Was Blockchain mit Datenschutz zu tun hat

Während Blockchain von vielen vor allem mit der Kryptowährung Bitcoin in Verbindung gebracht wird, sind die Einsatzmöglichkeiten für die Technologie tatsächlich deutlich vielfältiger. Aufsätze zu bankenrechtlichen Fragen von blockchainbasierten Währungen gibt es zu Genüge. Dieser Beitrag soll sich hingegen mit der Frage beschäftigen, ob Blockchain eigentlich mit dem Datenschutzrecht – insbesondere mit Blick auf die ab dem 25.5.2018 geltenden Datenschutzgrundverordnung (DSGVO) – vereinbar ist.

Blockchains sind digitale Datenbanken, die auf „Dezentralität“ beruhen. Daneben zeichnen sie sich durch kryptographische Verkettung von Blöcken mittels Hashes und der Verifikation durch öffentlich-private Schlüsselpaare aus.Die (vermeintlichen) Vorteile von Blockchain-Technologien und -Anwendungen sind hinreichend bekannt. Dazu gehört insbesondere, dass die Inhalte als transparent, gesichert, nicht manipulierbar und stets nachvollziehbar gelten. Gerade der Umstand, dass mithilfe von Blockchain Sachverhalte dauerhaft nachvollziehbar und zurückverfolgbar sind, macht es erforderlich, sich auch datenschutzrechtlich mit dieser Technologie auseinander zu setzen.

Anwendbarkeit des Datenschutzrechts

Wie bei jeder Verarbeitung von Informationen sind datenschutzrechtliche Vorschriften überhaupt nur dann anwendbar, wenn personenbezogene Daten betroffen sind. Es müssen also Informationen ganz oder teilweise automatisiert verarbeitet (oder in einem Datensystem gespeichert) werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird eine natürliche Person nicht nur als identifizierbar angesehen, wenn sie direkt erkennbar ist. Ausreichend ist auch, wenn sie indirekt, insbesondere mittels Zuordnung zu einer Kennung (Namen, Kennnummer, Standortdaten, Online-Kennung wie beispielsweise die IP-Adresse) identifiziert werden kann. Pseudonymisierungen führen nicht zu einem fehlenden Personenbezug. Nur wenn von vornherein keine Identifizierung möglich ist und die Daten unumkehrbar anonymisiert wurden, sind Datenschutzvorschriften unerheblich.

Blockchains werden in öffentliche und geschlossene Netzwerke unterteilt. Einigen Anwendungsfällen von geschlossenen Blockchains ist die Verarbeitung personenbezogener Daten geradezu immanent, insbesondere dann, wenn die Identifikation der Beteiligten einer Transaktion wesentlicher Bestandteil der Anwendung ist, wie beispielsweise bei einem Register gewerblicher Schutzrechte oder Identitätsmanagementanwendungen. Auch regulatorische Vorschriften (z.B. aus dem Geldwäschegesetz) oder das Erfordernis der Durchsetzung von Ansprüchen können eine Verarbeitung personenbezogener Daten voraussetzen. Zwar werden personenbezogene Daten in der Blockchain Form von Hashes abgebildet, bei denen öffentliche Schlüssel als Nutzerkennung dienen. Bei geschlossenen Blockchains ist jedoch zumindest die Zertifizierungsstelle in der Lage die hinter dem öffentlichen Schlüssel stehende Person zu identifizieren. Aber auch in öffentlichen Blockchains ist die Personenbeziehbarkeit denkbar. Denn das hohe Maß an Transparenz, aus der die Blockchain ihr Vertrauen generiert, eröffnet zumindest mittelbare Möglichkeiten hinter den Daten stehenden natürlichen Personen zu identifizieren.

Wer ist verantwortlich?

Werden personenbezogene Daten verarbeitet, so hat gem. Art. 5 Abs. 2 DSGVO der für die Verarbeitung Verantwortliche für die Einhaltung der geltenden Datenschutzregeln zu sorgen und muss deren Einhaltung nachweisen können. Dabei geht die DSGVO von zentralisierten Systemen mit fest zugewiesenen Rollen von Verantwortlichen und Auftragsverarbeitern aus.

Gemäß Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, für die Verarbeitung verantwortlich. Aber wer entscheidet im Rahmen einer blockchainbasierten Anwendung, also in einem dezentralen Netzwerk, über Zwecke und Mittel der Verarbeitung? Wohl selten eine Person allein. Mit gewichtigen Stimmen aus der juristischen Literatur wird man davon ausgehen müssen, dass in einer öffentlichen Blockchain jeder Teilnehmer, der einen Knoten betreibt – da er stets alle im System ablaufenden Transaktionen mit vornimmt – auch Verantwortlicher ist. Bei geschlossenen Blockchains sprechen gute Gründe dafür, den- bzw. diejenigen als Verantwortliche zu sehen, der die Zugangsrechte vergibt und verwaltet. Die einzelnen Miner und Knotenbetreiber wären hier als Auftragsverarbeiter einzuordnen, sodass auch sie nach dem neuen Datenschutzrecht eine Vielzahl von Pflichten treffen.

Zulässigkeit der Datenverarbeitung

Alle Regelungen zur Verantwortlichkeit nützen aber nichts, wenn die Verarbeitung an sich schon unzulässig ist. Auch bei Blockchain-Anwendungen gilt der Grundsatz: Erlaubt ist die Datenverarbeitung nur dann, wenn sie auf einer wirksamen Einwilligung des Betroffenen oder einer gesetzlichen Rechtfertigungstatbestand beruht.

Wann die Datenverarbeitung rechtmäßig ist, ergibt sich aus Art. 6 DSGVO. Je nach Art und Umstand der verarbeiteten personenbezogenen Daten kommt bei Blockchain eine Erlaubnis insbesondere auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO), eines Vertrags (Art. 6 Abs. 1 lit. b) DSGVO) oder von berechtigten Interessen der Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO) in Betracht, sofern entgegenstehende Interessen oder Grundrecht der betroffenen Person nicht überwiegen.

Einwilligung

Im Zusammenhang mit der Blockchain-Technologie eignet sich die Einwilligung in der Regel aber schon deshalb nicht als datenschutzrechtliche Erlaubnis, weil eine solche vollumfänglich informiert erfolgen muss. Dazu gehört insbesondere auch, dass der Betroffene im Zeitpunkt der Einwilligung weiß, an wen seine Daten weitergegeben werden. Bei öffentlichen Netzwerken ist das jedoch nicht möglich. Selbst wenn man aber in privaten communities  gewährleisten kann, dass die Einwilligung gegenüber jedem bereits beteiligten Verantwortlichen erklärt werden kann, so ist eine Einwilligung zumindest gegenüber erst zukünftig beitretenden Teilnehmern nicht wirksam möglich. Außerdem stellt sich das Problem der Widerruflichkeit der Einwilligung mit der Folge, dass eine Verarbeitung der personenbezogenen Daten mit Wirkung für die Zukunft nicht mehr zulässig ist.

Vertrag oder berechtigte Interessen

Zielführender ist es daher, die Datenverarbeitung auf einen gesetzlichen Rechtfertigungsgrund zu stützen. Dies ist zwar ebenfalls nicht unproblematisch, aber nicht per se ausgeschlossen:

Eine Datenverarbeitung ist zulässig, sofern sie zur Erfüllung eines Vertrags mit dem Betroffenen oder zur Durchführung der vom Betroffenen angefragten vorvertraglichen Maßnahmen erforderlich ist. Im Zusammenhang mit dem Einsatz von Blockchain-Technologien kann die Verarbeitung zudem zulässig sein, soweit sie auf ein berechtigtes Interessen des/r Verantwortlichen oder eines Dritten gestützt werden kann und die die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Als berechtigtes Interesse ist dabei jedes von der Rechtsordnung gebilligte Interesse angesehen werden, also neben rechtlicher auch wirtschaftlicher oder ideeller Art, sofern es auf einen konkreten Nutzungs- oder Verarbeitungszweck gerichtet ist.

Problematisch ist aber auch bei Vorliegen einer gesetzlichen Erlaubnis, dass die personenbezogenen Daten zu löschen sind, sobald der der Verarbeitung bei Erhebung zugrunde liegende Zweck erreicht ist (und keine gesetzlichen Aufbewahrungsfristen bestehen). Nun ist es gerade das Wesen der Blockchain, dass alle Transaktionsdaten dauerhaft gespeichert werden. Je nach konkretem Geschäftsmodell ist aber vorstellbar, diesem Zielkonflikt über eine sorgsame Vertragsgestaltung, der Zweckänderungsklausel in Art. 6 Abs. 4 DSGVO und der Kompatibilität von Transparenz und Teilnahme am Netzwerk zu begegnen.

Informationspflichten und Betroffenenrechte

Werden personenbezogene Daten in zulässiger Weise verarbeitet, so müssen zudem die gesetzlichen Informationspflichten (Art. 13 bzw. 14 DSGVO)  sowie die Betroffenenrechte (Art. 15 ff. DSGVO) beachtet werden. Auch hier stellen sich erhebliche Schwierigkeiten, für die es zur Zeit noch keine rechtssichere Lösung gibt.

Informationspflichten

Je nachdem, ob die Daten direkt beim Betroffenen erhoben werden oder nicht, müssen ihm die in Art. 13 bzw. Art. 14 DSGVO aufgezählten Informationen mitgeteilt werden. Das dürfte die Verantwortlichen vor erhebliche praktische Herausforderungen stellen, allein schon, wenn es um die Mitteilung der Namen und Kontaktdaten des/r Verantwortlichen geht.
Regelmäßig werden die Daten nicht bei der betroffenen Person erhoben. In diesem Fall lässt sich in bestimmten Fällen durchaus argumentieren, dass die Erteilung der Pflichtinformationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde und daher gemäß Art. 14 Abs. 5 lit. b) DSGVO entfallen kann.

Betroffenenrechte

Keine Ausnahme gibt es jedoch von der Gewährung der Betroffenenrechte: Die DSGVO räumt dem Betroffenen in den Art. 15 ff DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Korrektur, Einschränkung der Verarbeitung, Datenübertragbarkeit und ggf. Widerspruch ein.

Wie diese Rechte angesichts der Unveränderbarkeit und auf Dauer angelegten Speicherung der in der Blockchain gespeicherten Daten gewahrt werden sollen, ist bislang unklar. Im Rahmen der üblichen Blockchain-Anwendungen ist es schlichtweg nicht möglich, beispielsweise den Betroffenenrechten auf Löschung und Korrektur gerecht zu werden. Wo dem mit technischen Lösungen begegnet werden kann, sollte dies getan werden. Keine Möglichkeit ist es hingegen, die Betroffenenrechte vertraglich abbedingen zu wollen. Das ist rechtlich nicht möglich, ein Verzicht auf die datenschutzrechtlichen Betroffenenrechte ist schlicht unwirksam.

Ausblick: das wird nichts - oder etwa doch?

Nach dem aktuellen (insbesondere deutschen) strengen Verständnis sind Datenschutzrecht und Blockchain Technologie zumindest in den meisten Fällen nicht kompatibel. Zwar ist die datenschutzrechtlich zulässige Verarbeitung personenbezogener Daten durchaus möglich. Insbesondere aber die vollständige Erfüllung der Betroffenenrechte ist in der Regel unmöglich.

Dabei täte es auch und gerade dem Datenschutzrecht gut, über den formalen Tellerrand hinauszublicken und insbesondere das Potential der Blockchain Technologie auch für den Datenschutz zu würdigen. Ein interessanter Gedanke ist es, den in der DSGVO angelegten „risikobasierten Ansatz“ in Betracht zu ziehen, denn Datenschutz soll und darf kein Selbstzweck sein. Der risikobasierte Ansatz soll die Anpassung der Pflichten des Verantwortlichen entsprechend der Risiken der vorgenommenen Datenverarbeitung ermöglichen. Das Konzept der Blockchain bietet ein hohes Maß an Datensicherheit und nur äußerst wenig Angriffsfläche. Um einen Block zu hacken, sind eine immense Rechenkapazität und die Kontrolle über 51% der Mining-Power erforderlich. Die Anforderungen der DSGVO an den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie an die Sicherheit der Datenverarbeitung lesen sich quasi wie eine stichpunktartige Kurzbeschreibung der wesentlichen Funktionen einer Blockchain. Auch dies gilt es bei der rechtlichen Bewertung der Vereinbarkeit von Blockchain und DSGVO im Blick zu behalten.

Hoffnung besteht zudem, weil die deutsche Politik das Thema Blockchain für sich entdeckt zu haben scheint: So erkennt die große Koalition die Blockchain-Technologie ausweislich ihres Koalitionsvertrags als förderungswürdig an und will „eine umfassende Blockchain-Strategie entwickeln und uns für einen angemessenen Rechtsrahmen für den Handel mit Kryptowährungen und Token auf europäischer und internationaler Ebene einsetzen“ sowie ferner „innovative Technologien wie Distributed Ledger (Blockchain) erproben, sodass basierend auf diesen Erfahrungen ein Rechtsrahmen geschaffen werden kann“. 
Und auch auf europäischer Ebene verspricht die Gründung eines EU Blockchain Observatory und Forums durch die Europäische Kommission mit Unterstützung des Europäischen Parlaments zumindest, dass das Thema weiterentwickelt und nicht gleich mit der „(datenschutz-)rechtlichen Keule erlegt“ werden soll.

 

Marlene Schreiber und Frederike Kollmar

7. März 2018