Blockchain und DSGVO müssen kein Widerspruch sein

Bei der Blockchain-Entwicklung ist nicht nur von neuen Frameworks und Features die Rede, auch regulatorische und Compliance-relevante Anliegen spielen eine Rolle. Einer der Bereiche ist die Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 Anforderungen an den Schutz personenbezogener Daten formuliert.

Know-how  –  15 Kommentare
Blockchain-Technologie braucht gesetzliche Grundlagen

(Bild: Pushish Images / shutterstock.com)

Die DSGVO besteht aus 99 Artikeln. Viele davon beschreiben den Anwendungsbereich und das Inkrafttreten; oder sie formulieren, wie staatliche Einrichtungen organisiert sein sollen. Alle anderen Artikel betreffen allgemein datenverarbeitende Unternehmen. Der Artikel beschränkt sich auf die technische Sicht, organisatorische Rahmenbedingungen bleiben deswegen außen vor. Als Beispiel: Für eine Software ist es nicht wichtig, ob Firmen ab einer bestimmten Größe einen Datenschutzbeauftragten haben müssen. Selbstverständlich ist das fürs Unternehmen relevant; nur eben nicht für die technische Umsetzung der Software.

Mit dieser Auswahl bleiben zehn Artikel übrig, die so für jede Software relevant sind, die personenbezogene Daten verarbeitet. Schränkt man sie noch einmal auf die Relevanz für die Blockchain ein, dann schaut man darauf, inwieweit sich ein Programm auf einer Blockchain grundsätzlich anders verhält als mit anderen Techniken – in der Regel mit einer Datenbank.

Solange man von Turing-vollständigen Blockchains wie Ethereum ausgeht, sind sieben der zehn Artikel mit herkömmlichen Methoden zu implementieren. Sie sind hier kurz beschrieben:

  • Artikel 2 bezieht sich auf den Anwendungsbereich der DSGVO, nämlich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten.
  • Artikel 5 umfasst einige Grundsätze zur Bearbeitung der Daten, zum Beispiel die Rechtmäßigkeit und die Nachvollziehbarkeit der Verarbeitung, oder dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben wurden.
  • Artikel 18 behandelt das Recht auf Einschränkung der Verarbeitung.
  • Artikel 20 verlangt, dass sich die gespeicherten Daten in einem maschinenlesbarem Format entweder direkt an die betreffende Person oder, falls das ihr Wunsch ist, an einen Dritten übertragen lassen.
  • Artikel 21 bezieht sich auf das Widerspruchsrecht betroffener Personen. Sie können der Verarbeitung jeder Zeit widersprechen, aus Gründen, die sich aus ihrer besonderen Situation ergeben.
  • Artikel 22 ermöglicht es betroffenen Personen, eine nicht auf automatisierte Verarbeitung beruhende Entscheidung zu verlangen, sofern diese sie erheblich beeinträchtigt.
  • Artikel 25 verlangt, dass der Verarbeiter geeignete technische und organisatorische Maßnahmen zur Umsetzung von Datenschutzgrundsätzen trifft und datenschutzfreundliche Voreinstellungen vornimmt.
  • Artikel 32 enthält, dass Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein ausreichendes Schutzniveau der Daten zu gewährleisten; ausreichend heißt hier dem Risiko angemessen.

Alle diese Artikel sind wie gesagt für jede Anwendung umzusetzen. Für Blockchain-Projekte bleiben drei Artikel der DSGVO übrig, für die man andere Lösungsansätze braucht:

  • Artikel 16: Recht auf Datenaktualisierung
  • Artikel 17: Recht auf Vergessen
  • Artikel 32: Schutz personenbezogener Daten

Überblick der Artikel

Das Recht auf Datenaktualisierung in Artikel 16 beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten, falschen Datensatz durch einen neuen zu ersetzen. Je nach Auslegung bedeutet das die Löschung der alten Daten; um auf Nummer sicher zu gehen, hält man sich an diese strengste Auslegung. In ihrem Fall ist die Umsetzung auf der Blockchain aufgrund der Unveränderbarkeit bestehender Daten nicht ganz trivial, ist aber ohnehin aufgrund von Artikel 17 umzusetzen.

Artikel 17 beschreibt das Recht auf Vergessen. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. In der Beispielimplementierung zeigt der Autor einige Möglichkeiten, diese und die beiden vorher beschrieben Anforderungen zu erfüllen. Der Ansatz besteht aus den drei Komponenten Hash, Secret und Merkle-Tree (Hash-Baum); dieses Vorgehen lässt sich mit zk-SNARKs als viertem Baustein kombinieren.

Hierbei werden keine personenbezogenen Daten direkt auf der Blockchain gespeichert, sondern mit den einzelnen Bausteinen an eine Off-Chain-Datenbank geknüpft. Durch die im Folgenden beschriebene Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte unerwünscht Zugang erhalten.

Artikel 32 beschäftigt sich mit dem Schutz personenbezogener Daten. Der Aspekt hat eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung.