Blockchain und DSGVO: passt das zusammen?

von Dr. Axel Spies, veröffentlicht am 12.08.2019

Das zukunftsweisende Thema „Blockchain und Recht“ hatten wir schon hier im Blog und in der MMR 2017, 162 (Simmchen) und NJW 2017, 1431 (Schrey/Thalhofer). In einem Satz zusammengefasst geht es bei Blockchain um eine dezentrale Datenbank, in der Datenblöcke sinnbildlich in einer Kette aneinandergereiht und distributiv im Netzwerk manipulationssicher gespeichert werden.

Dr. Michèle Finck vom renommierten Max-Planck-Institut für Innovation und Wettbewerb hat sich für den Wissenschaftlichen Dienst des EU Parlaments dankenswerterweise die Mühe gemacht, auf 120 Seiten im Detail zu untersuchen, welche rechtlichen Reibungspunkte es zwischen der Blockchain-Technologie und der DSGVO gibt (siehe engl. Studie hier).

Hier einige Kernaussagen der Studie:

- „Die DSGVO basiert auf der Annahme, dass es in Bezug auf jeden personenbezogenen Datenpunkt mindestens eine natürliche oder juristische Person  gibt  - nämlich den für die Verarbeitung Verantwortlichen, an die sich die betroffenen Personen wenden können, um ihre Rechte nach dem EU-Datenschutzrecht durchzusetzen. Blockchains versuchen jedoch oft, eine Dezentralisierung zu erreichen, indem sie einen einheitlichen Akteur durch viele verschiedene Akteure ersetzen. Dies macht die Zuweisung von Verantwortung und Verantwortlichkeit aufwändig.“

- „Die DSGVO basiert auf der Annahme, dass Daten bei Bedarf geändert oder gelöscht werden können, um den gesetzlichen Anforderungen wie den Artikeln 16 und 17 DSGVO zu entsprechen. Blockketten machen solche Datenänderungen jedoch gezielt aufwendig, um die Datenintegrität zu gewährleisten und das Vertrauen in das Netzwerk zu erhöhen.

- Weitere Beispiele für die Spannung zwischen Blockchain und der DSGVO sind die übergreifenden Prinzipien der Datenminimierung und Zweckbindung. Während die DSGVO verlangt, dass personenbezogene Daten, die verarbeitet werden, auf ein Minimum reduziert und nur für vorher festgelegte Zwecke verarbeitet werden, sind diese Grundsätze auf Blockchain-Technologien schwer anzuwenden."

Auch das „Recht auf Vergessenwerden“ führe bei der Blockchain, die Dokumentationszwecken dient, zu Schwierigkeiten bei der Compliance (vgl. Martini, NVwZ 2017, 1251).

Haben Sie weitere Punkte?

Wenn wir die ganze Hype einmal beiseitelassen: Welche Anwendungsbereiche sehen Sie aus juristischer Sicht für Blockchain und wie kann mal Blockchain mit der DSGVO und anderem Datenschutzrecht in Einklang bringen?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Tja, wird es das gute alte Handelregister in einigen Jahren noch geben oder wird es durch Blockchain ersetzt? Aus Dateschutzsicht fällt mir noch Privacy by Design (Art. 25 DSGVO) ein: vgl. ZD 2019, 51 (Janicki/Saive) - lesenswert.

0

Für die Umsetzung des Rechts auf Vergessen in der Blockchain gibt es bereits Lösungen, die von Blockchain-Experten hier und da angeboten werden. Es bleibt jedoch abzuwarten, wie die Blockchain-Technologie in der Praxis an die DSGVO angepasst werden kann und wird.

Eine Lösung ist vermutlich die Verschlüsselung der in der Kette gespeicherten Daten. Dies ist die Lösung Nummer eins, die im Moment oft vorgeschlagen wird. Grundsätzlich gilt: wenn alle in der Kette gespeicherten Daten verschlüsselt werden, bevor sie in die Blockchain geschrieben werden, bedeutet die Zerstörung des Schlüssels, dass die Daten unlesbar werden. Es ist jedoch unklar, ob das als  DSGVO-kompatible Lösung angesehen werden kann und was zutun ist, wenn die Verschlüsselungscodes gestohlen, veröffentlicht werden oder verloren gehen.

Eine weitere vorgeschlagene Lösung ist die Verwendung der Blockchain-Technologie zur Speicherung von Zeitstempeln für Informationen, die außerhalb der Kette abgespeichert werden, z.B. auf einer Website. Wenn dieser Ansatz umgesetzt wird, wäre das Entfernen von personenbezogen Daten relativ einfach. Gleciwohl sind potenzielle Sicherheitsrisiken berücksichtigen, die mit dieser Idee verbunden sind.

0

Die Umsetzung des Rechts auf Vergessen in der Blockchain ist in der Tat eine viel diskutierte Frage, der sich auch Frau Dr. Finck in ihrer zitierten Studie angenommen hat.  Sie weist darauf hin, dass es unterschiedliche Interpretationsmöglichkeiten für den Begriff “Löschung” bzw. “erasure” gibt und es somit noch nicht eindeutig geklärt sei, wie man den Anforderungen des Art. 17 DSGVO in Bezug auf Blockchain in der Praxis nachkommen kann.

Die Autorin verweist  auch auf die von Ihnen angesprochene Möglichkeit der Zerstörung des Schlüssels. Als Alternative werden ferner sogenannte “redactable blockchains” vorgeschlagen. Diese seien bereits ihrer Struktur nach “vergesslich”. Des Weiteren seien “pruning and chameleon hashes” und “zero knowledge proofs” denkbar (S. 77).

Letztlich bedürfe es nach Ansicht von Frau Dr. Finck in jedem Fall regulatorischer Leitlinien, die klarstellen, welche dieser Möglichkeiten zum Einsatz kommen soll, um Art. 17 DSGVO gerecht zu werden.

Wie sehen Sie das – stellen die genannten technischen Vorgehensweisen eine veritable Lösung dar? Kann jemand der Community „pruning and chameleon hashes” und “zero knowledge proofs” erklären?

Zu dem Thema gibt es rechtlich noch nicht viel. Es lohnt sich ein Blick über den Rhein: die frz. CNIL hat zu Blockchain einen lesenswerten Bericht vor einigen Monaten veröffentlicht: https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf

Dort heißt es übersetzt auf S. 9/10 :

„Die CNIL stellt fest, dass es technisch unmöglich ist, dem Antrag der betroffenen Person auf Löschung stattzugeben, wenn Daten in die Blockchain eingegeben werden. Wenn es sich bei den in die Blockchain eingegebenen Daten jedoch um ein Engagement, einen Fingerabdruck aus einer Schlüsselhash-Funktion oder einen verschlüsselten Fingerabdruck mit einem hochmodernen Algorithmus und Schlüsseln handelt, kann die Steuerung die Daten nahezu unzugänglich machen und sich so den Auswirkungen einer Löschung der Daten annähern. […]

 „Es ist technisch unmöglich, dem Antrag der betroffenen Person auf Berichtigung oder Löschung stattzugeben, wenn unverschlüsselte oder gehashte Daten in eine Blockchain eingegeben werden. Es wird daher dringend empfohlen, personenbezogene Daten nicht im Klartext in die Blockchain aufzunehmen und die Verwendung eines der oben genannten kryptografischen Verfahren zu bevorzugen.“

Die Frage bleibt, ob diese Lösung nicht die Blockchain entwertet und ob/wann eine „annähernde“ Löschung ausreicht.

0

Kommentar hinzufügen