Blog
Blockchain-Technologie und EU-DSGVO – passt das zusammen?
Angetrieben durch Bitcoin und andere Kryptowährungen zieht die Blockchain-Technologie derzeit sehr viel Aufmerksamkeit auf sich. Alle Branchen probieren sich derzeit in Anwendungsmöglichkeiten und Geschäftsmodellen aus.
Die Blockchain ist im Grunde ein dezentral gespeichertes Protokoll für Transaktionen zwischen Teilnehmern, das jede Veränderung transparent erfasst. Durch das Fortschreiben aller Transaktionen in einer Blockchain entsteht die Kette der Transkationen. Dadurch ist die Nachvollziehbarkeit aller historischen Transaktionen gesichert – auch für neue Teilnehmer.
Verschiedene Computer unterbinden durch Hash-Schlüssel, dass ein Einzelner die Blockchain verändert. Oder anders: Transaktionsinhalte, welche einmal in die Blockchain aufgenommen wurden, können nicht mehr einfach aus der Blockchain entfernt werden. Für Grundbücher, Zertifikate, Verträge etc. stellt dies ein Zugewinn an Sicherheit dar.
Diese Eigenschaften stehen jedoch im Widerspruch zur Europäischen Datenschutzgrundverordnung (EU-DSGVO), welche seit Mai 2018 in allen Mitgliedsstaaten der EU gilt. Dort sind das Recht auf Berichtigung (Artikel 16) und das Recht auf Löschung und Vergessenwerden (Artikel 17) verankert.
Der Kern der Problematik ist vor allem, dass die Rolle des Verantwortlichen keinem Teilnehmer oder Gruppe von Teilnehmern eindeutig zugeordnet werden kann. Dieser spielt in beiden Gesetzes-Artikeln aber eine zentrale Rolle, da Anträge auf Berichtigungen und Löschungen bei dem Verantwortlichen eingereicht werden müssen.
Darüber hinaus kann die Umsetzung des Rechts auf Vergessenwerden in der Blockchain als technisch schwierig angesehen werden, wenn aufgrund eines offenen Charakters der Blockchain (z. B. Bitcoin) nicht alle Datenverarbeiter identifiziert werden können. Es gibt auch keine Möglichkeit, Löschhinweise zwischen den Teilnehmern auszutauschen.
Derzeit existieren Ansätze, welche eine Veränderung und Löschung von Inhalten aus der Blockchain ermöglichen. Hierbei handelt es sich beispielsweise um die Neuberechnung der Blockchain, der Implementierung der Chameleon-Hashfunktion und dem Ansatz der µchain. All diese Ansätze gewährleisten jedoch keine Sicherheit, dass berichtigte oder gelöschte Inhalte von den einzelnen Teilnehmern in ihrer lokalen Blockchain tatsächlich berichtigt oder gelöscht werden.
Zusammenfassend wird konstatiert, dass die Artikel 16 und 17 der EU-DSGVO mit der Blockchain-Technologie bei der öffentlichen Nutzung im Europäischen Rechtsraum schwer vereinbar sind. Definierte Ausnahmen bestätigen auch hier die Regel.
(Dieser Beitrag zitiert aus der Masterarbeit von Arthur Köppe „Analyse der Vereinbarkeit von Artikel 16 und 17 der EU-DSGVO mit der Blockchain-Technologie“, die in Zusammenarbeit mit GISA entstand.)
Mehr Infos zu EU-DSGVO.
Jens Wunderlich
Jens Wunderlich ist Leiter der Gruppe ECM & Compliance bei GISA. Er und sein Team beschäftigen sich mit der Beratung zu Digitalisierung, Collaboration, IT-bezogener Compliance sowie die Implementierung entsprechender IT-Systeme. Jens Wunderlich hat an der Universität Leipzig Wirtschaftsinformatik studiert. Anschließend war er bei einer internationalen Unternehmensberatung tätig. Er ist zertifizierter Projektmanager, EFQM-Assessor, Six Sigma Black Belt und Microsoft-Partner-Manager bei GISA.
Diese Beiträge könnten Sie auch interessieren:
Security Awareness Trainings & Social Engineering Tests für die Unternehmenssicherheit
Nutzen Sie Security Awareness Trainings und Social Engineering Tests, um Ihre Mitarbeitenden fit und aufmerksam im Thema Cybersicherheit zu machen.
Entwicklung von Softwarelösungen in der SAP Utilities Industry Cloud
SAP bietet mit der „Industry Cloud for Utilities” eine Sammlung von modular adaptierbaren Lösungen an, die entweder von SAP selbst oder von Partnern erstellt wurden.
Notfall- und Krisenmanagement – Dimensionen, die Sie berücksichtigen sollten
IT-Security Experten für die Kommunikation, die technische Seite und die Nachbereitung im Sicherheitsvorfall.