Blockchain-Verfahren und Anwendungen stellen ein geeignetes Mittel für die Umsetzung des Prinzips „Privacy by Design“. „Privacy by Design“ bedeutet „Datenschutz durch Technik“ und soll sicherstellen, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Inwiefern die DSGVO auf dieses Prinzip Einfluss nimmt, wird in diesem Artikel beleuchtet.
DELOITTE BLOCKCHAIN INSTITUTE
Blockchain-Anwendungen waren noch nie so im Fokus, wie in den letzten Jahren. Der „Run“ auf Kryptowährungen erreichte bis heute ein neues Level. Extra hierfür wurde das Deloitte Blockchain Institute gegründet, um die technischen und wirtschaftlichen Potenziale dieser Anwendung zu kontrollieren und eventuelle Risiken für branchenspezifische Unternehmen (Telekommunikation/Medie etc.) einzuschätzen
SO FUNKTIONIERT BLOCKCHAIN
Aus technischer Sicht betrachtet, ist die Blockhchain eine verteilte Transakionsdatenbank. Besonders hierbei ist der Aufbau: Ihr kontinuierliches Wachstum wird mit dem aneinanderreihen von digitalen Blöcken gewährleistet. Diese eingegangenen Verbindungen zwischen den Blöcken können jedoch nicht gelöst werden. Aus dieser digitalen Verkettung entsteht eine Liste, die die Werte ihrer Benutzer sowie sämtliche abgespeicherten Datensätze zu jedem Zeitpunkt dokumentiert: ergo ein globales Transaktionsregister. Funktionstechnisch kann man also von einer elektronischen Datenbank sprechen, die besonders gut gegen Datenmanipulation geschützt ist.
KATALYSATOR FÜR DEN DATENSCHUTZ?
Blockchain-Datenbanken sind theoretisch dazu in der Lage Transaktionen zwischen zwei oder mehreren Parteien völlig anonym und ohne Identifikation ermöglichen. Anonymität und Pseudonymität sind Begriffe, die sich die DSGVO auf die eigene Fahne geschrieben hat, ergo die perfekte Voraussetzung für Blockchainverfahren. Dies muss man kontrovers betrachten. Während es in den entsprechenden Transaktionsdateneinträgen der Blockchain zwar keine Namen, Adressen, Telefonnummern oder andere vergleichbare Informationen gibt, die es ermöglichen, die Teilnehmer ohne großen Aufwand zu identifizieren, jedoch gäbe es hierzu verschiedene Möglichkeiten solche zu entschlüsseln (IP-Verfolgung). Art. 25 der DSVGO ist hierzu bei Gebrauch von Blockchains heranzuziehen. Nach diesem Grundsatz dürfen personenbezogene Daten nur für eindeutige und rechtmäßige Zwecke erhoben und nicht in einer Weise verarbeitet werden, die mit diesen Zwecken nicht vereinbar ist (siehe Artikel 5 Absatz 1 Buchstabe b DSGVO).
KONFLIKTE MIT DEM DATENSCHUTZRECHT
Eben jene Aufschlüsselung von Blockchains stellen eine potentielle Bedrohung für die individuellen Rechte der EU-Bürger dar. Werden personenbezogene Daten in zulässiger Weise verarbeitet, müssen zudem insbesondere die gesetzlichen Informationspflichten sowie die Betroffenenrechte beachtet werden. Je nachdem, ob die Daten direkt beim Betroffenen erhoben werden oder nicht, müssen ihm die in Art. 13 bzw. Art. 14 DSGVO genannten Informationen mitgeteilt werden. Im Rahmen einer Blockchain-Anwendung werden die Daten regelmäßig nicht bei der betroffenen Person selbst erhoben. Man kann durchaus vertreten, dass die Erteilung der Pflichtinformationen somit meistens unmöglich ist bzw. einen unverhältnismäßigen Aufwand darstellt, sodass darauf gemäß Art. 14 Abs. 5 lit. b) DSGVO verzichtet werden kann.
Keine Ausnahme gibt es jedoch von der Gewährung der Betroffenenrechte nach Art. 15 ff DSGVO. Wie diese Rechte angesichts der Unveränderbarkeit und auf Dauer angelegten Speicherung der in der Blockchain gespeicherten Daten gewahrt werden sollen, ist bislang nicht abschließend geklärt. Im Rahmen der üblichen Blockchain-Anwendungen ist es schlichtweg nicht möglich, beispielsweise den Betroffenenrechten auf Löschung, Berichtigung und Korrektur gerecht zu werden. Ausgeschlossen ist zudem, die Betroffenenrechte vertraglich abzubedingen, da ein Verzicht auf die datenschutzrechtlichen Betroffenenrechte schlicht unwirksam ist