Datenschutz und Distributed Ledger

Blockchain DSGVO-konform betreiben

28.11.2018 von Christian Kuss, Carola Bader und Katarina Preikschat

Die Blockchain-Technologie verspricht ein höheres Sicherheitsniveau und effizientere Prozesse. Aufgrund ihrer speziellen Funktionsweise können sich jedoch Probleme bezüglich der DSGVO ergeben.

Das 21. Jahrhundert steht im Zeichen zweier Megatrends, der Digitalisierung und der Globalisierung. Beide führen dazu, dass sich die Gesellschaft mehr und mehr in das Zeitalter der Netzwerke bewegt, dessen zunehmende Dynamik in einer Art digitaler Sharing Economy resultiert

Globalisierung und Digitalisierung sind Auslöser für den Wandel zu einer netzwerkbasierten Gesellschaft.
Foto: Katarina Preikschat

Der Trend innerhalb des globalen Netzwerk-Geflechts geht weg vom Eigentum und hin zum Besitz bei Bedarf. Dies setzt den verteilten Zugriff auf mobile Daten und eine eng vernetze Landschaft aus darauf aufsetzenden digitalen Services voraus. Der Daten- und Transaktionssicherheit wird ein höherer Stellenwert denn je beigemessen. Um diesen neuen Anforderungen gerecht zu werden, sind innovative technologische Lösungsansätze vonnöten. Einer dieser Lösungsansätze ist die sogenannte Distributed Ledger Technology (DLT), welche auch unter dem Begriff "Blockchain" zusammengefasst wird.

Die Technologie ermöglicht den Verzicht auf zentrale Fehlerquellen, Angriffsziele oder Bottlenecks bei gleichzeitiger Erhöhung der Transaktionssicherheit innerhalb des gesamten Netzwerks. Dies bietet das Potential, bestehende Prozesse und Organisationsstrukturen neu zu gestalten. Auf der anderen Seite ergeben sich aus der speziellen Funktionsweise der Blockchain im Licht der DSGVO auch neue Fragestellungen bezüglich des Datenschutzes.

Überblick zur Funktionsweise der Blockchain

Die Blockchain ist eine auf Kryptographie (Verschlüsselung) und Konsensmechanismen basierende verteilte Datenbanktechnologie, die mit der Einführung der Kryptowährung Bitcoin bekannt wurde. In Blockchains werden Daten nicht einmal zentral innerhalb eines Rechner-Netzwerkes, sondern verteilt und redundant auf jedem Netzwerkknoten gespeichert.

Die Validität dieser Daten wird dabei nicht von einem zentralen Mittelsmann, dem sogenannten Intermediär, geprüft und bestätigt. Stattdessen kommen spezielle Konsens-Algorithmen zum Einsatz, die Daten nur dann als valide anerkennen, wenn beispielsweise die Mehrheit der Netzwerkknoten dem zustimmt.

In diesem Rahmen wird zur sicheren Gestaltung der Daten und Prozesse die Kryptographie an verschiedenen Punkten in der Blockchain angewandt. Hierbei unterscheidet man die drei Funktionen Public-Key-Infrastructure (PKI), digitale Signaturen und Hash-Werte.

Blockchain-Wissen: PKI, Hash-Werte und Blöcke

PKI
Die PKI bietet durch Schlüsselpaare (öffentlicher und privater Schlüssel) eines jeden Teilnehmers die Möglichkeit, Daten oder Transaktionen zu ver- und entschlüsseln. Der öffentliche Schlüssel eines Teilnehmers (hier Empfänger), welcher dem gesamten Netzwerk bekannt ist, kann vom Sender zum Verschlüsseln von Daten beziehungsweise Transaktionen genutzt werden. Der private Schlüssel, welchen nur der Empfänger selbst kennt, ermöglicht es diesem, die Nachricht zu entschlüsseln und somit zu lesen. Dank der Einzigartigkeit des privaten Schlüssels ist auch die digitale Signatur eines Dokuments oder einer Transaktion möglich. Verschlüsselt eine Person mit ihrem privaten Schlüssel ein Dokument, so können Andere mittels des öffentlichen Schlüssels die Zugehörigkeit zu dieser Person verifizieren.

Hash-Werte
Um die Echtheit des Dokuments zu beglaubigen, kommen sogenannte Hash-Funktionen zum Einsatz. Diese können jede Transaktion in einen String bestimmter Länge – den Hash-Wert – verwandeln. Die Besonderheit dabei ist, dass die Funktionen nicht umkehrbar sind. Vom Hash-Wert allein kann nicht auf den Inhalt des Dokuments geschlossen werden. Ein unveränderter Inhalt hingegen generiert bei gleicher Hash-Funktion immer den gleichen Hash-Wert, sodass das Verfahren genutzt werden kann, unveränderte Daten zu verifizieren.

Blöcke
Nicht nur die Daten beziehungsweise Transaktionen an sich werden mittels Hash-Funktionen verschlüsselt, sondern auch eine Ansammlung derer, sogenannte Blöcke. Das Erstellen eines Blocks ist das Produkt des Konsensus-Algorithmus, bei welchem teilnehmende Netzwerkknoten, im Falle von Bitcoin spricht man dabei von Minern, versuchen, ein mathematisches Problem (Hash-Puzzel) am schnellsten zu lösen. Der Gewinner darf dann den Block erstellen und zur Validierung ins Netzwerk einspeisen. Durch das Einpflegen des Hash-Werts des vorherigen Blocks in den neuen Block und das anschließende Hashen, entsteht eine Verkettung der Blöcke über ihre Hashwerte. Dies gibt der Blockchain ihren Namen und schafft Sicherheit über die Unveränderlichkeit der gespeicherten Daten: Denn ändert sich der Inhalt nur eines einzigen vergangenen Blocks, so müssten sich alle Hash-Werte der darauffolgenden Blöcke ebenfalls ändern. Da diese Blockchain dann jedoch abweichend zu denen der anderen Netzwerkknoten wäre, flöge der Betrug auf.

Es gibt vier verschiedene Arten von Blockchains, welche sich in ihren Lese- beziehungsweise Schreibrechten von Transaktionen sowie der Teilnahme am Konsensus-Mechanismus unterscheiden:

private Blockchains beschränken Lese- und Schreibrechte nur auf bekannte Netzwerkknoten;
Transaktionen aus öffentlichen Blockchains sind für jedermann zugänglich und die Netzwerkknoten anonym;
beschränkte Blockchains, beschränken die Teilnahme am Konsensus-Mechanismus nur auf eine ausgewählte Gruppe an Netzwerkknoten;
unbeschränkte Blockchains, überlassen jedem Knoten im Netzwerk die Wahl an der Teilnahme am Konsensus-Mechanismus;

Welche Kombination verwendet wird, hängt sehr stark vom Use Case ab, denn jeder Typ, egal ob privat-beschränkt, privat-unbeschränkt, öffentlich-beschränkt oder öffentlich-unbeschränkt, hat seine Vor- und Nachteile. Abhängig vom Typ der Blockchain treten auch eventuelle datenschutzrechtliche Probleme auf.

Datenschutzrechtliche Probleme der Blockchain

Die Regelungen der DSGVO gelten grundsätzlich auch für die Blockchain. Dabei stellt sich die Frage, ob die Blockchain so eingesetzt werden kann, dass die Vorgaben der DSGVO eingehalten werden.

Personenbezogene Daten

Die DSGVO ist auf die Blockchain nur anwendbar, wenn in oder durch die Blockchain personenbezogene Daten verarbeitet werden. Liegen keine personenbezogenen Daten vor, ist das Datenschutzrecht nicht zu berücksichtigen.

Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese betroffene Person muss durch die Informationen also entweder unmittelbar identifiziert oder zumindest mittelbar identifizierbar sein..

Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Es reicht also aus, wenn erst mit Hilfe weiterer Informationen von der in Frage stehenden Information auf die Identität der betroffenen Person geschlossen werden kann. Bereits dann ist die in Frage stehende Information ein personenbezogenes Datum.

Ob eine Information ein personenbezogenes Datum ist oder nicht, hängt somit davon ab, welche zusätzlichen Informationen berücksichtigt werden müssen, um auf die Identität der natürlichen Person zu schließen. Dies ist umstritten.

Nach einer Ansicht soll es ausreichend sein, dass überhaupt ein Dritter in der Lage ist, von der Information auf die Identität zu schließen. Dann würde es sich bei der Information für alle anderen Verantwortlichen - also auch für Verantwortliche, die diesen Schluss auf die Identität nicht ziehen können - auch um ein personenbezogenes Datum handeln.

Die entgegenstehende Ansicht stellt nur darauf ab, welche Schlüsse der einzelne Verantwortliche ziehen kann. Die DSGVO hat nun eine vermittelnde Ansicht übernommen, die auch vom Europäischen Gerichtshof vertreten wird. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei sollen alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden.

Für die Blockchain bedeutet dies, dass sich die Frage, ob ein Personenbezug vorliegt, nicht allgemein beantworten lässt, sondern stets mit Blick auf den konkreten Einsatzzweck bewertet werden muss. Bei dem öffentlichen Schlüssel einer Person handelt es sich unproblematisch um ein personenbezogenes Datum, da dieser Schlüssel direkt einer Person zugeordnet ist.

Private Blockchain

Handelt es sich um eine private Blockchain, handelt es sich bei der Nutzerkennung und den mit diesen verbundenen Daten um personenbezogene Daten für denjenigen, der die Nutzerkennung vergibt. Diese Vergabestelle ist in der Lage, von der Nutzerkennung auf die dahinterstehende Person zu schließen. Aber auch bei öffentlichen Blockchains kann teilweise ein Personenbezug hergestellt werden: Veröffentlicht ein Nutzer der Blockchain, welcher Hashwert ihm zugeordnet ist, ist der Personenbezug hergestellt.

Werden Informationen in der Blockchain nicht als Klardaten, sondern in Form von Hashes gespeichert, ist fraglich, ob ein solcher Hash ein personenbezogenes Datum ist. Verfügt man nur über den Hashwert, kann man keinen Rückschluss auf die eigentlichen Eingabewerte ziehen. Dies spricht zunächst dafür, den Hashwert nicht als personenbezogenes Datum einzuordnen. Die DSGVO unterscheidet aber zwischen anonymisierten Daten und pseudonymisierten Daten.

Anonymisierte Daten haben keinen Personenbezug mehr. Pseudonymisierte Daten lassen es zumindest zu, dass ein Personenbezug hergestellt werden kann. Vor diesem Hintergrund werden pseudonymisierte Daten als personenbezogene Daten eingeordnet. Fraglich ist nun, ob ein Hashwert als anonymes oder als pseudonymes Datum anzusehen ist.

Kann durch Heranziehung zusätzlicher Informationen der Hashwert einer natürlichen Person zugeordnet werden, handelt es sich bei dem Hashwert um ein personenbezogenes Datum. Dabei sind alle Mittel zu berücksichtigen, die für die Identifikation wahrscheinlich genutzt werden können. Hierbei sind insbesondere Kosten, Zeitaufwand und verfügbare Technologie zu berücksichtigen.

Diejenige Person, die den Hashwert erzeugt hat, kann relativ einfach einen Personenbezug herstellen. Für sie handelt es sich bei dem Hashwert damit um ein personenbezogenes Datum. Der Empfänger, der ausschließlich den Hashwert erhält, wird hingegen kaum in der Lage sein, einen Personenbezug herzustellen. Für diesen ist der Hashwert dann kein personenbezogenes Datum.

Allerdings muss in diesen Fällen ausgeschlossen sein, dass der Empfänger Rückschlüsse auf die Person ziehen kann. Anderenfalls handelt es sich nach einer aktuellen Entscheidung des Verwaltungsgerichts Bayreuth bei einem Hashwert um ein personenbezogenes Datum.

Ähnlich wie mit den Hashwerten verhält es sich mit verschlüsselten Daten. Verfügt der Empfänger der verschlüsselten Daten nicht über den Schlüssel und ist das gewählte Verschlüsselungsverfahren sicher, stellen die verschlüsselten Daten für den Empfänger keine personenbezogenen Daten dar. Im Sinn des Datenschutzrechts ist ein Verschlüsselungsverfahren als sicher anzusehen, wenn mit Blick auf Kosten, Zeitaufwand und verfügbare Technologie nicht davon ausgegangen werden kann, dass die Verschlüsselung geöffnet wird.

Verantwortlicher

Adressat des Datenschutzrechts ist der Verantwortliche. Nach der DSGVO ist ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist zunächst derjenige Verantwortlicher, der die Hoheit über den Datenverarbeitungsvorgang ausübt.

Mit Blick auf die Blockchain ist fraglich, wer hier als Verantwortlicher in Betracht kommt. Bei der Blockchain sind eine Vielzahl von Akteuren involviert. Jeder dieser Akteure kann - theoretisch - als Verantwortlicher im Sinne des Datenschutzrechts in Betracht kommen, wenn er in seiner Rolle über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden kann.

Dies könnte zunächst der Entwickler der Blockchain sein. Der Entwickler legt fest, was die Blockchain technisch kann. Damit entscheidet er über die Zwecke und Mittel der Datenverarbeitung. Allerdings gibt der Entwickler seine Entscheidungsbefugnis in dem Augenblick ab, indem er die Blockchain aus seinen Händen, zum Beispiel an seinen Kunden, gibt.

Ist dies geschehen, fällt es schwer, einen einzelnen Verantwortlichen auszumachen. Abhängig vom Einsatzzweck und Art der Blockchain kann der Betreiber Verantwortlicher sein (so beispielsweise bei privat-beschränkten Blockchains). Kann er über Mittel und Zwecke der Datenverarbeitung bestimmen, ist er Verantwortlicher. Zudem könnten die Miner Verantwortliche sein.

Erstellen sie neue Blöcke, werden hierbei personenbezogene Daten verarbeitet. Allerdings legen die Miner nicht fest, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Sie verfügen jedoch über die dafür notwendigen Mittel. Letztlich liegt es nahe, alle die Personen als Verantwortliche anzusehen, die an der Blockchain mitwirken. Die DSGVO hat hierfür in Artikel 26 die sogenannten Joint Controller geschaffen.

Rechtsgrundlage für die Verarbeitung

Jeder, der personenbezogene Daten verarbeitet, ist dazu nur berechtigt, wenn er sich auf eine Rechtsgrundlage beziehen kann, die ihm die Verarbeitung der personenbezogenen Daten gestattet. Abhängig von der Art und Weise der Blockchain kann die Rechtsgrundlage darin gesehen werden, dass die Datenverarbeitung notwendig ist, um einen Vertrag mit dem Betroffenen durchzuführen. Soweit alle personenbezogenen Daten, die in der Blockchain gespeichert werden, auch tatsächlich erforderlich sind, um den Vertrag durchzuführen, würde diese Rechtsgrundlage die Verarbeitung gestatten.

Werden darüberhinausgehend personenbezogene Daten verarbeitet, muss eine alternative Rechtsgrundlage herangezogen werden. Hier könnte eine Einwilligung greifen. Die Einwilligung hat jedoch den Nachteil, dass sie jederzeit widerrufen werden kann. Nach dem Widerruf wäre eine weitere Verarbeitung personenbezogener Daten unzulässig. Gerade mit Blick auf eine Blockchain stößt der Widerruf aber auf Probleme. Es ist unklar, an wen der Betroffene den Widerruf richten muss. Wie bereits ausgeführt, ist ebenso unklar, wer bei der Blockchain Verantwortlicher ist.

Praktisch stößt der Widerruf aber auf ein weiteres Problem: die Unveränderlichkeit der Blockchain. Das Vertrauen in die Blockchain fußt darauf, dass jede Transaktion nachvollzogen werden kann. Der Widerruf führt aber dazu, dass einzelne Teile aus der Blockchain gelöscht werden müssen, was wiederum technisch nicht umsetzbar ist. Dieses Problem greift auch bei der Pflicht zur Datenlöschung beziehungsweise dem Recht auf Vergessenwerden: Ist der Vertrag mit dem Betroffenen durchgeführt, sind seine personenbezogenen Daten für den Zweck nicht mehr erforderlich und müssen folglich gelöscht werden.

Personenbezogene Daten in der Blockchain

Die Datenlöschung muss nur dann nicht erfolgen, wenn die Verantwortlichen sich wiederum auf eine Rechtsgrundlage berufen können. Hier könnte man überlegen, eine Rechtfertigung darin zu sehen, dass die personenbezogenen Daten zu Dokumentationszwecken notwendig sind. Die DSGVO lässt eine Datenverarbeitung auch zu, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Entscheidend ist hier die Abwägung im konkreten Einzelfall.

In der Blockchain sind die personenbezogenen Daten zwar gespeichert, allerdings sind die Daten durch kryptografische Verfahren und eine Pseudonymisierung vor dem Zugriff durch Dritte geschützt. Damit befinden sich die Daten zwar noch in der Blockchain, können aber nicht gelesen werden - wie bei einem Tresor, zu dem der Schlüssel fehlt. Daneben ist die Art der personenbezogenen Daten zu berücksichtigen: Handelt es sich um eher triviale Informationen, die ohnehin öffentlich sind, ist das Schutzbedürfnis gering anzusetzen.

Anders sieht es aber aus, wenn es sich um Gesundheitsdaten oder ähnlich kritische Daten handeln würde. Hier ist bereits auf einer abstrakt-allgemeinen Basis von einem höheren Schutzbedürfnis auszugehen. Weiß der Betroffene, bevor er seine personenbezogenen Daten eingibt, dass diese dauerhaft in einer Blockchain gespeichert bleiben, wird auch dadurch das Bedürfnis am Schutz seiner Daten reduziert. Abschließend lässt sich das Dilemma zwischen der Unveränderlichkeit der Blockchain und dem Recht auf Vergessenwerden bzw. der Pflicht zur Korrektur und Datenlöschung jedoch nicht lösen.

Fazit

Zusammenfassend kann gesagt werden, dass die Identifizierbarkeit der betroffenen Person bestimmt, ob es sich um ein personenbezogenes Datum handelt: Während Klardaten personenbezogene Daten darstellen, ist dies bei Hashes eher fraglich. Kann bei Hashes durch zusätzliche Informationen der Bezug zu einer natürlichen Person hergestellt werden, so handelt es sich um ein personenbezogenes Datum. Personen, die ausschließlich einen Hashwert empfangen, sind beispielsweise nicht in der Lage diesen Bezug herzustellen.

Die Verantwortlichen, die über den Zweck und das Mittel der Datenverarbeitung entscheiden, sind aufgrund der verteilten Eigenschaft der Blockchain nicht eindeutig bestimmbar, jedoch nach dem Prinzip des Joint Controllerships auf den Betreiber und die Miner der Blockchain festzusetzen.

Um personenbezogene Daten verarbeiten zu dürfen, bedarf es einer Rechtsgrundlage. Als Rechtsgrundlage können die Erfüllung eines Vertrags, die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten sowie die Einwilligung der betroffenen Person herangezogen werden. Im Falle einer Einwilligung stellt sich jedoch das Problem, dass bei einem Widerruf der Einwilligung durch den Betroffenen, das Recht auf Vergessenwerden durch Löschung der personenbezogenen Daten gegen das Prinzip der Unveränderlichkeit der Daten in einer Blockchain verstößt und daher technisch nicht umsetzbar ist.

Es lässt sich festhalten, dass die Blockchain-Technologie die personenbezogenen Daten dank der Kryptographie und Pseudonymisierung schützt. Zur Änderung eines Blocks sowie zum Hacken eines Hashes wäre eine außerordentliche Rechenkapazität nötig. Somit werden die in der DSGVO festgehaltenen Ansprüche an die Datensicherheit sowie der wachsende Wunsch der Betroffenen nach Sicherheit mithilfe der Blockchain erfüllt.

Dem stehen teilweise die Betroffenenrechte der DSGVO, wie das Recht auf Vergessenwerden, entgegen. Dieser Konflikt kann mit der Anwendung der DSGVO jedoch nicht abschließend geklärt werden. Hier sind die Datenschutzaufsichtsbehörden, die Gerichte und nicht zuletzt der Gesetzgeber gefragt, um praktikable und rechtssichere Möglichkeiten zum Umgang mit der neuen Technologie zu schaffen.