Digitale Identitäten und Datenschutz & Blockchain

Die Blockchain ermöglicht die Selbstverwaltung der eigenen (digitalen) Identität, was u.a. die Verwaltung von mehreren separaten Accounts für verschiedene Plattformen oder Services überflüssig machen könnte. Die Hauptverantwortung für die Verwaltung der eigenen Identität über eine Blockchain läge bei der Person selbst und nicht bei einer oder mehreren zentralen Institutionen bzw. Unternehmen, welche die persönlichen Informationen über Benutzerkonten zentral administrieren und kontrollieren. Auch sich wiederholende Authentifizierungsverfahren wären vielfach überflüssig, wenn einer Person bzw. Identität auf der dezentralen Datenbank einer Blockchain persönliche Informationen oder Berechtigungen manipulationssicher, permanent und transparent zugeordnet werden könnten. Die Verfügungsmacht über die eigene Identität in „dezentraler Selbstverwaltung“ ermöglicht auch die selbstständige und souveräne Entscheidung darüber, ob und wenn ja welche Informationen Dritten zur Verfügung gestellt werden, die für den jeweiligen Zweck tatsächlich erforderlich sind.

Bei der Verarbeitung von Daten sind fast immer auch datenschutzrechtliche Vorschriften zu beachten, wie z.B. die EU-Datenschutz-Grundverordnung („DSGVO“). Diese ist immer dann anwendbar wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Daten, die sich auf eine bestimmte oder (nur abstrakt) bestimmbare Person beziehen. Im Hinblick auf diese sehr weite Definition personenbezogener Daten unter der Datenschutzgrundverordnung fallen somit zahlreiche Datenverarbeitungen im Zusammenhang mit der Nutzung einer Blockchain unter das Regime des Datenschutzrechts. In den meisten Fällen werden zumindest pseudonyme Daten (und nicht anonyme Daten) verarbeitet, die einen Rückschluss auf eine Person zulassen. So ist beispielsweise die Bitcoin Adresse in der Regel ein pseudonymes und damit personenbezogenes Datum, da die Adresse in den meisten Fällen (ggf. mit Zusatzwissen) einer natürlichen Person zugeordnet werden kann.

In der Folge stellen sich aus datenschutzrechtlicher Sicht im Zusammenhang mit der Anwendung von Blockchain-Technologien einige wichtige Fragen: Wer ist überhaupt der verantwortliche Datenverarbeiter (sog. Verantwortlicher nach der DSGVO), der die Einhaltung der Datenschutzregeln gewährleisten und nachweisen muss? Auf welcher Rechtsgrundlage dürfen personenbezogene Daten im konkreten Fall verarbeitet werden? Wie können die Informationspflichten und Betroffenenrechte (z.B. Recht auf Löschung, Recht auf Berichtigung, Rechts auf Datenübertragbarkeit) nach der DSGVO vom Verantwortlichen gewährleistet werden (sofern von einer Verantwortlichkeit auszugehen ist)?

Schon die Bestimmung der Verantwortlichkeit unter der DSGVO in einem dezentralen System wie der Blockchain ist nicht einfach, da die Blockchain eben nicht zentral von einem oder einigen wenigen Akteuren sondern einer Vielzahl unterschiedlicher Teilnehmern „betrieben“ wird. Die DSGVO geht von einer klaren und zentral organisierten Rollenverteilung aus: den (oder die gemeinsamen) Verantwortlichen und Auftragsverarbeiter, welche jeweils verschiedene klar definierte Pflichten unter der DSGVO treffen. Die Bestimmung der Verantwortlichkeit kann richtigerweise nicht allgemein, sondern muss immer für den Einzelfall erfolgen. Hierbei ist die Art der Blockchain (private/public und permissioned/permissionless) sowie die konkrete Einflussnahmemöglichkeit auf die Festlegung der Zwecke und Mittel der Datenverarbeitung einzelner Teilnehmer maßgeblich.

Zudem  muss beachtet werden, dass Transaktionsdaten auf den meisten Blockchains (in Abhängigkeit vom jeweiligen Protokoll) öffentlich für jeden einsehbar, unveränderbar und auf Dauer gespeichert werden. Die Transparenz und Unveränderbarkeit der dezentralen Datenbank einer Blockchain kann aus datenschutzrechtlicher Sicht ein großes Problem darstellen. Insbesondere im Hinblick auf das Recht auf Löschung („Recht auf Vergessenwerden“) oder Berichtigung der betroffenen Personen unter der DSGVO. Denn personenbezogene Daten, die einmal auf der Blockchain gespeichert worden sind, können nicht ohne weiteres oder gar nicht gelöscht oder verändert bzw. überschrieben werden. In dieser Hinsicht ist derzeit nicht abschließend geklärt, ob und wenn ja wer (in Abhängigkeit der konkreten Rolle) die Rechte der Bettoffenen wie umsetzen kann.
 
Die französische Datenschutzbehörde (CNIL) hat sich als erste europäische Datenschutzbehörde überhaupt dem Thema Blockchain und DSGVO Compliance angenommen. Die Behörde hatte sich in ihrer entsprechenden Veröffentlichung Gedanken zur (datenschutzrechtlichen) Rollenverteilung der verschiedenen beteiligten Akteure gemacht und Anregungen zur Umsetzung der Anforderungen der DSGVO im Umfeld einer Blockchain gegeben. Die Datenschutzaufsicht hat beispielsweise anerkannt, dass das Recht auf Löschung eines Betroffenen bei einer Blockchain für den oder die Verantwortlichen technisch nicht umsetzbar ist, jedoch alternative Möglichkeiten bestehen sich dem Recht auf Löschung „anzunähern“. Auch wenn im Hinblick auf die bisher einzige Äußerung einer Datenschutzbehörde naturgemäß noch zahlreiche Einzelfragen offen bleiben, sollten potentielle Anbieter (bzw. Verantwortliche) von Blockchains so früh wie möglich prüfen, welche Anforderungen der DSGVO wie umgesetzt werden können. Dabei sollte stets die Art der Blockchain und die konkrete technische Umsetzung maßgeblich Berücksichtigung finden.