Datenschutzrechtliche Fragen beim Blockchain-Einsatz
Speichern en bloc
Datenschutz und Blockchain sind schwer miteinander in Einklang zu bringen. In vielen Fällen ist keine hundertprozentige Datenschutz-Compliance und nur eine Risikominimierung möglich.
Wenn man über die Schnittstelle zwischen dem Datenschutz, der häufig unzutreffend mit der Datenschutz-Grundverordnung (DSGVO) gleichgesetzt wird, und Blockchain-Verfahren spricht, ist oftmals nicht nur von Risiken, sondern auch von Chancen die Rede. Eine Überschrift eines Onlineartikels lautet etwa: „DSGVO und Blockchain: Ist das neue EU-Datenschutzgesetz eine Bedrohung oder ein Anreiz?“
In Blockchains, sei es nach Bitcoin-, Ethereum- oder einem anderen Ansatz, werden Daten verarbeitet und gespeichert. Dies gilt darüber hinaus auch für andere Distributed-Ledger-Technologien (DLT) wie IOTA. Wenn es sich dabei um personenbezogene Daten handelt, ist das Datenschutzrecht anwendbar. Personenbezogene Daten definiert Artikel 4 Nummer 1 DSGVO als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“.
Und weiter heißt es: „Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Die Definitionen zeigen, dass das Datenschutzrecht in den meisten Blockchain-Anwendungen zunächst einmal gelten dürfte. Dabei sind die datenschutzrechtlichen Fragen nicht nur auf Bitcoin & Co., also die sogenannten Kryptowährungen, beschränkt.
Kein Personenbezug, kein Datenschutzrecht
Nicht anwendbar ist das Datenschutzrecht, wenn anonyme Daten verarbeitet werden. Das sind Daten, die keinen Personenbezug aufweisen. In Erwägungsgrund 26 der DGSVO heißt es: „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, das heißt für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“
Ein Problem ist allerdings, wenn Daten nicht vollständig anonymisiert, sondern „nur“ pseudonymisiert vorliegen. Hier heißt es in Erwägungsgrund 26: „Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“ Ein Bitcoin-Wallet wäre etwa ein pseudonymisiertes Datum, das man auf eine identifizierbare Person beziehen kann. Durch Coin-Mixing-Tools lässt sich die Herstellung dieser Beziehung zwar erschweren. Ab wann dabei aber die Schwelle von der Pseudonymisierung zur Anonymisierung überschritten wird, ist eine Frage des Einzelfalls. Wenn der Einsatz von Coin-Mixing-Tools im Ermessen des Nutzers steht, muss sich der Anbieter im Zweifel ans Datenschutzrecht halten.
Die DSGVO oder andere datenschutzrechtliche Vorschriften stellen umfassende Pflichten auf, die beim Umgang mit personenbezogenen Daten einzuhalten sind. Sie richten sich in der Regel an den für die Verarbeitung dieser Daten Verantwortlichen. Wer aber ist das bei Blockchain-Anwendungen? Bei Finanztransaktionen mittels Blockchain dürften die Beteiligten ein „berechtigtes Interesse“ an der entsprechenden Verarbeitung ihrer Daten in der Blockchain haben. Sie wäre danach gemäß DSGVO zulässig.
In allen anderen Fällen ist das Problem, dass der „Verantwortliche“ mit der Übergabe der Transaktion an das „Blockchain-Netzwerk“ die Kontrolle über diese Daten verliert. Wenn in der Blockchain dann noch Daten einer Person abgelegt werden, die weder an einer Transaktion beteiligt ist noch eine wirksame Einwilligung gegeben hat, liegt ein Datenschutzverstoß desjenigen vor, der die Speicherung in der Blockchain veranlasst hat. An dieser Stelle treten die unterschiedlichen Ansätze zwischen Datenschutzrecht und Blockchain besonders hervor: Das Datenschutzrecht richtet sich an eine zentrale verantwortliche Stelle, während es bei Blockchain-Verfahren aufgrund des dezentralen Ansatzes eine solche gerade nicht geben soll. Jeden der Nodes als verantwortliche Stelle anzusehen, wäre jedenfalls aus Praxissicht keine Lösung, da sich diese bei sogenannten permissionless Blockchains überall befinden können.
Die Schwierigkeit der transparenten Verarbeitung
Kennzeichen einer öffentlichen Blockchain sind die unveränderbare Speicherung von Daten und die dezentrale, verteilte Registerführung, das Distributed Ledger. Für das Datenschutzrecht entscheidend ist dabei, ob Daten einer Person gespeichert werden, die selbst Teilnehmer des Netzwerkes oder Beteiligter einer Transaktion ist. Eines der obersten Ziele des Datenschutzrechts ist Transparenz. Der Betroffene soll über die Verarbeitung seiner personenbezogenen Daten informiert werden. Er soll Auskunft darüber verlangen dürfen.
Zu diesem Zweck bedarf es einer Datenschutzerklärung, die ihm das offenlegt. Immer dann, wenn das Gesetz oder ein konkreter Vertragszweck nicht vorliegen, hängt die zulässige Datenverarbeitung von einer wirksamen Einwilligung des Betroffenen ab. Ist der Betroffene nur Dritter, also beispielsweise kein Vertragspartner einer Blockchain-Transaktion, müssen diese Pflichten ihm gegenüber anderweitig als im Rahmen eines Vertragsabschlusses erfüllt werden.
Ein weiterer Grundsatz im Datenschutzrecht ist die Zweckbindung. Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie datenschutzkonform erhoben wurden. Findet diese Erhebung im Rahmen einer Blockchain-Transaktion beim Betroffenen statt, ist die Speicherung der Daten in der Blockchain vom Vertragszweck gedeckt. Andernfalls bedarf es dessen Einwilligung. Dies gilt erst recht, wenn Dritte personenbezogene Daten in der Blockchain weiterverarbeiten, ohne dass dies dem bloßen technischen Ablauf in der Blockchain geschuldet ist. Ein Beispiel hierfür wäre die Entscheidungsfindung im Rahmen des Peer-to-Peer-Protokolls.