Identitätsprüfung – Identitätsbestätigung und Identitätsschutz
Die Blockchain als dezentrale Datenbank verspricht absolute Transparenz. Ohne übergeordnete Instanz gilt die disruptive Technologie als fälschungs- und manipulationssicher und verhindert, dass Daten gelöscht oder verändert werden können. So ist es durch die Blockchain möglich, Transaktionen mit Kryptowährungen dezentral zu verwalten, transparent zu prüfen und zu authentifizieren. Aus Sicht der Datenschützer wirft dies aber grundsätzlich Fragen auf. Gerade wenn es um das europäische Recht auf Löschung beziehungsweise auf das „Recht auf Vergessenwerden“ von personenbezogenen Daten geht. Wie sich die disruptive Technologie und die europäische Gesetzgebung dennoch vereinen lassen, lesen Sie hier.
Das grosse Potenzial der Blockchain-Technologie
Die Blockchain-Technologie gilt in ihrer Vielfalt in den Anwendungsmöglichkeiten als Treiber der Zukunft und verspricht grosse Vorteile: unveränderliche Daten, deren Austausch transparent, nachvollziehbar und sicher für jeden Knoten oder auch Nutzer bleibt. Zudem gibt es keine Dritte oder eine staatliche Kontrollinstanz bei einzelnen Transaktionen.
Das Potenzial der Blockchain erschöpft sich aber nicht nur im Bereich der Finanzprodukte- und Dienstleistungen, sondern findet auch in vielen anderen Branchen bereits Anwendung. So spielt sie auch im Gesundheitswesen eine immer grössere Rolle: Um eine innovative Patientenversorgung zu leisten, gibt es bereits Überlegungen und erste Ansätze, um Patientenakten miteinander zu verbinden.
In Zukunft werden die Einsatzmöglichkeiten der disruptiven Technologie aber noch vielfältiger werden. Unternehmen aus allen Branchen können so neue wirtschaftliche Potenziale erschliessen. Manuelle Geschäftsprozesse lassen sich vereinfachen und automatisieren.
Ein weiterer grosser Vorteil der Blockchain ist es, dass sie manipulations- und betrugssicher ist. Durch den Einsatz der Technologie wird der Datenaustausch oder auch Transaktionen sicherer und erschwert es Cyberkriminellen Daten zu stehlen oder beispielsweise Überweisungen zu übernehmen. Der Grund dafür ist, dass die kryptografischen Verfahren, beispielsweise Hashfunktionen oder digitale Signaturen, eingesetzt werden und so die Blockchain sichern. Vorausgesetzt, dass es keine Fehler bei der Implementierung gibt oder unsichere Netzwerkprotokolle verwendet werden oder schlecht gesicherte Endanwendungen (Wallets) ins Spiel kommen.
Die Blockchain – losgelöst von der DSGVO?
Dennoch: Wenn es um Datenschutz geht, bewegt sich die Technologie nicht in einem rechtsfreien Raum. Beim Einsatz der Blockchain müssen die Regelungen, der in der Europäischen Union geltenden DSGVO, angewendet werden.
Nach Art. 17 Abs. 1 DSGVO hat jede Person das Recht auf Löschung ihrer personenbezogenen Daten, wenn bestimmte Voraussetzungen erfüllt sind. Darunter fällt, dass die Daten für den Verantwortlichen nicht mehr notwendig sind oder die Verarbeitung der Daten unrechtmässig, also ohne Einwilligung der betreffenden Person, geschehen ist. Ebenso kann die Einwilligung zur Verarbeitung von personenbezogenen Daten widerrufen werden oder es besteht zur Verarbeitung der Daten kein schützenswerter Grund. Zudem besteht eine Rechtspflicht zur Löschung, wenn es sich bei den erhobenen Daten um die eines Kindes handelt.
Die personenbezogenen Daten, die in einer Blockchain zur Anwendung gelangen, sind durch Hashes hinterlegt. Zudem werden öffentliche Schlüssel als Nutzerkennung verwendet. Somit werden die personenbezogenen Daten pseudonymisiert. Dennoch kann beispielsweise der Betreiber der Blockchain oder derjenige, der bei einer privaten Blockchain die Nutzerkennung vergibt, Rückschlüsse auf die einzelnen Personen ziehen.
Hier entsteht also ein Konflikt zwischen dem Ansatz der Blockchain und der DSGVO: Denn durch die Manipulationssicherheit und der damit einhergehenden Unveränderbarkeit der einzelnen Blocks wird das Recht auf Löschung unterminiert. Grundsätzlich kann also eine Löschung nur dann erfolgen, wenn die grosse Mehrheit der Knoten beziehungsweise User dieser zustimmt, also per Konsensmechanismus.
Auch bei der Datenverarbeitung müssen sich die Verantwortlichen einiger Grundsätze bewusst sein. Nach Art. 5 der DSGVO gelten die Grundsätze der Integrität und Vertraulichkeit der Daten, die die Sicherheit der zu verarbeiteten Daten gewährleisten soll. Durch den Rechtsgrundsatz soll sichergestellt werden, dass Informationen mit geeigneten technischen und organisatorischen Mitteln, nicht unbeabsichtigt gelöscht, unbefugt verarbeitet oder unbeabsichtigt zerstört werden. Die Vertraulichkeit der Daten ist dann sichergestellt, wenn die Daten nicht unbefugt eingesehen werden können. Dies ist aber ebenfalls in Hinblick auf die Blockchain widersprüchlich, denn auch hier steht die DSGVO entgegen dem Transparenzanspruch.
Ist damit die Blockchain also nicht DSGVO-konform?
Lösungsansätze wie die Blockchain mit der DSGVO vereinbar ist
Neben dem bereits erwähnten Konsensmechanismus gibt es auch technische Möglichkeiten, die bei einem Antrag auf Löschung zum Einsatz kommen können. Durch das sogenannte „Forking“ (Abspaltung) wird anstatt eines Blockes, zwei Blöcke innerhalb der Kette erstellt, sodass sich eine Gabelung bildet. Die Blockchain wird also in zwei Teile aufgespalten - so können die Protokollregeln bei einer Abspaltung geändert und personenbezogene Daten gelöscht werden. Bei einer Soft Fork, also einer sanften Abspaltung, verschwindet die Ursprungs-Kette und alle Nodes (Knoten) gehen auf die neue Chain über. Das Verfahren ist allerdings sehr aufwendig und in manchen Bereichen sogar umstritten, wie es beispielsweise bei Bitcoin im August 2017 der Fall war. Aus diesem Abspaltungsprozess entstand Bitcoin Cash – einer der wichtigsten Altcoins also Nachfolger der ersten und ältesten Kryptowährung Bitcoin. Weitere technische Möglichkeiten sind sogenannte Mutable Blockchains, Rollbacks oder die Nutzung von Chameleon-Hashes.
Wenn es sich um eine private Blockchain handelt, kann vereinbart werden, dass es manchen Nodes innerhalb des abgeschlossenen Netzwerkes erlaubt ist, nachträglich Informationen zu löschen. Wichtig ist es dabei, dass User darauf achten, dass alle Daten in Form von Hashes hinterlegt sind und die „echten“ Daten „off-chain“ abgelegt sind. Dabei werden die Daten extern abgespeichert und in der Blockchain nur referenziert. Das gelingt durch die Verknüpfung einzelner Bausteine an eine Off-Chain-Datenbank. Auch wenn der Hash dadurch seine Gültigkeit verliert, kann aber Transaktionsblock weiterhin verifiziert werden und die gesamte Blockchain bleibt intakt.
Auf diese Weise lässt sich das Spannungsverhältnis von DSGVO und Blockchain deutlich verringern.
Das Ende des Konfliktes?
Schlussendlich lässt sich der Konflikt zwischen der DSGVO und der Blockchain nicht vollständig auflösen und es wird Änderungen auf der einen oder anderen Seite geben, dass das Spannungsverhältnis erneut aufflammen lässt.
Dennoch sollten Blockchain und auch der Datenschutz nicht immer als Widerspruch wahrgenommen werden. Beides hat zum Ziel, dass Transaktionen transparent, nachvollziehbar und (manipulations-) sicher ablaufen. Und es gibt bereits Blockchains, die genau das im Visier haben: den Schutz von Daten.
