Aktuell wird auch in der Öffentlichkeit über den Einsatz von Blockchain Technologien in sehr unterschiedlichen Einsatzgebieten, besonders auch als Kryptowährungen diskutiert. Regelungen zu dieser Technologie befinden sich in Arbeit.
Seit Juni 2019 hat der Europäische Datenschutzausschuss (EDSA) der Expertengruppe Technologie und Expertengruppe Finanzwesen gemeinsam das Mandat zur Erarbeitung einer Leitlinie zum Thema Blockchain erteilt. Unter der Federführung Frankreichs wird aktuell diese Leitlinie bzgl. der verschiedenen Einsatzmöglichkeiten von Blockchains als Distributed Ledger Technologie erarbeitet. Eine Mitarbeiterin aus meiner IT-Abteilung arbeitet an der Erstellung mit. Weitere Berichterstatter kommen aus Italien, Lichtenstein und Spanien, und auch ein Vertreter des Europäischen Datenschutzbeauftragten ist beteiligt.
Technische Einblicke
Aus zunächst technischer Perspektive werden in dieser Leitlinie die technischen Voraussetzungen erörtert. Hierzu werden Grundlagen und unterschiedliche Formen von Blockchains erklärt. Die Basis einer jeden Blockchain ist eine verkettete Folge von i.d.R. gleichartigen Blöcken, die über die gesamte Lebensdauer fortgeschrieben werden. Jede beteiligte Stelle speichert ihre eigene Kopie dieser Kette mit allen Blöcken. Über einen Konsensmechanismus wird sichergestellt, dass bei allen Beteiligten die identische Kette entsteht.
Die Struktur einer Blockchain kann öffentlich oder nicht-öffentlich sein. Aus der Sicht der Informationstechnik liegt der Unterschied zunächst in den Möglichkeiten, wer, unter welchen Umständen, die Struktur der Blockchain selbst kopieren und fortschreiben kann, d.h. in welcher Weise der Konsensmechanismus eben diesen herstellt. Somit ist je nach Einsatzgebiet und Anwendungskontext zu erörtern,
- durch wen die Blockchain fortgeschrieben werden kann und
- wer die in der Blockchain gespeicherten Daten einsehen darf oder nicht; d.h. sollen die Daten frei verfügbar und somit transparent oder sollen sie vertraulich sein.
Hieraus resultiert z.B. die Frage, ob eine Stelle, die eine solche Blockchain fortschreiben kann, auch im Sinne der DSGVO verantwortlich ist. Aus datenschutzrechtlicher Sicht werden hinsichtlich der Beteiligten deren Verantwortung und Rollen diskutiert.
Des Weiteren ist zu berücksichtigen, an welchen Orten die Blockchain gespeichert ist. Daher ist bzgl. der Struktur einer Blockchain ihre Manipulationssicherheit sicherzustellen. Die Anwendung eines Konsensmechanismus muss sowohl sicherstellen, dass nur Beteiligte, die berechtigt sind, Blöcke in die Kette einfügen als auch die Möglichkeit der Manipulation ausschließen. Das wird über sogenannte Validatoren sichergestellt. Oftmals werden Validatoren durch das Lösen mathematischer Rätsel realisiert, womit verlangt ist, dass gleichzeitig alle bisher in der Kette befindlichen Blöcke überprüft werden. Wer also ein solches Rätsel lösen kann, der hat alle Blöcke überprüft und darf selbst einen Block einfügen. Nachdem ein Block eingefügt ist, kann dieser nicht mehr verändert werden, ansonsten würde das Prinzip des Rätsellösens untergraben werden. Umso länger die Kette in der Blockchain ist, desto rechenintensiver ist das Einfügen eines weiteren Blocks, da immer jeder Block in der Kette validiert werden muss. – In nicht-öffentlichen Blockchains gibt es inzwischen andere Konsensmechanismen, die eher auf einer Abstimmung z.B. mit Mehrheitsprinzip basieren. Sie sind somit weniger rechenzeitintensiv.
Selbstverständlich ist aus datenschutzrechtlicher Sicht ebenso eine Klassifizierung der Daten in den Blöcken wesentlich. Diesbezüglich ist
- zwischen Daten, die in Blöcken selbst gespeichert werden, ein sogenannter „pay load“, und
- Referenzen auf Daten zu unterscheiden, womit diese nicht innerhalb der Blockchain, sondern an einem anderen Speicherort liegen.
Wenn Daten als „pay load“ in den Blöcken einer Blockchain vertraulich zu behandeln sind, dann sind sie verschlüsselt zu speichern. Offensichtlich ist, dass bei einer dezentralen, gar im Netz verteilten Struktur, wie der Blockchain, IT-Sicherheitsaspekte zu behandeln sind, die speziell auch auf den dauerhaften Betrieb einer Blockchain zielen.
Ausblick: Betrachtung von speziellen Anwendungen von Blockchains
Die entwickelten datenschutzrechtlichen Kriterien sollen beispielhaft auf spezielle Implementierungen von Blockchains angewendet werden. Dazu gehören selbstverständlich unterschiedliche Kryptowährungen, für die die Expertengruppe Finanzwesen eine entsprechende datenschutzrechtliche Bewertung vornehmen wird. Des Weiteren sollen bestimmte Register, wie Grundbücher, betrachtet werden. Ferner sind Optimierungen von Fabrikationsprozessen von Interesse, sofern personenbezogene Daten verarbeitet werden. Schließlich soll insbesondere die Verwaltung digitaler Identitäten angesehen und datenschutzrechtlich bewertet werden.
Fazit
Die technologisch weit fortgeschrittene Entwicklung von Blockchains und ihrer vielfältigen Einsatzgebiete macht eine datenschutzrechtliche Bewertung notwendig. Hier ist es zu begrüßen, dass durch das Mandat des EDSA mit einer technischen Betrachtung unter datenschutzrechtlichen Aspekten begonnen wurde.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks