Deutschland wählt analog. Das gilt auch für die Bundestagswahl am 23. Februar. Doch neben Stift, Papier und Briefumschlägen kommt in Deutschland auch Software zum Einsatz. Am Wahltag selbst werden damit etwa sogenannte Schnellmeldungen erstellt, diese bilden die Basis des vorläufigen Ergebnisses für einzelne Wahlkreise, Bundesländer und die Bundesrepublik als Ganzes.
Doch wem gehören diese Softwareprodukte eigentlich? Warum ist der Quellcode nicht öffentlich? Und was hat das alles mit Aachen zu tun?
Qualitätsmängel und Fehler in der Vergangenheit
An den eingesetzten Software-Produkten gibt es immer wieder Kritik. Im September berechnete die Wahlsoftware in Sachsen die Sitzverteilung des vorläufigen Ergebnisses zunächst falsch. Dadurch sah es so aus, als würde die AfD eine Sperrminorität im Landtag bekommen. Das musste später korrigiert werden. Auch wenn die Korrektheit des eigentlichen Wahlergebnisses dadurch nie gefährdet war: Demokratiefeinde nutzten die Panne für Verschwörungserzählungen.
Sicherheitsforschende innerhalb und außerhalb des CCC fanden zudem immer wieder Sicherheitsmängel. Zuletzt zeigten Linus Neumann und Thorsten Schröder auf dem 38. Chaos Communication Congress, dass auch eine aktuelle Wahlsoftware-Anwendung Qualitätslücken hat. Der zentrale Vorwurf: Die Software signiere die übermittelten Ergebnisse nicht nach gängigen und etablierten BSI-Anforderungen.
Wer stellt die Wahlsoftware her?
Der Hersteller der kritisierten Wahlsoftware, die votegroup GmbH, schreibt dazu auf Anfrage von netzpolitik.org: Die im Vortrag dargestellte Software habe keinerlei Bezüge zur Bundestagswahl. „Dieses Softwaremodul wird ausschließlich in Rheinland-Pfalz zu den Kommunalwahlen verwendet, um die Stimmen einzelner Stimmzettel zu erfassen. Die angesprochene Signierung der Konfiguration, Transportmedien und Ergebnisse können verbessert werden. Auch könnten sicherere (digitale) Transportwege eingerichtet werden.“ Dies scheitere aber oft an dem Nichtvorhandensein einer dafür notwendigen Infrastruktur und sicherer Netzanbindungen.
Die votegroup GmbH ist nicht nur Herstellerin dieser einen Software. Sie ist der Platzhirsch unter den Wahlsoftware-Herstellern in Deutschland. Seinen Sitz hat das Unternehmen in Aachen, entwickelt wird an den Standorten in Berlin und Gütersloh. Die votegroup GmbH ist der Nachfolger der vote iT GmbH. Nach den Angaben von Geschäftsführer Dieter Rehfeld setzen über 90 Prozent der Kommunen Wahlsoftware der votegroup ein, ebenso die Bundeswahlleiterin und sieben Landeswahlleitungen.
Wir haben alle Landeswahlleiter:innen angefragt, welche Software sie verwenden und welche die Kommunen in ihrem Land. Das Ergebnis: Entweder verwenden sie selbst-entwickelte Lösungen – oder Produkte der votegroup. Keine einzige Landeswahlleitung nannte Produkte eines anderen Herstellers. Eine Online-Übersicht der votegroup nennt alleine für die Software „votemanager“ 3.161 Gemeinden, Städte und Verwaltungsgemeinschaften.
Diese marktbeherrschende Stellung hat sich die heutige votegroup in den letzten Jahren durch mehrere Übernahmen erarbeitet. Ihr Mutterkonzern kaufte 2016 den Hersteller von PC-Wahl. 2020 übernahm die votegroup (damals noch vote iT) IVU.elect. Auch die WRS Softwareentwicklung GmbH ist seit Dezember 2019 vollständig im Besitz der votegroup, das zeigen Dokumente aus dem Handelsregister.
Diese Unternehmensgeschichte erklärt auch, warum so viele unterschiedliche Softwareprodukte in Deutschland eingesetzt werden, obwohl sie zum gleichen Hersteller gehören. Auf netzpolitik.org-Anfrage erklärt die votegroup, dass „elect“, „Elect-WAS“, „IVU-elect“, „votemanager“, „Wahlabwicklungssystem (WAS)“ und „Wahlmanager“ eigenständige Produkte sind. Aktuell bestehe das Produktportfolio aus den Softwareprodukten votemanager und elect, schreibt die votegroup.
Wem gehört die votegroup GmbH?
Die votegroup ist vollständig in der Hand kommunaler IT-Dienstleister. 70 Prozent der Anteile hält die regio iT, ein kommunaler IT-Dienstleister für Aachen und die Region. Die Anstalt für Kommunale Datenverarbeitung Bayern (AKDB) hält weitere 20 Prozent der Anteile. Der Rest verteilt sich auf unterschiedliche kommunale IT-Dienstleister sowie den Wahlsoftware-Anwender-Verein.
Die kommunalen IT-Dienstleister wiederum sind mehr oder weniger direkt in der Hand der Kommunen. So ist das auch im Gesellschaftsvertrag der votegroup vorgesehen.
Dabei ist die Beteiligung der Kommunen durchaus unterschiedlich ausgeprägt. An der Regio iT ist beispielsweise die Stadt Aachen stark beteiligt, mit mindestens 47 Prozent. 10 Prozent der Anteile hält sie direkt, den Rest über die Energieversorgungs- und Verkehrsgesellschaft, welcher der Stadt zu 99,99 Prozent gehört.
Die AKDB wiederum wird getragen von den vier kommunalen Spitzenverbänden in Bayern, also den Interessenvertretungen der Kommunen.
Sind dann die Kunden nicht auch gleichzeitig die Eigentümer?
Dass die Kunden mittelbar auch gleichzeitig die Eigentümer der votegroup sind, ist auch im Gesellschaftervertrag geregelt. In diesem heißt es in §3: „Abnehmer der Leistungen können ausschließlich Gesellschafter bzw. die Mitglieder von Gesellschaftern sein. [..]“
Zum Teil kaufen die Kommunen die Software selbst, zum Teil kaufen zuerst die IT-Dienstleister die Software – um sie dann an Kommunen weiterzuverkaufen. Die AKDB beispielsweise bezeichnet sich als „Vertriebspartner“ der votegroup für Bayern. Sie sieht in dieser Doppelrolle keinen Interessenskonflikt. Es ermögliche der AKDB „vielmehr im Sinne ihrer Rolle für die bayerischen Kommunen auch deren Anforderungen an das Wahlprodukt mit in den Entwicklungsprozess einfließen lassen zu können.“
Auch die votegroup sieht in dieser Doppelrolle ihrer Gesellschafter/Kunden keinen Widerspruch: „Im Rahmen der interkommunalen Zusammenarbeit haben sich Kommunen und kommunale Unternehmen zusammengeschlossen, um Wahlsoftware in öffentlicher Hand sicher zu entwickeln und zu betreiben.“
Die Konstruktion mit den IT-Dienstleistern hat für die Kommunen weitere Vorteile: Laut dem Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste können die IT-Dienstleister in der Regel „Inhouse-Geschäfte“ mit den Kommunen, die Träger, Mitglieder oder Gesellschafter der Unternehmen sind, abschließen. „Das bedeutet, dass die Kommunen Aufträge an sie direkt vergeben können. Die Aufträge sind mehrwertsteuerfrei und verursachen einen geringeren organisatorischen Aufwand, da keine Vergabeverfahren durchgeführt werden muss.“ Das betrifft nicht nur Wahlsoftware, sondern alle möglichen Arten von Software.
Trotz der Tatsache, dass die (End-)Kunden zumindest zum Teil gleichzeitig die Eigentümer sind, ist das Geschäft der votegroup profitabel. Laut ihren Jahresabschlussberichten erzielte die votegroup GmbH (damals noch unter dem Namen „vote iT“) in den Jahren 2021 und 2022 zusammengerechnet einen Gewinn von etwa 2 Millionen Euro.
Was passiert mit dem Gewinn?
Die votegroup schreibt dazu auf Anfrage: „Die votegroup GmbH muss für die sichere Weiterentwicklung der Software, für die wirtschaftliche Stabilität der Gesellschaft und für das Investment (Zinsen und Tilgung) ihrer Gesellschafter eine auskömmliche Rendite erwirtschaften.“
Wie die votegroup auf Anfrage bestätigt, floss der Gewinn in der Vergangenheit an die Gesellschafter zurück. In wie vielen Jahren das geschah und um welche Summen es insgesamt geht, ist unklar. Allerdings bleibt das Geld nicht nur bei den IT-Dienstleistern, also vor allem der regio iT und der AKDB. Die regio iT schüttet Ihren Gewinn zum Teil auch an ihre Gesellschafter aus.
So steht im Haushaltsplan der Stadt Aachen (2024, S. 3666), dass die Stadt „für Ihren direkten Anteil für das Geschäftsjahr 2022“ eine Nettogewinnausschüttung von 713.000 Euro erhielt. Im Vergleich zur Gesamtgröße des Haushaltsplans ist das ein sehr geringer Posten. Der Haushalt der Stadt Aachen umfasst zwischen 1,2 und 1,3 Milliarden Euro. Auf eine Anfrage von netzpolitik.org reagierte die Stadt Aachen nicht.
Die AKDB wiederum teilt mit, dass sie „als sogenannte ‚Selbsthilfeeinrichtung der Kommunen‘ und als Anstalt des öffentlichen Rechts“ nicht gewinnorientiert arbeite. „Alle Erlöse bleiben im Unternehmen und dienen nicht nur zur Deckung des laufenden Aufwands, sondern insbesondere auch der Neu- und Weiterentwicklung unserer Lösungsangebote.“
Unabhängig der konkreten Gewinnsummen bleibt die Frage: Wie sinnvoll ist die aktuelle Struktur, bei der eine Gesellschaft mit großem Aachener Anteil fast alle Kommunen in Deutschland mit Wahlsoftware beliefert?
Public Money – Secret Code?
So ist fraglich, warum die von der Öffentlichkeit bezahlte und im Besitz staatlicher Unternehmen befindliche Software nicht auch der Öffentlichkeit zur Verfügung steht – getreu dem Grundsatz: „Public Money – Public Code“. Jutta Horstmann, Geschäftsführerin des Zentrums für Digitale Souveränität in der öffentlichen Verwaltung (ZenDis), erklärt auf Anfrage, es gehe um mehr „Public Money – Public Code“. „Bei allen kritischen Systemen muss der Staat höchste Anforderungen an Digitale Souveränität und Transparenz anlegen.“
Im Fall von Wahlsoftware komme verschärfend hinzu, dass eine Wahl nicht einfach ein administrativer Prozess ist, sondern „konstituierend für die Demokratie“. Bürger:innen müssen den Wahlen und den Wahlergebnissen vertrauen. „Das geht nur, wenn der Code der verwendeten Software quelloffen und damit transparent ist“, bekräftigt Horstmann.
Mehrere Landeswahlleiter:innen verweisen darauf, dass das amtliche Endergebnis nicht von Software, sondern den gedruckten Stimmzetteln abhängt. „Alle Wahlunterlagen können und werden im Falle ihrer Entscheidungserheblichkeit bei Anfechtungs- und Wahlprüfungsverfahren auch zur Überprüfung herangezogen“, sagt etwa die Landeswahlleiterin des Saarlands.
Gegen die Veröffentlichung von Wahlsoftware führen Teile der Verwaltung Sicherheitsbedenken an. „Eine Veröffentlichung des Quellcode erfolgt insbesondere nicht, um die Sicherheit des Verfahrens zu gewährleisten“, schreibt etwa die Landeswahlleitung aus Rheinland-Pfalz, die gemeinsam mit Hessen eine Eigenentwicklung nutzt. Der CCC und andere argumentieren hingegen: Sicherheit durch Geheimhaltung funktioniere nicht, stattdessen würden Schwachstellen durch eine Offenlegung schneller bekannt – und die Software somit sicherer.
Wer steht in der Verantwortung?
Aus Sicht der Geschäftsführerin von ZenDis zeigt sich in der Debatte um Wahlsoftware auch ein generelles Problem: „Wir brauchen endlich einen Vorrang für Open-Source-Software im Vergaberecht. Verbunden mit dem klaren Ziel, die Beschaffung bis 2035 vollständig auf Open-Source-Software umzustellen und bis dahin einen schrittweise steigenden Open-Source-Mindestanteil bei Beschaffungsvorgängen und in Rahmenverträgen verpflichtend zu machen“, sagt Horstmann.
Auch viele Wahlleiter:innen aus Bund und Ländern verweisen auf eine fehlende Rechtsgrundlage und sehen keine Notwendigkeit einer Veröffentlichung.
Zudem schreibt uns die Landeswahlleiterin des Saarlands: „Eine Veröffentlichung des Quellcodes einer (Wahl)Software bedürfte der Einwilligung des jeweiligen Softwareherstellers.“ Die votegroup wiederum spielt den Ball zu den Kunden zurück: „Die Software kann nur in Abstimmung mit den jeweiligen Kunden veröffentlicht werden.“
0 Ergänzungen