Alle News & Events anzeigen

10.12.2018

Blockchain vs. DSGVO

„Blockchain“ und „DSGVO“ gehören sicherlich zu den beliebtesten Buzzwords in diesem Jahr. Die Blockchain ist eine Technologie, die nach Auffassung vieler großes Potenzial für die Zukunft hat. Die DSGVO beschäftigt Unternehmen schon jetzt. Bei der Umsetzung der ersten Blockchain-Use-Cases wird daher aktuell auch stets das Thema Datenschutz diskutiert, denn in der Blockchain werden umfangreich Daten verarbeitet. Das dezentrale Blockchain-Netzwerk lebt von komplexen Verschlüsselungen und der transparenten Verkettung von Transaktionen in einer zeitlichen Abfolge, die dauerhaft gespeichert werden. Daher gilt die Technologie als besonders sicher und vertrauenserweckend. Somit ist es das Wesen der Blockchain, Daten dauerhaft zu speichern. Wie aber kann dies mit dem Grundsatz des Rechtes auf Vergessenwerden in Einklang gebracht werden, das die DSGVO in Artikel 17 regelt?

Findet die DSGVO überhaupt Anwendung?

Zunächst stellt sich die Frage, ob die DSGVO überhaupt anwendbar ist. Die DSGVO ist nur dann anwendbar, wenn personenbezogene Daten verarbeitet werden. Werden Daten anonym verarbeitet, muss die DSGVO nicht beachtet werden. Naheliegend ist daher die Annahme, dass in der Blockchain durch komplexe Verschlüsselungen und Hash-Werte die Daten anonymisiert sind.
 
In einer sog. Public Blockchain, auf die jedermann zugreifen kann, können Hash-Werte tatsächlich Anonymität bieten, wenn z.B. die Rohdaten nicht bekannt sind. Häufig werden Daten allerdings nur pseudonymisiert verarbeitet, da Rohdaten noch verfügbar sind. Werden Daten pseudonymisiert verarbeitet, sind die Datenschutzgesetze anwendbar. Unter personenbezogenen Daten werden nämlich alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, verstanden. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, u.a. mittels Zuordnung zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Eine Pseudonymisierung lässt eine solche Identifizierung regelmäßig zu. Damit muss die DSGVO beachtet werden.
 
Für zulassungsbeschränkte und sog. Private Blockchains, zu denen nur ein abgegrenzter Teilnehmerkreis Zugang hat, kann durch Vergabe der Nutzerkennung grundsätzlich auf die Person hinter dem vergebenen öffentlichen Schlüssel zurückzuschließen sein. Damit sind bei derartigen Blockchains die Datenschutzgesetze anwendbar. 

Wie kann die DSGVO auf die Blockchain angewendet werden?

Wie Blockchain-Anwendungen DSGVO-konform gestaltet werden können, ist derzeit äußerst fraglich. Schon das eingangs erwähnte Problem, wie das Recht auf Vergessenwerden umgesetzt werden soll, scheint derzeit unlösbar. Fraglich ist auch, wie die weiteren Betroffenenrechte geltend gemacht werden können. Wem gegenüber muss das Auskunftsrecht geltend gemacht werden? In welchem Umfang muss der Verantwortliche Auskunft erteilen? Wer ist überhaupt verantwortliche Stelle, d.h. wer entscheidet in der Blockchain über Zwecke und Mittel der Verarbeitung? In der Public Blockchain könnten verantwortliche Stellen evtl. die Betreiber der Nodes (d.h. Teilnehmer, die selbst Transaktionen vornehmen können) sein. In einer zulassungsbeschränkten oder Private Blockchain könnte verantwortliche Stelle evtl. die Organisationseinheit zur Zugangsberechtigung sein. Insoweit muss in Zukunft unbedingt Klarheit geschaffen werden, denn diese Informationen müssen gemäß Artikel 13 bzw. Artikel 14 DSGVO erteilt werden, wenn eine Informationserteilung nicht nach Artikel 14 Abs. 5 lit. b) DSGVO als unverhältnismäßig bewertet werden kann.

Verhindert die DSGVO Blockchain-Projekte?

Nach den aktuellen Gegebenheiten sind Blockchain-Projekte schwer mit der DSGVO zu vereinen, wenn personenbezogene Daten in der Blockchain gespeichert werden. Da der Technologie jedoch großes Potenzial prophezeit wird, ist es nicht unwahrscheinlich, dass die bestehenden Hürden – z.B. durch Gesetzesänderungen – genommen werden. Verschiedene Verbände veröffentlichen bereits Lösungsvorschläge, wie der Datenschutz zukünftig angepasst werden muss, damit die Blockchain-Technologie erfolgreich eingesetzt werden kann.