Ihre Kontakte
Lukas Bühlmann
Michael Reinle
Viele Fragen stellen sich im Zusammenhang mit der Vereinbarkeit von Blockchain und anderen Distributed Ledger Technologien (DLTs) in Bezug auf die EU-Datenschutzverordnung (DSGVO). Die französische Datenschutzbehörde (CNIL) hat kürzlich ihre ersten Überlegungen zu diesem Thema veröffentlicht und einige Antworten und praktische Empfehlungen dazu vorgelegt, wie die Nutzung von Blockchain mit der DSGVO und dem Datenschutzrecht im Allgemeinen in Einklang gebracht werden kann. Dabei wird den «Einschränkungen» Rechnung getragen, welche durch die Nutzung der Blockchain-Technologie entstehen.
Was ist Blockchain?
Mit Blockchain wird eine besondere Form von Distributed Ledger Technology (DLT) bezeichnet, bei welcher Aufzeichnungen in Blöcke zusammengefasst und durch kryptografische Hashfunktionen zu einer praktisch unveränderbaren Kette zusammengefügt werden.
Jeder Block enthält dabei typischerweise einen kryptographischen sicheren Hash (Streuwert) des vorhergehenden Blocks. Nur wenn sich die Hash-Werte verketten lassen, also wenn der neue Block sich mit dem Hash-Wert des Vorgängerblocks zusammenrechnen lässt, darf der nächste Datenblock an den Vorgänger angehängt werden. Beim Hash-Wert handelt es sich um einen mathematisch errechneten Wert, der sich schon bei minimalen Modifizierungen der Daten stark verändert. Jeder Datenblock wird aus den Transaktionsdaten und dem Hash-Wert des letzten Blocks zusammengerechnet und bei korrekter Kalkulation an den Vorgänger angehängt. Auf diese Weise werden die Blocks aneinandergehängt und ergeben dadurch eine Blockchain.
Somit entsteht eine Blockchain aus Daten, in der die Informationen unveränderlich und gegen Manipulationen geschützt sind. Darin liegt eine wichtige Sicherheitsfunktion, welche die Blockchain zukunftsträchtig macht. Die Blockchain-Technologie wirft aber auch Fragen zum Datenschutz und Datensicherheit auf. Die Sicherheit der Daten bzw. Datenübermittlung muss einen hohen Stellenwert beim Einsatz der Blockchain-Technologie einnehmen. Spätestens dann, wenn darin die personenbezogenen Daten von Nutzern gespeichert werden.
EU-Datenschutzgrundverordnung (EU-DSGVO)
Die DSGVO wurde 2012 mit dem Fokus des Gesetzgebers in Bearbeitung genommen, datenschutzrechtliche Pflichten an Cloud-Services sowie soziale Netzwerke und damit auf zentral organisierte Einheiten zu adressieren. Ziel war es die Privatsphäre und Persönlichkeit von Personen zu schützen, über die Daten bearbeitet werden. Gemeint waren vor allem Konzerne wie Facebook, Google oder Amazon und deren Geschäftsmodelle, welche hauptsächlich auf Datenbearbeitung- und Erhebung basieren und nicht auf Blockchain basierende Projekte.
Französische Datenschutzbehörde gibt Empfehlungen zu Blockchain
Die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) hat sich in diesem Zusammenhang als erste Datenschutzbehörde überhaupt geäussert und in einem 11-seitigen Leitfaden konkrete Lösungen vorgeschlagen.
In ihrer Einschätzung prüfte die CNIL zunächst die Rolle der Akteure in einem Blockchain-Netzwerk als Verantwortlicher oder Datenverarbeiter. Die CNIL gab daraufhin Empfehlungen heraus, um die Risiken für den Datenschutz von Personen (Betroffene) zu minimieren, wenn ihre personenbezogenen Daten mit Hilfe der Blockchain-Technologie bearbeitet werden. Darüber hinaus prüfte die CNIL Lösungen, die es den betroffenen Personen ermöglichen, ihre Datenschutzrechte auszuüben. Schliesslich erörterte die CNIL die Sicherheitsanforderungen, die für Blockchain gelten.
Rolle der Akteure in einem Blockchain-Netzwerk
Die CNIL unterscheidet zwischen den Teilnehmern, die die Berechtigung haben, in die Kette zu schreiben («Teilnehmer») und denjenigen, die eine Transaktion validieren und Blöcke erstellen, indem sie die Regeln der Blockchain anwenden. Damit werden die Blöcke von der Gemeinschaft «akzeptiert» («Miners»). Ein Teilnehmer, der im Zusammenhang mit einer beruflichen oder kommerziellen Tätigkeit personenbezogene Daten verarbeitet, gilt im Sinne der DSGVO als Verantwortliche. Ebenfalls qualifizieren juristische Personen als Verantwortliche, wenn sie personenbezogene Daten auf einer Blockchain verarbeiten.
Wird eine Blockchain hingegen nur zu persönlichen Zwecken verwendet, zum Beispiel für eine Bitcoin-Transaktion, soll die DSGVO keine Anwendung finden.
Überprüfung der Angemessenheit beim Einsatz von Blockchain
Im Rahmen der Privacy by Design-Anforderungen der DSGVO müssen die für die Datenverarbeitung Verantwortlichen im Voraus prüfen, ob die Blockchain-Technologie für die Durchführung ihrer Datenverarbeitung geeignet ist. Die Blockchain-Technologie ist nicht unbedingt die am besten geeignete Technologie für die gesamte Verarbeitung personenbezogener Daten und kann dem für die Datenverarbeitung Verantwortlichen Schwierigkeiten bereiten, die Einhaltung der DSGVO sicherzustellen.
Nach Ansicht der CNIL sollten die für die Datenverarbeitung Verantwortlichen, wenn die Eigenschaften der Blockchain nicht erforderlich sind, um den Zweck der Verarbeitung zu erreichen, anderen Lösungen Vorrang einräumen, die die vollständige Einhaltung der DSGVO ermöglichen.
Auswahl des richtigen Formats, in dem die Daten aufzuzeichnen sind
In Bezug auf zusätzliche Daten empfahl die CNIL die Anwendung von Lösungen, bei denen (1) Daten in Klartextform ausserhalb der Blockchain gespeichert werden und (2) nur Informationen, die die Existenz der Daten belegen, auf der Blockchain gespeichert werden sollen (d.h. kryptografische Verpflichtung, Fingerabdruck der Daten, die durch die Verwendung einer verschlüsselten Hash-Funktion erhalten wurden, etc.).
Wie kann sichergestellt werden, dass die betroffenen Personen ihre Datenschutzrechte wirksam ausüben können?
Nach Ansicht der CNIL wirft die Ausübung des Rechts auf Information, des Rechts auf Zugang und des Rechts auf Datenübertragung im Rahmen der Blockchain-Technologie keine besonderen Schwierigkeiten auf (d.h. die für die Datenverarbeitung Verantwortlichen können die Datenverarbeitung ankündigen und auf die Anträge der betroffenen Personen auf Zugang zu ihren personenbezogenen Daten oder auf eine entsprechende Datenübertragbarkeit reagieren).
Die CNIL erkannte jedoch an, dass es für die für die Verarbeitung Verantwortlichen technisch unmöglich ist, den Aufforderungen der betroffenen Personen zur Löschung ihrer personenbezogenen Daten nachzukommen, wenn die Daten in die Blockchain eingegeben werden: Einmal im Blockchain-System gespeichert, können die Daten nicht mehr korrigiert oder gelöscht werden.
Next Steps
Nach Ansicht der CNIL erfordern die Herausforderungen der Blockchain-Technologie eine Antwort auf europäischer Ebene. Die CNIL kündigte an, dass sie mit anderen EU-Aufsichtsbehörden zusammenarbeiten wird, um einen soliden und harmonisierten Ansatz für die Blockchain-Technologie zu erarbeiten.
Weitere Informationen:
