Im September diesen Jahres hat die Bundesregierung ihre Blockchain-Strategie veröffentlicht. Der in der Öffentlichkeit durchaus kritisch bewertete Versuch der Bundesregierung, eine rechtliche Einordnung der Blockchain-Technologie vorzunehmen, gibt Anlass, relevante datenschutzrechtliche Aspekte der Blockchain zu untersuchen.
Was ist Blockchain überhaupt?
Unter Blockchain versteht man eine dezentral organisierte Datenbank, die Informationen (zum Beispiel über Transaktionen) speichert, zu Datenblöcken in Echtzeit zusammenfasst und jeweils durch eine Verschlüsselung signiert. Durch die Verschlüsselung entsteht für jeden Datenblock ein spezifischer Fingerabdruck, ein sogenannter Hash. Jeder neue Block speichert den Hash des vorangehenden Blocks. Dadurch können Anwender jederzeit den Inhalt und die Reihenfolge aller vorangegangenen Datenblöcke fälschungssicher nachverfolgen. Durch die Speicherung der Daten auf einer großen Anzahl an Rechnern (anstatt wie bisher üblich auf einem Server) ist es nahezu unmöglich, diese durch Angriffe von außen zu verändern. Im unwahrscheinlichen Fall eines Angriffs können die Daten leicht wieder hergestellt werden, da jedes System über eine Kopie aller Daten verfügt.
Welche Anwendungsbereiche gibt es für die Blockchain?
Die bekannteste Anwendungsmöglichkeit der Blockchain-Technologie sind Kryptowährungen, beispielsweise Bitcoin. Daneben bestehen jedoch vielfältige weitere Einsatzmöglichkeiten für die Technologie. Einige Beispiele:
Datenschutzrechtliche Probleme der Blockchain
In datenschutzrechtlicher Hinsicht bestehen gewisse Herausforderungen für den Einsatz der Blockchain. Die Vorteile der Blockchain stehen teilweise im Widerspruch zu zentralen Prinzipien des Datenschutzrechts, z.B. dem Grundsatz der Datenminimierung, der Speicherbegrenzung und dem Recht auf Vergessenwerden. Einmal in der Blockchain gespeicherte Informationen können vom Anwender regelmäßig nicht mehr gelöscht oder verändert werden.
Anwendung des Datenschutzrechts auf die Blockchain
Damit Datenschutzrecht auf die Blockchain überhaupt anwendbar ist, müssen die Anwender in dieser personenbezogene Daten verarbeiten. Das bedeutet, es müssen in der Blockchain Daten vorhanden sein, die Informationen über eine identifizierbare natürliche Person beinhalten. Ob eine Person mittels der Daten in der Blockchain „identifizierbar“ ist, hängt davon ab, ob sie mit verhältnismäßigen Mitteln den entsprechenden Daten zugeordnet werden kann. Dabei ist zu klären, unter welchen Umständen ein solcher Personenbezug für Informationen in der Blockchain besteht.
Kein Personenbezug für verschlüsselte Daten
Ein Personenbezog besteht nicht, wenn die Informationen in der Blockchain mittels einer kryptographischen Hashfunktion verschlüsselt sind. Bei kryptografischen Hashfunktionen handelt es sich (verkürzt dargestellt) um komplexe, mathematische Funktionen, die sich (mit angemessenem Aufwand) ausschließlich in eine Richtung berechnen lassen. Dabei ergeben zwei Objekte dieser mathematischen Funktion nie das gleiche Ergebnis (den Hashwert). Ohne die Ausgangswerte der Funktion zu kennen, kann ein Außenstehender diese nicht errechnen. Kennt man hingegen einen der Ausgangswerte, kann man ohne großen Aufwand den anderen Wert errechnen.
Somit kann die Information lediglich von solchen Personen entziffert werden, die entweder den genauen Inhalt des Datenblocks bereits kennen oder aber die den entsprechenden Schlüssel haben. Diese Technologie kann in Bereichen eingesetzt werden, in denen die öffentliche Transparenz der Blockchain nicht notwendig ist. Zum Beispiel können auf diese Weise Dokumente sicher verifiziert werden, indem der Nutzer prüft, ob das Dokument exakt mit dem Datenblock übereinstimmt.
„Privacy by Design“
Soweit öffentliche Transparenz für eine Blockchain notwendig ist, z.B. bei digitalen Währungen, müssen Unternehmen im Regelfall die Anforderungen des Datenschutzrechts berücksichtigen. Dabei sollten Unternehmen bereits bei der Entwicklung einer Blockchain-Lösung darauf achten, dass diese möglichst wenige personenbezogene Daten enthält (Prinzip der Datenminimierung).
Zusätzlich sollten Unternehmen sog. „Privacy Enhancing Technology“ (Schutzmechanismen) verwenden, die den Missbrauch von in der Blockchain gespeicherten personenbezogenen Informationen erheblich erschweren kann. Zum Beispiel ließe sich der Zugriff auf die Informationen derart einschränken, dass selbst Administratoren personenbezogene Daten nicht mehr zweckwidrig verarbeiten können.
Weiterhin müssen Unternehmen in solchen Fällen sicherstellen, dass sie die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten in der Blockchain und die Auswirkung davon umfassend informieren (z.B. dass die Daten nicht mehr gelöscht werden können).
Fazit und Ausblick
Die Blockchain bietet Unternehmen in sehr vielen Bereichen neue und innovative Einsatzmöglichkeiten. Bei der Auswahl der für das jeweilige Produkt verwendeten Blockchain sollten Unternehmen immer den „Privacy by design“-Gedanken berücksichtigen. Das bedeutet, dass das Unternehmen genau prüfen sollte, welche Vorteile der Blockchain-Technologie konkret benötigt werden, und diese entsprechend so gestaltet, dass personenbezogene Daten möglichst nicht oder zumindest möglichst persönlichkeitsrechtsschützend verarbeitet werden. Hier sind insbesondere auch die Entwickler in der Pflicht, bereits bei der Entwicklung von Blockchain-Lösungen die datenschutzrechtlichen Anforderungen im Blick zu behalten.