Zum Inhalt springen

Datenschutz-Grundverordnung (DSGVO) vs. Blockchain


Ulli

Empfohlene Beiträge

Aus gegebenem Anlass:

https://www.btc-echo.de/datenschutz-grundverordnung-was-bedeutet-das-fuer-bitcoin-ethereum-co/

Aus dem Text:

Es ist so weit: Die Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Höchst problematisch und vielen unklar sind die Probleme, die das neue Datenschutzrecht bei öffentlichen Blockchains verursacht. Das Recht auf Vergessenwerden prallt auf das Nicht-Vergessen-Können. Das Prinzip der zentralen Verantwortlichkeit stolpert über die Dezentralität. Wie lässt sich das mit der Blockchain und Kryptowährungen in Einklang bringen?

 

 

Nach zwei Jahren Gnadenfrist tritt die DSGVO schlussendlich in Kraft. Mit ihrem schier unendlich scheinenden Anwendungsbereich und den saftigen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes hat sie bereits in der gesamten Geschäftswelt für Furore gesorgt. Bislang weniger Beachtung fand sie im Bereich der Blockchains.

Gilt die DSGVO überhaupt für Blockchains?

Als erste Fragen zur Vereinbarkeit von Bitcoin und der DSGVO gestellt wurden, wendeten einige ein, dass die Blockchain anonym sei. Wie mittlerweile jeder weiß, sind die Blockchains bei Ethereum und Bitcoin nicht anonym, sondern pseudonym. Damit ist die DSGVO möglicherweise anwendbar.

Zudem ist der Anwendungsbereich der DSGVO extrem weit.

Zunächst ist sie in territorialer Hinsicht aufgrund der digitalen Vernetzung und des attraktiven europäischen Wirtschaftsraumes de facto weltweit anwendbar, nämlich gemäß Art. 3 DSGVO vereinfacht gesagt immer dann, wenn Daten von EU-Bürgern verarbeitet werden oder eine Datenverarbeitung innerhalb der EU stattfindet.

Zudem sind Datenverarbeitungen immanenter Bestandteil der Funktionsweise einer Blockchain, was sie stärker in den Fokus der DSGVO rückt.

Personenbezogene Daten in der Blockchain

Selbstverständlich reicht nicht die Verarbeitung irgendwelcher Daten aus. Es muss sich um personenbezogene Daten handeln – das klärt die DSGVO direkt in ihren ersten Artikeln (Art. 1 Abs. 1 und Art. 2 Abs. 1 DSGVO). Personenbezogene Daten sind nach der Definition in Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen […]“

Die Blockchain speichert alle jemals getätigten Transaktionen. Mit diesen Transaktionsdaten enthält sie Informationen über die den einzelnen Bitcoin-Adressen zugeordneten Guthaben und Zahlungsströme. Damit lässt sich mit dem entsprechenden Zusatzwissen ein Bezug zu den dahinterstehenden Personen (immer leichter) herstellen. Denn die abgespeicherten Hashes dienen der Nutzererkennung. Damit sind sie für diejenigen Personen personenbezogen, die das notwendige Wissen haben oder erlangen können, um diese Information (mit verhältnismäßigen Mitteln) einer bestimmten Person zuzuordnen – zum Beispiel, wenn eine Handelsbörse, ein Marktplatz oder ein Onlineshop involviert ist.

Damit ist die DSVGO auf öffentliche Blockchains anwendbar.

Verantwortliche in einer öffentlichen Blockchain

Gegen wen können die damit einhergehenden Pflichten denn überhaupt durchgesetzt werden? Wer ist für etwaige Verstöße gegen die DSGVO verantwortlich? Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es geht also um die tatsächliche Macht, über die Blockchain zu bestimmen.

Am Beispiel von Satoshi Nakamoto wird deutlich, dass es nicht derjenige sein kann, der die Blockchain programmiert und gestartet hat: Nach dem Start hat er die Kontrolle vollends aus der Hand gegeben.

Die Miner können auch nicht als Verantwortliche gesehen werden. Ihr Einfluss ist nur auf das Errechnen neuer Blocks beschränkt. Dabei haben sie weder Einfluss auf den Inhalt noch irgendeine echte Entscheidungsmacht. Sie liefern lediglich die Rechenpower.

Das ist bei Full Nodes jedoch anders: Wer eine Transaktion vornimmt und dadurch Informationen verteilt oder in seine Kopie der Blockchain einträgt, verarbeitet Daten, nimmt am Netzwerk teil und verfolgt eigene wirtschaftliche Zwecke – und ist nach der DSGVO Verantwortlicher.

K.O. durch Betroffenenrechte

Neben einer Reihe anderer Rechte und Pflichten regelt die DSGVO als stärkstes Recht dasjenige auf Vergessenwerden (Art. 17 DSGVO). Damit trifft die Pflicht zur Löschung den jeweils verantwortlichen Node.

Es liegt in der Natur der Blockchain, dass Daten in ihr nicht verändert oder gelöscht werden, sondern dauerhaft gespeichert bleiben sollen. Dadurch wird der dezentrale öffentliche Glaube bzw. das öffentliche Vertrauen überhaupt erst begründet. Zudem ist das vollständige Löschen von Daten in öffentlichen Blockchains zwar theoretisch möglich, praktisch aber äußerst schwierig. Denn durch das Löschen einzelner Daten würde der Hash des Blocks und aller ihm folgenden Blocks verändert werden.

Schließlich ist die Grundidee der Blockchain gerade dadurch so populär geworden, dass in ihre Unveränderbarkeit vertraut werden kann, ohne dass staatliche Institutionen sie kontrollieren.

Verlangt man nun, dass nachträglich verändernd in Blockchains eingegriffen werden muss, zerstört das die Grundidee einer öffentlichen Blockchain. Und damit auch ihre Funktion.

Doch selbst wenn die Löschung bei einem Node erfolgt, führt das nicht zur Löschung bei allen anderen Nodes, da nur neue Transaktionen kommuniziert werden. Daher befinden sich die Daten weiterhin in der Blockchain. Nun müsste durch den Node, der die Daten bereits gelöscht hat, eine Mitteilung an alle anderen Nodes des Netzwerks gehen, dass eine betroffene Person die Löschung ihrer Daten gefordert hat. Das schreibt Art. 17 Abs. 2 DSGVO vor, wenn der Verantwortliche die Daten öffentlich gemacht hat.

Wie das geschehen soll, weiß niemand.

Fazit

Die Anwendbarkeit der DSGVO auf Blockchains wurde bei ihrer Ausarbeitung anscheinend nicht bedacht. Damit ergeben sich mit dem heutigen Inkrafttreten erhebliche Praxisprobleme. Börsen und Marktplätze, die einen Handel mit Bitcoin und anderen Kryptowährungen ermöglichen, sehen sich erheblichen Haftungsrisiken ausgesetzt. Unsicherheit besteht zudem auch für alle privaten Nodes, soweit sie als Verantwortliche anzusehen sind. Es bleibt vorerst abzuwarten, wie die Aufsichtsbehörden und Gerichte bei öffentlichen Blockchains entscheiden werden. Zudem wird sich zeigen, inwiefern die betroffenen Personen aufgrund der dezentralen und offenen Gestaltung der Blockchain Verantwortliche finden werden, um ihre Rechte geltend zu machen.

Wer nicht in die Gefahr der Haftung kommen möchte, sollte seine Prozesse daher unbedingt auf Datenschutzkonformität prüfen – mögliche Strafen können leider nicht mit Bitcoins beglichen werden.

 

 

Das wird bestimmt noch ein heißer Tanz ;)

Bearbeitet von Ulli
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 10 Stunden schrieb Aktienspekulaant:

Hat sich dazu noch keiner der Blockchain-Profis geäußert? Wundert mich, denn ich finde das echt gefährlich.

Rainer

Ja, bin auch gespannt, wann sich da was tut. Das scheint ja, wie so oft, eine typische Grauzone zu sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1 Monat später...

Ohne dass ich allzuviel Ahnung hätte, ja, jeder, der in irgendeiner Form Daten aufnimmt, sei es durch Google Analytics, sei es durch ein Kontaktformular, braucht eine Datenschutzseite. Um zu sehen, wie die aufgebaut werden, kannst du dir ja mal anschauen, was das Coinforum mit deinen Daten macht

https://coinforum.de/privacy/

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.