Wie werden Datenschutz, Anonymität und Sicherheit gewährleistet?

Eine einmalige Registrierung unterbindet Mehrfachteilnahmen und stellt sicher, dass nur Einwohnerinnen und Einwohner Tübingens teilnehmen. Dabei muss sichergestellt werden, dass zu keinem Zeitpunkt rückverfolgt werden kann, ob eine Person an der Befragung teilgenommen hat und wenn ja, wie. Zudem darf die Firma, welche die App betreibt, keinerlei Zugriff auf die Daten der Stadt erhalten. Dafür hat die Stadtverwaltung folgendes Verfahren entwickelt, das mit dem Landesbeauftragten für den Datenschutz und Informationsfreiheit Baden-Württemberg abgestimmt wurde:

Die Meldebehörde der Universitätsstadt Tübingen leitet die Meldedaten (Name, Anschrift, Geburtsdatum) an die abgeschottete Statistikstelle der Stadtverwaltung weiter. Diese errechnet Zugangscodes mit Hilfe einer kryptographischen Hashfunktion. Jeder Code wird nun einer Person zugeordnet. So entsteht eine Liste der zulässigen Codes. Diese Liste der zulässigen Codes, also ohne die Meldedaten, geht an die Firma.

Vor jeder Befragung prüft die abgeschottete Statistikstelle, welche Codes gesperrt werden müssen, weil die zugeordneten Personen nicht mehr in Tübingen leben oder verstorben sind. Zudem werden neu Teilnahmeberechtigte – also Personen, die zugezogen sind oder die das 12. Lebensjahr vollendet haben – angeschrieben.

Mit diesen Sicherungsmaßnahmen ist die Rückverfolgung eines Abstimmungsverhaltens bereits ausgeschlossen. Zusätzlich ist eine weitere Sicherheit eingebaut: Nimmt eine Person teil, prüft das System zunächst nur, ob die Person dazu berechtigt ist und ob sie noch nicht abgestimmt hat. Ist beides der Fall, wird das konkrete Abstimmungsverhalten an einer anderen Stelle hinterlegt. Somit ist keine Verbindung zwischen dem Zugangscode und dem jeweiligen Abstimmungsverhalten möglich.