BLOCKCHAIN CONTRA ODER PRO DATENSCHUTZ?
Autor: Gastbeitrag Erstellt am: 20. März 2018 Rubrik: BlockchainBlockchain ist in aller Munde und noch ist nicht sicher: Handelt es sich dabei um eine bahnbrechende Technologie oder nur um einen Hype? Klar ist jedoch, dass die Einsatzmöglichkeiten von Blockchains äußerst vielfältig sind und weit über das Thema Kryptowährungen (wie z.B. Bitcoin) hinausgehen. Klar scheint leider auch: Die Datenschutzgrundverordnung lässt sich bei strenger Auslegung kaum mit den Eigenarten von Blockchain in Einklang bringen. Aber ist das wirklich so?
Von Marlene Schreiber und Frederike Kollmar
Mini-Einführung: Was ist blockchain?
Unter einer „Blockchain“ versteht man eine dezentrale digitale Datenbank, die sich durch kryptographische Verkettung von Blöcken mittels Hashes und der Verifikation durch öffentlich-private Schlüsselpaare auszeichnet. Als Vorteile werden, neben der so vorgenommenen Verschlüsselung, vor allem genannt, dass die Inhalte als transparent, gesichert, nicht manipulierbar und stets nachvollziehbar gelten. Allerdings führt gerade der Umstand, dass Sachverhalte dauerhaft nachvollziehbar und zurückverfolgbar sind, dazu, dass Datenschützer hellhörig werden. Welche datenschutzrechtlichen Fragen sich insbesondere nach der ab dem 25.5.2018 geltenden Datenschutzgrundverordnung (DSGVO) im Zusammenhang mit Blockchains stellen, sei im Folgenden beleuchtet.
Warum Datenschutz bei Blockchain?
Das Datenschutzrecht ist grundsätzlich dann anwendbar, wenn Informationen ganz oder teilweise automatisiert verarbeitet oder gespeichert werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
In sog. geschlossenen Blockchains ist die Verarbeitung personenbezogener Daten in vielen Fällen geradezu immanent, insbesondere dann, wenn die Identifikation der Beteiligten einer Transaktion wesentlicher Bestandteil der Anwendung ist. Die personenbezogenen Daten werden in der Blockchain zwar von Hashes abgebildet, bei denen öffentliche Schlüssel als Nutzerkennung dienen, jedoch kann zumindest die Zertifizierungsstelle die hinter dem öffentlichen Schlüssel stehende Person identifizieren.
Auch in öffentlichen Blockchains ist die Personenbeziehbarkeit nicht gänzlich auszuschließen, da das hohe Maß an Transparenz zumindest mittelbar denkbare Möglichkeiten eröffnet, die hinter den Daten stehenden Personen zu identifizieren.
Wer trägt die Verantwortung für die Datenverarbeitung?
Für die Einhaltung der geltenden Datenschutzgesetze hat der für die Verarbeitung Verantwortliche zu sorgen. Die Verantwortlichkeit richtet sich gemäß Art. 4 Nr. 7 DSGVO danach, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Anders als bei zentralisierten Systemen lässt sich diese Zuordnung im Rahmen einer blockchainbasierten Anwendung jedoch meistens nicht eindeutig vornehmen. Durchaus vertretbar, und in der juristischen Literatur wohl herrschende Meinung ist, dass in einer öffentlichen Blockchain jeder Teilnehmer, der einen Knoten betreibt und damit alle im System ablaufenden Transaktionen mit vornimmt, auch Verantwortlicher ist. Bei geschlossenen Blockchains kann man hingegen davon ausgehen, dass derjenige Verantwortlicher ist, der die Zugangsrechte vergibt und verwaltet.
Wann ist die Datenverarbeitung erlaubt?
Ob eine Datenverarbeitung rechtmäßig ist, ergibt sich aus Art. 6 DSGVO. Demnach ist – wie schon nach dem jetzt geltenden Recht – jede Verarbeitung personenbezogener Daten verboten, wenn sie nicht ausnahmsweise erlaubt ist. Eine Rechtfertigung kann in Form einer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO), eines Vertrags (Art. 6 Abs. 1 lit. b) DSGVO) oder aufgrund der berechtigten Interessen der Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO) vorliegen. Im Zusammenhang mit Blockchain-Anwendungen eignet sich die Einwilligung aber wohl bereits deshalb nicht als datenschutzrechtliche Erlaubnis, weil in der Regel nicht garantiert werden kann, dass die betroffene Person im Zeitpunkt der Einwilligung weiß, an wen ihre Daten weitergegeben werden. Die Datenverarbeitung könnte jedoch auf die Erfüllung eines Vertrages oder auf die Durchführung der vom Betroffenen angefragten vorvertraglichen Maßnahmen gestützt werden. Im Zusammenhang mit dem Einsatz von Blockchain-Technologien kann die Verarbeitung zudem zulässig sein, soweit sie auf ein berechtigtes Interessen des/r Verantwortlichen oder eines Dritten gestützt werden kann und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Problematisch ist jedoch, dass personenbezogenen Daten, nach Erreichung des zugrunde liegenden Zwecks zu löschen sind. Dem widerspricht das Wesen der Blockchain, nach dem alle Transaktionsdaten dauerhaft gespeichert werden. Je nach konkretem Geschäftsmodell ist aber vorstellbar, diesen Konflikt mithilfe einer sorgsamen Vertragsgestaltung, oder über die Zweckänderung in Art. 6 Abs. 4 DSGVO und der Kompatibilität von Transparenz und Teilnahme am Netzwerk zu lösen.
Weitere datenschutzrechtliche Pflichten
Werden personenbezogene Daten in zulässiger Weise verarbeitet, müssen zudem insbesondere die gesetzlichen Informationspflichten sowie die Betroffenenrechte beachtet werden. Je nachdem, ob die Daten direkt beim Betroffenen erhoben werden oder nicht, müssen ihm die in Art. 13 bzw. Art. 14 DSGVO genannten Informationen mitgeteilt werden. Im Rahmen einer Blockchain-Anwendung werden die Daten regelmäßig nicht bei der betroffenen Person selbst erhoben. Man kann durchaus vertreten, dass die Erteilung der Pflichtinformationen somit meistens unmöglich ist bzw. einen unverhältnismäßigen Aufwand darstellt, sodass darauf gemäß Art. 14 Abs. 5 lit. b) DSGVO verzichtet werden kann.
Keine Ausnahme gibt es jedoch von der Gewährung der Betroffenenrechte nach Art. 15 ff DSGVO. Wie diese Rechte angesichts der Unveränderbarkeit und auf Dauer angelegten Speicherung der in der Blockchain gespeicherten Daten gewahrt werden sollen, ist bislang nicht abschließend geklärt. Im Rahmen der üblichen Blockchain-Anwendungen ist es schlichtweg nicht möglich, beispielsweise den Betroffenenrechten auf Löschung, Berichtigung und Korrektur gerecht zu werden. Ausgeschlossen ist zudem, die Betroffenenrechte vertraglich abzubedingen, da ein Verzicht auf die datenschutzrechtlichen Betroffenenrechte schlicht unwirksam ist.
Kommen Blockchain und Datenschutz trotzdem zusammen?
Nach dem aktuellen strengen Verständnis sind Datenschutzrecht und Blockchain Technologie zumindest in den meisten Fällen nicht kompatibel. Zwar ist die datenschutzrechtlich zulässige Verarbeitung personenbezogener Daten durchaus möglich, scheitert aber insbesondere an der vollständigen Erfüllung der Betroffenenrechte. Eine Möglichkeit wäre es, den in der DSGVO angelegten risikobasierten Ansatz verstärkt zu berücksichtigen. Bislang wird nämlich verkannt, dass der Blockchain-Technologie einige datenschutzrechtliche Prinzipien geradezu immanent sind. Datenschutz darf kein Selbstzweck sein und die Anforderungen an die Pflichten des Verantwortlichen sollten stets mit den Risiken der vorgenommenen Datenverarbeitung abgewogen werden. Der Datenschutz auf Basis der DSGVO soll insbesondere auch durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gewährt werden sowie die Sicherheit der Datenverarbeitung berücksichtigen. Gerade hier liegen die Stärken einer Blockchain. Man darf gespannt bleiben, ob die deutsche und europäische Politik das Potenzial der Blockchain auch für den Datenschutz erkennt und sich entsprechend positioniert. Die Stellungnahmen der großen Koalition in ihrem Koalitionsvertrag und die Gründung des Blockchain Observatory und Forums durch die EU-Kommission lassen hoffen.
Rubrik: Blockchain Stichwörter: Erlaubnis, Informationspflichten, Verantwortlicher