Was passiert, wenn eine Universität eine Abstimmung durchführen will, an der nur die eigenen Studierenden teilnehmen können, niemand sieht, wer wofür gestimmt hat, und jeder Stimmzettel unabhängig verifiziert werden kann - und das alles mit nichts weiter als den Zugangsdaten, die die Studierenden ohnehin schon haben?
Ein Proof of Concept an der Universitat Politècnica de Catalunya (UPC) wollte genau das beantworten. Die Arbeit entstand im Rahmen der Postgraduierten-Abschlussarbeit von Xavier López Mañes innerhalb des DAVINCI-Projekts und zeigt, wie sich institutionelle Identitätssysteme mit blockchainbasiertem Abstimmen verbinden lassen, um geheime, sichere und verifizierbare Wahlen zu ermöglichen.
Die Fakten¶
- Organisation: Universitat Politècnica de Catalunya (UPC)
- Projekt: DAVINCI-Protokoll
- Ansatz: Zwei unterschiedliche Integrationspfade getestet (dezentrale Identität über EBSI + institutionelle Fallback-Lösung)
- Authentifizierung: Reguläre Hochschul-Zugangsdaten
- Abstimmungsschicht: DAVINCI-Protokoll mit dem Vocdoni SDK
- Ergebnis: Funktionsfähige studentische Abstimmung mit Ende-zu-Ende-Verifizierbarkeit
Die Herausforderung: Identität trifft Privatsphäre¶
Jede Institution, die Wahlen durchführt, steht vor einem Spannungsverhältnis. Sie müssen wissen, dass alle Wählenden die sind, die sie vorgeben zu sein, und dass sie zur stimmberechtigten Gruppe gehören. Zugleich müssen Sie das Stimmgeheimnis wahren. Diese beiden Anforderungen ziehen in entgegengesetzte Richtungen: Je gründlicher Sie die Identität prüfen, desto schwerer wird es, die Privatsphäre zu schützen.
Das UPC-Team baute ein System, das dieses Spannungsverhältnis auflöst, indem es Identitätsschicht und Abstimmungsschicht getrennt hält. Die Universität kümmert sich darum, wer Sie sind. Das Abstimmungsprotokoll kümmert sich darum, was Sie wählen. Keine Seite muss der anderen blind vertrauen, denn ein kryptografischer Beweis verbindet beide, ohne persönliche Informationen preiszugeben.
Zwei Wege zum selben Ziel¶
Der Proof of Concept testete zwei Integrationsansätze. Beide teilen dieselbe Grundarchitektur: Die Studierenden identifizieren sich mit den Zugangsdaten, die sie täglich auf dem Campus verwenden, und das Abstimmungssystem erhält nur einen kryptografischen Beweis der Stimmberechtigung - nicht die Zugangsdaten selbst.
Sie unterscheiden sich aber darin, wie die Identitätsschicht bereitgestellt wird.
Phase eins: Integration mit EBSI¶
Die erste Phase zielte auf eine vollständige Integration mit der European Blockchain Services Infrastructure (EBSI), dem permissioned Blockchain-Framework der Europäischen Kommission für vertrauenswürdige digitale Dienste. EBSI ermöglicht es Institutionen wie der UPC, verifizierbare Credentials auszustellen, die Studierende mit einer persönlichen Wallet verknüpfen können - und anschließend zu validieren, dass diese Credentials zu einem bestimmten Mitglied der berechtigten Gruppe gehören.
Aus Sicht der Studierenden sah das so aus:
- Authentifizieren: Die Studentin meldet sich mit ihren regulären Hochschul-Zugangsdaten über den UPC-Issuer im EBSI-Netzwerk an.
- Credentials abholen: Der Issuer erzeugt einen QR-Code, mit dem sie ihre Credentials in ihre eigene Wallet signieren kann.
- Stimmberechtigung nachweisen: Sobald die Abstimmung öffnet, authentifiziert sie sich mit ihrer Wallet beim UPC-Verifier. Der Verifier prüft, dass die Wallet einer berechtigten Studentin gehört, und erzeugt einen Zensus-Beweis.
- Stimme abgeben: Sie übermittelt ihre Stimme über das DAVINCI SDK, mit angehängtem Zensus-Beweis.
Die Architektur garantiert zwei Dinge gleichzeitig: Die Studierenden authentifizieren sich mit Zugangsdaten, die sie jeden Tag nutzen, und diese Zugangsdaten verlassen nie den institutionellen Bereich. Das System weist die Stimmberechtigung nach, ohne jemals die tatsächlichen Identitätsdaten der Nutzenden zu sehen.

Komponenten der Lösung
Warum das wichtig ist: EBSI ist auf grenzüberschreitende Interoperabilität ausgelegt. Ein von der UPC ausgestelltes Credential könnte im Prinzip genutzt werden, um an Wahlen anderer Institutionen in ganz Europa teilzunehmen. Das ist die langfristige Vision.
Woran es scheiterte: Die Technik funktionierte. Alle Komponenten wurden implementiert und validiert. Aber die administrativen Genehmigungsfristen der Gremien hinter EBSI machten es unmöglich, die Integration innerhalb des Projektzeitraums abzuschließen. Die Technologie war bereit. Die Governance war es nicht.
Phase zwei: die institutionelle Fallback-Lösung¶
Als sich der EBSI-Zeitplan nicht rechtzeitig schließen ließ, passte das Team den Umfang an. Und hier wird die Flexibilität des DAVINCI-Protokolls zur eigentlichen Geschichte.
Der EBSI-Issuer wurde durch einen Dienst ersetzt, den die UPC direkt betreibt. Die Universität bleibt vollständig dafür verantwortlich, die Identitäten der Studierenden zu verwalten und ihre Privatsphäre zu wahren. Das Protokoll selbst brauchte keine architektonischen Änderungen - nur eine andere Identitätsquelle.
Der angepasste Ablauf:
- Die Studentin erzeugt über eine Webanwendung eine kurzlebige Wallet.
- Mit der Anmeldung über die Hochschul-Zugangsdaten wird diese Wallet mit ihrer institutionellen Identität verknüpft.
- Sobald die Abstimmung öffnet, authentifiziert sich die Wallet beim UPC-Verifier, der den Zensus-Beweis erzeugt.
- Die Studentin gibt ihre Stimme über das DAVINCI SDK ab.
Der Unterschied: Aus Sicht der Studierenden ist die Erfahrung nahezu identisch. Aus institutioneller Sicht ist der Aufwand für die Bereitstellung geringer - keine Abhängigkeit von externer Blockchain-Governance. Die Universität kontrolliert die gesamte Identitätsschicht direkt.
Was gleich bleibt: Die Abstimmung bleibt geheim, die Stimmzettel bleiben verifizierbar, und nur berechtigte Studierende können teilnehmen.
Warum das für Institutionen wichtig ist, die Wahlen abhalten¶
Der Proof of Concept zeigt ein praktisches Spektrum. Am einen Ende: vollständig dezentrale Identität über Frameworks wie EBSI, mit grenzüberschreitender Interoperabilität als Preis. Am anderen: ein einfacheres institutionelles Modell, bei dem die Organisation ihre eigene Identitätsschicht verwaltet. Dasselbe Protokoll deckt beides ab.
Das ist relevant für jede Institution, die Wahlen durchführt und ihren eigenen Zensus verwaltet: Universitäten, berufsständische Körperschaften, Gewerkschaften, öffentliche Verwaltungen. Es bedeutet: Sie können Wählenden einen Weg zur Teilnahme mit den Zugangsdaten anbieten, die sie bereits besitzen - auf dem Blockchain-Netzwerk, das für Ihren Kontext sinnvoll ist (öffentliche L1, L2 oder permissioned) - ohne Privatsphäre oder institutionelle Kontrolle zu opfern.
Das DAVINCI-Protokoll und das DAVINCI SDK sind dafür gebaut, zwischen Identität und Wahlurne zu sitzen - und beide durch ihr Design getrennt zu halten.
Möchten Sie sichere, verifizierbare Wahlen für Ihre Organisation durchführen? Starten Sie eine kostenlose Wahl auf app.vocdoni.io oder kontaktieren Sie uns, um Ihren Anwendungsfall zu besprechen.