Die Blockchain-Technologie domi­niert die Wirt­schafts­nach­rich­ten seit Wochen. Nicht nur die Kryp­to­wäh­rung Bit­coin erleb­te erheb­li­che Kurs­schwan­kun­gen, son­dern auch Doge­coin erfreu­te sich auf­grund diver­ser Tweets des Tech-Milliardär Elon Musk gro­ßer Beliebt­heit.

Die Blockchain-Technologie berei­tet Daten­schüt­zern aber bereits jetzt schon eini­ge Sor­gen, gera­de bei der Durch­set­zung des Betrof­fe­nen­rech­te.

Der tech­no­lo­gi­sche Fort­schritt über­holt die Gesetz­ge­bung von allen Sei­ten” – Nils Stark

Pro­ble­ma­tisch ist, dass die abso­lu­te Daten­in­te­gri­tät der Blockchain-Technologie mit den Betrof­fe­nen­rech­ten aus der DSGVO kol­li­die­ren könn­te.

Der fol­gen­de Bei­trag soll beleuch­ten ob die DSGVO die Ket­ten der Blockchain-Technologie durch­tren­nen kann. Es wird dar­ge­stellt, ob und wie die Betrof­fe­nen­rech­te der DSGVO am Bei­spiel des Rechts auf Löschung aus­ge­übt wer­den kön­nen und ob eine Lösung für das Span­nungs­feld Block­chain vs. DSGVO gefun­den wer­den kann.

Was ist eine Block­chain?

Eine Block­chain ist – ganz ver­ein­facht — eine Art dezen­tra­les Daten­spei­che­rungs­ver­fah­ren. In einer Block­chain wer­den Daten­sät­ze kon­ti­nu­ier­lich und auf­ein­an­der­fol­gend, in einer Ket­te von mit­ein­an­der ver­wo­be­nen und ver­knüpf­ten Blö­cken gespei­chert. Dabei bil­det jeder Block mit­tels eines „Hea­der“ eine indi­vi­du­el­le Ver­knüp­fung zum nächs­ten und zum vor­he­ri­gen Block.

In einem „Hea­der“ wer­den die „Hash“-Werte aus dem vor­han­de­nen und dem ange­knüpf­ten Block gespei­chert. Ein „Hash“ ist eine Zahlen- und/oder Buch­sta­ben­fol­ge die bei jedem Daten­satz abso­lut unter­schied­lich aus­ge­prägt ist, sodass jeder Daten­satz durch den „Hash“-Wert wie bei einer DNA indi­vi­dua­li­sier­bar ist.

Durch die­se Beson­der­hei­ten kann ein Block nur mit einem ande­ren spe­zi­fi­schen Block ver­knüpft wer­den.

Jedem Teil­neh­mer wird ein öffent­li­cher (public) und pri­va­ter (pri­va­te) Schlüs­sel (key) zuge­wie­sen. Mit dem „public key“ weist sich ein Nut­zer gegen­über dem Blockchain-Netzwerk als Berech­tig­ter aus. Mit dem „pri­va­te key“ kann der Nut­zer auf sei­ne indi­vi­du­el­len Daten­sät­ze die auf einem Block gespei­chert sind, zugrei­fen. Ver­liert der Nut­zer die­sen „pri­va­te key“ kann er nicht ohne Wei­te­res oder gar nicht mehr auf die Daten zugrei­fen.

Jeder Nut­zer spei­chert dabei die gesam­te Ket­te auf sei­nem Rech­ner. Dadurch wird die Block­chain so oft ver­viel­fäl­tigt, wie die Anzahl der Nut­zer des Netz­werks.

Die Vor­tei­le der Blockchain-Technolgie sind ins­be­son­de­re die Dezen­tra­li­tät der Spei­che­rung, die ein­her­ge­hen­de Daten­si­cher­heit und die Daten­in­te­gri­tät durch (fast) unmög­li­ches nach­träg­li­ches Ver­än­dern von Daten­sät­zen.

Anwen­dung der DSGVO

Zunächst muss ange­merkt wer­den, dass eine all­ge­mei­ne Aus­sa­ge über die Anwen­dung der DSGVO wegen der Viel­zahl der Gestal­tungs­mög­lich­kei­ten der Blockchain-Technologie nicht vor­ge­nom­men wer­den kann. Die Pro­ble­ma­tik wird daher anhand der obig beschrie­be­nen Grund­sät­ze erläu­tert.

  1. Anwen­dungs­be­reich

Zunächst stellt sich die Fra­ge ob über­haupt der Anwen­dungs­be­reich der DSGVO eröff­net ist. Selbst wenn per­so­nen­be­zo­ge­ne Daten in einem Block auf der Block­chain abge­legt wer­den, so kön­nen die­se nur von dem Inha­ber des pri­va­te key ein­ge­se­hen wer­den. Ob der Anwen­dungs­be­reich der DSGVO über­haupt eröff­net wird, kann man nur anhand der kon­kre­ten Gestal­tung der ein­zel­nen Block­chain bestim­men. Ob eine voll­stän­di­ge Anony­mi­sie­rung oder ledig­lich eine Pseud­ony­mi­sie­rung ein­tritt, ist nach den Umstän­den des Ein­zel­falls zu bestim­men.

Aller­dings ist nach den Grund­sät­zen des EuGHs die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten auch dann gege­ben, wenn die betrof­fe­ne Per­son zwar nicht ein­deu­tig iden­ti­fi­ziert ist, aber auf­grund der per­so­nen­be­zo­ge­nen Daten iden­ti­fi­ziert wer­den kann. Anhand des Ein­kaufs­ver­hal­tens mit bspw. Kryp­to­wäh­run­gen oder durch Beob­ach­tung des Trans­ak­ti­ons­ver­hal­tens, könn­te so z.B. ein Per­so­nen­be­zug her­ge­stellt wer­den.

Das wird vor allem bei den Blockchain-Anwendungen rele­vant, bei denen ein Per­so­nen­be­zug drin­gend not­wen­dig ist, etwa im Rah­men einer Token-Economy.

  1. Ver­ant­wort­li­cher

Nach Art. 4 Nr. 7 DSGVO ist „Ver­ant­wort­li­cher“ jede natür­li­che und juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det. Pro­ble­ma­tisch ist, dass es auf­grund der Dezen­tra­li­tät der Block­chain nie­man­den gibt, der über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det. Da jeder Teil­neh­mer, jede Trans­ak­ti­on repli­ziert, ist jeder Teil­neh­mer poten­ti­ell „Ver­ant­wort­li­cher“ im Sin­ne der DSGVO.

Je nach Aus­ge­stal­tung der Block­chain könn­te ein­schrän­kend ent­we­der auf die Betrei­ber von „nodes“ zurück­ge­grif­fen wer­den oder bei zugangs­be­schränk­ten Block­chains könn­te jeder neue Teil­neh­mer per AGB als Ver­ant­wort­li­cher ver­pflich­tet wer­den. Es kommt jeden­falls immer auf die kon­kre­te Gestal­tung der Block­chain und sei­ner Nut­zer an, wer denn wirk­lich Ver­ant­wort­li­cher im Sin­ne der DSGVO ist.

  1. Aus­übung von Betrof­fe­nen­rech­ten anhand des Rechts auf Löschung

Das Recht auf Löschung aus Art. 17 I DSGVO ist eines der zen­tra­len Rech­te eines Betrof­fe­nen. Die Aus­übung des Rechts auf Löschung ist im Hin­blick auf eine Block­chain sehr pro­ble­ma­tisch.

Tech­nisch ist es fast aus­ge­schlos­sen einen spe­zi­fi­schen Block zu löschen ohne die gan­ze Ket­te von deren Ende bis zum rele­van­ten Block auf­zu­lö­sen. Da jeder Block mit einem indi­vi­du­el­len „Hea­der“ ver­se­hen ist, der aus­schließ­lich einem spe­zi­fi­schen Block zuge­wie­sen ist, lässt sich das Pro­blem der Löschung auch nicht dadurch lösen, dass ein Ket­ten­glied aus der Ket­te gelöst und durch ein ande­res ersetzt wird. Die Kon­se­quenz wäre daher die Ket­te bis zum frag­li­chen Block auf­zu­lö­sen. Bei die­sem Vor­ge­hen wäre die Blockchain-Technologie als sol­che, über­flüs­sig.

  1. Lösungs­pro­ble­ma­tik

Es gibt hin­sicht­lich der Lösung der beschrie­be­nen Pro­ble­ma­tik diver­se Ansät­ze. Anhand zwei­er Vor­schlä­ge sol­le die Schwie­rig­keit bei der Aus­übung der Betrof­fe­nen­rech­te auf­ge­zeigt wer­den.

           a) Per­mis­sio­ned Block­chain (nach­träg­li­che Ände­rung)

Hin­sicht­lich der Pro­ble­ma­tik der Löschung eines ein­zel­nen Blocks wur­de vor­ge­schla­gen, eine „per­mis­sio­ned Block­chain“ zu nut­zen. Bei einer sol­chen Gestal­tung wird eini­gen weni­gen Admi­nis­tra­to­ren die Mög­lich­keit eröff­net, einen Block nach­träg­lich (auch inhalt­lich) so zu ver­än­dern, dass per­so­nen­be­zo­ge­nen Daten über­schrie­ben wer­den kön­nen und ihn so zu mar­kie­ren, dass erkannt wer­den kann, wel­che Blö­cke nach­träg­lich geän­dert wur­den.

Pro­ble­ma­tisch ist dabei, dass das den Sinn und Zweck der Block­chain zuwi­der­läuft, deren Daten­in­te­gri­tät ein zen­tra­ler Vor­teil gegen­über ande­ren Daten­ver­wal­tungs­sys­te­men ist. Eine Block­chain soll gera­de ohne zen­tra­le Admi­nis­tra­ti­on oder Inter­me­diä­re aus­kom­men.

           b) Keys löschen

Eine wei­te­re Mög­lich­keit wäre es die jewei­li­gen „pri­va­te keys“ zu löschen. Ein Zugriff auf die Daten die auf der Block­chain gespei­chert sind wäre (fast) unmög­lich. Dabei stellt sich die Fra­ge nach dem Umfang des Löschungs­recht. Pro­ble­ma­tisch ist, dass man zwar kei­nen Zugriff mehr auf die Daten hät­te, damit sind die Daten auf der Block­chain aller­dings nicht gelöscht. Da der public key hin­ter­legt ist, tritt ledig­lich eine Pseud­ony­mi­sie­rung gem. Art. 4 Nr. 5 DSGVO ein, bei der die Mög­lich­keit besteht, durch zusätz­li­che Daten die Zuor­den­bar­keit zu einer Per­son her­zu­stel­len.

           c) Unlös­bar­keit?

Im Hin­blick auf die völ­lig unter­schied­li­chen Rah­men­be­din­gun­gen ein­zel­ner Blockchain-Technologien ist eine all­ge­mei­ne Lösung der obig beschrie­be­nen Pro­ble­ma­ti­ken kaum mög­lich.

Auf recht­li­cher Ebe­ne könn­te man über die Ein­wil­li­gung in den Ver­zicht zur Aus­übung des Löschungs­rechts nach­den­ken. Da die Recht­spre­chung des EuGHs bereits fest­ge­stellt hat, dass ein Betrof­fe­nen­recht nicht dis­po­ni­bel ist, schei­det die­ser all­ge­mei­ne Lösungs­an­satz jedoch lei­der aus.

  1. Blick ins Aus­land

Ein Blick in die Rechts­ord­nun­gen von Liech­ten­stein, die erst kürz­lich ein eige­nes Blockchain-Gesetz erlas­sen haben, und der Schweiz, die umfas­sen­de Anpas­sun­gen zur Imple­men­tie­rung der Blockchain-Technologie im Rechts­ver­kehr vor­ge­nom­men haben, lohnt sich.

In Art. 242b des Bun­des­ge­set­zes über Schuld­bei­trei­bung und Kon­kurs (Schweiz) wird der Auskunfts- und Her­aus­ga­be­an­spruch an Daten von Anbie­tern kryp­to­ba­sier­ter Ver­mö­gens­wer­te im Fal­le eines Kon­kur­ses nor­miert.

Pro­ble­ma­tisch ist jeden­falls, dass im Fal­le eines Kon­kur­ses an der Inte­gri­tät der Block­chain oft­mals wenig Inter­es­se besteht, sodass Art. 242b auch nur einen rudi­men­tä­ren Lösungs­an­satz bie­tet.

In Liech­ten­stein ist die DSGVO, auf­grund der Mit­glied­schaft im EWR, unmit­tel­bar anwend­bar. Aller­dings hat Liech­ten­stein im Gesetz über Token und VT-Dienstleister kei­ner­lei Bestim­mun­gen oder Aus­sa­gen zu den jewei­li­gen Betrof­fe­nen­recht getrof­fen.

Bei bei­den Gesetz­ge­bungs­ver­fah­ren kann daher nur ver­mu­tet wer­den, dass der jewei­li­ge Gesetz­ge­ber die Pro­ble­ma­tik nicht gese­hen hat, oder im Fal­le von Liech­ten­stein nicht regeln konn­te oder woll­te.

Abschlie­ßend bleibt zu sagen, dass hier der Gesetz­ge­ber gefor­dert ist. Die mög­li­chen Kol­li­sio­nen zwi­schen Blockchain-Technologie und DSGVO kann ohne Inter­ven­ti­on nicht zufrie­den­stel­lend gelöst wer­den.

Was Sie noch interessieren könnte:

Hinweisgebersystem — Pflicht ab Dezember 2021

4. Okto­ber 2021|

Ein gekipp­ter Gesetzes-Entwurf der noch aktu­el­len Bun­des­re­gie­rung kann für Unter­neh­men schon ab Dezem­ber zu Sank­tio­nen füh­ren. Grund ist die […]

BEM: Betriebliches Eingliederungsmanagement

5. August 2021|

Keh­ren Arbeit­neh­mer nach län­ge­rer Krank­heit an ihren Arbeits­platz zurück, ist der Arbeit­ge­ber gesetz­lich ver­pflich­tet, mit Zustim­mung und unter Betei­li­gung […]

Ist die Nutzung eines Port-Scans strafbar?

21. Juli 2021|

Port-Scanner wie Nmap sind belieb­te Tools, um Sicher­heits­lü­cken von Netz­wer­ken im Rah­men einer Netz­werk­dia­gno­se auf­zu­spü­ren. Doch war­um könn­te sich […]

Autor des Arti­kels:

Nils Stark

Rechtsanwalt
MEHR ZUM AUTOR