blockchain

Insights

Die Blockchain aus Sicht des Daten­schutzrechts

Eine kurze Einführung zu daten­schutz­rechtlichen Implikationen

Während Blockchain-Anwendungen einerseits ein probates Mittel zur Umsetzung technischer Mittel des Datenschutzes („privacy by design“) darstellen können, zeigen andererseits die Individualrechte unter der EU-Datenschutz-Grundverordnung den technischen Möglichkeiten gewisse Anwendungsgrenzen auf.

Blockchain-Anwendungen sind zurzeit eines der meistdiskutierten Themen wenn es um die Vorboten der vierten industriellen Revolution geht. Innerhalb des globalen Deloitte-Netzwerks werden technische und wirtschaftliche Potentiale und Risiken der Blockchain für einzelne, sektorspezifische Industrien (z.B. Telekommunikation oder Medien) durch das Deloitte Blockchain Institute analysiert.

Dieser Artikel befasst sich mit Blockchain-Anwendungen aus der Perspektive des Datenschutzrechts, insbesondere der im Mai 2018 in Kraft tretenden Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung - „DSGVO“). Neben einer Annäherung an den oftmals schlagwortartig verwendeten und kryptischen Begriff der Blockchain (vgl. Abschnitt I.), soll am Beispiel sog. smart contracts der Frage nachgegangen werden, welche Auswirkungen Blockchain-Anwendungen auf Lebensbereiche haben können, die traditionell durch analoges Recht bzw. Institutionen reguliert wurden (vgl. Abschnitt II.). Schließlich wird kurz das Potential der Blockchain als Instrument des Datenschutzes angerissen (vgl. Abschnitt III.) und zugleich erläutert, inwieweit das Datenschutzrecht den technisch möglichen Anwendungsszenarien der Blockchain Grenzen aufzeigt (vgl. Abschnitt IV.).

I. Blockchain: Eine kurze Einführung

Wie schon der Begriff nahelegt, ist eine der wesentlichen Eigenschaften einer Blockchain die Verkettung von Blöcken. Konkret handelt es sich bei solchen Blöcken um eine gewisse Anzahl von kumulierten Datensätzen deren Inhalt dergestalt miteinander verbunden wird, dass jeder nachfolgende Block ein kryptografisches Abbild des vorherigen Blocks enthält. Auf diese Weise ist gewährleistet, dass Daten nicht unerkannt manipuliert werden können nachdem das betroffene Datum in einen Block eingetragen, abgeschlossen und an einen nachfolgenden Block „angehängt“ wurde. Neue Blöcke werden dabei stets in einem sog. „Konsensverfahren“ geschaffen, das die Integrität und inhaltliche Richtigkeit des in den jeweiligen Block aufzunehmenden Datums gewährleistet.

Funktional handelt es sich bei der Blockchain also um eine gegen Datenmanipulation besonders gesicherte elektronische Datenbank.

Ursprünglich wurde das Prinzip der Blockchain-Datenbank im Rahmen des digitalen (Krypto-)Währungssystems Bitcoin als Ansatz erdacht, um das in verteilten Netzwerken auftretende Problem des sog. Double Spending zu lösen. Der Anwendungsbereich von Blockchain-Datenbanken ist aber nicht auf virtuelle Währungen begrenzt; zweckmäßig kann ihr Einsatz auch in anderen Szenarien sein, in denen die Vorteile eines verteilten Netzwerkes (u.a. hochgradige Redundanz mangels Single Point of Failure) genutzt werden sollen, es jedoch zugleich entscheidend auf die inhaltliche Integrität des verwalteten Datenbestands ankommt. Neben zahlreichen Anwendungen im Finanzsektor ist hier beispielsweise zu denken an den Internet-basierten Handel mit digitalen, urheberrechtlich geschützten Werken wie Musik- oder Videodateien, oder aber die mit öffentlichem Glauben ausgestatteten Register, d.h. Grundbuch (entsprechende Projekte laufen z.B. in Schweden bzw. liefen in Honduras) oder Handelsregister. Im Vereinigten Königreich wurde bereits mit einer Blockchain-basierten Verwaltung für Sozialleistungen experimentiert.

II. Blockchain als Surrogat rechtlicher Regulierung

Während sich vorstehende Anwendungsszenarien auf Aufgaben der bloßen Dokumentation und Verzeichnisführung beschränken, können Blockchain-Datenbanken auch zur Steigerung der Vertrauenswürdigkeit - und damit Verkehrsfähigkeit - sog. smart contracts fruchtbar gemacht werden. Bei letzteren handelt es sich um Computerprotokolle, die durch die Implementierung einer „wenn-dann“ Folge auf Ebene des Maschinencodes die Logik eines Vertrags nachbilden und damit letztlich ermöglichen, Verträge „selbstvollziehend“ (d.h. computerimplementiert ohne weitere menschliche Intervention) zu definieren und abzuwickeln. Smart contracts sind für eine Vielzahl von Anwendungsfeldern interessant in denen die Ersparnis von Transaktionskosten (z.B. micro payments) und/oder die Reduzierung von Leistungsrisiken (z.B. standardisierte Massenverträge) Priorität zukommen. Eine weitere Anwendungsmöglichkeit von Blockchain-basierten smart contracts liegt im Bereich von alternativen Online-Streitbeilegungsverfahren (online dispute resulution), die durch Online-Marktplätze bereits weite praktische Verbreitung gefunden haben. Spätestens aber im Internet der Dinge (Internet of Things – IoT) wird sich die Frage nach der Automatisierbarkeit von Abschluss und Durchführung von Verträgen stellen, um die zu erwartende Masse von reinen M2M-Interaktionen bewältigen zu können. Im Kontext beider Anwendungsszenarien können als Blockchain organisierte Datenbanken einem smart contract eine verlässliche Informationsgrundlage liefern, ob die im (Vertrags-)Programmcode definierten Bedingungen vorliegen.

III. Blockchain als Katalysator für Datenschutz

Aus datenschutzrechtlicher Perspektive sind Blockchain-Datenbanken vor allem deshalb interessant, weil sie vertrauenskritische Transaktionen zwischen Parteien ermöglichen, ohne deren Identität unmittelbar gegenüber dem Vertragspartner oder der Öffentlichkeit offenlegen zu müssen. Hiermit sind Anonymität bzw. Pseudonymität auch als datenschutzrechtliche Instrumente angesprochen. Kann eine Transaktion nicht zu den beteiligten Individuen zurückverfolgt werden, ist deren grundgesetzlich verankertes Recht auf informationelle Selbstbestimmung nicht betroffen. Da für solche (Transaktions-)Daten der Anwendungsbereich des Datenschutzrechts nicht eröffnet ist (vgl. auch Erwägungsgrund Nr. 26 DSGVO), können Unternehmen diese Daten nutzen und verarbeiten, ohne dabei spezifischen datenschutzrechtlichen Verpflichtungen zu unterliegen.

Die populäre Kryptowährung Bitcoin wird oft als Beispiel einer datenschützenden Blockchain-Anwendung mit der Begründung herangezogen, Bitcoins seien ein anonymes, nicht verfolgbares Zahlungsmittel. Inzwischen hat sich hier aber die Einsicht durchgesetzt, dass sich solche pauschalen Aussagen verbieten. Paradoxerweise liegt eine Ursache dieses Problems in der - die Anonymität erst ermöglichenden - Eigenschaft der Blockchain, sämtliche Transaktionen öffentlich und manipulationssicher zu dokumentieren. Zwar lassen sich entsprechenden Blockchain-Einträgen keine Namen, Adressen, Telefonnummern oder vergleichbare Informationen entnehmen die eine unmittelbare Identifizierung der Beteiligten ermöglichten; allerdings bestehen auch hier diverse Möglichkeiten, entsprechender Einträge zu de-anonymisieren. Beispielsweise hat eine Studie nachgewiesen, dass sich die in der Blockchain dokumentierte Bitcoin-Adresse eines Dienste-Nutzers zu dessen IP-Adresse zurückverfolgen lässt, die sich wiederum zu einem bestimmten Internetanschluss bzw. Anschlussinhaber zurückverfolgen lässt. Eine weitere Arbeit konnte nachweisen, dass sich auf Grundlage von öffentlichen Blockchain-Einträgen zum Bitcoin-Ledger ein Nutzer- und Transaktionsnetzwerk erstellen lässt, mit dessen Hilfe sich die vermeintlich anonymen Transaktionen unter Umständen zu bestimmten Nutzern zurückverfolgen lassen.

Wichtig ist bei alledem jedoch, dass die vorstehend beschriebenen Möglichkeiten für De-Anonymisierungsangriffe nicht systeminhärent sind, d.h. bei entsprechenden Anpassungen im technischen Design bis zu einem gewissen Grad durchaus vermeidbar wären. Insofern werden Unternehmen, die sich mit dem Gedanken der Nutzung von Blockchain-Technologie tragen, bei der Konzeption entsprechender Datenbanken und Anwendungen den nunmehr in Artikel 25 DSGVO normierten Grundsatz des Datenschutzes durch Technikgestaltung (privacy by design) stets im Blick behalten müssen, um die datenschutzrechtliche Compliance ihres Geschäftsmodelles gewährleisten zu können. Inwieweit sich Blockchain-Datenbanken zur Umsetzung der Grundprinzipien des privacy by design in seiner ursprünglichen Konzeption eignen, bleibt in der Praxis abzuwarten: während einige dieser Prinzipien (z.B. Transparenz, Datenschutz als Voreinstellung, Datenschutz als Programmeigenschaft) in Blockchain-Anwendungen unmittelbar verwirklicht werden können, scheint die Umsetzbarkeit anderer Prinzipien, namentlich die Effizienz des Datenschutzes während des gesamten Lebenszyklus der Anwendung, nicht ohne weiteres gegeben. Auch inwieweit Unternehmen sich überhaupt technischer Maßnahmen bedienen müssen, um ihren Pflichten aus Artikel 25 DSGVO zu genügen, ist derzeit weitgehend ungeklärt. Der Gesetzestext gibt lediglich einen abstrakten kontext-, risiko-, kosten- und einzelfallbezogenen Beurteilungsmaßstab vor. Insoweit besteht zumindest in Deutschland zwischen Unternehmen, Regulierern und Zivilgesellschaft weitgehend Einigkeit, die Entwicklung von interoperablen Standards im Sinne von Artikel 25 DSGVO gemeinsam und schnellstmöglich vorantreiben zu müssen.

Um abschließend ein Beispiel anzuführen, inwiefern Blockchain-Datenbanken auch für Zwecke des Datenschutzes eingesetzt werden könnten sei auf den in Artikel 25 DSGVO exemplarisch aufgeführten Zweckbindungsgrundsatz verwiesen. Hiernach dürfen personenbezogene Daten nur für eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden (vgl. Artikel 5 Absatz 1 Buchstabe b) DSGVO). Eine Möglichkeit die Einhaltung dieses Zweckbindungsgrundsatzes im Rahmen elektronischer Datenverarbeitung zu überwachen besteht darin, einzelne personenbezogene Daten mit einem Meta-Tag zu versehen, d.h. einem einzigartigen und dauerhaften elektronischen Etikett, das Auskunft über Art und Ausmaß der gestatteten Verarbeitung für das betroffene Datum gibt. Ein als Blockchain geführtes, dezentrales Register könnte hier dazu eingesetzt werden, die Verarbeitung personenbezogener Daten durch Unternehmen transparenter zu gestalten und eine effiziente Sanktionierung etwaiger Zuwiderhandlungen sicherzustellen.

IV. Datenschutzrechtliches Konfliktpotential

Die Blockchain-Datenbanken technisch inhärente Manipulationssicherheit stellt – so gewinnbringend sie einerseits eingesetzt werden kann – aus datenschutzrechtlicher Sicht auch ein Bedrohungspotential für das jedem EU-Bürger zustehende Recht auf Schutz seiner Privatsphäre und personenbezogenen Daten dar.

Im Mai 2014 hatte der Europäische Gerichtshof geurteilt, dass EU-Bürgern ein Anspruch gegen Betreiber von Internet-Suchmaschinen zustehe, Inhalte aus dem Index der Suchergebnisse entfernen zu lassen, soweit diese auf Informationen über das betroffene Individuum verweisen, an deren Auffindbarkeit kein besonderes öffentliches Interesse (mehr) besteht. Wesensverwandt mit diesem Recht auf „De-Indexierung“ hat der europäische Gesetzgeber in Artikel 17 DSGVO nunmehr ein allgemeines, gegenüber allen ihre personenbezogenen Daten verarbeitenden Stellen durchsetzbares Recht auf „Vergessenwerden“ geschaffen. Da bestimmte Anwendungsszenarien (z.B. die rechtskonforme Eheschließung) notwendig voraussetzen, dass personenbezogene Daten im Ledger dokumentiert werden, ist offensichtlich, dass es einigen Anbieter von Blockchain-basierten Diensten schwerfallen dürfte, entsprechende Nutzeransprüche zu erfüllen. Hier stellt sich die Frage, ob solche Diensteanbieter – ggfs. unter Zerstörung der Datenintegrität ihrer Datenbank insgesamt – zu gegebener Zeit verpflichtet werden können, überholte Dateneinträge zu berichtigen oder zu löschen.

Vor diesem Hintergrund kommt der Entwicklung einer nachträglich editierbaren Blockchain besondere Bedeutung zu. In Anlehnung an die Bedürfnisse großer Banken sind entsprechende Prototypen schon entwickelt worden, allerdings mit der gewichtigen Einschränkung, dass vertrauenswürdige Administratoren bestimmt werden müssen, die berechtigt sein sollen, entsprechende Änderungen im Ledger vorzunehmen. Nur so lässt sich die nachträgliche Editierbarkeit von Dateneinträgen bei gleichzeitiger Aufrechterhaltung deren Authentizität erreichen. Zugleich geht damit aber eine der wesentlichen Eigenschaften der Blockchain, ihr Charakter als dezentralisierte Datenbank, verloren.

Zugleich wird anhand dieses Beispiels deutlich, dass sich Unternehmen bei der Implementierung von Blockchain-Anwendungen bereits in der Entwicklungsphase mit dem für die jeweilige Anwendung geltenden Regulierungsrahmen, unter anderem dem Datenschutzrecht, befassen um sicher zu stellen, dass diese in ihrer konkreten technischen Ausgestaltung den Anforderungen des geltenden Rechts entspricht.

Did you find this useful?