EU-Datenschutz: „Die Blockchain muss enthaltene Personen wieder vergessen können“
Im Zuge des Cryptocurrency-Hypes der letzten Monate war die Blockchain-Technologie und ihre Möglichkeiten eines der beherrschenden Themen in der Welt der IT. In den letzten Wochen wurde es jedoch ein wenig überlagert – denn die Angst vor dem neuen Datenschutz-Regime geht um. Mit Näherrücken des 25. Mai 2018 – dem Tag ab dem die neue Datenschutz-Grundverordnung (DSGVO) anwendbar ist – drängt sich diese mehr und mehr in den Fokus. Aber wie passen Blockchain und DSGVO überhaupt zusammen? Sind diese miteinander kompatibel?
Als Blockchain wird eine Liste von Datensätzen bezeichnet, die kontinuierlich verknüpft durch kryptographische Verfahren verlängerbar ist. Beginn einer Blockchain ist ein Netzwerk an untereinander verbundenen Usern, um miteinander Geschäfte irgendeiner Form abzuwickeln. Somit ist die Blockchain eine Form der elektronischen Datenbank, die sich dadurch auszeichnet, manipulationssicher zu sein. Nutzer von Blockchains bzw. darauf basierenden Anwendungen erfreuen sich unter anderem daran, dass sie Transaktionen mit anderen Teilnehmern durchführen können, ohne dass sie ihre Identität unmittelbar gegenüber dem Vertragspartner oder der Öffentlichkeit preisgeben müssen. Dabei ist aber der Umstand zu beachten, dass die Daten und jede Datenänderung in der Blockchain ersichtlich sind und somit jederzeit von den Nutzern eingesehen werden können – auch wenn die Nutzer unter Pseudonymen oder (vermeintlich) anonym agieren.
Datenverarbeitungen immanenter Bestandteil einer Blockchain
Datenverarbeitungen sind somit immanenter Bestandteil der Funktionsweise einer Blockchain, was sie in den Fokus der DSGVO bringt. Dadurch, dass die abgespeicherten Hashes der Nutzererkennung dienen, sind sie für diejenigen Personen personenbezogen, die das notwendige Wissen haben oder erlangen können, um diese Information (mit verhältnismäßigen Mitteln) einer bestimmten Person zuzuordnen. Gerade in Systemen, deren Zugang beschränkt ist, werden diese Daten häufig personenbezogen sein. Konsequenz des Verarbeitens personenbezogener Daten ist, dass die DSGVO und ihre Vorgaben einzuhalten sind.
Abhilfe könnte das Anonymisieren der Daten schaffen. Dabei ist aber zu beachten, dass sodann tatsächlich kein Rückschluss mehr auf die Personen möglich sein darf. Gerade das Beispiel von Bitcoin zeigt anschaulich, dass die vielfach gedachte Anonymität mehr Fiktion ist und Rückschlüsse auf Personen sehr wohl möglich sind bzw. diese identifiziert werden können. Folge davon ist, dass die gedachte anonyme Blockchain – wie eben etwa auch die Bitcoin-Blockchain – künftig der DSGVO unterliegt.
Recht auf Vergessen und Berichtigung von Daten
Daher sollte man sich bereits während des Entwickelns von Blockchains bzw. darauf basierender Anwendungen bewusst sein, dass grundsätzlich jedem EU-Bürger das Recht auf Schutz seiner Privatsphäre und seiner personenbezogenen Daten zusteht. Die DSGVO gewährt den betroffenen Personen zahlreiche Rechte, die diese auch beim Einsatz einer bzw. bei Datenverarbeitungen mittels Blockchain geltend machen können. Daher sind von den Entwicklern Lösungen zu implementieren, wie man etwa das Recht auf Berichtigung der Daten umsetzt oder wie die Blockchain enthaltene Personen wieder vergessen kann (Recht auf Löschen).
Erfreulicherweise sind somit die Blockchain-Technologie und die DSGVO miteinander kompatibel, wenngleich man bei der Entwicklung die zahlreichen Vorgaben im Zusammenhang mit Datenschutz unbedingt beachten und in die Gestaltung mit einfließen lassen sollte. Dies insbesondere auch vor dem Hintergrund, dass die Sanktionen für Verstöße gegen die DSGVO massiv sein können. Bitcoin wird dies wenig berühren, weil die betroffenen Personen aufgrund der dezentralen offenen Gestaltung der BitCoin-Blockchain wohl kein Gegenüber finden werden, um ihre Rechte geltend machen zu können. Aber gerade bei geschlossenen Blockchains wird es einen Verantwortlichen geben, an den sich die betroffene Person wenden kann. Sollte es in diesen Fällen nicht möglich sein, dass ein Nutzer seine Rechte ausübt, weil die Blockchain damit nicht kompatibel ist, ist zu befürchten, dass die eingangs erwähnte Angst vor dem neuen Datenschutz-Regime durchaus berechtigt ist.
Dieser Gastbeitrag wurde gemeinsam von Martin Pichler und Nicholas Aquilina von der Wiener Rechtsanwaltskanzlei Brandl & Talos verfasst.