image
04/18/2019

DE: Passen Blockchain und Datenschutz zusammen?

2B Advice
Im März 2019 hat der Deutsche Bundestag Experten eingeladen, um die Regulierung von Blockchain-Technologie zu erörtern. Die Experten-Meinungen zum Umgang mit Daten mittels Blockchains reichten von deutlicher Zustimmung bis zu einiger Skepsis. Warum ist diese "revolutionären" Technologie, einschließlich der raffinierten Kombination von Validierungsverfahren und Verschlüsselungsmechanismen, häufig mit einem Fragezeichen versehen? Unter anderem ist die Unvereinbarkeit mit dem Datenschutzgesetz ein wesentlicher Grund.
 

Ob und in welchen Fällen die Blockchain datenschutzrechtlich relevant ist, richtet sich danach, ob es sich um personenbezogene Daten handelt. Im Falle von Bitcoin (der bekanntesten Anwendung einer Blockchain), gewährleistet die Blockchain-Technologie, dass sämtliche Bitcoin-Transaktionen in einer dezentralen Datenbank verzeichnet werden und diese als unverschlüsselte Daten jederzeit für jedermann einsehbar sind. Mit anderen Worten: Wenn man diese Digitalwährung für eine Art von Geschäft verwendet, ist es im Gegensatz zu Bargeld für jeden leicht nachzuvollziehen, woher dieses Geld tatsächlich stammt oder was damit tatsächlich gekauft wird. Diese Nachvollziehbarkeit gilt sogar für die komplette Vergangenheit seit dem Entstehen der Bitcoin. Durch Ersetzen ihres Namens mit zugeordneten öffentlichen Schlüsseln (der quasi als Kontonummer dient) bleiben die beteiligten Personen zwar pseudonym, es bestehen jedoch verschiedene Möglichkeiten, sie zu identifizieren. Grundsätzlich gibt es zwei Möglichkeiten, Bitcoins zu erhalten: Entweder durch das Erzeugen mit eigener Leistung (sog. Mining) oder über einen Bitcoin-Marktplatz, auf dem man Bitcoins übertragen, eintauschen, ersteigern kann. Um an einem Bitcoin-Marktplatz teilzunehmen, ist erforderlich, Angaben zur eigenen Personen wie Name, E-Mail oder Bankverbindung zu hinterlegen. Obwohl diese Daten von den Marktplatzbetreibern nicht ohne weiteres herausgegeben werden können, da sie gleichzeitig für die Generierung und Zuordnung öffentlicher Schlüssel verantwortlich sind, besteht grundsätzlich das Risiko, eine reale Person mit Hilfe eines zugeordneten öffentlichen Schlüssels zu identifizieren. Aus diesem Grund liegen personenbezogenen Daten i.S.v. Artikel 4 Nr.1 DS-GVO vor.

Ein weiteres datenschutzrechtliches Problem ist, dass die Verwendung einer Einwilligung als allgemeine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Blockchains zu Konflikten führen kann, wenn der Betroffene diese Rechtgrundlage widerruft. Bei Blockchain-Technologie handelt es sich um eine Liste von Datensätzen, die kontinuierlich wächst und durch Kryptographie miteinander verknüpft ist. Dies bedeutet, wenn ein Datensatz abgeschlossen ist, wird der nächste erzeugt, der die Prüfsumme des vorherigen enthält. Ein Widerruf führt aber dazu, dass einzelne Teile aus der Blockchain gelöscht werden müssen, was sich auf alle nachfolgenden Datensätzen auswirken würde und somit der Irreversibilität der Blockchain widerspricht.

Bei Verwendung der Einwilligung stößt die Blockchain auf ein weiteres Problem: Zum Zeitpunkt der Einwilligung wissen die Betroffenen nicht, wer für ihre Daten verantwortlich ist und wer im Sinne von Art. 4 Nr. 8 DS-GVO nur als Auftragsverarbeiter zu klassifizieren ist. Im Vergleich zu den klassischen Datenverarbeitungsmodellen, bei denen die Daten von bestimmten Entitäten zentral verwaltet werden, führt das dezentrale Data-Governance-Modell der Blockchain-Technologie und der vielen an der Datenverarbeitung beteiligten Akteure zu einer komplexeren Definition ihrer Rollen. So ist es zum Beispiel bei Bitcoin notwendig, bei der Bestimmung des Verantwortlichen zwischen den über einen Bitcoin-Marktplatz getätigten Transaktionen einerseits und den von Nutzer direkt durchgeführten Transaktionen andererseits zu unterschieden.

Trotz der oben genannten Probleme zeigt die Diskussion im Bundestag immer noch ihre Bereitschaft, die Entwicklung und Einführung von Blockchain-Plattformen zu ermutigen, und diese durch Standards und Best Practices zu regulieren.

Foto: © imageteam - Fotolia

Weitere Informationen:
https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data
https://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2018-0373+0+DOC+XML+V0//DE
https://www.bitkom.org/Bitkom/Publikationen/Faktenpapier-Blockchain-und-Datenschutz.html

Wildcard SSL Certificates

© 2003 - 2019 |  2B Advice GmbH - the privacy benchmark | Handelsregister-Nr.: Bonn HRB 12713
Joseph-Schumpeter-Allee 25 | 53227 Bonn | Phone: +49 228 926165-100 | Fax: +49 228 926165-109 | Email: info@2b-advice.com 
Keine Gewähr für die Richtigkeit der Angaben. Bitte beachten Sie auch:
Datenschutzerklärung | Impressum | Anfahrt | Jobs
2B Advice GmbH Italy | 2B Advice LLC USA | 2B Advice s.r.o. Slowakei
Vereinigte Staaten von Amerika | Slowakei | Deutschland | Bonn | Berlin | München | San Diego | Brezno | Verona | Wien