Blockchain Technologie ist in aller Munde. Das nächste grosse Ding! In der Praxis gibt es aber noch einige Hürden zu überwinden. Eine davon ist die Datenschutz-Grundverordnung (DSGVO), ihre paradoxe Beziehung zu Blockchain und wie personenbezogene Daten darauf gehalten werden.
Damit wir darüber reden können, muss zuerst folgendes klar sein:
Blockchain ist nicht nur Bitcoin und andere Crypto Coins. Sie ist primär eine Distributed Ledger Technology (DLT). Also eine Datenbank, die an mehreren Orten abgespeichert ist. Jedes Mal eine exakte Kopie der anderen.
Am einfachsten stellt man sich ein Kassenbuch (Ledger) vor, welches jeder Teilnehmer für sich führt und nach jedem Eintrag miteinander abgeglichen werden muss. Wird ein Kassenbuch manipuliert, in unserem Beispiel wird der Wert eines Eintrags im Buch verändert, stimmt dieses nicht mehr mit den anderen überein und ist somit ungültig. Dasselbe gilt für die Löschung eines Eintrags. Falls wir einen Wert verändern möchten, muss dies durch einen neuen Eintrag im Kassenbuch geschehen. In der Blockchain wird dazu ein neuer Block erstellt. Das Großartige daran? Die Integrität der darauf gespeicherten Daten wird sichergestellt. Sie ist unveränderbar und sorgt für bedingungslose Transparenz sowie Nachvollziehbarkeit.
Dadurch erfüllt eine Blockchain von Natur aus eine wichtige Anforderung der DSGVO:
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
Die DSGVO verlangt jedoch auch das „Recht auf Vergessen“. Als Betreiber einer Blockchain muss ich personenbezogene Daten löschen können. Wer aufmerksam liest, ahnt bereits: „Ah, da passt etwas nicht zusammen!“.
Vor allem öffentliche Blockchains, wie die von Bitcoin, werden dieser Anforderung nicht gerecht. Einige bekannte Beispiele zeigen auf, dass anstelle einer Anonymisierung eine Pseudonymisierung stattfindet. So konnte das Finanzministerium der USA, mit dem Zusammenzug verschiedener Informationen, digitale Adressen an einzelnen Cyber Kriminellen zuordnen.
Ist der Traum der neuen digitalen Revolution also geplatzt? Nein.
Jede erfolgreiche Technologie macht unzählige Iterationen durch und adaptiert sich. So mag Blockchain zwar nicht die endgültige Lösung sein, jedoch gibt es diverse andere DLTs, welche entwickelt werden und bereits im Einsatz sind.
Obwohl Corda ursprünglich für den Finanzsektor entworfen wurde, findet sie Anwendungsfälle in weiteren Gebieten wie dem Gesundheitswesen oder der Automobilbranche.
Ein Beispiel dafür ist die Plattform Cardossier. Ein Verein, der digitale Fahrzeugdaten dezentral für alle Mitglieder verfügbar und einheitlich macht. Das Projekt setzt auf Corda als darunterliegende DLT. Der zentrale Vorteil dabei? Es gibt mehrere, für unser Thema jedoch zwei essenzielle:
- Zum einen handelt es sich um eine „Permissioned“ Blockchain, in der nur ausgewählte Mitglieder einen Ledger betreiben dürfen. Zusätzlich muss der Zugriff auf einzelne Daten initial freigegeben werden.
- Zum anderen ermöglicht sie ein eigenes, flexibleres Datenmodell. Das Modell von Cardossier erlaubt es, neue Blöcke als zusätzliche Verzweigungen in der Kette, an der Basiskette anzuhängen.
Wichtig dabei ist, dass persönliche Daten nicht auf der Basiskette gespeichert werden, sondern auf den Verzweigungen. Durch das Entfernen der Verzweigung ist es möglich die Daten zu löschen, ohne die komplette Blockchain zu manipulieren.
Es gibt also Möglichkeiten, Blockchain und die DSGVO miteinander zu vereinbaren. Dieser Blogbeitrag behandelt jedoch nur ein Use Case. Die gesamte Komplexität dieser Beziehung abzubilden, würde den Rahmen des Blogs sprengen. Wichtig ist, dass es Lösungswege gibt. Auch wenn diese noch nicht „pfannenfertig“ vorhanden sind und eine Bereitschaft voraussetzt, die ursprüngliche Blockchain Ideologie zu hinterfragen.