Blockchain und DSGVO – ein unlösbarer Widerspruch?

Was ist die Blockchain?

Die Blockchain hat unsere bisherige Art der Informationsspeicherung in Ledger – eine Art Kassenbuch der Blockchain – revolutioniert. Die Technologie organisiert Daten in dezentralisierten Ledgern, demzufolge hat jeder Teilnehmer der Blockchain eine Kopie des Ledgers. Wenn einer der Teilnehmer der Blockchain eine Transaktion durchführen möchte, darf er diese Transaktionsinformationen nicht selbst in den Ledger schreiben. Vielmehr obliegt es den anderen Teilnehmern, den Eintrag vorzunehmen. Daher wird die Transaktion gehasht, also verschlüsselt.

Als einer der Hauptpfeiler der Blockchain ist der Anfang jedes Hashwertes standardmäßig festgelegt. Die mathematische Aufgabe, die es nun zu lösen gilt, besteht darin, die richtige Zahl zu finden, die zum Transaktionshash addiert werden muss, um letztendlich einen Hash zu erhalten, welcher dem definierten Hash-Anfang entspricht.

Der Teilnehmer, der als erster mit dem Rechnen fertig ist, ist verpflichtet, die Transaktion aufzuzeichnen, indem er den errechneten Hash in einen neuen Ledger einträgt. Anschließend wird der neue Ledger von jedem Teilnehmer kopiert. Einfach ausgedrückt, sorgt dieser Mechanismus für die Erstellung einer Kette, in der Blöcke hinzugefügt werden, nachdem sie im beschriebenen Prozess  durch Konsens validiert wurden und die verschlüsselten Aufzeichnungen von Daten und Transaktionen enthält.

An dieser Stelle müssen wir eine wichtige Unterscheidung vornehmen: Bestehende Blockchain-Mechanismen lassen sich in public und private unterteilen, und zwar im Hinblick darauf, wer über die Leserechte des Systems verfügt, also wie viele Personen auf die Inhalte zugreifen dürfen: der Sichtbarkeitseffekt.

Öffentliche Blockchains, wie etwa jene der digitalen Währungen Bitcoin und Ethereum, folgen einer Philosophie der breiten Zugänglichkeit, Transparenz und vollständigen Dezentralisierung. Daher arbeiten public und permissionless Blockchain-Ökosysteme auf einer Peer-to-Peer-Ebene.

Private Blockchains hingegen sind stärker zentralisiert, da der Zugriff auf das System nur von bestimmten Knotenpunkten gewährt werden kann, welche meist durch die Gründer oder Entwickler des Systems betrieben werden. Diese Art von Blockchain kann die Struktur einer Unternehmensdatenbank simulieren oder wie ein normaler Internetdienstanbieter (ISP) funktionieren, was charakteristisch als zentralisierte Kontrolle bezeichnet wird.

Für diese digitalen, zentralisierten Systeme sollte die Einhaltung der DSGVO ganz oben auf der Liste stehen, da die Nutzer identifiziert werden können und die gehashten (pseudonymisierten) Daten der Gefahr des Reverse Engineering ausgesetzt sind. Aus datenschutzrechtlicher Sicht sollten diese digitalen Systeme keine Sonderstellung in der Betrachtung genießen und daher bestimmte Anforderungen der DSGVO erfüllen. Im Wesentlichen würde dies dazu führen, dass eine Datenschutzerklärung in das White Paper einer privaten Blockchain aufgenommen wird.

Datenschutzrechtliche Verantwortlichkeit in Blockchain-Systemen

Private (und permissioned) Blockchains sind mit einem größeren Aufwand für die Einhaltung der Vorschriften verbunden als public Blockchains, da sie von einer zentralen Instanz kontrolliert oder betrieben werden, was normalerweise bis zu einem gewissen Grad die Verarbeitung von Nutzerdaten beinhaltet.

Validatoren (Transaktionsprüfer) und Full Nodes (Teilnehmer mit fortlaufend synchroner Kopie der Blockchain) haben jedoch nicht die vollständige Kontrolle über das System – sie können als Auftragsverarbeiter im Sinne der DSGVO bezeichnet werden.

Die Nutzer der Blockchain – auch wenn sie nur Transaktionen auf der Kette abschließen, indem sie einfach Informationen über ihren öffentlichen Schlüssel zur Verfügung stellen – werden als betroffene Personen betrachtet.

Diese Rollenzuweisung i.S.d. DSGVO wird im Hinblick auf die Zuweisung der Haftung für Datenpannen relevant. Bei privaten (permissioned) Blockchains, bei denen die Kontrolle durch eine zentrale Behörde erfolgt, kann die Haftung leicht der zentralen Behörde zugewiesen und gegen diese durchgesetzt werden.

Das Problem wird im Falle von public (permissionless) Blockchains noch deutlicher. Die DSGVO ist für die Anwendung in zentralisierten Ökosystemen konzipiert, in denen die Kontrolle auch durch zentralisierte Vorgänge (allein oder gemeinsam mit anderen) erfolgt. Public (permissionless) Blockchains stellen aufgrund ihrer fehlenden zentralen Kontrolle ein Problem für die Einhaltung der DSGVO dar.

Der Begriff der Verantwortlichkeit (und sogar der gemeinsamen Verantwortlichkeit) in der DSGVO wird durch permissionless public Distributed-Ledger-Technologie-Systeme (DLT) in Frage gestellt. Im Falle einer public Blockchain könnte man leicht zu Schlussfolgerungen gelangen, die zu einer Ausweitung oder Beseitigung der Haftung aller Teilnehmer führen würden,

• indem man entweder feststellt, dass kein Teilnehmer auch nur irgendeinen Teil der Blockchain im Sinne der DSGVO kontrolliert, oder
• indem man jeden einzelnen full node gleichzeitig als datenschutzrechtlichen Verantwortlichen der Blockchain betrachtet und sie somit alle gleichermaßen zur Verantwortung zieht.

Beide Optionen könnten eine Lösung sein, aber keine davon erscheint fair oder effizient.

Sowohl die private als auch die public Blockchain verarbeitet im Wesentlichen Daten, die als personenbezogene Daten i.S.d. DSGVO verstanden werden können, z. B. Transaktionsdaten, gehashte (pseudonymisierte) Daten und möglicherweise die in smart contracts enthaltenen personenbezogenen Daten. Bei der public Blockchain, die, wie oben erwähnt, Peer-to-Peer und dezentralisiert ist, wäre es schwieriger als bei der private Blockchain, Einzelpersonen oder Organisationen zur Rechenschaft zu ziehen und somit die Einhaltung der DSGVO durchzusetzen.

Das Spannungsverhältnis zwischen den Anforderungen der DSGVO und den inhärenten Merkmalen der Blockchain ist jedoch nichts Neues und die Betroffenenrechte, die die DSGVO vorsieht, dürfen durch diese revolutionären Systeme nicht in Frage gestellt werden. Für den Einsatz von public Blockchain müssen faire und gesetzeskonforme Lösungen gefunden werden.

Anhand des Rechts auf Vergessenwerden lassen sich diese datenschutzrechtliche Probleme gut aufzeigen.

Kann das Recht auf Vergessenwerden gemäß der DSGVO in der Blockchain ausgeübt werden?

Die Herausforderungen, die Blockchain-Ökosysteme für die Einhaltung der DSGVO mit sich bringen, werden heutzutage in der Praxis häufig diskutiert. Eine der größten Herausforderungen ist die technische Unmöglichkeit, die der Kette hinzugefügten gehashten Daten zu löschen oder zu ändern (Immutability by Design). Diese inhärente Eigenschaft der Blockchain macht sie besonders sicher gegen Betrug und Manipulationen.

Dieses Sicherheitsmerkmal steht jedoch im Kontrast zur Wahrung der Betroffenenrechte – und insbesondere des Rechts auf Löschung gem. Art. 17 DSGVO.

Aus diesem Grund ist besondere Vorsicht geboten. Benutzer sollten zumindest keine unverschlüsselten Daten in der Kette speichern. Auch wenn betroffene Personen ihr Recht auf Löschung (oder Berichtigung) ihrer Daten nicht ohne Weiteres durchsetzen können, wäre es umso schlimmer, wenn ihre personenbezogenen Daten für alle lesbar wären. Zumindest unterliegen verschlüsselte Daten einem gewissen technischen Schutz.

Es wird viel darüber diskutiert, ob die Unveränderlichkeit der Blockchain eine Gefahr für die Betroffenenrechte darstellt. Deshalb wurden Teillösungen in Studien, die zu einer hybriden Blockchain führen (häufig Off-Chain- oder Side-Chain-Governance-Methode) für die Verwaltung personenbezogener Daten vorgeschlagen. Auch hier werden die Mechanismen von den Kernentwicklern des Systems kontrolliert. Es wird also eine zentralisierte Behörde eingerichtet.

Es wird demnach empfohlen, jede Art von personenbezogenen Daten einfach auf einer Off-Chain-Ebene zu speichern, wobei nur ein Hash zu den im Ledger gespeicherten Daten führt. Sollte eine Person eine Anfrage stellen, können die Daten einfach geändert oder gelöscht werden und der Hash-Schlüssel wird nicht mehr benötigt. Während diese Strategie eine Form der Zentralisierung erfordert, die die Natur der Technologie selbst bedroht, ermöglicht sie die Einhaltung der DSGVO – zumindest bis neue, ausgefeiltere Ideen entwickelt und umgesetzt werden.

Wie kann Blockchain bei der Verarbeitung von Daten nützlich sein?

Dennoch kann eine Blockchain auch einen Mehrwert für die Datenschutzkonformität im Unternehmen darstellen. Schließlich handelt es sich bei der Blockchain um eine institutionelle Infrastruktur für eine dezentrale, verschlüsselte Speicherung von Informationen, die in vielen Geschäftsbereichen Anwendung findet. So können insbesondere Smart Contracts Transaktionen erleichtern, indem sie bestimmte Bedingungen der Vereinbarungen der Parteien, die in den laufenden reinen Code geschrieben wurden, selbst ausführen. Diese Verträge könnten potenziell die Datenverarbeitung revolutionieren, indem sie den Widerruf oder die Löschung der in Transaktionen verwendeten Dateninhalte in einem angemessenen Zeitrahmen im Voraus festlegen. In Zukunft könnte dies die Zahl derartiger Anfragen von Einzelpersonen reduzieren und die Rolle von Auftragsverarbeitern einschränken oder sogar eliminieren; dies könnte zu einer erheblichen Kostenreduzierung für Unternehmen führen und eine absolute Konformität sicherstellen – zumindest für einige der durch die DSGVO gewährten Rechte.

Fazit

In Anbetracht der zahlreichen offenen Fragen im Spannungsverhältnis zwischen dem Datenschutz und der Blockchain und den damit verbundenen Konflikten ist es ratsam, sich mit Ihrem Datenschutzbeauftragten in Verbindung zu setzen, wenn Sie eine Blockchain in Ihrem Unternehmen nutzen oder planen, eine solche zu implementieren.

Der Datenschutzbeauftragte sollte bei der Implementierung neuer Technologien im Unternehmen stets einbezogen werden. Neue Technologien werden zwar entwickelt, um unser Leben zu erleichtern, sie sollten aber nicht dazu verwendet werden, um Datenschutzgesetze zu umgehen.

Das englische Original dieses Artikels erschien zuerst bei unserem Partner activeMind.legal.