Die Blockchain-Technologie birgt ein großes Innovationspotenzial, das allerdings rechtlich gesehen auch viele Fragen aufwirft. Unter anderem die Frage, ob die Anwendung von Blockchain-Technologien den Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, "DSGVO"), die seit 25.Mai 2018 in Kraft ist, entspricht. Mit dem im September 2018 veröffentlichten Leitfaden der französischen Datenschutzbehörde "Commission Nationale de l'informatique et des Libertés" ("CNIL") wurde europaweit erstmalig zu diesem Thema eine Stellungnahme abgegeben.
Datenschutzrechtliche Vorgaben sind für die Blockchain-Technologie relevant, wenn darin personenbezogene Daten gespeichert werden. Da die DSGVO eher auf eine zentrale Verarbeitung der Daten abzielt, kann es im Hinblick auf die Technologie der Blockchain, bei der das System auf verschiedene, miteinander verknüpfte Rechner (Stichwort: Dezentralität), aufgeteilt ist, zu Schwierigkeiten kommen. Vor allem aufgrund des dezentralen Systems stellt sich die Frage, wer Verantwortlicher im Sinne der DSGVO ist.
Erläuterungen und Empfehlungen der CNIL:
1. Verantwortliche und Auftragsverarbeiter in der Blockchain
Zu Beginn des Leitfadens wird auf die Dezentralität der Blockchain und auf die Vielzahl der involvierten Akteure hinsichtlich der Datenverarbeitung hingewiesen. Festgestellt wird, dass die Teilnehmer, die sich entscheiden, Daten zur Validierung durch Miner in das System einzuspeisen, als Verantwortliche im Sinne des Art 4 Z 7 DSGVO anzusehen sind, da sie über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Laut CNIL sind folgende Personen, die Transaktionen auf einer Blockchain vornehmen, Verantwortliche im Sinne des Art 4 Z 7 DSGVO:
Die DSGVO findet somit gemäß Art 2 Abs 2 lit c DSGVO keine Anwendung, wenn die Blockchain für rein private Zwecke verwendet wird, beispielsweise im Rahmen einer Bitcoin-Transaktion.
Damit sind nicht alle Akteure, die auf einer Blockchain interagieren, Verantwortliche im Sinne der DSGVO. Nach Auffassung der CNIL sind Miner nicht Verantwortliche, sondern Auftragsverarbeiter, da sie nicht über die Zwecke und Mittel der Datenverarbeitung entscheiden, sondern nur Transaktionen validieren, die von Teilnehmern eingereicht wurden. Diesbezüglich ist sich die CNIL der praktischen Schwierigkeiten der Qualifikation der Miner als Auftragsverarbeiter bewusst, vor allem im Hinblick darauf, dass bei einer Public Blockchain Verträge gemäß Art 28 DSGVO mit den Verantwortlichen geschlossen werden müssten.
Die CNIL empfiehlt für den Fall, dass Mehrere personenbezogene Daten auf einer Blockchain verarbeiten, den Verantwortlichen im Vorhinein zu bestimmen oder eine juristische Person zu gründen, die als Verantwortliche festgelegt wird. Wenn dies nicht geschieht, gelten sie als gemeinsam für die Verarbeitung Verantwortliche gemäß Art 26 DSGVO und müssen in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt.
Im Falle von sogenannten "smart contracts", kann der Entwickler des Algorithmus laut CNIL ein einfacher Lösungsanbieter sein oder, wenn er an der Verarbeitung der Daten teilnimmt, als Verantwortlicher oder Auftragsverarbeiter, je nachdem ob er auch über die Zwecke und Mittel der Datenverarbeitung entscheidet oder nicht. Unter einem "smart contract" versteht man einen Vertrag auf Grundlage einer Software, bei dem gewisse Vertragsbedingungen hinterlegt werden. Wenn diese Vertragsbedingungen erfüllt werden, werden mit dem Vertrag verknüpfte Aktionen daraufhin selbständig ausgeführt.
2. Problematische Datenverarbeitung außerhalb der EU
Im Allgemeinen fordert die CNIL den Verantwortlichen dazu auf, den Grundsatz des "Privacy by Design" gemäß Art 25 Abs 1 DSGVO zu beachten, wonach er geeignete technische und organisatorische Maßnahmen zu treffen hat, die die Datenschutzgrundsätze wirksam umsetzen und die notwendigen Garantien in die Verarbeitung aufnehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.
Der Leitfaden thematisiert auch den Datentransfer außerhalb der Europäischen Union, welcher bei einer Blockchain ständig stattfindet. Die CNIL sieht den Datentransfer außerhalb der EU besonders im Rahmen einer Public Blockchain als problematisch an, da der Verantwortliche nur schwer die Kontrolle über den Standort der Miner hat. Bei der zulassungsbeschränkten Blockchain kann laut CNIL der Transfer durch Standardvertragsklauseln, verbindliche Unternehmensregeln, Verhaltenskodices oder Zertifizierungsmechanismen reguliert werden. Aus diesem Grund rät die Französische Datenschutzbehörde zum Einsatz einer zulassungsbeschränkten Blockchain, anstelle einer öffentlichen Blockchain.
3. Grundsatz der Datenminimierung
Die CNIL thematisiert in ihrem Leitfaden auch den Grundsatz der Datenminimierung. Gemäß Art 5 Abs 1 lit c DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Außerdem muss eine Aufbewahrungsfrist für die personenbezogenen Daten festgelegt werden. Allerdings ist gerade für die Blockchain charakteristisch, dass Daten in einem Block, der von der Mehrheit der Teilnehmer akzeptiert worden ist, technisch nicht mehr verändert oder gelöscht werden können.
Grundsätzlich kann eine Blockchain zwei verschiedene Arten personenbezogener Daten enthalten. Zum einen solche Daten, die die Identifizierung von Teilnehmern ermöglichen. Dabei hat jeder Nutzer einen öffentlichen Schlüssel, der dazu notwendig ist, den Empfänger einer Transaktion zuordnen zu können. Laut CNIL ist es nicht möglich, eine dauerhafte Speicherung des öffentlichen Schlüssels zu vermeiden, da seine "Lebensdauer" an die der Blockchain angepasst ist. Zum anderen können personenbezogene Daten auf der Blockchain ergänzende Informationen sein, die auf der Blockchain gespeichert sind, und personenbezogene Daten enthalten können, die eine Verbindung zu anderen Personen, die sich von Teilnehmer und Miner unterscheiden, herstellen. Im Hinblick auf die ergänzenden Informationen, die in einer Transaktion erfasst worden sind, empfiehlt die CNIL eine off-chain Speicherung. Wenn dies nicht möglich ist, sollten die Daten auf der Blockchain mittels kryptografischer Verschlüsselung, einem Code oder einer Hash-Funktion abgebildet werden.
4. Vollständige Wahrnehmung der Betroffenenrechte?
Im Hinblick auf die rechtmäßige Wahrnehmung der Betroffenenrechte sieht die französische Datenschutzbehörde keine Schwierigkeiten beim Recht auf Information (Art 13, 14 DSGVO), beim Recht auf Auskunft (Art 15 DSGVO) und beim Recht auf Datenübertragbarkeit (Art 20 DSGVO). Laut CNIL ist die Ausübung dieser Rechte mit den technischen Eigenschaften der Blockchain kompatibel.
Technische Umsetzungsschwierigkeiten sieht die CNIL allerdings unter anderem beim Recht auf Löschung gemäß Art 17 DSGVO. Denn wenn Daten auf der Blockchain gespeichert werden können, kann der Verantwortliche diese Daten bei Eingabe in die Blockchain durch Verschlüsselung oder Hash-Funktionen fast unzugänglich machen. Somit ist es technisch unmöglich, dem Recht auf Löschung im Sinne des Art 17 DSGVO nachzukommen, weil die Daten immer noch auf der Blockchain existieren und nicht endgültig gelöscht werden. Die CNIL empfiehlt diesbezüglich, private Schlüssel zu löschen.
Technisch unmöglich ist es laut CNIL auch, das Recht auf Berichtigung gemäß Art 16 DSGVO verordnungskonform zu gewährleisten, wenn unverschlüsselte Daten auf der Blockchain gespeichert sind. Es wird daher empfohlen, unverschlüsselte personenbezogene Daten nicht auf der Blockchain zu speichern.
5. Wie kann die Sicherheit in der Blockchain gewährleistet werden?
Hinsichtlich der zugangsbeschränkten Blockchain wird von der französischen Datenschutzbehörde empfohlen, sicherzustellen, dass es zu keiner Koalition aus 50% der Beteiligten der Blockchain kommen kann, da ansonsten die Kontrolle über die Blockchain nicht mehr gewährleistet wäre. Um ein mögliches Hacken des Algorithmus zu verhindern, rät die CNIL zu technischen und organisatorischen Maßnahmen, die auch einen Notfallplan für den Fall vorsehen, dass Algorithmen abgeändert werden, wenn eine Schwachstelle identifiziert wurde.
6. Beurteilung
Mit dieser Stellungnahme der französischen Datenschutzbehörde wurden erstmals datenschutzrechtliche Problematiken der Blockchain konkret thematisiert und einige Lösungsvorschläge unterbreitet.
Meines Erachtens ist die Einschätzung der CNIL, dass dem Recht auf Löschung gemäß Art 17 DSGVO nicht vollständig entsprochen werden kann, vollkommen zutreffend. Denn da die Daten, sobald sie auf der Blockchain sind, weder gelöscht noch geändert werden können, kann dem Recht der betroffenen Person auf Löschung der Daten nicht mehr in vollem Umfang nachgekommen werden. Allerdings ist in diesem Zusammenhang auch zu bedenken, dass die betroffene Person die unverzügliche Löschung ihrer Daten nur verlangen kann, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art 17 Abs 1 lit a DSGVO). Fraglich ist hier, ob die Daten für den erhobenen Zweck im Hinblick auf die technischen Besonderheiten der Blockchain (und im Hinblick auf die Systemimmanenz, in die der Teilnehmer zumindest konkludent eingewilligt hat) nicht doch notwendig sind. Eine erhöhte Information für die Teilnehmer und potenziell betroffenen Personen iSd DSGVO, zeitlich bevor diese eine Blockchain-Anwendung nutzen, ist daher empfehlenswert.
Jacqueline Bichler
https://www.cnil.fr/sites/default/files/atoms/files/la%5Fblockchain.pdf (zuletzt abgerufen am 8.4.2019).
