Blockchain und DSGVO
Ist die Blockchain-Technologie datenschutzkonform
Foto: Petr Bonek - shutterstock.com
Blockchain-Anwendungen beschränken sich heute noch weitestgehend auf die Aufzeichnung und Speicherung von Transaktionen für Kryptowährungen. Zwar ist die Krypto-Euphorie derzeit gedämpft, doch daraus sollte man nicht auf den Wert der Technologie an sich schließen. Die Blockchain hat das Potenzial, etliche Bereiche der Wirtschaft und Gesellschaft zu verändern – sei es das Supply Chain Management, das Versicherungswesen oder die Finanzindustrie. Gartner konstatiert im Hype Cycle for Blockchain and Web3 2022, dass Unternehmen zunehmend den konkreten geschäftlichen Nutzen von Blockchain-Anwendungen realisieren und vor einem Wendepunkt in der Adaption stehen.
Lesetipp: Blockchain-Betrug - Microsoft warnt vor neuer Phishing-Methode
Unter der Vielzahl der Fragen, die dies aufwirft, ist eine besonders zentral: Lässt sich die Blockchain-Technologie mit der DSGVO in Einklang bringen? Die Datenschutzbestimmungen und der Blockchain-Technologie kollidieren auf den ersten Blick auf mehreren Ebenen.
Recht auf Vergessen vs. Unveränderlichkeit von Daten
Das Grundprinzip der Blockchain ist die Unveränderbarkeit des Transaktionsregisters. Es ist nahezu unmöglich, einmal in die Blockchain eingeschriebene Daten zu ändern oder zu entfernen. Bei Blockchain-Datenbanken handelt es sich effektiv um "Append-only"-Ledger: Sämtliche Transaktionen werden linear und chronologisch erweitert. Daten zu ändern oder zu entfernen, würde die Zustimmung der Mehrheit einer Chain, also von über der Hälfte der Miner, erfordern. Nur unter außergewöhnlichen Umständen ist dies praktisch denkbar - zum Beispiel bei einem 51%-Angriff.
Doch das Prinzip, das die Blockchain-Technologie sicher macht, kollidiert auf den ersten Blick mit dem Recht auf Löschung (Recht auf Vergessenwerden) nach Artikel 17 DSGVO: Demzufolge können Personen die restlose Entfernung ihrer personenbezogenen Daten bei einem für deren Verarbeitung Verantwortlichen verlangen. Öffentliche Blockchains, auf die grundsätzlich jeder zugreifen kann, entsprechen nicht dem Grundsatz der Datensparsamkeit und können auch nicht gewährleisten, dass betroffene Personen Daten ändern oder löschen können.
Die DSGVO kommt laut Artikel 4 Nr. 1 dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. In der Blockchain werden zwar in der Regel keine unmittelbar personenbezogenen Daten hinterlegt, sondern lediglich Hashwerte (Zahlen- und Buchstabenkombinationen aus kryptografischen Verfahren). Doch werden diese mit konkreten Datensätzen verknüpft – was beispielsweise bei der Anmeldung auf vielen Krypto-Börsen erforderlich ist – werden Hashs zu pseudonymisierten Daten, die ebenfalls von der DSGVO abgedeckt werden.
Lesetipp: 28 Millionen Dollar erbeutet - Hacker rauben Krypto-Wallets von Deribit aus
Derzeit besteht jedoch kein Konsens darüber, wie das Recht auf Löschung genau umzusetzen ist, da die verschiedenen Gerichtsbarkeiten die Regeln unterschiedlich auslegen. Eine Lösung könnte darin bestehen, dass Löschung nicht zwangsläufig mit der Vernichtung von Daten gleichzusetzen ist. Auch die Anonymisierung von Daten kann als Löschung interpretiert werden. Eine solche Möglichkeit wäre die Zerstörung des privaten Schlüssels, der mit der Transaktion in der Blockchain verbunden ist. So ist etwa die französische Datenschutzbehörde der Ansicht, dass dies die in Artikel 17 der DSGVO geforderte Anonymität herstellen würde. Eine weitere Option wäre, den Eigentümer von Daten mit einem Private Key auszustatten, ohne den kein Lesezugriff möglich ist.
Zentralisierung vs. Dezentralisierung
Auch die Frage, wer für die Umsetzung von Vorschriften im Sinne der DSGVO verantwortlich ist, ist schwierig zu beantworten. Implizit geht die DSGVO von einer Zentralisierung und einer einzigen juristischen Person aus. Die Blockchain als Zusammenschluss mehrerer Technologien setzt jedoch im Kern ausdrücklich auf Dezentralisierung und erreicht ihre Widerstandsfähigkeit durch Replikation. So ist beispielsweise der in der DSGVO definierte 'für die Verarbeitung Verantwortliche' in einer Blockchain nur schwer zu identifizieren und würde vom jeweiligen Anwendungsfall abhängen. Gerade öffentliche Blockchains zeichnen sich durch ihre dezentralen Strukturen aus. Viele verschiedene Akteure könnten als für die Datenverarbeitung Verantwortliche identifiziert werden. An wen sollte sich in diesem Fall eine betroffene Person laut Artikel 24 wenden?
Die Blockchain datenschutzkonform nutzen?
Alle diese Punkte werfen die Frage auf, ob die DSGVO an neue Technologien angepasst werden müsste – oder ob die Blockchain-Technologie überhaupt datenschutzkonform nutzbar ist. Immerhin bietet die Blockchain einige Vorteile, die den Grundprinzipien der DSGVO sehr stark Folge leisten. So gewährleistet die Blockchain Transparenz über die Art der Datenspeicherung und wer wann auf die Daten zugegriffen hat – und das ganz ohne eine formale Anfrage auf Datenauskunft. Die Kontrolle über das, was mit den eigenen Daten geschieht, ist somit höher als bei der herkömmlichen zentralen Speicherung.
An anderen Stellen bleibt es jedoch schwierig. Wie oben angedeutet, gibt es zwar einige Optionen, sich dem Recht auf Löschung technisch anzunähern. Einige Spannungen erscheinen in der Tat kaum überwindbar, ohne dass damit der Grundgedanke der Blockchain-Technologie unterwandert wird. Der Europäische Datenschutzausschuss hat verbindliche Richtlinien zum Umgang mit der Blockchain bislang nur angekündigt. Bis zu deren Veröffentlichung bleibt die Unsicherheit für Unternehmen bestehen. Um auf der sicheren Seite zu bleiben, sollten Sie für die Speicherung von GDPR-relevanter Daten alternative Lösungen bevorzugen. Verantwortliche sollten immer kritisch hinterfragen, ob die Blockchain wirklich die beste Lösung für ihr Vorhaben ist oder ob zu diesem Zeitpunkt konventionelle Herangehensweisen schneller und vor allem rechtssicher zum Ziel führen. (bw)