Jump to content

Datenschutz-Grundverordnung (DSGVO) vs. Blockchain


Ulli
 Share

Recommended Posts

Aus gegebenem Anlass:

https://www.btc-echo.de/datenschutz-grundverordnung-was-bedeutet-das-fuer-bitcoin-ethereum-co/

Aus dem Text:

Es ist so weit: Die Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Höchst problematisch und vielen unklar sind die Probleme, die das neue Datenschutzrecht bei öffentlichen Blockchains verursacht. Das Recht auf Vergessenwerden prallt auf das Nicht-Vergessen-Können. Das Prinzip der zentralen Verantwortlichkeit stolpert über die Dezentralität. Wie lässt sich das mit der Blockchain und Kryptowährungen in Einklang bringen?

 

 

Nach zwei Jahren Gnadenfrist tritt die DSGVO schlussendlich in Kraft. Mit ihrem schier unendlich scheinenden Anwendungsbereich und den saftigen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes hat sie bereits in der gesamten Geschäftswelt für Furore gesorgt. Bislang weniger Beachtung fand sie im Bereich der Blockchains.

Gilt die DSGVO überhaupt für Blockchains?

Als erste Fragen zur Vereinbarkeit von Bitcoin und der DSGVO gestellt wurden, wendeten einige ein, dass die Blockchain anonym sei. Wie mittlerweile jeder weiß, sind die Blockchains bei Ethereum und Bitcoin nicht anonym, sondern pseudonym. Damit ist die DSGVO möglicherweise anwendbar.

Zudem ist der Anwendungsbereich der DSGVO extrem weit.

Zunächst ist sie in territorialer Hinsicht aufgrund der digitalen Vernetzung und des attraktiven europäischen Wirtschaftsraumes de facto weltweit anwendbar, nämlich gemäß Art. 3 DSGVO vereinfacht gesagt immer dann, wenn Daten von EU-Bürgern verarbeitet werden oder eine Datenverarbeitung innerhalb der EU stattfindet.

Zudem sind Datenverarbeitungen immanenter Bestandteil der Funktionsweise einer Blockchain, was sie stärker in den Fokus der DSGVO rückt.

Personenbezogene Daten in der Blockchain

Selbstverständlich reicht nicht die Verarbeitung irgendwelcher Daten aus. Es muss sich um personenbezogene Daten handeln – das klärt die DSGVO direkt in ihren ersten Artikeln (Art. 1 Abs. 1 und Art. 2 Abs. 1 DSGVO). Personenbezogene Daten sind nach der Definition in Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen […]“

Die Blockchain speichert alle jemals getätigten Transaktionen. Mit diesen Transaktionsdaten enthält sie Informationen über die den einzelnen Bitcoin-Adressen zugeordneten Guthaben und Zahlungsströme. Damit lässt sich mit dem entsprechenden Zusatzwissen ein Bezug zu den dahinterstehenden Personen (immer leichter) herstellen. Denn die abgespeicherten Hashes dienen der Nutzererkennung. Damit sind sie für diejenigen Personen personenbezogen, die das notwendige Wissen haben oder erlangen können, um diese Information (mit verhältnismäßigen Mitteln) einer bestimmten Person zuzuordnen – zum Beispiel, wenn eine Handelsbörse, ein Marktplatz oder ein Onlineshop involviert ist.

Damit ist die DSVGO auf öffentliche Blockchains anwendbar.

Verantwortliche in einer öffentlichen Blockchain

Gegen wen können die damit einhergehenden Pflichten denn überhaupt durchgesetzt werden? Wer ist für etwaige Verstöße gegen die DSGVO verantwortlich? Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es geht also um die tatsächliche Macht, über die Blockchain zu bestimmen.

Am Beispiel von Satoshi Nakamoto wird deutlich, dass es nicht derjenige sein kann, der die Blockchain programmiert und gestartet hat: Nach dem Start hat er die Kontrolle vollends aus der Hand gegeben.

Die Miner können auch nicht als Verantwortliche gesehen werden. Ihr Einfluss ist nur auf das Errechnen neuer Blocks beschränkt. Dabei haben sie weder Einfluss auf den Inhalt noch irgendeine echte Entscheidungsmacht. Sie liefern lediglich die Rechenpower.

Das ist bei Full Nodes jedoch anders: Wer eine Transaktion vornimmt und dadurch Informationen verteilt oder in seine Kopie der Blockchain einträgt, verarbeitet Daten, nimmt am Netzwerk teil und verfolgt eigene wirtschaftliche Zwecke – und ist nach der DSGVO Verantwortlicher.

K.O. durch Betroffenenrechte

Neben einer Reihe anderer Rechte und Pflichten regelt die DSGVO als stärkstes Recht dasjenige auf Vergessenwerden (Art. 17 DSGVO). Damit trifft die Pflicht zur Löschung den jeweils verantwortlichen Node.

Es liegt in der Natur der Blockchain, dass Daten in ihr nicht verändert oder gelöscht werden, sondern dauerhaft gespeichert bleiben sollen. Dadurch wird der dezentrale öffentliche Glaube bzw. das öffentliche Vertrauen überhaupt erst begründet. Zudem ist das vollständige Löschen von Daten in öffentlichen Blockchains zwar theoretisch möglich, praktisch aber äußerst schwierig. Denn durch das Löschen einzelner Daten würde der Hash des Blocks und aller ihm folgenden Blocks verändert werden.

Schließlich ist die Grundidee der Blockchain gerade dadurch so populär geworden, dass in ihre Unveränderbarkeit vertraut werden kann, ohne dass staatliche Institutionen sie kontrollieren.

Verlangt man nun, dass nachträglich verändernd in Blockchains eingegriffen werden muss, zerstört das die Grundidee einer öffentlichen Blockchain. Und damit auch ihre Funktion.

Doch selbst wenn die Löschung bei einem Node erfolgt, führt das nicht zur Löschung bei allen anderen Nodes, da nur neue Transaktionen kommuniziert werden. Daher befinden sich die Daten weiterhin in der Blockchain. Nun müsste durch den Node, der die Daten bereits gelöscht hat, eine Mitteilung an alle anderen Nodes des Netzwerks gehen, dass eine betroffene Person die Löschung ihrer Daten gefordert hat. Das schreibt Art. 17 Abs. 2 DSGVO vor, wenn der Verantwortliche die Daten öffentlich gemacht hat.

Wie das geschehen soll, weiß niemand.

Fazit

Die Anwendbarkeit der DSGVO auf Blockchains wurde bei ihrer Ausarbeitung anscheinend nicht bedacht. Damit ergeben sich mit dem heutigen Inkrafttreten erhebliche Praxisprobleme. Börsen und Marktplätze, die einen Handel mit Bitcoin und anderen Kryptowährungen ermöglichen, sehen sich erheblichen Haftungsrisiken ausgesetzt. Unsicherheit besteht zudem auch für alle privaten Nodes, soweit sie als Verantwortliche anzusehen sind. Es bleibt vorerst abzuwarten, wie die Aufsichtsbehörden und Gerichte bei öffentlichen Blockchains entscheiden werden. Zudem wird sich zeigen, inwiefern die betroffenen Personen aufgrund der dezentralen und offenen Gestaltung der Blockchain Verantwortliche finden werden, um ihre Rechte geltend zu machen.

Wer nicht in die Gefahr der Haftung kommen möchte, sollte seine Prozesse daher unbedingt auf Datenschutzkonformität prüfen – mögliche Strafen können leider nicht mit Bitcoins beglichen werden.

 

 

Das wird bestimmt noch ein heißer Tanz ;)

Edited by Ulli
Link to comment
Share on other sites

vor 10 Stunden schrieb Aktienspekulaant:

Hat sich dazu noch keiner der Blockchain-Profis geäußert? Wundert mich, denn ich finde das echt gefährlich.

Rainer

Ja, bin auch gespannt, wann sich da was tut. Das scheint ja, wie so oft, eine typische Grauzone zu sein.

Link to comment
Share on other sites

  • 1 month later...

Danke für den nützlichen Beitrag @ Ulli. Ich habe zum Thema Datenschutz auch noch eine kurze Frage. Ich habe diesen Check gemacht ob ich als Firma einen Datenschutzbeauftragten brauche. Negativ. Aber brauche ich eine Datenschutz Seite? Wenn ja, wie muss sowas aussehen?

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.