Wie wird die Blockchain DSGVO-konform?

Blockchain und Recht Wie wird die Blockchain DSGVO-konform?

11.03.2020 Von Dipl. Betriebswirt Otto Geißler

Anbieter zum Thema

FTAPI Software GmbH

Insider Research

securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)

valvisio international AG

Die Blockchain-Technologie steht für hohe Sicherheit und automatisierte Prozesse. Ergeben sich auf Grund der Technologie Probleme hinsichtlich der DSGVO? Für welche Fälle ließen sich diese juristisch einwandfrei ausräumen?

Den Widerspruch zwischen „unveränderlicher Blockchain“ und dem „Recht auf Vergessenwerden“ der DSGVO müssen Datenschützer, Gerichte und Gesetzgeber erst noch auflösen.
(© mixmagic - stock.adobe.com)

Da die Regelungen der DSGVO auch für die Blockchain gelten, stellt sich die Frage, ob die Blockchain auch unter strikter Einhaltung der Vorgaben der DSGVO betrieben werden kann. Hier ist vorab zu beachten, dass die DSGVO auf die Blockchain nur dann Anwendung finden kann, wenn in oder durch die Blockchain personenbezogene Daten im Einsatz sind. Das heißt, liegen diese Daten nicht vor, muss das Datenschutzrecht auch nicht berücksichtigt werden.

Was sind personenbezogene Daten?

Wobei mit personenbezogenen Daten nach der DSGVO alle Informationen gemeint sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Das bedeutet, solche Personen können durch diese Informationen entweder unmittelbar oder mittelbar identifizierbar sein. Daher genügt es bereits, wenn mithilfe zusätzlicher Informationen auf die Identität der betroffenen Person geschlossen werden kann.

In der Blockchain werden Informationen nicht als Klardaten, sondern in Form von Hashes gespeichert. Ist nur der Hashwert zugänglich, können im Prinzip keine Rückschlüsse auf die eigentlichen Eingabewerte gezogen werden.

Doch die DSGVO unterscheidet zwischen anonymisierte und pseudonymisierte Daten. Während es bei anonymisierten Daten keinen Personenbezug mehr gibt, räumen pseudonymisierte Daten jedoch einen gewissen Personenbezug ein.

Daher werden pseudonymisierte Daten auch als personenbezogene Daten betrachtet. Denn im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, nach wie vor erhalten.

Wobei derjenige, der den Hashwert erzeugte, relativ schnell einen Personenbezug herstellen kann. Für ihn handelt es sich dann um ein personenbezogenes Datum. Wogegen dies dem Empfänger, der nur den Hashwert sieht, dieser Personenbezug nicht gilt. Für ihn ist demnach der Hashwert kein personenbezogenes Datum.

Bei Informationen, die sowieso öffentlich verfügbar sind, ist das Schutzbedürfnis gering zu beurteilen. Im Falle sensibler Daten wie zum Beispiel Gesundheitsdaten ist bereits auf einer sogenannten abstrakt-allgemeinen Ebene ein höheres Schutzbedürfnis zu veranschlagen.

Wer ist verantwortlich?

Die DSGVO möchte mit dem Datenschutzrecht immer auch einen Verantwortlichen adressieren. Gemäß der DSGVO ist ein Verantwortlicher eine Person oder Organisation, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten Entscheidungen treffen kann. Das heißt, der Verantwortliche übt die Hoheit über den Vorgang der Datenverarbeitung aus.

Da bei einer Blockchain immer viele Akteure involviert sind, ist es nicht eindeutig auszumachen, wer als Verantwortlicher in Betracht kommt. Bei privat-beschränkten Blockchains kann der Betreiber, sofern er über Mittel und Zwecke der Datenverarbeitung bestimmt, Verantwortlicher sein. Aber auch die Miner können, wenn sie personenbezogene Daten verarbeiten, beim Erstellen der Blöcke die Funktion eines Verantwortlichen übernehmen.

Letztlich kommen alle Personen als Verantwortliche infrage, die an der Blockchain mitarbeiten. Die DSGVO hat hierfür in Artikel 26 den Begriff der sogenannten Joint Controller geschaffen.

Welche Anwendung liegt vor?

Laut dem EU Blockchain Observatory kann bei der Diskussion über die einzelnen Problemfelder hinsichtlich der DSGVO das Trugbild entstehen, dass Blockchain-Anwendungen grundsätzlich inkompatibel mit den Anforderungen der DSGVO wären. Laut dem Observatory geht es bei der Frage nach der Konformität mit der DSGVO weniger um die Technologie selbst, sondern um die konkreten Anwendungsfälle.

In diesem Zusammenhang werden gerade die Public Permissionless Blockchains (öffentliche Blockchain-Netzwerke) - ohne Zugangsbeschränkung für Nodes - vor großen Herausforderungen stehen. Damit Daten anonymisiert und dann nicht mehr als personenbezogen im Sinne der DSGVO sind, müssen zwei grundlegende Voraussetzungen erfüllt werden:

Einerseits darf es nicht möglich sein, dass Daten mit einem verhältnismäßigen Aufwand einer natürlichen Person zugeordnet werden können. Zum anderen muss es unmöglich sein, den Prozess der Anonymisierung umzukehren. Das heißt, dass wieder Originaldaten aus den anonymisierten Daten entstehen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Das Observatory empfiehlt daher den Entwicklern und Anbietern von Blockchain-Anwendungen für die Einhaltung der DSGVO folgende Herangehensweise:

Die große Perspektive sehen: Wie werden die Daten genutzt? Wie wird Nutzen für die User erzeugt? Ist dazu eine Blockchain überhaupt notwendig?

Personenbezogene Daten sollten erst gar nicht auf einer Blockchain abgelegt werden. Verschleierungs-, Verschlüsselungs- und Verdichtungsmethoden voll ausnützen, um Daten zu anonymisieren.

Persönliche Daten am besten außerhalb der Blockchain sammeln. Für den Fall, dass die Blockchain nicht zu vermeiden ist, Ablage auf privaten, beschränkt zugänglichen Blockchain-Netzwerken.

Personenbezogene Daten sorgfältig auswählen, wenn private Blockchains mit öffentlichen Blockchains verbunden werden sollen.

Beim Umgang mit den Nutzern immer sehr deutlich und transparent wie möglich auftreten.

Fazit

Die Blockchain-Technologie schützt die personenbezogenen Daten dank Kryptographie. Zur Änderung eines Blocks sowie zum Hacken eines Hashes wäre dann eine außerordentliche Rechenkapazität nötig.

Zum Beispiel lassen sich bei der „Private Permissioned Blockchain“ mit individuell definierten Zutrittsberechtigungen, für die sich die Nutzer registrieren und ihre Anonymität ablegen müssen, die Zugriffe auf einzelne Daten durch Untergruppierungen nochmal genauer definieren.

Nichtsdestotrotz stehen Betroffenenrechte der DSGVO - wie zum Beispiel das Recht auf Vergessenwerden – dem entgegen. Dieser Widerspruch kann mit der Anwendung der DSGVO allerdings nicht abschließend geklärt werden. Hier sind Datenschützer, Gerichte und Gesetzgeber gefragt, um rechtssichere als auch praxistaugliche Möglichkeiten zu schaffen.

(ID:46400593)