Mit dem Aufkommen der Blockchain-Technologie entstanden und entstehen neue Fragen und Herausforderungen in Bezug auf die Vereinbarkeit mit bestehenden Datenschutzgesetzen. Diese Gesetze beruhen auf dem Grundbedürfnis des Menschen nach Kontrolle über die eigenen Daten und dem Schutz der persönlichen Integrität. Doch wie lassen sich Datenschutzgesetze, welche auf zentralen Verantwortlichkeiten aufbauen, in einem System gewährleisten, das auf Dezentralität basiert?
Datenschutz auf der Blockchain: Theorie und Praxis
Der primäre Anknüpfungspunkt für die Anwendbarkeit des Datenschutzrechts ist das Personendatum. Gemäss dem Schweizer Datenschutzgesetz (DSG) gelten alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen, als Personendaten. Dabei ist es ausreichend, wenn eine Person indirekt, also mittels Verknüpfung weiterer Daten, identifiziert werden kann. Folglich stellt sich die Frage, ob Informationen auf der Blockchain überhaupt als Personendaten gelten und somit in den Anwendungsbereich des DSG fallen.
Der Public Key
Der Public Key dient auf der Blockchain als pseudonymisierte Kennung, ähnlich einer Online-Identität. In privaten Blockchains, wo Teilnehmer bekannt sind, ist die Zuordnung relativ simpel, da die Zugangsrechte durch eine zentrale Stelle vergeben werden. Bei öffentlichen Blockchains hingegen erfordert die Identifizierung der hinter einem Public Key stehenden Person zusätzliche Informationen, was die Komplexität erhöht. In der Praxis und Forschung hat sich allerdings gezeigt, dass eine Identifizierung der betroffenen Person anhand des Public Keys möglich ist, beispielsweise weil Personen ihren Public Key offenlegen, um Überweisungen zu erhalten oder aufgrund gesetzlicher Anforderungen wie KYC-Vorschriften. Dies verdeutlicht, dass Public Keys als Personendaten zu qualifizieren sind. (Finck Michèle, Blockchains and Data Protection in the European Union, EDPL, 1/2018, S. 19)
Transaktionsdaten
Transaktionsdaten auf der Blockchain können ebenfalls personenbezogene Daten enthalten. Häufig werden sie als verschlüsselte Daten oder Hashes gespeichert. Während verschlüsselte Daten noch personenbezogen bleiben, da eine Re-Identifizierung möglich ist, hängt die Einstufung von Hashes von ihrer spezifischen Beschaffenheit ab – nicht jeder Hash gewährleistet Anonymität. (Commission Nationale Informatique & Libertés, Premiers éléments d’analyse de la CNIL: Blockchain, September 2018, S. 7 f.)
Die Komplexität der Hashes wird durch die Kollisionsresistenz und Einwegfunktion erhöht. Dennoch können unter gewissen Umständen Hashes als personenbezogene Daten angesehen werden, insbesondere wenn es möglich ist, durch weitere verfügbare Daten Rückschlüsse auf eine Person zu ziehen. Diese Komplexität unterstreicht die Notwendigkeit einer sorgfältigen Prüfung und Handhabung von Transaktionsdaten auf der Blockchain im Hinblick auf Datenschutzgesetze. (Erbguth Jörn, Datenschutzkonforme Verwendung von Hashwerten auf Blockchains, Wann sind kryptographische Hashwerte von personenbezogenen Daten selbst wieder personenbezogene Daten?, in: MMR 2019, S.655)
Verantwortlichkeit auf der Blockchain
Die Verantwortlichkeit für die Datenverarbeitung setzt die Entscheidungsbefugnis über deren Zwecke und Mittel voraus. Wer über den Verarbeitungszweck entscheidet, gilt als Verantwortlicher. Auf einer Blockchain gibt es mehrere Möglichkeiten, wem eine Verantwortlichkeit zugeschrieben werden könnte. Dies hängt in erster Linie mit deren Ausgestaltung zusammen.
Private Blockchain: Hinter einer Private Blockchain steht normalerweise ein Unternehmen oder Konsortium, welches über den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Folglich ist dieses Unternehmen als Verantwortlicher bzw. die am Konsortium Teilnehmenden als gemeinsame Verantwortliche anzusehen. Miner und Nodes nehmen in dieser Konstellation die Rolle eines Auftragsbearbeiters wahr.
Public Blockchain: Schwieriger gestaltet sich die Beantwortung dieser Frage bei einer Public Blockchain, bei welcher der Betroffene direkt mit der Blockchain interagiert. Dazu sollen nachfolgend die einzelnen Akteure einer Blockchain auf eine mögliche Stellung als Verantwortliche überprüft werden.
Es könnte angenommen werden, dass Softwareentwickler für die Datenverarbeitung verantwortlich sind. Jedoch liegt ihre Hauptaufgabe im Design und in der Aktualisierung der Software, nicht in der Entscheidung über den Zweck und die Mittel der Datenverarbeitung. Sie stellen lediglich die Software bereit, ohne Einfluss auf die spezifische Verarbeitung der Personendaten zu nehmen. (Erbguth Jörn/Fasching Joachim Galileo, Wer ist Verantwortlicher einer Bitcoin-Transaktion?, Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain, ZD 12/2017, S. 564)
Miner, die neue Blöcke zur Blockchain hinzufügen, haben zwar Einfluss auf die technischen Aspekte, aber nicht auf den Verarbeitungszweck, wodurch sie ähnlich wie Telekommunikationsdienstleister agieren. Ihre Rolle beschränkt sich auf die Weiterleitung von Daten, ohne für den Inhalt verantwortlich zu sein. (Erbguth Jörn/Fasching Joachim Galileo, Wer ist Verantwortlicher einer Bitcoin-Transaktion?, Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain, ZD 12/2017, S. 563)
Nodes, die Transaktionen überprüfen, haben in der Literatur unterschiedliche Verantwortlichkeitszuschreibungen erfahren. Einige Experten sehen sie als verantwortlich an, da sie aktiv am Netzwerk teilnehmen und Daten verarbeiten. Andere lehnen eine solche Verantwortlichkeit ab, da Nodes keinen direkten Einfluss auf die Daten nehmen. (Bacon Jean et al., Blockchain Demystified: A Technical and Legal Introduction to Distributed and Centralised Ledgers, in: JOLT 1/2018, Rz. 148)
Nutzer, die Transaktionen durchführen, könnten als Verantwortliche gelten, insbesondere wenn sie über die Transaktionsdetails entscheiden. Diese Sichtweise wird jedoch durch die dezentrale Natur der Blockchain und die verteilte Datenspeicherung kompliziert. Eine gemeinsame Verantwortlichkeit aller Nutzer scheint möglich, ist aber in der Praxis wohl kaum umzusetzen.
Fazit
Je nach Information, welche auf der Blockchain gespeichert wird, scheint die Anwendbarkeit des Datenschutzrechts klar gegeben zu sein. Aufgrund der kaum möglichen Zuordnung der Verantwortlichkeit bei Public Blockchains, stellt sich allerdings dennoch die Frage, wie der Datenschutz gewährleistet werden soll.