Blockchain und Datenschutz – Passt das zusammen?

Fachbeitrag

Der Blockchain-Technologie wird eine goldene Zukunft vorausgesagt. Das ist nicht unberechtigt, denn die Technologie ist revolutionär. Dennoch ist es in den letzten Monaten recht still rund um das Thema geworden. Zeit, sich einmal die datenschutzrechtliche Seite der Blockchain etwas genauer anzusehen.

Eigenschaften der Blockchain

Wie die Technik funktioniert, haben wir bereits in Grundzügen in einem älteren Artikel erklärt. Fakt ist, dass die konkreten Gestaltungsmöglichkeiten in Bezug auf die Architektur einer Blockchain enorm groß sind. D.h., dass die nachstehenden Ausführungen nicht zwangsläufig in der beschriebenen Form auf alle Blockchains zutreffen müssen. Dennoch sind aus datenschutzrechtlicher Sicht insbesondere zwei Eigenschaften interessant, die zu den wesentlichen Vorteilen der Blockchain gehören.

Dezentrale Datenbank

Da ist zum einen die dezentrale Speicherung der Daten: Um die Blockchain möglichst manipulationssicher zu machen, setzt die Technik auf eine dezentrale Datenbank. D.h., dass die generierten Daten nicht auf einem zentralen Server, sondern auf viele verschiedene Server verteilt gespeichert werden. Sollte sich jemand anstellen die Daten zu manipulieren, müsste er dies auf der überwiegenden Anzahl der Server zeitgleich vornehmen. Andernfalls würde er scheitern. Angenommen die Datenbank verteilt sich auf 150 weltweit verstreute Server, ist dies ein fast unmögliches Unterfangen.

Dokumentation

Zum anderen werden alle Aktionswerte (in Bezug auf Transaktionen, Überweisungen, Anweisungen bei Smart Contracts etc.) unlöschbar in der Blockchain gespeichert. Dies ist u.a. nötig, um die Blockchain manipulationssicher zu machen. Bei diesen Aktionen werden die öffentlichen Schlüssel als Hashwerte aneinandergereiht. Sie sind sodann für jeden einseh- und überprüfbar. Dabei werden neue Hashes immer in Bezug auf die vorherigen Werte eingebaut. Das macht das System so sicher. Möglich ist es, die Informationen direkt in die Blockchain zu speichern oder sie mit einem dahinterliegenden Datensatz zu verknüpfen.

Vorteil oder Nachteil?

Die Vorteile manipulationssicherer Verfahren liegen ganz klar auf der Hand. Behauptungen sind schnell überprüft, Überweisungen sicher abgeschlossen. Die Einsatzgebiete der Blockchain sind grenzenlos. So könnten auch Zeugnisse in der Blockchain mit einem Schlüssel hinterlegt werden, der mit einem dahinterliegenden Datensatz verknüpft ist. Aber wie vertragen sich diese Vorzüge mit den Betroffenenrechten der DSGVO? Wie kann ein Recht auf Löschung in einem System geltend gemacht werden, das darauf ausgelegt ist, niemals Daten zu löschen?

Anwendbarkeit der DSGVO

Zunächst ist Voraussetzung, dass es sich bei den verarbeiteten Informationen um personenbezogene Daten handelt. Auf den ersten Blick erscheint dies zweifelhaft, da die Hashwerte nur aus kryptischen Zahlen- und Buchstabenkombinationen bestehen. Allerdings lassen sich diese u.a. konkreten Datensätzen zuordnen, was die Hashwerte somit zumindest zu pseudonymen Daten macht. Wer die Entschlüsselung kennt, kann den Datensatz auslesen. Aber schon an dieser Stelle scheiden sich die Geister, ob die Daten damit für jeden, der nicht den Schlüssel besitzt, anonym sind (relativer Ansatz) oder schon allein durch die Möglichkeit der Entschlüsselung höchstens pseudonym sein können (absoluter Ansatz).

Wie auch immer man sich entscheidet, jedenfalls unproblematisch personenbeziehbar sind die Hashwerte für den Verantwortlichen, der die Blockchain erstellt hat und die Entschlüsselungstabelle besitzt.

Können Betroffenenrechte gewahrt werden?

Kommt man zu einer Anwendbarkeit der DSGVO, stellt sich die Frage, wie den Betroffenenrechten entsprochen werden kann. Denn, wie oben dargestellt, ist bspw. eine Löschung praktisch nicht möglich. Die Blockchain ist darauf ausgelegt nichts zu entfernen, damit das System manipulationssicher bleibt. Das ist durchaus problematisch, widerspricht es doch dem gesetzlich festgeschrieben Recht auf Vergessenwerden aus Art. 17 DSGVO. Ein möglicher Lösungsansatz könnte darin bestehen, dass der Entschlüsselungsinformationen zum de-pseudonymisieren unwiederbringlich gelöscht wird. Denn dadurch würden die Daten definitiv anonymisiert sein, was einem Vergessen gleichkommt. Ob dies in der Praxis aber auch umsetzbar ist, wenn der Schlüssel z.B. an verschiedene Stellen zur Überprüfung verteilt wurde, ist fraglich.

Darüber hinaus wäre noch denkbar, die Betroffenen deutlich darauf hinweisen, dass Einträge in die Blockchain mit dem (ggf. partiellen aber definitiven) Verlust der Betroffenenrechte einhergehen. Aber ob ein Abbedingen dieser Rechte überhaupt möglich ist, ist sehr sehr zweifelhaft.

Was sagen die deutschen Datenschutzbehörden?

Bislang erstaunlich wenig, in Anbetracht der Tatsache, dass die Blockchain-Technologie in manchen Wirtschaftszweigen eine immer wichtigere Rolle spielt. Im Ausland ist man da schon weiter. Die französische Aufsichtsbehörde CNIL gehört zu den wenigen, die eine offizielle Empfehlung herausgegeben hat. Wer des Französischen nicht mächtig ist, dem sei die Zusammenfassung auf dem CMS Blog ans Herz gelegt. Darüber hinaus hat sich der Branchenverband Bitkom mit dem Thema „Blockchain und Datenschutz“ ausführlicher auseinandergesetzt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Der Dativ ist dem Genitiv sein Tod… :o)
    „Wer des Französischen nicht mächtig ist…“
    Gleichzeitig: Vielen Dank für den inhaltlich interessanten Beitrag!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.