. Ich habe versucht die Kosten von LQFB über das Wiki in Erfahrung zu bringen. Das ist mir bisher nicht gelungen. So viel zu Transparenz beim Liquid.
  2. Man verzeihe mir, wenn ich Links zum Beschlüssen nicht heraussuche, aber die Beschlüsse von 2010 sind irgendwo vogonisch versteckt. Ich verlinke gerne, wenn man mir die Links zukommen lässt. Wir sollten mal diese Transparenz zu Entscheidungen bei Piratens einführen. #scnr
  3. Der Datenschutzbeauftragte des Landes Berlin hat bereits im Januar 2011 auf grundsätzlich problematische Punkte hingewiesen. Diese wurden bis heute nicht gelöst und bei der Gestaltung des Klarnamens-LQFB ebenfalls ignoriert. Unter anderem:
    1. Viel zu lange Löschfristen (2 Jahre)
    2. Pseudonym sollte ohne Verknüpfung zur Historie vergangener Pseudonyme einfach zu ändern sein
    3. Download des Dumps ist kritisch
    4. Das System darf für die Partei nicht wichtig sein / Teilnahme an der Willensbildung darf nicht durch Verweigern von LQFB eingeschränkt sein
  4. Der Datenschutzbeauftragte des Landes Berlin hat 2012 darauf hingewiesen, dass die Daten zu einzelnen Mitgliedern bei Austritt oder Widerruf der Einverständniserklärung aus dem LQFB gelöscht werden müssen. Nach meinem Kenntnisstand ist das bis heute nicht umgesetzt und auch technisch derzeit nicht möglich. Ist diese Annahme korrekt, missachten wir klar die Vorgaben des zuständigen Landesdatenschutzbeauftragten. (Natürlich wären damit entsprechende Entscheidungen im LQFB nicht mehr 100% überprüfbar.)
  5. Der Datenschutzbeauftragte des LV Berlin, Lars Hohl, hat sein Amt nieder gelegt, nachdem sich die Partei geweigert hat, die Vorgaben der für die Piraten zuständigen Aufsichtsbehörde, den Landesdatenschutzbeauftragten des Landes Berlin, ernst zu nehmen und zu beachten.[]
  6. Liquid Feedback hat erhebliche, massive Probleme bezüglich den Anforderungen aus sicht des Datenschutzes. Diese wurden in Kauf genommen, um die Meinungsbilder dort nachvollziehbar zu halten. Dieser Anspruch konnte jedoch nicht erfüllt werden. Auch mit Klarnamen stößt die Nachvollziehbarkeit an ihre Grenzen, sobald man nicht alle Leute kennt. Das Werkzeug erkauft sich den (falschen) Anspruch der Nachvollziehbarkeit durch einen Datenschutz-Gau und kann diese Ansprüche dennoch nicht erfüllen. Die Piraten in Rheinland-Pfalz sind diesem Umstand dadurch begegnet, dass sie Werkzeuge einsetzen, die zumindest den Anforderungen an den Datenschutz gerecht werden.

5 Kommentare

  1. 1

    einer der wenigen wirklich guten Artikel zu Transparenz ./. Datenschutz und dem Dilemma der Piraten!

    Ich möchte dem nur hinzufügen, dass unser noch ungeklärtes Selbstverständnis auch damit zu tun hat, ob Piraten als Parteimitglied Privatpersonen sind – oder, ob wir durch den Anspruch parteipolitische Entscheidungen treffen zu wollen (an die sich unsere Mandatsträger trotz Freiem Mandat weitgehend halten sollen, was noch so eine Krux ist) zu Politikern werden. In letzterem Fall wäre ein nachvollziehbares Abstimmungsverhalten eigentlich zwingend.

    Funfact: Würden wir die BürgerInnen abstimmen lassen (und nicht die Mitglieder der Piratenpartei), dann würden wir diese gesamte Problematik auf die Ebene gelebter Demokratie heben … damit nicht unbedingt gleich lösen, aber einen wertvollen Betrachtungswinkel mit in das Spiel bringen.

  2. 2
    Bernhard Kern

    Einen kleinen, aber folgenschweren Fehler hat der Artikel:
    Bei der Konstruktion, die in Berlin betrieben wurde und wird, hat das Liquid weit größere Bedeutung, als es im Bund hat. In Berlin werden qua Satzung Anträge, die im Liquid behandelt werden, auf Mitgliederversammlungen vorrangig behandelt – qua Satzung, nicht per TO. Das hat zur Folge, dass die Teilnahme am Liquid direkte Auswirkungen auf die Mitgliedschaftsrechte hat – die Folgen sind juristisch andere als im Bundesliquid. Das wird aber jetzt ein anderer Blogeintrag, führt aber in Kurzform dazu, dass das oben geschriebene so nicht stimmt.
    Die ganz andere Frage ist: was wäre die Alternative? Immer nur die Instrumente, die da sind, mit jurismistischer Argumentation klein zu hauen, ohne was neues zu erschaffen, hat die Partei wesentlich mit in die Lage gebracht, in der sie ist – der Handlungs- und Kommunikationsunfähigkeit. Ja, das ist Politik und kein Hobbyjuristentum.

    • Dipl. Ing. Jürgen Stemke

      Der Artikel geht bei den Anmerkungen darauf ein, dass der Datenchutzbeauftragte des Landes Berlin bereits Januar 2011 darauf hin wies, dass es problematisch wird, wenn das System „wichtig“ wird, z.B. so wie von Dir beschrieben.

      Da das letzte Gutachten mit dem Hintergrund der Einführung von Klarnamen entstanden ist, muss man natürlich abschätzen oder nachfragen, was auch ohne Klarnamen gilt. Darauf geht der Artikel begrenzt ein. Was ich wichtig finde, ist die Erkenntnis oder besser, die Sensibilität, dass ein Pseudonym für nahestehende Menschen und für entsprechede Experten sehr wahrscheinlich keinen wesentlichen Unterschied zu Klarnamen darstellt. (siehe Paper zur De-Anonymisierung)

      Nichts desto trotz zeigt es deutlich, dass sich die Piratenpartei gegen eine solche Expertise der Datenschutzbehörde und damit gegen klare Vorgaben des Datenschutz hinweg setzt und auch Instanzen mit Klarnahmen in Betrieb nimmt.

      Ein weiterer Mangel ist wohl auch, dass Daten nicht Unmittelbar nach Austritt oder Widerruf des Einverständnisses aus dem System gelöscht werden (können). Werden alle Daten eines Nutzers gelöscht, wird damit auch die Nachvollziehbarkeit im Liquid gefährdet. Ob lediglich das Umbenennen des Pseudonyms ausreichend ist, halte ich für fragwürdig und ich verstehe den Datenschützer des Landes Berin in diesem Sinne.

      Ebenso frage ich mich, ob Mitglieder, die Kopien der Datenbank vor halten, nicht ebenso als speicherungsberechtigte Stellen gelten, die dann ebnfalls eine solche Löschung vollziehen müssen. Ich habe also noch eine ganze Menge Fragen, die ich sehr gerne genauer geklärt haben würde. Da muss ich mir noch Zeit für nehmen.

  3. 3

    Ich komme zu einer leicht abweichenden Bewertung:

    Wird Liquid Feedback nur für a) Meinungsbilder (z.B. zur Vorbereitung von Parteitagen oder begleitend zu Piraten-Themenkonferenzen) und zusätzlich dazu b) für eher unwesentliche Fragen (ja, Abgrenzung schwierig, ich weiß) eingesetzt, dann sind die angeführten Problematiken tolerierbar, auch im pseudonymen Modell, zumal dann, wenn die Piratenpartei die Teilnehmer/innen auf die Datenschutzproblematik explizit hinweist.

    Im Sinne niedriger Beteiligungsschwellen befürworte ich Pseudonymität – idealerweise in Verbindung damit, dass z.B. die Datenschutzbeauftragen der Piratenpartei (u.ä.) eine Möglichkeit erhalten, Accounts zu verifizieren bzw. kontrollieren, um eventuelle Missbräuche verhindern zu helfen.

    (Nur wie umsetzen? Ich denke aber, es ließe sich dafür ein Weg finden)

    Ein sogar sehr großes innerparteiliches, sogar den Mitwirkungswillen dämpfendes Problem sehe ich allerdings in den Delegationen oder gar „Superdelegationen“ in LQFB. Ich halte dieses Problem nur für lösbar, wenn a) Delegationen zeitlich scharf befristet sind (z.B. 1 Monat oder 3 Monate – anschließend müssen sie erneuert werden oder laufen aus) und b) wenn das Stimmgewicht der Delegate pro Stimme deutlich geringer ist! Denn eine unmittelbare Beteiligung halte ich für deutlich wertvoller und förderungswürdiger als ebenjene Delegate. Zudem würde ich die Delegate, unabhängig von ihrem Zustandekommen, auch insgesamt im Stimmengewicht beschränken (z.B. maximal 10 ganze Stimmgewichte insgesamt), um zu verhindern, dass große Delegate die lebendige Beteiligungskultur der Partei unterdrücken, weil irgendwann „niemand mehr an stimmgewichtigen Delegaten vorbei kommt, egal, wie ein Diskussion läuft“.

    Des Weiteren halte ich eine partizipative Parteikultur, bei der Diskussionsprozesse zu kurz kommen, während ständige, immer neue, oder gar in der Anzahl bzw. im Themendetail ausufernde Abstimmungen per LQFB den Schwerpunkt bilden: für gefährlich.

    Für gefährlich in Hinblick auf die innerparteiliche Kultur, bei der dann die Gründlichkeit des Überlegens, Diskutierens und Abwägens zu kurz kommt zugunsten einfacher schneller elektronischer Abstimmungen. Überspitzt formuliert: „Klicken statt Nachdenken“.

    Um dieses Problem zu lösen oder jedenfalls auf demokratisch anständige Weise abzuschwächen, schlage ich vor, dass nur der jeweilige Parteivorstand im Landesverband oder Bundesverband den Mitgliedern Meinungsbilder oder Abstimmungen bestimmen darf. Idealerweise sogar zu festen Zeiten (1 x im Monat am Monatsende zum Beispiel – und zusätzlich nochmals gezielt „Parteitagsspecials“), damit sich die Parteimitglieder besser darauf einstellen können, wann wieder „Abstimmungszeit“ ist, und idealerweise mit geplanten Themenschwerpunkten und im Vorfeld begleitet von Diskussionsprozessen, -Veranstaltungen und Piraten-Themenkonferenzen etc.

    Grundsätzlich glaube ich nicht, dass das Problem innerparteilicher Partizipation durch einfaches ständiges Vornehmen von LQFB-Abstimmungen gelöst wird. Das ist imho deutlich herausfordernder und muss mit deutlich mehr Sorgfalt erfolgen, als es im Moment z.B. von Vertretern im Landesverband Berlin und Sachsen vorgeschlagen wird. Einige Anregungen zur Überwindung dieser Problematiken habe ich oben angedeutet. Grundsätzlich begrüße ich den *gezielten* Einsatz von LQFB für innerparteiliche Prozesse.

    Aber wie gesagt: Allein LQFB ist noch kein solcher partizipativer Prozess. Dazu gehört deutlich mehr. Ohne dies wird LQFB für die innerparteiliche Partizipation sogar annähernd wertlos – oder sogar kontraproduktiv!

    Im schlimmsten Fall kann ein unbedachter Umgang mit LQFB-Abstimmungen sogar zu Lasten innerparteilicher Demokratie gehen und ein Einfallstor für Manipulationen und gut organisierte Interessengruppen darstellen.

    Das Gegenteil also dessen, wofür wir als Piraten angetreten sind.

    • Dipl. Ing. Jürgen Stemke

      Die Besten Erfahrungen hatte ich seinerzeit, als wir in Niedersachsen das ELWS eingeführt haben. Wir hatten es geschafft, dass sich nahezu jede Stammtisch auf den LPT vorbereitet hat und dass alle Anträge von den Piraten vor Ort diskutiert wurden (und auch Input / Änderungen zurück geliefert wurden). Ganz klar notwendig ist ein ausreichend langer Prozess vor den Parteitagen. Man bekommt damit allerdings keine Abstimmungen zwischen Parteitagen.
      Mehr zu ELWS:


Was denkst du?