DSGVO & Blockchain: The odd couple?

Game Changer. Als in den 1970er-Jahren mit der Entwicklung neuer Datenübertra­gungstechnologien und der Einführung des TCP/IP-Protokolls die Basis für das Internet gelegt wurde, hatte wohl nie­mand eine Vorstellung, wie sich diese neue Architektur einmal auf die Weltwirtschaft auswirken würde. Durch ihre speziel­len Eigenschaften wie Unlöschbarkeit, Transparenz und Sicherheit von Daten und Transaktionen ist auch die Block­chain-Technologie ein Game Changer par excellence. Sie hat das Potenzial, Business­modelle und Geschäftsprozesse zu revoluti­onieren, Transaktionsaufwand und -kosten zu minimieren, Wertschöpfung zu steigern und neue, innovative Perspektiven für die Gestaltung von Produkten und Ser­vice-Leistungen zu eröffnen. Diesen enor­men Entwicklungsmöglichkeiten stehen allerdings datenschutzrechtliche Heraus­forderungen in Bezug auf die Verarbeitung personenbezogener Daten gegenüber.  

Vielfältige Möglichkeiten

Optimale Anwendungsbereiche für Block­chains ergeben sich überall dort, wo Daten von mehreren Stellen zusammengeführt und verarbeitet werden. Auch dann, wenn ein Abgleich in Echtzeit erfolgen soll beziehungsweise die Automatisierung von Transaktionen und der direkte Zugriff aller daran Beteiligten ohne zentrale Instanz erwünscht ist, hat die Blockchain ihre Sternstunde. Zeitstempel, die beweisen, wann bestimmte Informationen bereits existiert haben, können durch Smart Contracts mittels Hashes fälschungssicher vergeben werden. Eine offizielle Instanz, die den Stempel bereitstellt, ist nicht mehr nötig. Besondere Vorteile bieten Block­chains auch für fälschungssichere Archivie­rungsaufgaben und exakt nachvollziehbare, transparente Dokumentationen.  

Mehr Vertrauen schaffen  

Blockchains in Form von Smart Con­tracts kommen derzeit schon häufig in der Automatisierung von Logistik, Workflow und Supply Chains sowie gelegentlich in Produktionsbetrieben bei Erzeugungs- und Wartungsprozessen zum Einsatz. So planen internationale Nahrungsmittelhersteller, gemeinsame Blockchains zu betreiben, die allen am Prozess Beteiligten – Erzeugern, Lieferan­ten, Verarbeitungsbetrieben, Groß- und Einzelhändlern und Konsumenten – Zugriffsrechte zu Informationen über Produkte in der Lebensmittelkette gewähren. Damit kann vor allem auf Verbraucherseite ein bislang völlig uner­reichbarer Level of Trust geschaffen werden, zum Beispiel im Fall der immer beliebter werdenden Bio-Produkte. Ein breites Anwendungsportfolio liegt auch im Finanzsektor, wo sich unter anderem Auslandsüberweisungen, Smart Payments, Trade Financing, Wertpapierhandel und rechnungslose Finanztransaktionen (Paperless Trade) effizient und kosten­günstig auf Blockchains abwickeln lassen.

Große Erwartungen 

Potenzielle Use Cases in der öffentlichen Verwaltung sind beispielsweise Wahlen, das – z. B. in Schweden und Georgien bereits implementierte – Grundbuch, das Firmenbuch sowie Patentverzeichnisse. Auch im Gesundheitswesen, in der Finanz­verwaltung sowie bei Polizei, Justiz und Lan­desverteidigung eröffnen Blockchains eine Vielfalt von Optimierungsmöglichkeiten. Große Erwartungen an Smart Contracts hat man – auch in Bezug auf Cybersicherheit – bei der Vernetzung von physischen und virtuellen Dingen im Internet of Things. 

DSGVO als Stolperstein? 

Bei personenbezogenen Daten werden die Blockchain-Anwendungen im Einzelfall zu prüfen sein. Insbesondere das in der DSGVO vorgesehene „Recht auf Verges­sen“ stellt eine gewisse Hürde in Bezug auf die zentrale Eigenschaft der Unlösch­barkeit dar. Dieses Spannungsverhältnis gilt es durch den Einsatz geeigneter IT-Technologien aufzulösen. 

So könnte es funktionieren 

Eine Möglichkeit, der DSGVO gerecht zu werden, ist Privacy by Design. Dabei wird die Software-Architektur an den jeweiligen Fall angepasst. Ein wesent­licher Aspekt ist hier die Vergabe von Schreib- und Leserechten. Das Spektrum reicht von einer open/permissionless Blockchain, an der jeder uneingeschränkt teilnehmen kann und den Source Code kennt, bis zur privaten closed/ permissioned Blockchain, die nur einem bestimmten Kreis von Menschen vorbe­halten ist und zentral von einem Verant­wortlichen im Sinne der DSGVO, der Zugangsrechte vergibt, administriert wird. 

Ausnahmen bestätigen die Regel 

Besondere Vorteile in Bezug auf den Schutz personenbezogener Daten bieten editierbare Varianten von permissioned Blockchains. Während die Block­chain-Technologie grundsätzlich darauf beruht, dass kein Hash (Zeichenfolge) mehr als einmal zugeordnet wird (Kol­lisionsfreiheit), ist das bei editierbaren Blockchains (durch die Programmierung von sogenannten Chameleon Hashes) anders. Sie ermöglichen, dass speziell ermächtigte Administratoren – unter definierten Voraussetzungen – ausnahms­weise Veränderungen vornehmen können, die z. B. durch die DSGVO vorgeschrie­ben sind. Dazu zählt etwa das Recht auf Löschung. Derartige Modelle lassen die kryptografischen Schlüsselelemente der Blockchain unangetastet, sind jedoch nur für geschlossene Systeme geeignet, die von zentralen Aufsichtsinstanzen verwaltet werden. Offene Blockchains ohne zentrale Aufsichtsinstanz würden dadurch ansons­ten meist unglaubwürdig. 

Innovative Ansätze notwendig 

Durch Delegated Computational Systems ist es möglich, Verarbeitungsprozesse off-Blockchain so durchzuführen, dass eine Löschbarkeit gewährleistet ist, die essenziel­len Blockchain-Vorteile aber nicht verloren gehen. Außerhalb der Blockchain gesi­cherte personenbezogene Daten werden dabei durch ein Zero-Knowledge-Protokoll (zkSNARKs) auf Richtigkeit verifiziert, ohne dass die Daten selbst auf der Block­chain verarbeitet werden müssen. 

Geht nicht, gibt’s nicht 

Inwieweit die Software-Architektur einer Anwendung DSGVO-konform ist, wird jeweils für den Einzelfall unter Berück­sichtigung der geforderten Regulative wie Rechtmäßigkeit der Verarbeitung, Recht auf Berichtigung und Vergessen, Verant­wortlichkeiten und Entscheidungskompe­tenzen zu evaluieren und entscheiden sein.