Suchen

Blockchain und Recht Wie wird die Blockchain DSGVO-konform?

| Autor/ Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Die Blockchain-Technologie steht für hohe Sicherheit und automatisierte Prozesse. Ergeben sich auf Grund der Technologie Probleme hinsichtlich der DSGVO? Für welche Fälle ließen sich diese juristisch einwandfrei ausräumen?

Firmen zum Thema

Den Widerspruch zwischen „unveränderlicher Blockchain“ und dem „Recht auf Vergessenwerden“ der DSGVO müssen Datenschützer, Gerichte und Gesetzgeber erst noch auflösen.
Den Widerspruch zwischen „unveränderlicher Blockchain“ und dem „Recht auf Vergessenwerden“ der DSGVO müssen Datenschützer, Gerichte und Gesetzgeber erst noch auflösen.
(© mixmagic - stock.adobe.com)

Da die Regelungen der DSGVO auch für die Blockchain gelten, stellt sich die Frage, ob die Blockchain auch unter strikter Einhaltung der Vorgaben der DSGVO betrieben werden kann. Hier ist vorab zu beachten, dass die DSGVO auf die Blockchain nur dann Anwendung finden kann, wenn in oder durch die Blockchain personenbezogene Daten im Einsatz sind. Das heißt, liegen diese Daten nicht vor, muss das Datenschutzrecht auch nicht berücksichtigt werden.

Was sind personenbezogene Daten?

Wobei mit personenbezogenen Daten nach der DSGVO alle Informationen gemeint sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Das bedeutet, solche Personen können durch diese Informationen entweder unmittelbar oder mittelbar identifizierbar sein. Daher genügt es bereits, wenn mithilfe zusätzlicher Informationen auf die Identität der betroffenen Person geschlossen werden kann.

In der Blockchain werden Informationen nicht als Klardaten, sondern in Form von Hashes gespeichert. Ist nur der Hashwert zugänglich, können im Prinzip keine Rückschlüsse auf die eigentlichen Eingabewerte gezogen werden.

Doch die DSGVO unterscheidet zwischen anonymisierte und pseudonymisierte Daten. Während es bei anonymisierten Daten keinen Personenbezug mehr gibt, räumen pseudonymisierte Daten jedoch einen gewissen Personenbezug ein.

Daher werden pseudonymisierte Daten auch als personenbezogene Daten betrachtet. Denn im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, nach wie vor erhalten.

Wobei derjenige, der den Hashwert erzeugte, relativ schnell einen Personenbezug herstellen kann. Für ihn handelt es sich dann um ein personenbezogenes Datum. Wogegen dies dem Empfänger, der nur den Hashwert sieht, dieser Personenbezug nicht gilt. Für ihn ist demnach der Hashwert kein personenbezogenes Datum.

Bei Informationen, die sowieso öffentlich verfügbar sind, ist das Schutzbedürfnis gering zu beurteilen. Im Falle sensibler Daten wie zum Beispiel Gesundheitsdaten ist bereits auf einer sogenannten abstrakt-allgemeinen Ebene ein höheres Schutzbedürfnis zu veranschlagen.

Wer ist verantwortlich?

Die DSGVO möchte mit dem Datenschutzrecht immer auch einen Verantwortlichen adressieren. Gemäß der DSGVO ist ein Verantwortlicher eine Person oder Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten Entscheidungen treffen kann. Das heißt, der Verantwortliche übt die Hoheit über den Vorgang der Datenverarbeitung aus.

Da bei einer Blockchain immer viele Akteure involviert sind, ist es nicht eindeutig auszumachen, wer als Verantwortlicher in Betracht kommt. Bei privat-beschränkten Blockchains kann der Betreiber, sofern er über Mittel und Zwecke der Datenverarbeitung bestimmt, Verantwortlicher sein. Aber auch die Miner können, wenn sie personenbezogene Daten verarbeiten, beim Erstellen der Blöcke die Funktion eines Verantwortlichen übernehmen.

Letztlich kommen alle Personen als Verantwortliche infrage, die an der Blockchain mitarbeiten. Die DSGVO hat hierfür in Artikel 26 den Begriff der sogenannten Joint Controller geschaffen.

Welche Anwendung liegt vor?

Laut dem EU Blockchain Observatory kann bei der Diskussion über die einzelnen Problemfelder hinsichtlich der DSGVO das Trugbild entstehen, dass Blockchain-Anwendungen grundsätzlich inkompatibel mit den Anforderungen der DSGVO wären. Laut dem Observatory geht es bei der Frage nach der Konformität mit der DSGVO weniger um die Technologie selbst, sondern um die konkreten Anwendungsfälle.

In diesem Zusammenhang werden gerade die Public Permissionless Blockchains (öffentliche Blockchain-Netzwerke) - ohne Zugangsbeschränkung für Nodes - vor großen Herausforderungen stehen. Damit Daten anonymisiert und dann nicht mehr als personenbezogen im Sinne der DSGVO sind, müssen zwei grundlegende Voraussetzungen erfüllt werden:

Einerseits darf es nicht möglich sein, dass Daten mit einem verhältnismäßigen Aufwand einer natürlichen Person zugeordnet werden können. Zum anderen muss es unmöglich sein, den Prozess der Anonymisierung umzukehren. Das heißt, dass wieder Originaldaten aus den anonymisierten Daten entstehen.

Das Observatory empfiehlt daher den Entwicklern und Anbietern von Blockchain-Anwendungen für die Einhaltung der DSGVO folgende Herangehensweise:

Die große Perspektive sehen: Wie werden die Daten genutzt? Wie wird Nutzen für die User erzeugt? Ist dazu eine Blockchain überhaupt notwendig?

Personenbezogene Daten sollten erst gar nicht auf einer Blockchain abgelegt werden. Verschleierungs-, Verschlüsselungs- und Verdichtungsmethoden voll ausnützen, um Daten zu anonymisieren.

Persönliche Daten am besten außerhalb der Blockchain sammeln. Für den Fall, dass die Blockchain nicht zu vermeiden ist, Ablage auf privaten, beschränkt zugänglichen Blockchain-Netzwerken.

Personenbezogene Daten sorgfältig auswählen, wenn private Blockchains mit öffentlichen Blockchains verbunden werden sollen.

Beim Umgang mit den Nutzern immer sehr deutlich und transparent wie möglich auftreten.

Fazit

Die Blockchain-Technologie schützt die personenbezogenen Daten dank Kryptographie. Zur Änderung eines Blocks sowie zum Hacken eines Hashes wäre dann eine außerordentliche Rechenkapazität nötig.

Zum Beispiel lassen sich bei der „Private Permissioned Blockchain“ mit individuell definierten Zutrittsberechtigungen, für die sich die Nutzer registrieren und ihre Anonymität ablegen müssen, die Zugriffe auf einzelne Daten durch Untergruppierungen nochmal genauer definieren.

Nichtsdestotrotz stehen Betroffenenrechte der DSGVO - wie zum Beispiel das Recht auf Vergessenwerden – dem entgegen. Dieser Widerspruch kann mit der Anwendung der DSGVO allerdings nicht abschließend geklärt werden. Hier sind Datenschützer, Gerichte und Gesetzgeber gefragt, um rechtssichere als auch praxistaugliche Möglichkeiten zu schaffen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46400593)

Über den Autor