Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung

Von Ralf Keuper

In dem Beitrag Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung argumentiert die Autorin, Ninja Marnau, dass die Blockchain – Stand heute – nur bedingt mit der neuen Datenschutzgrundverordnung kompatibel ist.

Die wichtigsten Kritikpunkte:

Zweckbindung

Aufgrund der öffentlichen Verfügbarkeit der Daten sind sie jedoch im besonderen Maße dem Risiko einer zweckändernden Weiterverarbeitung durch Dritte ausgesetzt.

Recht auf Vergessen

Diese Unveränderlichkeit steht im direkten Konflikt zu Betroffenenrechten auf Berichtigung, Löschung und dem Recht auf Vergessenwerden. Zwar besteht die Möglichkeit, in einem neuen Block Informationen oder Transaktionen in älteren Blöcken für ungültig zu erklären. Die alten unrichtigen oder zu löschenden Informationen bleiben aber vorhanden und für alle Teilnehmer lesbar. Daher entspricht diese Lösung nicht den datenschutzrechtlichen Anforderungen an die Umsetzung von Betroffenenrechten.

Redactable Blockchain

Um diesen Konflikt aufzulösen, wurde 2016/17 das Konzept der „redactable blockchain“ vorgestellt, die eine nachträgliche Änderung alter Blöcke erlaubt, ohne dass alle nachfolgenden Blöcke ungültig werden.

Dieses neue Konzept der Redactable Blockchain löst allerdings den Konflikt zwischen Blockchain-Technologie und Betroffenenrechten nur bedingt auf. Die Autoren selbst gehen davon aus, dass solche Korrektureingriffe nur selten vorgenommen werden. Dies entspricht jedoch nicht der Realität der Verarbeitung personenbezogener Daten. Löschpflichten z.B. würden regelmäßig greifen.

Vorteil Permissioned Blockchain

Im zentral verwalteten Szenario der Permissioned Blockchain errechneten die Autoren hingegen nur geringen Overhead bei der Erstellung der Blockchain und dem Austausch von Blöcken. Das vorgeschlagene Konzept scheint daher für den Einsatz im Rahmen einer internen Permissioned Blockchain deutlich besser geeignet, um Betroffenenrechte effektiv umzusetzen

Nachteil Permissioned Blockchain

Bei der Permissioned Blockchain ist die Vertraulichkeit der Informationen dadurch umrissen, dass die zentrale Stelle nur selektiv Lese-Zugriff zum Netzwerk gibt. Da der Kreis der Teilnehmer am Netzwerk bei einer Permissioned Blockchain wesentlich kleiner ist, ist die Möglichkeit zur Manipulation durch Absprachen der Teilnehmer mit Schreibrechten allerdings dementsprechend größer. Die Vertraulichkeit des Netzwerkes geht damit zu Lasten der Vertrauenswürdigkeit des peer-to-peer Prinzips beim Berechnen und Hinzufügen neuer Blöcke.

Lösung / Kompromiss

Möglich wäre, dass alle Teilnehmer des Netzwerks als gemeinsam für die Verarbeitung Verantwortliche („joint controller“) gemäß Art. 26 DSGVO agieren. Dies hätte zur Folge, dass es erstens eine Vereinbarung zur Wahrung der Betroffenenrechte zwischen den Teilnehmer gäbe und zweitens jeder Teilnehmer vollumfänglich gegenüber dem Betroffenen für die Umsetzung von dessen Rechten in die Verantwortung genommen werden kann. Ob diese gemeinsame Verantwortung in bestimmten Szenarien sinnvoll und für die Umsetzung der Betroffenenrechte zielführend ist, muss anhand des Einzelfalls entschieden werden.

Einschätzung

Die Autorin bringt einige wichtige Kritikpunkte vor. Das gilt in besonderer Weise für die Themen “Recht auf Vergessen” und “Re-Anonymieserung”. Allerdings bezieht sie sich ausschließlich auf die Bitcoin-Blockchain und das Proof of Work – Verfahren. Neuere Entwicklungen, wie Smart Contracts oder Hashgraph, kommen nur am Rande oder gar nicht vor.

Stand heute sind Permissioned Blockchain-Lösungen mit einer Governance-Struktur am besten für die Umsetzung der DSGVO geeignet. Sie müssen sicherstellen, dass eine Verkettung digitaler Identitäten nicht möglich ist. Ohne dezentrale Datenverarbeitung wird das nicht klappen. Da liegt die Autorin m.E. daneben, wenn sie schreibt:

Grundsätzlich lässt sich festhalten, dass das europäische Datenschutzrecht auch in seiner neuen Fassung dezentralisierte Datenverarbeitung von personenbezogenen Daten weder fördert noch überhaupt vorsieht.

Gerade die Hacks der letzten Zeit, wie Equifax, zeigen doch, wie gefährlich die zentrale Datenhaltung ist (Vgl. dazu: Von statischen zu digitalen Identitäten).

Entscheidend ist die richtige Mischung aus Zentralisierung und Dezentralisierung, d.h. die Datenhaltung sollte möglichst dezentral sein, die Verantwortung/Governance zentralisiert sein. Ein weiteres Argument für die Errichtung von Personal Data oder Identity Banks. Wesentliches Element sind dynamische digitale Identitäten.

Dieser Beitrag wurde unter Blockchain / Distributed Ledger Technology, Digitale Identitäten, Personal Data abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar