Blockchain und DSGVO: passt das zusammen?
Gespeichert von Dr. Axel Spies am
Das zukunftsweisende Thema „Blockchain und Recht“ hatten wir schon hier im Blog und in der MMR 2017, 162 (Simmchen) und NJW 2017, 1431 (Schrey/Thalhofer). In einem Satz zusammengefasst geht es bei Blockchain um eine dezentrale Datenbank, in der Datenblöcke sinnbildlich in einer Kette aneinandergereiht und distributiv im Netzwerk manipulationssicher gespeichert werden.
Dr. Michèle Finck vom renommierten Max-Planck-Institut für Innovation und Wettbewerb hat sich für den Wissenschaftlichen Dienst des EU Parlaments dankenswerterweise die Mühe gemacht, auf 120 Seiten im Detail zu untersuchen, welche rechtlichen Reibungspunkte es zwischen der Blockchain-Technologie und der DSGVO gibt (siehe engl. Studie hier).
Hier einige Kernaussagen der Studie:
- „Die DSGVO basiert auf der Annahme, dass es in Bezug auf jeden personenbezogenen Datenpunkt mindestens eine natürliche oder juristische Person gibt - nämlich den für die Verarbeitung Verantwortlichen, an die sich die betroffenen Personen wenden können, um ihre Rechte nach dem EU-Datenschutzrecht durchzusetzen. Blockchains versuchen jedoch oft, eine Dezentralisierung zu erreichen, indem sie einen einheitlichen Akteur durch viele verschiedene Akteure ersetzen. Dies macht die Zuweisung von Verantwortung und Verantwortlichkeit aufwändig.“
- „Die DSGVO basiert auf der Annahme, dass Daten bei Bedarf geändert oder gelöscht werden können, um den gesetzlichen Anforderungen wie den Artikeln 16 und 17 DSGVO zu entsprechen. Blockketten machen solche Datenänderungen jedoch gezielt aufwendig, um die Datenintegrität zu gewährleisten und das Vertrauen in das Netzwerk zu erhöhen.
- Weitere Beispiele für die Spannung zwischen Blockchain und der DSGVO sind die übergreifenden Prinzipien der Datenminimierung und Zweckbindung. Während die DSGVO verlangt, dass personenbezogene Daten, die verarbeitet werden, auf ein Minimum reduziert und nur für vorher festgelegte Zwecke verarbeitet werden, sind diese Grundsätze auf Blockchain-Technologien schwer anzuwenden."
Auch das „Recht auf Vergessenwerden“ führe bei der Blockchain, die Dokumentationszwecken dient, zu Schwierigkeiten bei der Compliance (vgl. Martini, NVwZ 2017, 1251).
Haben Sie weitere Punkte?
Wenn wir die ganze Hype einmal beiseitelassen: Welche Anwendungsbereiche sehen Sie aus juristischer Sicht für Blockchain und wie kann mal Blockchain mit der DSGVO und anderem Datenschutzrecht in Einklang bringen?