Die Blockchain-Technologie dominiert die Wirtschaftsnachrichten seit Wochen. Nicht nur die Kryptowährung Bitcoin erlebte erhebliche Kursschwankungen, sondern auch Dogecoin erfreute sich aufgrund diverser Tweets des Tech-Milliardär Elon Musk großer Beliebtheit.
Die Blockchain-Technologie bereitet Datenschützern aber bereits jetzt schon einige Sorgen, gerade bei der Durchsetzung des Betroffenenrechte.
“Der technologische Fortschritt überholt die Gesetzgebung von allen Seiten” – Nils Stark
Problematisch ist, dass die absolute Datenintegrität der Blockchain-Technologie mit den Betroffenenrechten aus der DSGVO kollidieren könnte.
Der folgende Beitrag soll beleuchten ob die DSGVO die Ketten der Blockchain-Technologie durchtrennen kann. Es wird dargestellt, ob und wie die Betroffenenrechte der DSGVO am Beispiel des Rechts auf Löschung ausgeübt werden können und ob eine Lösung für das Spannungsfeld Blockchain vs. DSGVO gefunden werden kann.
Was ist eine Blockchain?
Eine Blockchain ist – ganz vereinfacht — eine Art dezentrales Datenspeicherungsverfahren. In einer Blockchain werden Datensätze kontinuierlich und aufeinanderfolgend, in einer Kette von miteinander verwobenen und verknüpften Blöcken gespeichert. Dabei bildet jeder Block mittels eines „Header“ eine individuelle Verknüpfung zum nächsten und zum vorherigen Block.
In einem „Header“ werden die „Hash“-Werte aus dem vorhandenen und dem angeknüpften Block gespeichert. Ein „Hash“ ist eine Zahlen- und/oder Buchstabenfolge die bei jedem Datensatz absolut unterschiedlich ausgeprägt ist, sodass jeder Datensatz durch den „Hash“-Wert wie bei einer DNA individualisierbar ist.
Durch diese Besonderheiten kann ein Block nur mit einem anderen spezifischen Block verknüpft werden.
Jedem Teilnehmer wird ein öffentlicher (public) und privater (private) Schlüssel (key) zugewiesen. Mit dem „public key“ weist sich ein Nutzer gegenüber dem Blockchain-Netzwerk als Berechtigter aus. Mit dem „private key“ kann der Nutzer auf seine individuellen Datensätze die auf einem Block gespeichert sind, zugreifen. Verliert der Nutzer diesen „private key“ kann er nicht ohne Weiteres oder gar nicht mehr auf die Daten zugreifen.
Jeder Nutzer speichert dabei die gesamte Kette auf seinem Rechner. Dadurch wird die Blockchain so oft vervielfältigt, wie die Anzahl der Nutzer des Netzwerks.
Die Vorteile der Blockchain-Technolgie sind insbesondere die Dezentralität der Speicherung, die einhergehende Datensicherheit und die Datenintegrität durch (fast) unmögliches nachträgliches Verändern von Datensätzen.
Anwendung der DSGVO
Zunächst muss angemerkt werden, dass eine allgemeine Aussage über die Anwendung der DSGVO wegen der Vielzahl der Gestaltungsmöglichkeiten der Blockchain-Technologie nicht vorgenommen werden kann. Die Problematik wird daher anhand der obig beschriebenen Grundsätze erläutert.
- Anwendungsbereich
Zunächst stellt sich die Frage ob überhaupt der Anwendungsbereich der DSGVO eröffnet ist. Selbst wenn personenbezogene Daten in einem Block auf der Blockchain abgelegt werden, so können diese nur von dem Inhaber des private key eingesehen werden. Ob der Anwendungsbereich der DSGVO überhaupt eröffnet wird, kann man nur anhand der konkreten Gestaltung der einzelnen Blockchain bestimmen. Ob eine vollständige Anonymisierung oder lediglich eine Pseudonymisierung eintritt, ist nach den Umständen des Einzelfalls zu bestimmen.
Allerdings ist nach den Grundsätzen des EuGHs die Verarbeitung von personenbezogenen Daten auch dann gegeben, wenn die betroffene Person zwar nicht eindeutig identifiziert ist, aber aufgrund der personenbezogenen Daten identifiziert werden kann. Anhand des Einkaufsverhaltens mit bspw. Kryptowährungen oder durch Beobachtung des Transaktionsverhaltens, könnte so z.B. ein Personenbezug hergestellt werden.
Das wird vor allem bei den Blockchain-Anwendungen relevant, bei denen ein Personenbezug dringend notwendig ist, etwa im Rahmen einer Token-Economy.
- Verantwortlicher
Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ jede natürliche und juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Problematisch ist, dass es aufgrund der Dezentralität der Blockchain niemanden gibt, der über die Verarbeitung von personenbezogenen Daten entscheidet. Da jeder Teilnehmer, jede Transaktion repliziert, ist jeder Teilnehmer potentiell „Verantwortlicher“ im Sinne der DSGVO.
Je nach Ausgestaltung der Blockchain könnte einschränkend entweder auf die Betreiber von „nodes“ zurückgegriffen werden oder bei zugangsbeschränkten Blockchains könnte jeder neue Teilnehmer per AGB als Verantwortlicher verpflichtet werden. Es kommt jedenfalls immer auf die konkrete Gestaltung der Blockchain und seiner Nutzer an, wer denn wirklich Verantwortlicher im Sinne der DSGVO ist.
- Ausübung von Betroffenenrechten anhand des Rechts auf Löschung
Das Recht auf Löschung aus Art. 17 I DSGVO ist eines der zentralen Rechte eines Betroffenen. Die Ausübung des Rechts auf Löschung ist im Hinblick auf eine Blockchain sehr problematisch.
Technisch ist es fast ausgeschlossen einen spezifischen Block zu löschen ohne die ganze Kette von deren Ende bis zum relevanten Block aufzulösen. Da jeder Block mit einem individuellen „Header“ versehen ist, der ausschließlich einem spezifischen Block zugewiesen ist, lässt sich das Problem der Löschung auch nicht dadurch lösen, dass ein Kettenglied aus der Kette gelöst und durch ein anderes ersetzt wird. Die Konsequenz wäre daher die Kette bis zum fraglichen Block aufzulösen. Bei diesem Vorgehen wäre die Blockchain-Technologie als solche, überflüssig.
- Lösungsproblematik
Es gibt hinsichtlich der Lösung der beschriebenen Problematik diverse Ansätze. Anhand zweier Vorschläge solle die Schwierigkeit bei der Ausübung der Betroffenenrechte aufgezeigt werden.
a) Permissioned Blockchain (nachträgliche Änderung)
Hinsichtlich der Problematik der Löschung eines einzelnen Blocks wurde vorgeschlagen, eine „permissioned Blockchain“ zu nutzen. Bei einer solchen Gestaltung wird einigen wenigen Administratoren die Möglichkeit eröffnet, einen Block nachträglich (auch inhaltlich) so zu verändern, dass personenbezogenen Daten überschrieben werden können und ihn so zu markieren, dass erkannt werden kann, welche Blöcke nachträglich geändert wurden.
Problematisch ist dabei, dass das den Sinn und Zweck der Blockchain zuwiderläuft, deren Datenintegrität ein zentraler Vorteil gegenüber anderen Datenverwaltungssystemen ist. Eine Blockchain soll gerade ohne zentrale Administration oder Intermediäre auskommen.
b) Keys löschen
Eine weitere Möglichkeit wäre es die jeweiligen „private keys“ zu löschen. Ein Zugriff auf die Daten die auf der Blockchain gespeichert sind wäre (fast) unmöglich. Dabei stellt sich die Frage nach dem Umfang des Löschungsrecht. Problematisch ist, dass man zwar keinen Zugriff mehr auf die Daten hätte, damit sind die Daten auf der Blockchain allerdings nicht gelöscht. Da der public key hinterlegt ist, tritt lediglich eine Pseudonymisierung gem. Art. 4 Nr. 5 DSGVO ein, bei der die Möglichkeit besteht, durch zusätzliche Daten die Zuordenbarkeit zu einer Person herzustellen.
c) Unlösbarkeit?
Im Hinblick auf die völlig unterschiedlichen Rahmenbedingungen einzelner Blockchain-Technologien ist eine allgemeine Lösung der obig beschriebenen Problematiken kaum möglich.
Auf rechtlicher Ebene könnte man über die Einwilligung in den Verzicht zur Ausübung des Löschungsrechts nachdenken. Da die Rechtsprechung des EuGHs bereits festgestellt hat, dass ein Betroffenenrecht nicht disponibel ist, scheidet dieser allgemeine Lösungsansatz jedoch leider aus.
- Blick ins Ausland
Ein Blick in die Rechtsordnungen von Liechtenstein, die erst kürzlich ein eigenes Blockchain-Gesetz erlassen haben, und der Schweiz, die umfassende Anpassungen zur Implementierung der Blockchain-Technologie im Rechtsverkehr vorgenommen haben, lohnt sich.
In Art. 242b des Bundesgesetzes über Schuldbeitreibung und Konkurs (Schweiz) wird der Auskunfts- und Herausgabeanspruch an Daten von Anbietern kryptobasierter Vermögenswerte im Falle eines Konkurses normiert.
Problematisch ist jedenfalls, dass im Falle eines Konkurses an der Integrität der Blockchain oftmals wenig Interesse besteht, sodass Art. 242b auch nur einen rudimentären Lösungsansatz bietet.
In Liechtenstein ist die DSGVO, aufgrund der Mitgliedschaft im EWR, unmittelbar anwendbar. Allerdings hat Liechtenstein im Gesetz über Token und VT-Dienstleister keinerlei Bestimmungen oder Aussagen zu den jeweiligen Betroffenenrecht getroffen.
Bei beiden Gesetzgebungsverfahren kann daher nur vermutet werden, dass der jeweilige Gesetzgeber die Problematik nicht gesehen hat, oder im Falle von Liechtenstein nicht regeln konnte oder wollte.
Abschließend bleibt zu sagen, dass hier der Gesetzgeber gefordert ist. Die möglichen Kollisionen zwischen Blockchain-Technologie und DSGVO kann ohne Intervention nicht zufriedenstellend gelöst werden.
Was Sie noch interessieren könnte:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]