Blockchain und Datenschutz – Faktenpapier (Bitkom)

Von Ralf Keuper

Lassen sich Datenschutzbestimmungen wie die DSGVO mit Hilfe der Blockchain-Technologie wirksam umsetzen? Dieser Fragestellung wendet sich das Faktenpapier Blockchain und Datenschutz zu.

Im Kapitel “Motivation” benennen die Autoren die wesentlichen Brennpunkte: 

Mit den Errungenschaften der Basistechnologie öffentlicher Blockchains gehen viele Herausforderungen aus datenschutzrechtlicher Sicht einher. Denn Nutzer bewegen sich im rechtlichen Sinne der DS-GVO nicht anonym auf der Blockchain. Die Nachvollziehbarkeit aller jemals durchgeführten Transaktionen lässt Nutzer immer nur pseudonymisiert am System teilhaben. Bekannte Verfahren zur Erhöhung der Anonymität im Sinne des Datenschutzes beispielsweise durch Aggregation von Pseudonymgruppen oder die Verwendung von sich modifizierenden Pseudonymen sind nicht Teil des Grundentwurfs.

Außerdem stehen weitere inhärente Merkmale einer öffentlichen Blockchain im augenscheinlichen Widerspruch zu Vorgaben der DS-GVO. Die Begrenzung der Speicherdauer von personenbezogenen Daten, wie in der DS-GVO vorgesehen, ist nicht mit der Unveränderlichkeit der Anordnung der Blöcke öffentlicher Blockchains in Einklang zu bringen.

Unterschieden werden öffentliche, private und konsortiale Blockchains: 

Ein Fokus der Entwicklung für öffentliche Blockchain-Systeme liegt .. darauf, Lösungen zu entwickeln, die anonymes Agieren in Blockchain-Systemen zulassen. Blockchains auf Basis des CryptoNote-Protokolls versprechen Transaktionen, bei denen die Nutzer anonym agieren können und auch der Transkationsinhalt verborgen wird. Gleichzeitig sind Funktionalitäten, die ausgewählten Gruppen selektiven Zugang zu bestimmten Aktivitäten eines Nutzers erlauben denkbar. Monero, eine Kryptowährung auf Basis des CryptoNote-Protokolls, setzt diese Idee in Form eines »view keys« um. Diese Methode könnte etwa dem Regulierer erlauben, seiner Aufsichtsfunktion in Blockchain-Systemen nachzugehen – ohne dass es zentrale Punkte wie in heutigen Systemen gibt, die als Anlaufstelle dienen.

In privaten und konsortialen Blockchains ist die datenschutzrechtliche Perspektive eine andere, deshalb sind die verfolgten Ansätze andere. Wie zu Beginn vorgestellt, ist die Entwicklung von privaten und konsortialen Blockchain-Systemen Ausdruck der Anforderungen der Unternehmen gegenüber der Regulierung oder es liegt ein Anwendungsfall in einem geschlossen B2B-Prozess vor. Technologische Grundlage können hier Distributed Ledger oder Blockchain-Systeme sein. Die Verwendung von privaten Systemen stellt ein höheres Maß für den Schutz von Daten dar, wenn zentrale, identifizierte Punkte im System, die als Verantwortliche agieren, als Garant dafür verstanden werden bzw. der Zugang zum Netzwerk auf identifizierbare Teilnehmer beschränkt ist.

Zur Umgehung bzw. Behebung der kritischen Punkte Anonymität, Speicherung und Löschung: 

Die Vereinbarkeit der Grundeigenschaft einer Blockchain, unveränderlich zu sein, mit Datenschutzaspekten wie z.B. dem Recht auf Löschung muss technisch im Design der Implementierung des Anwendungsfalles Rechnung getragen werden (Privacy by Design). Datenschutzrelevante Daten dürfen dann nicht in der eigentlichen Blockchain gespeichert werden, jedenfalls auf keinen Fall im Klartext. Mögliche technische Optionen können sein:

  • Diese Daten mit Encryption- und Decryption-Keys zu erstellen und im Falle der Löschung den Decryption-Key zu löschen.
  • Dem Eigentümer der Daten einen Private-Key zur Verfügung zu stellen, der den Lesezugriff erst ermöglicht. Die Kontrolle liegt dann beim Eigentümer. 
  • Die Daten in einer referenzierten verschlüsselten Datenbank ablegen und den Pointer und Hash in der Blockchain ablegen. Der Hash dient dann als Nachweis, dass die Daten nicht verändert wurden. Bei Löschanforderung wird der Eintrag in der Datenbank gelöscht und der Pointer geht ins Leere.

Fazit: 

Insgesamt ein informatives Paper, das die derzeit wichtigsten offenen Punkte beim Einsatz der Blockchain-Technologie im Datenschutz behandelt und Lösungsmöglichkeiten diskutiert.

Eine weitere Möglichkeit, Transaktionen in der Blockchain zu löschen, bieten sich mit Graphentechnologien wie Hashgraph bzw. Blockchain-Bäumen, wie sie u.a. bei Idento.one eingesetzt werden. Dabei geht man her und erzeugt Blockchains wobei lebende Blockchains wie „Blätter“ behandelt werden. Alte Blockchains, die beendet sind, werden darin zu „Ästen“. Auf diese Weise beginnt ein Baum zu wachsen.

Vorteil: Alte Blockchains kann man löschen, wenn man sie nicht mehr braucht. Die Blätter der Blockchains kann man über binäre Adressierung ansprechen, wie ein Auszug aus dem Video Geldinfrastruktur. Vollgeld und Bankdienste ohne Banken veranschaulicht:

Also der Weg zu „€“ wäre dann 0111 der zu „$“ wäre 0110. Würde man nun die allererste Blockchain löschen, fällt bei der Adressierung einfach die erste „0“ weg.

Dieser Beitrag wurde unter Blockchain / Distributed Ledger Technology, Datensouveränität, Personal Data veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.