Datenschutzgrundverordnung und neue Technologien

Welche Bedeutung die DSGVO für Blockchain hat

| Autor / Redakteur: Jesse Mundis* / Florian Karlstetter

Die Datenschutzgrundverordnung birgt auch für neue Technologien wie Blockchain gewisse Risiken.
Die Datenschutzgrundverordnung birgt auch für neue Technologien wie Blockchain gewisse Risiken. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Mit einem Marktkapital von mehr als 40 Milliarden US-Dollar im Juli 2017 hat das Potenzial von Bitcoin und anderer Blockchain-Technologien die Finanzindustrie und andere große Player in ihren Bann gezogen.

Das Hyperledger-Projekt zum Beispiel – ein Open Source Projekt zur Weiterentwicklung branchenübergreifender Blockchain-Technologien – startete Anfang 2016 mit der Unterstützung von Firmen wie IBM und JP Morgan und umfasst mittlerweile über 100 Firmen- und Start-Up-Mitglieder.

Blockchain-Technologien sind weltweit öffentlich zugänglich und unveränderbar. Doch welche Verpflichtungen haben Unternehmen im Rahmen der Datenschutzgrundverordnung (DSGVO) bei Blockchain-fähigen Transaktionen oder bei der Entwicklung Blockchain-basierter Technologien?

Wird beispielsweise eine Bitcoin-Bezahl-Adresse als eine Identitäts-Pseudonomysierung einer natürlichen Person verstanden?

Die DSGVO erklärt die Beziehung von pseudonymisierten Daten zu personenbezogenen Daten: Personenbezogene Daten, die pseudonymisiert wurden und die durch zusätzliche Informationen einer natürlichen Person zugeordnet werden können, sind demnach als Information über eine identifizierbare natürliche Person zu werten.

Können Bitcoin-Inhaber also als „Datenverarbeiter“ personenbezogener Daten von EU-Bürgern verstanden werden? Wenn ja, werden „personenbezogene Daten“, die in öffentlichen Blockchains gespeichert sind, also dem Recht auf Löschung unterliegen?

Die Beteiligung von Unternehmen in Blockchain-Transaktionen kann DSGVO-Kontrollen auf dreierlei Weise hervorrufen:

  • 1. Annahme von Kryptowährungen, wie z. B. Bitcoin, als Zahlung für Waren und Dienstleistungen,
  • 2. Speicherung personenbezogener Daten bei Nichtzahlung in einer öffentlichen Blockchain
  • 3. Speicherung personenbezogener Daten bei Nichtzahlung in einer privaten Blockchain.

Annahme von Kryptowährungen

Genau wie eine Kontonummer, kann auch eine Bitcoin-Adresse als eine pseudonymisierte persönliche Information verstanden werden. Die Zusatzinformation, die benötigt wird, um die zugehörige Identität wiederherzustellen, befindet sich jedoch außerhalb der Blockchain.

Obwohl Bitcoin-Inhaber technisch gesehen als Datenverarbeiter von pseudonymisierten Zahlungsadressen angesehen werden könnten, ist es unwahrscheinlich, dass sie direkt für die Einhaltung der DSGVO-Beschränkungen verantwortlich gemacht werden: Sie besitzen keine der zusätzlichen Informationen, die eine Identität mit ihren finanziellen Transaktionen verknüpfen könnten.

Während traditionelle Zahlungsinformationen lokal in einem Unternehmen bleiben, sind die pseudonymisierten Transaktionsinformationen in der Blockchain zwangsläufig weltweit öffentlich zugänglich. Daher ist davon auszugehen, dass Firmen, die Bitcoin als Zahlungsmittel akzeptieren, eine höhere Verantwortung tragen müssen, um die Identität ihrer Kunden zu schützen.

Allerdings könnte es möglich sein, Nutzer auch ohne die geschützten Informationen zu identifizieren. De Montjoye et al. (2015) analysierten in einer Studie des Wissenschaftsmagazins „Science“ die Kreditkartentransaktionen von 1,1 Millionen Kunden in OECD-Ländern. Selbst wenn Namen, Adressen und andere Informationen, die direkt mit den Karteninhabern in Verbindung standen, entfernt wurden, identifizierten die Forscher 90% der Käufer, wenn sie das Datum und den Ort von nur vier ihrer Kreditkartentransaktionen kannten.

Speicherung personenbezogener Daten bei Nichtzahlung in einer öffentlichen Blockchain

Während Bitcoin seine Verwendung als Währungs- und Zahlungssystem bewiesen hat, kann die Blockchain zur Lösung einer Vielzahl von Problemen eingesetzt werden:

Neue Unternehmensprojekte nutzen bereits Bitcoins offizielle Blockchain und ihre eigenen, dezentralisierten, vertrauenswürdigen Geschäftsbücher, um alle möglichen Informationen zu speichern, von Landtiteln bis hin zu autonomen IoT-Ressourcenverhandlungen.

Da ein Unternehmen jede gewünschte Information in Blockchains speichern kann - die dann im Rahmen des Erfassungsprozesses veröffentlicht wird - muss die DSGVO für jede Geschäftsanwendung betrachtet werden, die Blockchain-Technologien zur Verarbeitung personenbezogener Daten von EU-Bürgern einsetzt.

Eine Schlüsselfrage ist, ob eine der primären Eigenschaften von Blockchain – die Unveränderlichkeit vergangener Transaktionen – mit dem „Recht auf Löschung“ der DSGVO kollidiert.

Sobald eine Transaktion Teil der Blockchain-Historie geworden ist, gibt es keinen praktikablen, technischen Weg, die DSGVO-Richtlinien zur Löschung zu erfüllen. Die Daten können weder vom Unternehmen noch von den dezentralisierten, globalen Prüfern, die die Daten verarbeiten, gelöscht werden. Es scheint, als sei die DSGVO nicht kompatibel mit dieser Art der Blockchain-basierten Anwendung, wenn persönliche Daten in der Blockchain gespeichert werden. Unternehmen müssen daher genau überlegen, welche Daten sie in ihren öffentlichen Blockchain-Aufzeichnungen enthüllen.

Speicherung personenbezogener Daten bei Nichtzahlung in einer privaten Blockchain

Eine private Blockchain, die vollständig innerhalb eines Unternehmens verifiziert ist, hat zumindest das Potenzial, die oben genannten Probleme zu vermeiden – ist dabei aber höchst unpraktisch. Das grundlegende Design der Blockchain macht die Löschung noch immer sehr schwierig, aber da alle Prüfer und Verarbeiter der gleichen Autorität unterstellt sind, ist es zumindest möglich. Wenn es die gesamte Infrastruktur kontrolliert, könnte ein Unternehmen völlig neue interne Blockchains erzeugen, indem es die vorherigen Transaktionen erneut abspielt, aber diejenigen weglässt, die gelöscht werden müssen. Eine solche Rekonstitution würde jedoch jeden Wert, der durch den Einsatz der Blockchain-Technologie zur Sicherstellung der Transaktionsintegrität entsteht, fast vollständig untergraben.

Fazit

Die einfachste Lösung ist es, alle personenbezogenen Daten von öffentlichen oder privaten Blockchain-Transaktionsaufzeichnungen auszuschließen und diese Daten an anderer Stelle in einer veränderlicheren Form zu speichern. Die meisten Unternehmen benötigen keine Blockchain, um die Datenintegrität zu gewährleisten. Im Rahmen der DSGVO ist es daher sinnvoll noch einmal zu überlegen, ob es sich um die richtige Technologie für ihre Bedürfnisse handelt. Wenn dies der Fall ist, müssen sie sicherstellen, dass sie keine personenbezogenen Daten von EU-Bürgern in dieser unveränderlichen Form speichern.

Über den Autor

Jesse Mundis ist CISSP und Softwareingenieur bei Voltage von Micro Focus. Er hat mehr als 25 Jahre Erfahrung im Bereich Softwareentwicklung und der Internetindustrie und war an der Entwicklung eines der ersten Web Browser vor Netscape Anfang der Neunzigerjahre beteiligt. Er ist besonders interessiert an Kryptographie, E-Commerce und Security und hat vor kurzem ein Kryptowährungs-basiertes Patent angemeldet.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45026265 / Recht und Datenschutz)