:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Herausforderungen und Lösungen Ist Blockchain und Datenschutz zusammen möglich?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Das große Potenzial der Blockchain-Technologie zeichnet sich gerade durch Transparenz, Nachvollziehbarkeit, Unveränderlichkeit und damit durch Manipulationssicherheit und Vertraulichkeit aus. Das Problem ist: diese Vorteile können technikbedingt in einem starken Widerspruch mit den geltenden datenschutzrechtlichen Regelungen, allen voran der Datenschutz-Grundverordnung (DSGVO), stehen.
Entwickler und Nutzer von Blockchain-Lösungen sollten genau prüfen, welche datenschutzrechtlichen Vorgaben ein Hindernis darstellen und wie sie datenschutzkonforme Lösungen technisch umsetzen können. Im Folgenden zeigen wir Ihnen daher auf, welche Fragen Sie sich stellen müssen, wenn Sie eine Strategie zur datenschutzkonformen Umsetzung einer Blockchain erarbeiten möchten und welche Lösungsmöglichkeiten sich anbieten.
1. Frage: Wann muss die DSGVO angewandt werden?
Die Regelungen der DSGVO kommen nur dann zur Anwendung, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Auf einer Blockchain werden in der Regel nur Hashwerte, also durch kryptografische Verfahren gewonnene Zahlenfolgen, gespeichert. Allerdings können je nach Ausgestaltung der Blockchain durch Heranziehen weiterer Informationen durchaus Rückschlüsse auf bestimmte Personen gezogen werden, z.B. wenn Kyptowährung in echte Währung getauscht wird. Auch sog. pseudonymisierten Daten stellen personenbezogene Daten dar, sodass die DSGVO Anwendung findet.
Bei privaten Blockchains kann über die Vergabe der Nutzerkennung die dahinterstehende Person identifiziert werden. Bei einer öffentlichen Blockchain gibt es ebenfalls die Möglichkeit, Personen zu identifizieren und damit ist die DSGVO auch hier zu beachten. Beispielsweise wenn ein Teilnehmer Dienste Dritter nutzt und dabei Informationen preisgibt, die Rückschlüsse auf seine Person zulassen. Bezahlt jemand einen Online-Kauf mittels Blockchain-Transaktion, so können der verwendete Schlüssel, die Wallet, von der die Transaktion ausging, sowie die Lieferadresse miteinander in Verbindung gebracht werden. Hinzu kommen Analysen durch Big Data und die Ermittlung der IP-Adresse des genutzten Rechners. In all diesen Fällen liegt zumindest ein mittelbarer Personenbezug vor und die Vorgaben der DSGVO müssen zwingend beachtet werden.
Eine bestimmte Anwendung auf Basis einer Blockchain ist von besonderer datenschutzrechtlicher Relevanz: bei Smart Contracts wird die DSGVO im Zweifel immer anwendbar sein.
2. Frage: Keine Anwendbarkeit dank Anonymisierung?
Die DSGVO findet keine Anwendung, wenn anonymisierte Daten vorliegen. Eine Person kann dann nicht mehr anhand der Daten identifiziert werden, sodass ein Personenbezug fehlt, der für die Anwendbarkeit der datenschutzrechtlichen Regelungen jedoch zwingende Voraussetzung ist. Aus diesem Grund ist die Verwendung von anonymisierten Daten anstatt pseudonymisierter Daten grundsätzlich erstrebenswert. Im Fall der Blockchain könnte man eine Anonymisierung erreichen, indem man die Zuordnungsdaten löscht, die den Schlüssel, mit dem die Daten auf der Blockchain verschlüsselt wurden, mit einer konkreten Person verknüpfen.
Allerdings ist dennoch Vorsicht angebracht: der Anwendungsbereich der DSGVO ist eröffnet, sobald sich irgendwie doch noch ein Rückschluss auf eine bestimmte Person ziehen lässt. Der Aufwand ist dabei unerheblich. Tätigt eine Person zum Beispiel mehrere Transaktionen, dann kann trotz des vermeintlich anonymen Datensatzes aufgrund von Kombinationen der Weg zu einer bestimmten Person nachvollzogen werden. Aus dem Grund ist es nicht zu empfehlen, sich bei der Verwendung von scheinbar anonymisierten Daten darauf zu verlassen, dass die DSGVO keine Anwendbarkeit findet.
3. Frage: Wer ist verantwortlich im Sinne der DSGVO?
Ist die DSGVO anwendbar, dann stellt sich immer die Frage, wer ihre Vorgaben umzusetzen hat. Das ist immer der datenschutzrechtlich Verantwortliche, also die Stelle, welche die Zwecke und Mittel der Datenverarbeitung bestimmt, Art. 4 Nr. 7 DSGVO.
In privaten oder zulassungsbeschränkten öffentlichen Blockchains kann die zentrale Stelle meistens leicht als Verantwortlicher ausgemacht werden. Öffentliche Blockchains zeichnen sich allerdings gerade durch ihre dezentralen Strukturen aus. Das macht es gerade hier so schwierig, den Verantwortlichen festzustellen. Es ist daher von großer Bedeutung, im jeweiligen Einzelfall zu untersuchen, wer Transaktionen tätigen und damit Informationen in die Blockchain oder in die Kopie auf dem Rechner eingeben kann. Kommen dafür mehrere Anwender in Betracht, dann kann unter Umständen eine sog. gemeinsame Verantwortlichkeit (Art. 26 DSGVO) bestehen. Diese muss jedoch den Anforderungen der DSGVO entsprechen, sodass unter anderem eine Vereinbarung zwischen den Verantwortlichen geschlossen werden muss.
4. Frage: Wie kann das Recht auf Löschung umgesetzt werden?
Die DSGVO räumt den Betroffenen einige Rechte ein, die sie bei den Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). In Bezug auf Blockchains ist vor allem das Recht auf Löschung (oder auch Recht auf Vergessenwerden) aus Art. 17 DSGVO relevant. Danach hat der Verantwortliche die Pflicht, zum Beispiel nach einem Widerspruch der betroffenen Person in die Verarbeitung ihrer Daten oder bei einer unrechtmäßigen Verarbeitung unverzüglich die Daten zu löschen. Die betroffene Person hat korrespondierend dazu das Recht, diese Löschung zu verlangen.
Dabei besteht jedoch ein grundsätzlicher Konflikt mit der Blockchaintechnologie: Manipulationssicherheit und die damit einhergehende Unveränderbarkeit der Transaktionen ist ein prägender Faktor für den Einsatz einer Blockchain. Aus dem Grund kann eine Löschung grundsätzlich nur per Konsensmechanismus vorgenommen werden, indem die Mehrheit der Teilnehmer die Löschung bestätigen muss.
Allerdings sind weitere technische Möglichkeiten vorhanden, die im jeweiligen Anwendungsfall in Betracht gezogen werden können. Dazu gehört das sog. „Forking“. Dabei werden zwei Blöcke erstellt, sodass ein Zweig gebildet werden kann, in welchem die zu revidierende Transaktion in der gewünschten Ausformung vorgenommen werden kann. Dieses Verfahren ist allerdings aufwändig und wird daher nur bei starken Sicherheitsvorfällen angewandt. Das Problem liegt darin, dass auch sichergestellt werden muss, dass der gewünschte Nebenzweig wirklich gelöscht wird. Dies bringt einen erheblichen Arbeitsaufwand mit sich, der nicht dazu geeignet ist, die Betroffenenrechte nach der DSGVO effizient umzusetzen. Nach einem Hack wurde dieses Verfahren allerdings bei der Ethereum-Blockchain angewandt, da nicht alle Teilnehmer die angestrebten Regelungsänderungen mittragen wollten.
Bei privaten Blockchains kann außerdem eine Gruppe teilnehmender Rechner bestimmt werden, die unter bestimmten Bedingungen das Recht erhält, Informationen auf der Blockchain im Nachgang zu ändern. Es sollte darauf geachtet werden, dass auf der Blockchain selbst nur der Hashwert hinterlegt wird. Die eigentliche Information hingegen sollte extern gespeichert werden. Die Löschung der personenbezogenen Daten kann so am einfachsten und effektivsten erfolgen.
Einfacher gestaltet sich übrigens die Gewährleistung des Rechts auf Berichtigung unrichtiger Daten, das mit dem Recht auf Löschung verwandt ist. Eine Korrektur von Informationen oder Transaktionen kann einfach durch eine weitere Transaktion geschehen, die die ältere, unrichtige Transaktion berichtigt.
5. Frage: Schutz durch Integrität und Vertraulichkeit?
Ist die DSGVO anwendbar, so müssen die Verantwortlichen bei der Datenverarbeitung einige Grundsätze beachten und einhalten. Diese sind in Art. 5 DSGVO aufgelistet. Dazu zählen auch die Grundsätze der Integrität und Vertraulichkeit von Daten (Art. 5 Abs. 1 lit. f DSGVO), welche die Sicherheit der verarbeiteten Daten gewährleisten sollen. Sie verlangen vom Verantwortlichen, dass er die Daten mit geeigneten technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung und Schädigung schützt. Können die Daten in der Folge nicht unrechtmäßig oder unbemerkt manipuliert werden, so ist die Integrität gewährleistet. Wenn die Daten nicht unbefugt eingesehen werden können, dann ist die Vertraulichkeit sichergestellt.
In Bezug auf die Blockchain ist vor allem die Gewährleistung von Vertraulichkeit problematisch. Das mag zunächst widersprüchlich klingen, schließlich ist Vertraulichkeit auf Basis von Transparenz charakteristisch für eine Blockchain. Allerdings meint datenschutzrechtliche Vertraulichkeit im Sinne der DSGVO, dass die personenbezogenen Daten gerade nicht von jedem eingesehen werden dürfen. Um dennoch eine Vertraulichkeit gewährleisten zu können, ohne in einen grundlegenden Konflikt mit dem Wesen einer Blockchain zu kommen, bietet sich bei unverschlüsselten Daten, die nicht verwendet werden sollen, eine externe Ablage an.
Diese Möglichkeit kommt zum Beispiel in Betracht, wenn man eine Blockchain dazu nutzt, sein geistiges Eigentum zu sichern. Möchte man die unverschlüsselten Daten jedoch verwenden, wie es bei Smart Contracts der Fall ist, dann muss man je nach Anwendungsfall entscheiden, welche technische Lösung die Vertraulichkeit am besten sicherstellt. Eine Möglichkeit ist es, die Sichtbarkeit der Daten durch individuell eingerichtete, geschützte Laufzeitumgebungen zu beschränken.
Gut mit der Blockchain-Technologie vereinbar ist jedoch der Grundsatz der Integrität von personenbezogenen Daten. Durch die Verbindung der einzelnen Blöcke, die wiederum mit Hashwerten versehen werden, entsteht eine schlüssige Zahlenfolge. Bereits bei der kleinsten Veränderung geht diese Abfolge nicht mehr auf. Eine Manipulation wird daher kaum unbemerkt bleiben.
Fazit und Ausblick
Datenschutz und Blockchain werden sich immer schnell in einem Spannungsverhältnis befinden. Es gibt jedoch überzeugende technische und rechtliche Lösungsansätze, um dennoch eine datenschutzrechtlich einwandfreie Blockchain zu schaffen. Vor allem technisch wird sich in der Zukunft im Hinblick auf das große Potenzial von Blockchains viel Neues anbahnen, sodass sich die DSGVO leichter umsetzen lässt.
So kann heute bereits durch Maßnahmen wie der Pseudonymisierung dem Datenschutzrecht Rechnung getragen werden, wenn nicht gerade besonders sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden. Die Schwierigkeit wird jedoch immer sein, dass durch die vorgenommenen datenschutzrechtlichen Maßnahmen die charakteristischen Merkmale einer Blockchain verloren gehen können. Andererseits verfolgen Datenschutzrecht und Blockchaintechnologie beide das Ziel, Nachvollziehbarkeit und Transparenz zu schaffen. Es wird sich in Zukunft zeigen, wie sich die dahinterstehenden unterschiedlichen Ansätze zum Erreichen dieser Ziele vereinbaren lassen.
Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.
(ID:46833049)
:quality(80)/images.vogel.de/vogelonline/bdb/1915600/1915690/original.jpg "Blockchain-Anwendungen bergen zwar Datenschutz-Herausforderungen, die lassen sich aber mit etwas Planung durchaus lösen. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1912300/1912336/original.jpg "Viele deutsche Unternehmen stehen bei US-amerikanischen Cloud-Diensten vor dem selben Datenschutzproblem: Können US-Firmen ein ähnliches Schutzniveau wie das der EU nachweisen? (©Weissblick - stock.adobe.com)")