Blockchain DSGVO

EU-Blockchain-Observatory: Blockchain ist nicht unvereinbar mit DSGVO


Ihre Kontakte

Ein neuer Bericht des EU-Blockchain-Observatory zeigt konkrete Reibungspunkte zwischen Blockchain-Anwendungen und der DSGVO auf. Neben interessanten Lösungsmöglichkeiten werden auch grundlegende «Faustregeln» definiert, die Entwicklern und Anbietern von Blockchain-Anwendungen im diskutierten Kontext eine Unterstützung bieten.

Hintergrund des Berichts

Das EU Blockchain Observatory and Forum, eine Initiative der Europäischen Kommission, hat am 16. Oktober 2018 einen Bericht mit dem Titel «Blockchain and the GDPR» veröffentlicht. Darin werden datenschutzrechtliche Fragen im Kontext von Blockchain-Anwendungen aufgegriffen, und mögliche Lösungsvorschläge diskutiert. Konkret geht es um Reibungspunkte zwischen Blockchain-Anwendungen und der im Mai 2018 in der EU in Kraft getretene Datenschutz-Grundverordnung (DSGVO). Mit diesem Bericht reagiert das EU Blockchain Observatory, wie zuvor die französische Datenschutzbehörde CNIL (vgl. dazu MLL-News vom 6.11.18), auf eine Vielzahl von intensiv diskutierten Fragen in der Blockchain-Community.

Der disruptive Charakter der Blockchain-Technologie beruht unter anderem darauf, dass sie eine dezentrale und unveränderbare Speicherung von Daten erlaubt. Gerade diese Eigenschaften führen aber im Kontext der DSGVO, welche auf den klassischen Paradigmen bezüglich Datenspeicherung basiert, zu verschiedenen offenen Fragen. So ist es auch nicht verwunderlich, dass bei der Einführung des DSGVO einige Stimmen in der Blockchain- Community laut wurden, welche die grundsätzliche Unvereinbarkeit von sog. Public Blockchains mit der DSGVO sehen.

Im aktuellen Bericht kommt das EU Blockchain Observatory nach der Auflistung der grössten Herausforderungen zum Schluss, dass die Blockchain-Technologie und die DSGVO durchaus vereinbar sein können. Hierfür ist es jedoch wichtig zu verstehen, dass es bei der Frage nach der Konformität mit der DSGVO nicht um die Technologie selbst, sondern ihre konkreten Anwendungsfälle geht. Im Bericht wird vorerst festgehalten, dass besonders sog. public permissionless Blockchains, sprich öffentliche Blockchain-Netzwerke (Public Blockchains) ohne Zugangsbeschränkung für Nodes, vor Herausforderungen stehen. Nachfolgend sollen die grössten potentiellen Probleme für Blockchain-Anwendungen vorgestellt und erläutert werden.

Die Suche nach einem Verantwortlichen

Im Rahmen der DSGVO wurden für die für eine Datenverarbeitung Verantwortlichen (Data Controller) eine Vielzahl von Pflichten festgeschrieben. Wie auch im Zusammenhang mit einer Vielzahl von anderen Formen der digitalen Datenverarbeitung (vgl. das Bsp. der Facebook-Fanpages, MLL-News vom 17.6.18) fällt es auch bei public permissionless Blockchains nicht leicht, einer bestimmten Partei die Rolle des (alleine oder gemeinsam) Verantwortlichen zuzuordnen. Als potenzielle Verantwortliche wurden bereits verschiedene Akteure diskutiert: Protokollentwickler, Nodes und auch die einzelnen Netzwerknutzer.

Das Observatory stellt fest, dass eine Identifizierung der Protokollentwickler und Nodes als Verantwortliche wenig Sinn macht. Hingegen können Netzwerknutzer gerade dann, wenn sie als Dienstleister persönliche Daten auf der Blockchain speichern, als Verantwortliche identifiziert werden. Netzwerknutzer hingegen, die ihre eigenen persönlichen Daten auf der Blockchain speichern, fallen laut Observatory höchstwahrscheinlich unter die sog. Haushaltsausnahme (vgl. Art. 2 Abs. 2 lit. c DSGVO). Im Zusammenhang mit Smart Contracts kommt neben den genannten Akteuren auch der Veröffentlichter des Smart Contracts als Verantwortlicher in Frage. Insgesamt kann jedoch auch in diesem Kontext die Frage des Verantwortlichen nicht abschliessend beantwortet werden.

Anonymisierung als Lösung?

Damit Daten als anonymisiert gelten und nicht mehr personenbezogene Daten im Sinne der DSGVO sind, müssen zwei grundlegende Bedingungen erfüllt werden. Ersten darf es nicht möglich sein, die Daten mit einem verhältnismässigen Aufwand der zugehörigen natürlichen Personen zuzuordnen. Zweitens muss es unmöglich sein, den Prozess der Anonymisierung umzukehren und die Originaldaten aus den anonymisierten Daten zu gewinnen. Aufgrund der Unveränderbarkeit von Daten in den meisten Blockchains besteht laut Observatory ein Konsens darüber, dass persönliche Daten generell nicht (unverschlüsselt) auf Blockchains gespeichert werden sollten. Bedenkt man jedoch, dass selbst öffentliche Schlüssel aufgrund des Risikos der Zuordenbarkeit durch Mustererkennung als nicht anonymisierte persönliche Daten gelten, wird schnell klar, dass Protokollentwickler in diesem Zusammenhang mit grossen Problemen konfrontiert sind.

Entwickler arbeiten deshalb an unterschiedlichsten Verschleierungs- und Verschlüsselungsmethoden, damit auf der Blockchain gespeicherte Daten als anonymisiert im Sinne des DSGVO gelten. Dies bedingt wie bereits erwähnt, dass eine Rückberechnung der Originaldaten nicht möglich ist und dass eine Zuordnung der anonymisierten Daten zu den Datensubjekten nur mit einem unverhältnismässigen Aufwand möglich ist. In diesem Kontext befinden sich viele Entwickler in einem Spannungsfeld zwischen rechtlicher Konformität und technologischer Praktikabilität. Gemäss Observatory bleibt zur Zeit nichts anderes übrig, als Blockchain-Anwendungen durch eine Einzelfallbetrachtung zu analysieren, um allfällige Problemfelder zu identifizieren und Lösungen zu suchen.

Weitere Unklarheiten

Obwohl der Schwerpunkt des Berichts der Obversatory auf den bereits erwähnten grossen Themen der Identifizierung des Verantwortlichen und der Speicherung von anonymisierten Daten liegt, werden verschiedenste weitere offene Fragen zu Blockchain-Anwendungen im Kontext der DSGVO erwähnt und kurz zusammengefasst.

So stellt sich beispielsweise die Frage, inwiefern Datensubjekte von ihrem Rechten auf Vergessenwerden, Richtigstellung und Löschung von persönlichen Daten Gebrauch machen können, wenn doch gerade die Unveränderbarkeit von Blockchains eine ihrer grundlegendsten Eigenschaften ist. Selbst wenn der Verantwortliche für die personenbezogenen Daten auf der Blockchain identifiziert wäre, könnten aufgrund des dezentralen Charakters von Blockchains diese Probleme nicht einfach gelöst werden. Dasselbe gilt für Probleme in Verbindung mit dem Auskunftsrecht der betroffenen Person.

Blockchain-Anwendungen und DSGVO vereinbar

Das Blockchain Observatory erkennt in seinem Bericht, dass bei der Auseinandersetzung mit den einzelnen Problemfeldern der Anschein entstehen kann, Blockchain-Anwendungen seien grundsätzlich inkompatibel mit den Anforderungen der DSGVO. Dieser Anschein trüge jedoch. Das Observatory stellt fest, dass zurzeit besonders eine Klarstellung zu offenen Fragen von den relevanten Behörden und Gerichten gefordert ist. Für die Zwischenzeit empfiehlt das Observatory Einzelfallanalysen für Blockchain-Anwendungen. Weiter wird die Berücksichtigung von vier Faustregeln, die vom Observatory für Entwickler und Anbieter von Blockchain-Anwendungen zusammengestellt wurden, empfohlen:

  1. Beginne mit dem Big Picture: Wie wird Nutzen für die Benutzer geschaffen, wie werden die Daten genutzt und brauchst du wirklich eine Blockchain?
  2. Vermeide das Speichern persönlicher Daten auf einer Blockchain. Nutze Verschleierungs-, Verschlüsselungs- und Verdichtungsmethoden voll aus, um Daten zu anonymisieren.
  3. Sammle persönliche Daten off-chain oder, falls die Blockchain nicht vermieden werden kann, auf privaten, beschränkt zugänglichen Blockchain-Netzwerken. Berücksichtige personenbezogene Daten sorgfältig, wenn private Blockchains mit öffentlichen Blockchains verbunden werden.
  4. Fahre fort mit Neuerungen und sei so deutlich und transparent wie möglich im Umgang mit den Nutzern.

Der Ball liegt nun bei den Behörden

Nachdem die französische Datenschutzbehörde CNIL bereits im September 2018 einen Bericht zu den Reibungspunkten zwischen Blockchain-Anwendungen und der DSGVO veröffentlicht hatte, liegt mit dem Bericht des Blockchain Observatory nun eine weitere Stellungnahme zu diesem Thema vor. In beiden Berichten werden Reibungspunkte aufgeführt und teilweise auch mögliche Lösungsvorschläge für Probleme aufgeführt. Eine offizielle Äusserung zu diesem Thema auf EU-Ebene könnte nicht nur für die geforderte Aufklärung sorgen, sondern auch Tür und Tor für neuartige und gezielte Innovationen öffnen.

Abschliessend bleibt anzumerken, dass das EU Blockchain Observatory die fundamentalen datenschutzrechtlichen Spannungsfelder in Bezug auf Public Blockchains letztlich bestätigt, wenn auch bemüht ist, diese durch Fokussierung auf die Möglichkeit der Verwendung sog. Private Blockchains zu relativieren. Vor dem Hintergrund des enormen wirtschaftlichen und technologischen Nutzens von Blockchains ist das nachvollziehbar. Die grossen Vorteile und neuartigen Nutzen liegen jedoch gerade in der faktischen Unabänderlichkeit und damit Manipulationssicherheit von auf einer Blockchain gespeicherten Informationen. Diese Eigenschaft ist jedoch nur bei der sog. public permissionless Blockchains gegeben.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.