Blockchain-Technologie und EU-DSGVO – passt das zusammen?

Angetrieben durch Bitcoin und andere Kryptowährungen zieht die Blockchain-Technologie derzeit sehr viel Aufmerksamkeit auf sich. Alle Branchen probieren sich derzeit in Anwendungsmöglichkeiten und Geschäftsmodellen aus.

Die Blockchain ist im Grunde ein dezentral gespeichertes Protokoll für Transaktionen zwischen Teilnehmern, das jede Veränderung transparent erfasst. Durch das Fortschreiben aller Transaktionen in einer Blockchain entsteht die Kette der Transkationen. Dadurch ist die Nachvollziehbarkeit aller historischen Transaktionen gesichert – auch für neue Teilnehmer.

Verschiedene Computer unterbinden durch Hash-Schlüssel, dass ein Einzelner die Blockchain verändert. Oder anders: Transaktionsinhalte, welche einmal in die Blockchain aufgenommen wurden, können nicht mehr einfach aus der Blockchain entfernt werden. Für Grundbücher, Zertifikate, Verträge etc. stellt dies ein Zugewinn an Sicherheit dar.

Diese Eigenschaften stehen jedoch im Widerspruch zur Europäischen Datenschutzgrundverordnung (EU-DSGVO), welche seit Mai 2018 in allen Mitgliedsstaaten der EU gilt. Dort sind das Recht auf Berichtigung (Artikel 16) und das Recht auf Löschung und Vergessenwerden (Artikel 17) verankert.

Der Kern der Problematik ist vor allem, dass die Rolle des Verantwortlichen keinem Teilnehmer oder Gruppe von Teilnehmern eindeutig zugeordnet werden kann. Dieser spielt in beiden Gesetzes-Artikeln aber eine zentrale Rolle, da Anträge auf Berichtigungen und Löschungen bei dem Verantwortlichen eingereicht werden müssen.

Darüber hinaus kann die Umsetzung des Rechts auf Vergessenwerden in der Blockchain als technisch schwierig angesehen werden, wenn aufgrund eines offenen Charakters der Blockchain (z. B. Bitcoin) nicht alle Datenverarbeiter identifiziert werden können. Es gibt auch keine Möglichkeit, Löschhinweise zwischen den Teilnehmern auszutauschen.

Derzeit existieren Ansätze, welche eine Veränderung und Löschung von Inhalten aus der Blockchain ermöglichen. Hierbei handelt es sich beispielsweise um die Neuberechnung der Blockchain, der Implementierung der Chameleon-Hashfunktion und dem Ansatz der µchain. All diese Ansätze gewährleisten jedoch keine Sicherheit, dass berichtigte oder gelöschte Inhalte von den einzelnen Teilnehmern in ihrer lokalen Blockchain tatsächlich berichtigt oder gelöscht werden.

Zusammenfassend wird konstatiert, dass die Artikel 16 und 17 der EU-DSGVO mit der Blockchain-Technologie bei der öffentlichen Nutzung im Europäischen Rechtsraum schwer vereinbar sind. Definierte Ausnahmen bestätigen auch hier die Regel.

(Dieser Beitrag zitiert aus der Masterarbeit von Arthur Köppe „Analyse der Vereinbarkeit von Artikel 16 und 17 der EU-DSGVO mit der Blockchain-Technologie“, die in Zusammenarbeit mit GISA entstand.)

Mehr Infos zu EU-DSGVO.