Die am 25.05.2018 in Kraft tretende DSGVO setzt neue Maßstäbe bei der Speicherung und Verwaltung von personenbezogenen Daten in der EU. Ein Gesetz ist u.a. das ,,Recht auf Vergessen“, welches mit einer unveränderlichen Blockchain schwer vereinbar ist. Das ist nur einer der Punkte an dem die Blockchain-Technologie und die Anforderungen der DSGVO aufeinanderprallen. Wie wirkt sich das Gesetz auf die Blockchain aus?
Das im Europa-Parlament beschlossene „General Data Protection Regulation“ (GDPR), hierzulande als Datenschutz-Grundverordnung (DSGVO) bekannt, ist am 24.05.2016 in Kraft getreten und muss, nach einer Umsetzungszeit von zwei Jahren, ab dem 25.05.2018 vollumfänglich angewendet werden.
Das Ziel dieses Gesetzes ist es, freien Datentransfer in der EU zu gewährleisten, einheitliche Regeln zur Verarbeitung personenbezogener Daten für private Unternehmen und öffentliche Institutionen EU-weit zu etablieren und die Standards für Datenschutz zu erhöhen. Unternehmen und öffentliche Institutionen, die personenbezogene Daten speichern, werden verpflichtet alle Informationen von Interessenten, Kunden, Mitarbeitern sowie anderen Personen transparent und strukturiert vorzuhalten.
Auf der Verbraucherebene wurden die sogenannten Betroffenenrechte etabliert. Durch diese besitzen EU-Bürger die Möglichkeit, über die von ihnen gespeicherten Informationen, Auskunft zu erhalten oder diese ändern zu lassen. Verarbeiter von Daten stehen gegenüber ihren Nutzern in der Informationspflicht. Personen, die Auskunft über ihre Daten erhalten wollen, müssen diese innerhalb einer Frist von einem Monat zur Verfügung gestellt bekommen. Zwar können Fristen unter gewissen Umständen verlängert werden, allerdings müssen die Gründe dafür ebenfalls innerhalb eines Monats mitgeteilt werden.
Die verantwortliche Person im Unternehmen (bei öffentlichen Institutionen der Datenschutzbeauftragte) steht in der Pflicht Prozesse zu implementieren, mit der fristgerechte sowie korrekte Bearbeitung und Beantwortung der Anträge möglich werden. Organisationen, die den Fristen nicht nachkommen, sehen sich potentiellen Strafen von bis zu 4% ihres jährlichen globalen Umsatzes gegenüber.
Was sind personenbezogene Daten?
Personenbezogene Daten definiert die EU in der DSGVO als
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Erheben Institutionen personenbezogene Daten, müssen sie diese gemäß der Datenschutz-Grundverordnung anonymisieren oder zumindest pseudonymisieren.
Daten gelten dann als anonymisiert, wenn keine Informationen zu einer Person und somit keine personenbezogenen Daten nach Art. 4 Nr. 1 DSGVO vorliegen.
Eine Pseudonymisierung personenbezogener Daten wird auf verschiedene Art erreicht: indem eine Person sich selbst ein Pseudonym zuweist, indem eine dritte Person (Zertifizierungsstelle, Datentreuhänder) das Pseudonym erstellt oder, wie es nach Regelung Art. 4 Nr. 5 vorgeben, die Zuweisung des Pseudonyms (z.B. mittels Kennziffer) durch die Verantwortlichen, welche die Daten speichern bzw. verarbeiten.
Pseudonymisierte Daten sind etwa IP-Adresse, Nicknamen, E-Mail Adressen, GPS-Daten, Kunden-Nummern etc.
Datenschutzrechtliche Betroffenenrechte
Mit der Datenschutz-Grundverordnung wurden die Verbraucherrechte gestärkt. Die Betroffenenrechte können gegenüber den Verantwortlichen der Datenverarbeitung oder -speicherung geltend gemacht werden. Sie sind immer dann anwendbar, wenn Informationen teilweise oder vollständig gespeichert oder verarbeitet wurden und sich auf eine natürliche Person beziehen. Diese neuen Verbraucherrechte sind:
- Informationspflicht bei Datenerhebung (Art. 13, 14 DSGVO)
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO), das sog. Recht auf Vergessenwerden
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Mitteilungspflicht bei Berichtigung, Löschung, Einschränkung der Verarbeitung (Art. 19 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Automatisierte Entscheidung im Einzelfall, Profiling (Art. 22 DSGVO)
- Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
Für wen gilt die Datenschutz-Grundverordnung?
Für wen sind nun die Richtlinien der DSGVO relevant? Für alle, deren Produkte, Geschäftsfelder oder Prozesse personenbezogene Daten berühren. Die Größe des Unternehmens hat keine Auswirkungen: Start-ups, Klein- und Mittelständische Unternehmen sowie Großkonzerne, alle jene die Produkte oder Dienstleistungen den EU-Bürgern anbieten oder Markt- bzw. Datenbeobachtungen durchführen, sind betroffen.
Ist die Blockchain mit der Datenschutz-Grundverordnung vereinbar?
Die Blockchain bietet einige Funktionen, die den Datenschutzrichtlinien entsprechen. Vertrauenskritische Transaktionen zwischen unbekannten Parteien können ermöglicht werden, ohne dass Identitäten offengelegt werden müssen. Fremde Parteien können sich durch die Einhaltung von Code und Protokollen vertrauen. Damit Vertrauen aufgebaut werden kann, werden Daten bzw. Identitäten über Drittanbieter geprüft und pseudonymisiert.
Bedeutet das also, dass Transaktionsdaten der Blockchain nicht unter den Anwendungsbereich der EU-Datenschutz-Grundverordnung fallen, da diese von vornherein anonym bzw. pseudonymisiert sind? Leider nein.
Denn die Anforderungen der Betroffenenrechte kollidieren mit dem inhärenten Charakter der Blockchain. Daten, die einmal in die Blockchain gespeichert werden, können nicht mehr geändert oder gelöscht werden. Die Transaktionsdaten der Blockchain sind transparent, jeder kann zu jeglicher Zeit sehen, welche Daten gesendet und empfangen wurden, auch wenn diese Daten verschleiert sind.
Und genau hier kommt es zum Konflikt mit der Datenschutz-Grundverordnung. Die Unveränderlichkeit von Daten steht im direkten Konflikt zu den Betroffenenrechten auf Berichtigung (Art.16), Löschung bzw. dem Recht auf Vergessenwerden (Art.17).
Personenbezogene Daten bei der Nutzung einer Blockchain-Anwendungen: Wallet-Adressen, Bitcoin- oder andere Kryptowährungsadressen, Public Keys, Transaktionshistorie, Meta-Daten etc.
Recht auf Berichtigung (Art. 16 DSGVO)
Das Gesetz gibt Betroffenen das Recht, vom Verarbeiter zu fordern, bestehende Daten zu ändern, wenn z.B. Daten nicht mehr aktuell sind. Daten im Nachhinein auf der Blockchain zu verändern ist aber durch den dezentralen Charakter in der Regel unmöglich. Informationen oder Transaktionen können zwar mit neu angehängten Blöcken für ungültig erklärt werden, aber falsche oder überholte Daten sind weiterhin von jedem einsehbar. Damit entspricht diese Lösung nicht den Anforderungen der DSGVO.
Recht auf Löschung (Art. 17 DSGVO)
Wird eine Transaktion durch die Validierung der Miner zu einem Teil der Blockchain-Historie, gibt es keinen Weg mehr, diese zu löschen. In einer public blockchain gibt es keinen globalen Prüfer oder Verantwortlichen der Transaktionen rückgängig machen oder verändern könnte. Laut dem DSGVO muss aber eine Instanz die Verantwortlichkeit für die Daten übernehmen. Unternehmen sollten sich daher im Vorfeld genau überlegen, welche Daten sie in die Blockchain schreiben.
Darüberhinaus werden potentielle Angriffsvektoren ermöglicht, wie etwa das Androhung, dass personenbezogene Meta-Daten (Kontonummern, Adressen, Schulnamen der Kinder etc.) eingespeist werden. Ein Mittel zur Erpressung, wie es in einem Forschungsbericht der RWTH Aachen zu illegalen Daten auf der Blockchain beschrieben wurde.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Dieses Recht gibt Nutzern die Möglichkeit, die über sie gespeicherte Daten anzufordern, um sie z.B. auf eine andere Plattform mitzunehmen. Vom Anbieter müssen diese in strukturierter, gängiger und maschinenlesbarer Form übermittelt werden. Daten die auf Social Media-Plattformen gespeichert sind, sind hierfür bekannte Beispiele.
Die Nutzer brauchen hierzu einen klar benannten Ansprechpartner. Das Gesetz sieht die Ernennung eines Datenschutzbeauftragten vor (Art. 37 DSGVO), der koordiniert und die Umsetzung verantwortet.Im Falle von auf Blockchain gespeicherten Daten, fehlt der für die Daten Hauptverantwortliche, da die Datenbanken auf unzählige Nodes verteilt sind. Der Nutzer kann niemand Bestimmten in der Blockchain adressieren. Das Datenschutzgesetz ist in seiner Datenverarbeitungstruktur hierarchich organisiert und das passt nicht mit dem dezentralen Charakter der Blockchain zusammen.
Im Falle von Daten, die bei einem Wallet-Anbieter gespeichert sind, kann das Gesetz zu einem Teil greifen, denn dort sollte ein Ansprechpartner vorhanden sein. Da bei den meisten Blockchains die Daten öffentlich einsehbar sind, können diese, unter Zuhilfenahme der Historie des eigenen Accounts, eingesehen und manuell durch den Nutzer abgespeichert werden.
Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
In der Datenschutz-Grundverordnung wurden auch technische Anforderungen an Organisationen, die Daten speichern und verarbeiten, formuliert. Unter Privacy by Design / Privacy by Default wurde festgehalten, dass Datenschutz bereits bei der Frühphase der Entwicklung, bei der konzeptionellen Überlegung der Anwendungen und deren entsprechenden Datenbanken berücksichtigt werden muss. Technik („design“) der Datenverarbeitung und die Voreinstellungen (,,defaults“) sollen so gewählt werden, dass sie den Grundsätzen des Datenschutzes entsprechen.
Transparenz und Datenschutz als „default“ bzw. Eigenschaft sind Elemente, die in der Blockchain-Anwendungen von vornherein vorhanden sind. Hier fällt es leicht, den Anforderungen der DSGVO zu entsprechen.
Bitcoin und die Datenschutz-Grundverordnung
Ist eine Bitcoin-Adresse (Public Key) eine ausreichende Identitäts-Pseudonomysierung einer natürlichen Person?
Transaktionen auf der Blockchain sind immer pseudonymisiert und erhalten daher keine direkt ersichtlichen Personendaten. Seit 2011 ist allerdings bekannt, dass Bitcoin-Adressen de-anonymisiert werden können. In der Studie konnte der Kunde eines Blockchain-Dienstes über dessen Bitcoin-Adresse einer IP-Adresse zugeordnet werden. In einem weiteren Projekt wurden mittels Datenanalyse von öffentlichen Blockchain-Einträge eines Bitcoin-Ledgers ein Kunden- und Transaktionsnetzwerk erstellt, mit dem es möglich wurde, Adressen bestimmten Nutzern zuzuordnen.
Auf der Blockchain werden bei Transaktionen verschiedene Datenfragmente gespeichert: Transaktionseingänge und -ausgänge, die Transaktionshistorie, das Datum und die Uhrzeit aller an der Transaktion Beteiligten sowie die Pseudonyme bzw. Adressen.
Dienstleister von Blockchainservice
Auch wenn sensible Daten nicht unmittelbar auf die Blockchain geschrieben werden, so betrifft die neue Verordnung jegliche Dienstleister im Blockchain-Ökosysteme, die mit sensiblen Daten agieren.
Im Blockchain-Ökosystem befinden sich viele Dienstleister und Intermediäre wie z.B. Wallet-Provider oder Handelsbörsen, denen die Identität ihrer Nutzer zumeist bekannt ist. Auch ICO-Anbieter sind Eigentümer sensibler Daten, welche diese über den KYC (Know Your Customer)-Prozess erhoben haben.
Auch wenn sich der Firmensitz der Dienstleister außerhalb der EU befindet, unterliegen sie der Datenschutz-Grundverordnung.
Diese Akteure können via KY-Prozess Personennamen einer Bitcoin-Adresse zuordnen. Diese Verbindung werden aber nicht auf einer Blockchain gespeichert, sondern auf eigenen Servern. Daher kann theoretisch ein Endnutzer verlangen, dass diese Einträge gelöscht werden. Es ist zwar ein Risiko, dass solche Akteure Daten speichern, die Pseudonyme auf einer Blockchain zerstören können, dies hat aber mit der permanenten Abspeicherung von Informationen auf einer Blockchain nicht direkt etwas zu tun.
In diesen Anwendungsfällen stellt sich die Frage, welche Daten auf der Blockchain gespeichert werden und welche nur auf den Servern der intermediären Akteure.
Fazit
Die Datenschutz-Grundverordnung und die Blockchain hat viele Berührungspunkte, in denen in denen sie auf Herausforderungen und scheinbar nicht zu überwindenden Probleme trifft.
Bei aller Kritik ermöglicht die Blockchain aber auch eine Lösung für die Verbesserung des Datenschutzes, nämlich die Möglichkeit durch die verteilte Struktur Risiken (sog. “Single point of failure”) zu minimieren. Durch die Hinzunahme von IDaaS (Identity as a Service)- Systemen, wie Identity Management Systemen können Daten zurück in die Hände derer gegeben werden, denen sie gehören.
Schlussendlich bedeutet die Datenschutz-Grundverordnung nicht, dass die Blockchain-Technologie nach deren Kriterien angepasst werden muss, sondern dass auf ihr keine persönlichen Daten mehr gespeichert oder verarbeitet werden kann. Zahlreiche Projekte setzen an diesen Punkt an und entwickeln dafür Lösungen. Einen Überblick über diese Anwendungen werden im zweiten Teil vorgestellt.
Disclaimer: Der Artikel stellt keine rechtliche Empfehlung dar.
[Bild: MagickStock/Shutterstock]
