Suchen

Herausforderungen und Lösungen Ist Blockchain und Datenschutz zusammen möglich?

Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Das große Potenzial der Blockchain-Technologie zeichnet sich gerade durch Transparenz, Nachvollziehbarkeit, Unveränderlichkeit und damit durch Manipulationssicherheit und Vertraulichkeit aus. Das Problem ist: diese Vorteile können technikbedingt in einem starken Widerspruch mit den geltenden datenschutzrechtlichen Regelungen, allen voran der Datenschutz-Grundverordnung (DSGVO), stehen.

Firma zum Thema

Datenschutz und Blockchain werden sich immer in einem Spannungsverhältnis befinden, es gibt aber technische und rechtliche Lösungsansätze, um dennoch eine datenschutzrechtlich einwandfreie Blockchain zu schaffen.
Datenschutz und Blockchain werden sich immer in einem Spannungsverhältnis befinden, es gibt aber technische und rechtliche Lösungsansätze, um dennoch eine datenschutzrechtlich einwandfreie Blockchain zu schaffen.
(© enzozo - adobe.stock.com)

Entwickler und Nutzer von Blockchain-Lösungen sollten genau prüfen, welche datenschutzrechtlichen Vorgaben ein Hindernis darstellen und wie sie datenschutzkonforme Lösungen technisch umsetzen können. Im Folgenden zeigen wir Ihnen daher auf, welche Fragen Sie sich stellen müssen, wenn Sie eine Strategie zur datenschutzkonformen Umsetzung einer Blockchain erarbeiten möchten und welche Lösungsmöglichkeiten sich anbieten.

1. Frage: Wann muss die DSGVO angewandt werden?

Die Regelungen der DSGVO kommen nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Auf einer Blockchain werden in der Regel nur Hashwerte, also durch kryptografische Verfahren gewonnene Zahlenfolgen, gespeichert. Allerdings können je nach Ausgestaltung der Blockchain durch Heranziehen weiterer Informationen durchaus Rückschlüsse auf bestimmte Personen gezogen werden, z.B. wenn Kyptowährung in echte Währung getauscht wird. Auch sog. pseudonymisierten Daten stellen personenbezogene Daten dar, sodass die DSGVO Anwendung findet.

Bei privaten Blockchains kann über die Vergabe der Nutzerkennung die dahinterstehende Person identifiziert werden. Bei einer öffentlichen Blockchain gibt es ebenfalls die Möglichkeit, Personen zu identifizieren und damit ist die DSGVO auch hier zu beachten. Beispielsweise wenn ein Teilnehmer Dienste Dritter nutzt und dabei Informationen preisgibt, die Rückschlüsse auf seine Person zulassen. Bezahlt jemand einen Online-Kauf mittels Blockchain-Transaktion, so können der verwendete Schlüssel, die Wallet, von der die Transaktion ausging, sowie die Lieferadresse miteinander in Verbindung gebracht werden. Hinzu kommen Analysen durch Big Data und die Ermittlung der IP-Adresse des genutzten Rechners. In all diesen Fällen liegt zumindest ein mittelbarer Personenbezug vor und die Vorgaben der DSGVO müssen zwingend beachtet werden.

Eine bestimmte Anwendung auf Basis einer Blockchain ist von besonderer datenschutzrechtlicher Relevanz: bei Smart Contracts wird die DSGVO im Zweifel immer anwendbar sein.

2. Frage: Keine Anwendbarkeit dank Anonymisierung?

Die DSGVO findet keine Anwendung, wenn anonymisierte Daten vorliegen. Eine Person kann dann nicht mehr anhand der Daten identifiziert werden, sodass ein Personenbezug fehlt, der für die Anwendbarkeit der datenschutzrechtlichen Regelungen jedoch zwingende Voraussetzung ist. Aus diesem Grund ist die Verwendung von anonymisierten Daten anstatt pseudonymisierter Daten grundsätzlich erstrebenswert. Im Fall der Blockchain könnte man eine Anonymisierung erreichen, indem man die Zuordnungsdaten löscht, die den Schlüssel, mit dem die Daten auf der Blockchain verschlüsselt wurden, mit einer konkreten Person verknüpfen.

Allerdings ist dennoch Vorsicht angebracht: der Anwendungsbereich der DSGVO ist eröffnet, sobald sich irgendwie doch noch ein Rückschluss auf eine bestimmte Person ziehen lässt. Der Aufwand ist dabei unerheblich. Tätigt eine Person zum Beispiel mehrere Transaktionen, dann kann trotz des vermeintlich anonymen Datensatzes aufgrund von Kombinationen der Weg zu einer bestimmten Person nachvollzogen werden. Aus dem Grund ist es nicht zu empfehlen, sich bei der Verwendung von scheinbar anonymisierten Daten darauf zu verlassen, dass die DSGVO keine Anwendbarkeit findet.

3. Frage: Wer ist verantwortlich im Sinne der DSGVO?

Ist die DSGVO anwendbar, dann stellt sich immer die Frage, wer ihre Vorgaben umzusetzen hat. Das ist immer der datenschutzrechtlich Verantwortliche, also die Stelle, welche die Zwecke und Mittel der Datenverarbeitung bestimmt, Art. 4 Nr. 7 DSGVO.

In privaten oder zulassungsbeschränkten öffentlichen Blockchains kann die zentrale Stelle meistens leicht als Verantwortlicher ausgemacht werden. Öffentliche Blockchains zeichnen sich allerdings gerade durch ihre dezentralen Strukturen aus. Das macht es gerade hier so schwierig, den Verantwortlichen festzustellen. Es ist daher von großer Bedeutung, im jeweiligen Einzelfall zu untersuchen, wer Transaktionen tätigen und damit Informationen in die Blockchain oder in die Kopie auf dem Rechner eingeben kann. Kommen dafür mehrere Anwender in Betracht, dann kann unter Umständen eine sog. gemeinsame Verantwortlichkeit (Art. 26 DSGVO) bestehen. Diese muss jedoch den Anforderungen der DSGVO entsprechen, sodass unter anderem eine Vereinbarung zwischen den Verantwortlichen geschlossen werden muss.

4. Frage: Wie kann das Recht auf Löschung umgesetzt werden?

Die DSGVO räumt den Betroffenen einige Rechte ein, die sie bei den Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). In Bezug auf Blockchains ist vor allem das Recht auf Löschung (oder auch Recht auf Vergessenwerden) aus Art. 17 DSGVO relevant. Danach hat der Verantwortliche die Pflicht, zum Beispiel nach einem Widerspruch der betroffenen Person in die Verarbeitung ihrer Daten oder bei einer unrechtmäßigen Verarbeitung unverzüglich die Daten zu löschen. Die betroffene Person hat korrespondierend dazu das Recht, diese Löschung zu verlangen.

Dabei besteht jedoch ein grundsätzlicher Konflikt mit der Blockchaintechnologie: Manipulationssicherheit und die damit einhergehende Unveränderbarkeit der Transaktionen ist ein prägender Faktor für den Einsatz einer Blockchain. Aus dem Grund kann eine Löschung grundsätzlich nur per Konsensmechanismus vorgenommen werden, indem die Mehrheit der Teilnehmer die Löschung bestätigen muss.

Allerdings sind weitere technische Möglichkeiten vorhanden, die im jeweiligen Anwendungsfall in Betracht gezogen werden können. Dazu gehört das sog. „Forking“. Dabei werden zwei Blöcke erstellt, sodass ein Zweig gebildet werden kann, in welchem die zu revidierende Transaktion in der gewünschten Ausformung vorgenommen werden kann. Dieses Verfahren ist allerdings aufwändig und wird daher nur bei starken Sicherheitsvorfällen angewandt. Das Problem liegt darin, dass auch sichergestellt werden muss, dass der gewünschte Nebenzweig wirklich gelöscht wird. Dies bringt einen erheblichen Arbeitsaufwand mit sich, der nicht dazu geeignet ist, die Betroffenenrechte nach der DSGVO effizient umzusetzen. Nach einem Hack wurde dieses Verfahren allerdings bei der Ethereum-Blockchain angewandt, da nicht alle Teilnehmer die angestrebten Regelungsänderungen mittragen wollten.

Bei privaten Blockchains kann außerdem eine Gruppe teilnehmender Rechner bestimmt werden, die unter bestimmten Bedingungen das Recht erhält, Informationen auf der Blockchain im Nachgang zu ändern. Es sollte darauf geachtet werden, dass auf der Blockchain selbst nur der Hashwert hinterlegt wird. Die eigentliche Information hingegen sollte extern gespeichert werden. Die Löschung der personenbezogenen Daten kann so am einfachsten und effektivsten erfolgen.

Einfacher gestaltet sich übrigens die Gewährleistung des Rechts auf Berichtigung unrichtiger Daten, das mit dem Recht auf Löschung verwandt ist. Eine Korrektur von Informationen oder Transaktionen kann einfach durch eine weitere Transaktion geschehen, die die ältere, unrichtige Transaktion berichtigt.

5. Frage: Schutz durch Integrität und Vertraulichkeit?

Ist die DSGVO anwendbar, so müssen die Verantwortlichen bei der Datenverarbeitung einige Grundsätze beachten und einhalten. Diese sind in Art. 5 DSGVO aufgelistet. Dazu zählen auch die Grundsätze der Integrität und Vertraulichkeit von Daten (Art. 5 Abs. 1 lit. f DSGVO), welche die Sicherheit der verarbeiteten Daten gewährleisten sollen. Sie verlangen vom Verantwortlichen, dass er die Daten mit geeigneten technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung und Schädigung schützt. Können die Daten in der Folge nicht unrechtmäßig oder unbemerkt manipuliert werden, so ist die Integrität gewährleistet. Wenn die Daten nicht unbefugt eingesehen werden können, dann ist die Vertraulichkeit sichergestellt.

In Bezug auf die Blockchain ist vor allem die Gewährleistung von Vertraulichkeit problematisch. Das mag zunächst widersprüchlich klingen, schließlich ist Vertraulichkeit auf Basis von Transparenz charakteristisch für eine Blockchain. Allerdings meint datenschutzrechtliche Vertraulichkeit im Sinne der DSGVO, dass die personenbezogenen Daten gerade nicht von jedem eingesehen werden dürfen. Um dennoch eine Vertraulichkeit gewährleisten zu können, ohne in einen grundlegenden Konflikt mit dem Wesen einer Blockchain zu kommen, bietet sich bei unverschlüsselten Daten, die nicht verwendet werden sollen, eine externe Ablage an.

Diese Möglichkeit kommt zum Beispiel in Betracht, wenn man eine Blockchain dazu nutzt, sein geistiges Eigentum zu sichern. Möchte man die unverschlüsselten Daten jedoch verwenden, wie es bei Smart Contracts der Fall ist, dann muss man je nach Anwendungsfall entscheiden, welche technische Lösung die Vertraulichkeit am besten sicherstellt. Eine Möglichkeit ist es, die Sichtbarkeit der Daten durch individuell eingerichtete, geschützte Laufzeitumgebungen zu beschränken.

Gut mit der Blockchain-Technologie vereinbar ist jedoch der Grundsatz der Integrität von personenbezogenen Daten. Durch die Verbindung der einzelnen Blöcke, die wiederum mit Hashwerten versehen werden, entsteht eine schlüssige Zahlenfolge. Bereits bei der kleinsten Veränderung geht diese Abfolge nicht mehr auf. Eine Manipulation wird daher kaum unbemerkt bleiben.

Fazit und Ausblick

Datenschutz und Blockchain werden sich immer schnell in einem Spannungsverhältnis befinden. Es gibt jedoch überzeugende technische und rechtliche Lösungsansätze, um dennoch eine datenschutzrechtlich einwandfreie Blockchain zu schaffen. Vor allem technisch wird sich in der Zukunft im Hinblick auf das große Potenzial von Blockchains viel Neues anbahnen, sodass sich die DSGVO leichter umsetzen lässt.

So kann heute bereits durch Maßnahmen wie der Pseudonymisierung dem Datenschutzrecht Rechnung getragen werden, wenn nicht gerade besonders sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden. Die Schwierigkeit wird jedoch immer sein, dass durch die vorgenommenen datenschutzrechtlichen Maßnahmen die charakteristischen Merkmale einer Blockchain verloren gehen können. Andererseits verfolgen Datenschutzrecht und Blockchaintechnologie beide das Ziel, Nachvollziehbarkeit und Transparenz zu schaffen. Es wird sich in Zukunft zeigen, wie sich die dahinterstehenden unterschiedlichen Ansätze zum Erreichen dieser Ziele vereinbaren lassen.

Simone Rosenthal
Simone Rosenthal
(Bild: SRD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.

(ID:46833049)