Blockchain und Datenschutz

Die DSGVO vergisst, die Blockchain nie!

| Autor / Redakteur: Otto Geißler / Ulrike Ostler

„Datenschutz und Public Blockchain passen nur bedingt zusammen“, Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter.
„Datenschutz und Public Blockchain passen nur bedingt zusammen“, Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter. (Bild: geralt/pixabay / CC0)

Die Weiterentwicklung der Blockchain wird derzeit von der IT-Industrie fieberhaft vorangetrieben. Rechtliche Fragen stehen dabei absolut im Hintergrund. Doch letztlich sind sie für eine breite Einführung der neuen Technologie entscheidend. Welche juristischen Fragen wirft die Blockchain auf? Sind gar angepasste rechtliche Rahmenbedingungen notwendig oder eher technische Anpassungen?

Die neue Datenschutzgrundverordnung (DSGVO) hat das „Recht auf Vergessenwerden“ deutlich verschärft. Dies wirft Fragen für Nutzer der Blockchain-Technologie auf. Gemäß den neuen Regeln müssen nun Unternehmen persönliche Daten von Nutzern löschen, wenn sie das einfordern. Diese Daten werden zwar nicht auf der Blockchain direkt abgespeichert, aber dort liegt ein für alle sichtbarer Hash, der eine Transaktion markiert und auf den dazugehörigen Datensatz verweist.

Die verteilten Datenbanken der Blockchain werden gerade deshalb als Hoffnungsträger hochgehalten, weil sie technisch so konzipiert sind, Daten unlöschbar und vor Manipulation sicher zu machen. Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter, wird in diesem Interview erklären, inwieweit die Rechtsprechung auf die Blockchain „vorbereitet“ ist.

Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter
Markus König, Rechtsanwalt und zertifizierter Datenschutzbeauftragter (Bild: M. König / CC0)

Blockchain und DSGVO - Handelt es sich hier um einen unlösbaren Widerspruch?

Markus König: Wenn mehrere öffentliche Hashes ein Individuum identifizierbar machen, so muss dieses Individuum in die Speicherung eingewilligt haben. Das scheint der Fall zu sein, wenn das Individuum über diesen Umstand aufgeklärt wurde, denn nur dann liegt eine wirksame Einwilligung vor. Andernfalls stellt sich die Frage, ob das Individuum an einem Blockchain-Projekt überhaupt teilnehmen kann.

Dreh- und Angelpunkt der Anwendbarkeit des Datenschutzrechtes ist doch die Frage, wann Daten einen Personenbezug aufweisen. Wenn bestimmte Verschlüsselungsverfahren als solche anerkannt wären, die aus personenbezogenen nicht personenbezogene Daten machen, also sie anonymisieren, wäre dann das Datenschutzrecht noch anwendbar?

Markus König: Die Hashes müssten dann so verschlüsselt werden, dass sie erst nach der Entschlüsselung zuzuordnen wären. Ob das dann sinnvoll ist, möchte ich bezweifeln. Der Kern der Blockchain beruht doch darauf, dass alles offen abläuft und dokumentiert ist. Auch wenn die Daten pseudonymisiert vorliegen, aber es jemanden gibt, der die einzelne Person als Inhaber des Hashs identifizieren kann, ist es ausreichend, damit solche Daten als personenbezogen gelten und damit die Datenschutzgrundverordnung Anwendung findet.

Was resultiert daraus?

Markus König: Dadurch entsteht eine ganze Reihe von Problemen, zum Beispiel Privacy by Design. Blockchain mit Privacy by Design würde so viel bedeuten wie das ‚Runde ins Eckige‘ bringen. Technologien wie die Blockchain müssen aber datenschutzgerecht implementiert werden.

Die Forderung nach Datensparsamkeit und damit die limitierte Erhebung personenbezogener Daten stehen ebenso in Widerspruch zur Blockchain. Die Umsetzung von Blockchain unter dem Aspekt der Datensparsamkeit wäre hier ein ganz neuer Ansatz.

Individualschutz und Öffentlichkeitswirkung, wie sie bei Blockchain praktiziert wird, widersprechen sich. Blockchain wurde für die Generierung von künstlichem Geld geschaffen. Deshalb sind alle Vorgänge transparent. Und Transparenz schafft ja bekanntlich Vertrauen. Das bedeutet, das Blockchain-Verfahren wäre überall dort hilfreich, wo es wie bei Grundbuchämtern und Registern um Transparenz geht.

In allen anderen Fällen besteht die Einschränkung, dass das Individuum ein Recht auf „Privatsphäre“ hat und ein Recht auf „Vergessen werden“. Dieses Recht schränkt das System der Blockchain und dessen Anwendungsmöglichkeiten ein. Andernfalls müssten neue Nutzungsregeln geschaffen werden.

Für welche Fälle wäre also eine unveränderliche Transaktionshistorie rechtlich abgesichert?

Markus König: Eine vergleichbare Lage gibt es im Registerrecht, dort gibt es keinen Vorgang, der in der Historie nicht mehr aufgeführt wird. Ein erloschenes Recht wird nur als erloschen gekennzeichnet. Aber es ist immer ersichtlich. Hierfür eignet sich die Blockchain ideal.

Experten empfehlen zum Beispiel einen so genannten „Root Key“, der für jede Transaktion einen einzigartigen, neuen Key generieren soll. Transaktionen einer Person haben dann unterschiedliche Hashs und können nicht mehr miteinander in Verbindung gebracht werden.

Ist das wirklich sinnvoll? Wird damit nicht das Prinzip der Transparenz aufgeweicht und gefährdet?

Markus König: Bei Puplic Blockchains fehlt im Grunde ein Administrator, der personenbezogene Daten ändern oder löschen könnte. Dies ginge nur, wenn mehr als die Hälfte der beteiligten Rechner beziehungsweise Miner zustimmen. Diese müssten dann einen neuen, veränderten Block kreieren und künftig mit diesem arbeiten.

Ist die Blockchain dann noch das geeignete Werkzeug für diese Zwecke?

Markus König: Datenschutz und Public Blockchain passen nur bedingt zusammen. Datenschutz ist immer individuell und die Blockchain eben nicht. Um Individualschutz zu generieren, müsste das Prinzip von Blockchain auf den Schutz des Individuums angepasst werden. Dann wiederum erscheint das Prinzip der Blockchain, welches gerade auf diesen Schutz des Individuums zum Wohl des Ganzen verzichtet, gefährdet.

Die Blockchain kennt keine verantwortlichen „Besitzer“. Entsteht hier rund um die Blockchain quasi ein rechtsfreier Raum? Welche Probleme und Konsequenzen erwachsen daraus? Gegenüber wem könnte ein Nutzer bei einem dezentralen System wie der Blockchain sein Recht überhaupt geltend machen?

Markus König: Es gibt keine rechtsfeien Räume mehr. Das ist ein Irrglaube. Es ist eher eine Frage, wie begründe ich dessen Fehlen im Einzelfall. Wenn es keinen Verantwortlichen gibt, wer haftet bei Fehlfunktionen und wer ist verantwortlich für Missbrauch, Manipulation und technische Defekte?

Unser Rechtssystem ist aber in diesen Fällen darauf angewiesen, dass es einen Verantwortlichen gibt. Alternativ müsste man eine Art „Gefährdungshaftung“ und eine Versicherung einführen, vergleichbar dem autonomen Fahren. Unser Rechtssystem beruht auf Rechten und Pflichten eines Subjekts. Wenn es aber nur ein Hashwert ist, können Rechte und Pflichten nicht zugeordnet werden.

Braucht man unter Umständen auch neue Regelungen für Wallet-Hacks?

Markus König: Hacks zeigen auf, dass man etwas nicht vollständig fertig durchdacht hat. Man sollte nicht neue Regeln aufstellen, sondern bestehende Systeme endlich fertig durchdenken, bis man sie verstanden hat. Erst dann sollte man über neue Regeln nachdenken.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45787773 / Blockchain)