Suchen

Datenschutz DSGVO-konforme Blockchains

Autor / Redakteur: Anna Kobylinska und Filipe Pereira Martins / Peter Schmitz

Mit seinen strengen Datenschutzvorgaben fordert der europäische Gesetzgeber von Blockchain-Softwareschmieden scheinbar die Quadratur des Kreises. Erfinder datenschutzkonformer Blockchains haben trotzdem bereits erste Lösungen parat.

Jede Blockchain-Lösung, die universell einsetzbar sein will, muss in der Praxis den strengeren europäischen Vorschriften der EU-DSGVO Folge leisten.
Jede Blockchain-Lösung, die universell einsetzbar sein will, muss in der Praxis den strengeren europäischen Vorschriften der EU-DSGVO Folge leisten.
(© mixmagic - stock.adobe.com)

Bereits mit dem regulatorischen Rahmenwerk des Rechts auf Vergessenwerden entstand für manche Blockchain-Entwicklungsschmiede ein nicht zu unterschätzender Bremsklotz. Die Unveränderlichkeit und damit auch die dezentrale Natur der Blockchain standen plötzlich dem Einsatz im Wege. Dann hat die DSGVO dem Gebot der Datensparsamkeit mit einer klaren Formulierung der Betroffenenrechte und hohen Strafen Nachdruck verliehen.

Des einen Recht, des anderen Pflicht

Aus der EU-DSGVO leiten sich im Hinblick auf personenbezogene Daten bekannterweise das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Vergessen/Löschen (Art. 17) und das Recht auf Datenübertragbarkeit (Art. 20). Nicht zuletzt gilt es auch, modernste Mechanismen zur Gewährleistung der Cybersicherheit und der Datenübertragbarkeit zu implementieren (Artikel 24 und 32).

Eine DSGVO-konforme Blockchain muss demnach über die Fähigkeit verfügen, personenbezogene Daten, sofern vorhanden, bei Bedarf zu vernichten und hierzu ggf. On-Chain-Protokolleinträge wieder rückgängig zu machen. Diese Fähigkeit muss mit den Prinzipien der Dezentralisierung und der Unveränderlichkeit des Transaktionsprotokolls Einklang finden. Wie bitte?

Darüber hinaus bleibt ja auch die Frage offen, wer die Rechtmäßigkeit der geforderten Modifikationen kontrollieren soll. Eine zentrale Regulierungsstelle für eine vermeintlich dezentrale Blockchain? Wären dann öffentliche Blockchains grundsätzlich unzulässig?

In Abhängigkeit von der technischen Ausgestaltung einer konkreten Blockchain-Lösung sind Unternehmen ggf. verpflichtet, eine Datenschutzfolgenabschätzung gem. Art. 36 DSGVO durchzuführen. Dies sei nur dann erforderlich, so der Europäische Datenschutzausschuss, wenn die neue Technologie – also beispielsweise die Blockchain – mit einem anderen Verarbeitungsfaktor kombiniert werde, welcher das Datenverarbeitungsrisiko auf ein hohes Niveau erhöhen würde. Wie Letzteres zu beurteilen sei, ist Ermessenssache. In der europäischen Blockchain-Szene herrscht eine hohe Rechtsunsicherheit.

In den Vereinigten Staaten rückt inzwischen in der Diskussion um die wünschenswerten Eigenschaften einer Blockchain das Anrecht auf die Nachprüfbarkeit von Daten in den Vordergrund. Mit einer Blockchain, die nichts vergisst, haben die Amerikaner keine Probleme. Diese Denkweise betrachtet die öffentliche Verfügbarkeit von Daten als grundsätzlich wünschenswert, außer wenn sie sektorspezifischen Datenschutzauflagen wie etwa im Falle der Finanzindustrie oder des Gesundheitswesens unterliegen. Der resultierende Flickenteppich aus branchenorientierten Vorschriften ist für den Otto-Normalverbraucher nicht nachvollziehbar.

Jede Blockchain-Lösung, die universell einsetzbar sein will, muss in der Praxis den strengeren europäischen Vorschriften der EU-DSGVO Folge leisten.

In der Studie „Blockchain and the General Data Protection Regulation“ ringt der wissenschaftliche Dienst des Europäischen Parlamentes (EPRS) mit der Frage, ob sich denn Blockchains mit der DSGVO überhaupt vereinbaren ließen.

Die Blockchain sei als eine „gemeinsam genutzte und synchronisierte digitale Datenbank“ zu verstehen, die von einem Konsensalgorithmus „verwaltet und verteilt auf mehreren Netzwerkknoten gespeichert“ werde. Die Artikel 24 und 32 der DSGVO fordern nun aber von den Datenverarbeitungsbeauftragten, dass sie ihre organisatorischen und technischen Kontrollen kontinuierlich verbessern, um die mit ihren Tätigkeiten verbundenen Risiken zu mindern. In einem Blockchain-System könne möglicherweise niemand im Alleingang als „Daten-Controller“ für den Datenschutz in die Pflicht genommen werden, argumentieren die Forscher. In der Regel seien viele Parteien an der Pflege einer Blockchain beteiligt, führt der Bericht weiter aus. Jeder Knoten würde eine integrale Kopie der gesamten Blockchain-Datenbank pflegen und könne diese unabhängig von den anderen Knoten aktualisieren.

Ob eine Blockchain DSGVO-konform sei oder nicht, ließe sich daher nicht pauschal beurteilen. Die Forscher des EPRS fordern daher klare regulatorische Leitlinien, Zertifikate und Verhaltensregeln, in anderen Worten: mehr Rechtssicherheit für Unternehmen der Blockchain-Szene und die Nutzer ihrer Plattformen.

Aller guten Dinge sind zwei: das Regelwerk der ePVO

Dieses Jahr (also: in 2020) will die EU mit der ePrivacy-Verordnung (ePVO) vorhandene Regelungslücken des DSGVO-Rahmenwerks schließen und Zweifel an widersprüchlichen Formulierungen aufklären. Die ePVO bedarf keiner Umsetzung in nationales Recht; sie wird sofort nach ihrem Inkrafttreten in allen Mitgliedsstaaten wirksam. Sie soll damit die E-Privacy-Richtlinie ablösen, dessen Bestimmungen der deutsche Gesetzgeber in das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) hatte einfließen lassen.

Über den Wortlaut der ePVO gibt es bisher keinen Konsensus.

Mit ihrem ersten Entwurf ist die EU-Kommission in Gesprächen mit den Mitgliedsstaaten gegen die Wand gelaufen, musste diesen Ende vergangenen Jahres verwerfen und will jetzt auf die ePVO einen neuen Anlauf nehmen. Beobachter erwarten einen Neuentwurf frühestens zu Beginn der deutschen Ratspräsidentschaft im Juni 2020. In der Zwischenzeit sitzen die Betroffenen in hoffnungsvoller Erwartungshaltung.

Beim deutschen Mittelstand herrscht im Zusammenhang mit der DSGVO ohnehin schon eine hohe Unsicherheit. Wenn schon Großunternehmen wie Facebook, IBM oder Google, die über vergleichsweise unlimitierte IT-Budgets verfügen, bei der korrekten Umsetzung der DSGVO sich schon mal um konkrete Maßnahmen drücken, was sollen da schon kleinere Unternehmen machen?

„Bei der DSGVO ist das Aufwand-Nutzen-Verhältnis vollkommen unausgewogen“, kommentiert Marco Zingler, Vizepräsident beim Bundesverband Digitale Wirtschaft BVDW. Während einerseits der Verbraucherdatenschutz nicht nennenswert gestärkt worden sei, werde andererseits eine rechtskonforme Datenverarbeitung aus Sicht der Wirtschaft immer komplexer. Dabei seien die Verfügbarkeit und Nutzbarkeit von Daten „zunehmend essenziell für den wirtschaftlichen Erfolg Europas“, glaubt er.

Das schwerwiegendste Problem mit der DSGVO seien aber nicht „zu strenge Datenschutzregelungen“, sondern vielmehr die Rechtsunsicherheit durch widersprüchliche und unklare Formulierungen der Verordnung, so Zingler. Dasselbe könnte der Wirtschaft mit der E-Privacy-Verordnung blühen.

BoneBits aus Dortmund

Schematische Darstellung der Funktionsweise der DSGVO-konformen Blockchain von der Dortmunder BoneBits GmbH.
Schematische Darstellung der Funktionsweise der DSGVO-konformen Blockchain von der Dortmunder BoneBits GmbH.
(Bild: BoneBits GmbH)

Wenn es nach der Dortmunder BoneBits GmbH u.a. gehen sollte, wäre eine Lösung gar nicht in weiter Ferne. Das Unternehmen hat ein DSGVO-konformes Verfahren zur dynamischen Verwaltung eines Blockchain-basierten, dezentralen Datenspeichers entwickelt.

Das Verfahren macht sich privilegierte Nodes zu Nutze, um Prozessen auf der Blockchain Finalität zu verleihen und Datenblöcke unter Bewahrung der Blockchain-Integrität in speziell dafür vorgesehenen Bereichen zu löschen. Hierzu setzt die BoneBits auf eine individualisierte Aufgabenzuteilung zu Netzwerkknoten und die Deklaration neuer Blocktypen. Die resultierende Architektur basiert auf Backbone-Chains und Limb-Chains.

Das Verfahren erweitert die bekannten Eigenschaften der Blockchain um die dynamischen Eigenschaften einer Datenbank. So gewinne die dezentrale Datenverwaltung durch neue Funktionalitäten „einen neuen Stellenwert“. Das Unternehmen sieht für die Lösung vielfältige Nutzungsszenarien u.a. auch im Zusammenhang mit der Sicherung und Aufbewahrung personenbezogener Daten, der Erfüllung von Dokumentationspflichten mit datenschutzrechtlichen Auflagen und die sichere Verwaltung gemeinsam genutzter Daten durch mehrere Akteure.

Das Zusammenspiel aus der Backbonechain und Limbchain ermöglicht weitere Besonderheiten wie den Einsatz einer Blackbox, eines forkresistenten Netzwerks mit dynamisch verteilter Rechenleistung. Ein angenehmer Nebeneffekt sei zudem die freie Wahl der Script- oder Programmiersprache. Nach der internationalen Patentanmeldung im Januar sucht das Unternehmen nach strategischen Partnern aus Wirtschaft und Forschung. BoneBits möchte den ersten Prototyp als Live-Test im Juli freischalten.

Erste Schritte zur Konformität

Im Auftrag des EU Blockchain Observatory and Forum (EUBOF), einer von der Europäischen Kommission gegründeten Denkfabrik, hat sich auch die ConsenSys AG mit der DSGVO-Konformität von Blockchains in einem detaillierten Bericht auseinandergesetzt.

Die Analysten empfehlen betroffenen Unternehmen, personenbezogene Daten nach Möglichkeit niemals in einer Blockchain zu speichern, sondern sie stattdessen zu verschleiern, zu verschlüsseln und zu aggregieren, um Anonymität zu gewährleisten. Unternehmen, die personenbezogene Daten erfassen, sollten diese vorzugsweise außerhalb der Blockchain sammeln. Weiter sei eine private berechtigungspflichtige Blockchain einer öffentlichen Blockchain vorzuziehen. Beim Verbinden ihrer privaten Blockchains mit einer öffentlichen Blockkette müssten Unternehmen besondere Vorsicht walten lassen, warnt die ConsenSys AG.

Fazit

Mit datenschutzrechtlichen Auflagen hat der EU-Gesetzgeber die dezentrale, selbstverwaltende Natur der Blockkette in Frage gestellt. Blockchain-Plattformen müssen zur Erfüllung der europäischen Datenschutzvorgaben ganz neue Seiten aufziehen.

Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).

(ID:46459989)