Was als Vorteile der Blockchain-Technologie angepriesen werden, sind mit der Datenschutzgrundverordnung (DSGVO) möglicherweise nicht vereinbar. Die Transparenz aller Transaktionen und deren dezentrale Speicherung ermöglichen ein manipulationssicheres Verfahren – diese Daten werden allerdings unlöschbar in der Blockchain gespeichert. Die am 25. Mai 2018 in Kraft getretene DSGVO hingegen sieht ein Recht auf den Schutz personenbezogener Daten zu – und dazu zählt auch deren Löschung. Wie passt beides nun zusammen?

Eigenschaften der Blockchain

Wenn von Blockchain die Rede ist, wird häufig an die digitalen Kryptowährungen gedacht. Doch mittlerweile kommt die Technologie auch in vielen anderen Bereichen zum Einsatz. Bei der Blockhain handelt es sich um Datensätze, die miteinander verkettet werden, wobei jede einzelne Transaktion einen Abschnitt der Kette darstellt. Statt wie gewöhnlich auf nur einem einzelnen Server gespeichert zu werden, werden die Daten auf verschiedenen Servern gespiegelt. Wesentlich ist, dass jeder Server über eine synchronisierte Kopie der Datenblöcke verfügt und die Blöcke bis zum Anfang rekonstruiert werden können. Die dezentrale Verteilung von nicht löschbaren Informationen auf verschiedenen Datenträgern macht die Blockchain sehr sicher gegen Manipulationsversuche und damit ideal für den Einsatz in datensensiblen Bereichen, wie zum Beispiel in der Finanzbranche.

Blockchain schafft Sicherheit und Transparenz

Verwendet wird die Technologie daher beispielsweise zur sicheren Abwicklung von Geschäftsabschlüssen, bei der Verwendung von Kryptowährungen wie Bitcoin oder bei sogenannten Smart Contracts, also automatisierten Vertragsabschlüssen zwischen Geschäftspartnern. Mit der Technologie können Daten zwischen zwei Parteien direkt untereinander auf sichere und vertrauenswürdige Weise ausgetauscht werden, ohne sich beispielsweise auf Plattformen oder Drittparteien verlassen zu müssen. So kommt die Technologie beispielsweise in Logistikunternehmen zum transparenten Datenaustausch, im Bereich von Wertschöpfungsketten oder bei der Weiterentwicklung branchenübergreifender Open-Source-Projekte wird sie immer häufiger zum Einsatz.

Kontroverse oder Konsens?

Die dezentrale Struktur und die Nicht-Löschbarkeit von Daten in der Blockchain sind vor allem in datenschutzrechtlicher Hinsicht relevant: Diese zwei Eigenschaften sind notwendig, um Geschäftsprozesse so transparent und sicher wie möglich zu machen. Die DSGVO hat jedoch die datenschutzrechtlichen Anforderungen an Unternehmen und Institutionen, vor allem was den Schutz personenbezogener Daten betrifft, grundsätzlich erhöht. Aus diesem Grund werden immer wieder Befürchtungen geäußert, die Blockchain könnte mit der DSGVO grundsätzlich unvereinbar sein.

Anwendbarkeit der DSGVO

Vor allem drei Grundsätze der DSGVO sind hinsichtlich der Verwendung von Blockchain-Technologie relevant:

  • Das Recht auf Auskunft (Artikel 15, DSGVO). Bürgern muss die Möglichkeit eröffnet werden, zu erfahren, wie ihre persönlichen Daten gespeichert oder verarbeitet werden.
  • Das Recht auf Berichtigung (Artikel 16, DSGVO), wonach personenbezogene Daten geändert und berichtigt werden können.
  • Das Recht auf Löschung, auch bekannt als das Recht auf „Vergessenwerden“ (Artikel 17, DSGVO). Die Betroffenen können die Löschung ihrer personenbezogenen Daten beantragen.

Bei der Blockchain werden Datensätze allerdings nie entfernt, damit das System manipulationssicher bleibt. Außerdem sind in Blockchains alle Transaktionen und deren Teilnehmer für jeden Nutzer einsehbar. Auf den ersten Blick steht die Blockchain damit im Gegensatz zur DSGVO: Wie kann ein Recht auf Löschung in einem System geltend gemacht werden, das darauf ausgelegt ist, Daten niemals zu löschen oder zu ändern?

Anonymisierung von Daten als Ausweg

Einen möglichen Ausweg, um nicht gegen die Regelungen der DSGVO zu verstoßen, könnte die Anwendung von Anonymisierungstechniken bieten. Denn eine wesentliche Eigenschaft der Blockchain ist die Kryptografie: Die Datensätze werden in Form von Hashwerten codiert. Somit entsteht vordergründig der Eindruck, dass aufgrund der Codierung Informationen anonymisiert werden. Jedoch werden die Datensätze in einer Blockchain nur „pseudonymisert“. Denn der Akteur hinter dem Datensatz kann mithilfe von frei zugänglichen Diensten, wie beispielsweise Block-Explorer, durch „Reproduktion“ des öffentlichen Schlüssels auf den dahinterstehenden Akteur schließen. Ein möglicher Lösungsansatz könnte darin bestehen, dass Teilnehmer einer Blockchain die entstandenen Daten mehreren Hashs zuzuweisen, damit die Transaktion nicht mehr eindeutig zugeordnet werden kann.

Sollte eine Anwendung von Anonymisierungstechniken nicht möglich sein, ist für die Erfassung personenbezogener Daten eine geänderte Rechtsgrundlage oder eine Einwilligung der Nutzer denkbar. Möglich wäre es, die Nutzer darauf hinzuweisen, dass Einträge in die Blockchain mit dem Verlust gewisser Datenschutzrechte einhergehen. Es bleibt jedoch zweifelhaft, ob es rechtlich überhaupt möglich ist, gewisse Datenschutzrechte außer Kraft zu setzen, auch wenn der Nutzer den Einschränkungen zustimmt.

Suche nach Lösungen für Datenschutzproblem geht weiter

Grundsätzlich werden personenbezogene Daten in einer Blockchain aufgrund von Kryptographie und Pseudonymisierung signifikant geschützt. Manipulationen sowie Entschlüsselung eines Block-Hashes sind mit außerordentlicher Rechenkapazität verbunden. Demzufolge werden die Ansprüche an die Datensicherheit und das Ziel der DSGVO, die Betroffenenrechte zu schützen, mit der Blockchain größtenteils erfüllt. Aufgrund ihrer typischen Sicherheitseigenschaften steht die Technologie jedoch vor allem noch mit dem Recht auf Vergessenwerden im Widerspruch. Datenschutzaufsichtsbehörden und der Gesetzgeber sind gefragt, rechtssichere Lösungen zu finden und einen praktikablen Umgang mit der Blockchain-Technologie zu schaffen.