Gratis
25. September 2018 - Wer ist datenschutzrechtlich Verantwortlicher?

Französische Datenschutzbehörde gibt Empfehlungen zu Blockchain

Die Technologie der sogenannten Blockchain bildet nicht nur die Basis für Kryptowährungen wie Bitcoin. Sie lässt sich beispielsweise auch zum Herkunftsnachweis von Produkten einsetzen oder kann Transaktionen und Verträge aller Art verwalten. Wie ist sie aus Datenschutz-Sicht zu beurteilen?

Datenschutz bei der Blockchain Blockchains werden datenschutzrelevant, wenn personenbezogene Daten darin gespeichert sind (Bild: 8vFanI / iStock / Getty Images)

Was die Technologie leistet

Anders als herkömmliche Datenbanken setzt die Blockchain auf ein verteiltes System verschiedener Rechner, die miteinander vernetzt sind. Durch einen komplexen Mechanismus ist gewährleistet, dass Manipulationen an den Einträgen dieser „Datenbank“ sofort auffallen und die entsprechenden Einträge für ungültig erklärt werden.

Mit der Blockchain-Technologie experimentieren zahlreiche große Unternehmen. Die US-Kette Walmart will damit beispielsweise lückenlos die Herkunft und Frische von Waren dokumentieren.

In der Versicherungswirtschaft wären damit „Smart Contracts“ möglich. Über Algorithmen würden beispielsweise Verträge automatisiert policiert oder Schäden abgewickelt.

Die Blockchain wirft aber auch Fragen zum Datenschutz auf. Spätestens dann, wenn darin die personenbezogenen Daten von Nutzern gespeichert werden. Eine besondere Herausforderung stellt die Tatsache dar, dass es sich um ein verteiltes System handelt. Damit ist die Frage zu beantworten, wer die Verantwortlichen im Sinne der DSGVO sind.

Deswegen hat sich jetzt die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) mit dem Thema beschäftigt.

Grundlegende Erläuterungen

Im ersten Teil des Dokuments definiert die Behörde zunächst die wichtigsten Eigenschaften der Blockchain, wie die Transparenz der Transaktionen und den dezentralen Ansatz. Außerdem werden die Rollen der Akteure innerhalb einer Blockchain definiert.

Dabei orientiert sich die CNIL am Modell der Kryptowährungen. Schließen werden drei Arten von Blockchains unterschieden (öffentlich, zugangsbeschränkt, privat).

Bereits in dieser Einleitung unterstreichen die Datenschützer ihre Ansicht, dass bei der Verarbeitung von personenbezogenen Daten innerhalb einer Blockchain die DSGVO zu beachten ist. Die ersten Ausführungen (in französischer Sprache) sind als kurze Einführung in die Blockchain geeignet.

Arten von personenbezogenen Daten

Die Behörde unterteilt die in der Blockchain gespeicherten Informationen in zwei Arten von Daten:

  • Zum einen solche, die die Identifizierung von Teilnehmern ermöglichen. Jeder Nutzer hat einen öffentlichen Schlüssel, der dazu notwendig ist, den Empfänger einer Transaktion zuordnen zu können. Hier sind insbesondere minderjährige Nutzer zu berücksichtigen.
  • Zum anderen ergänzende Informationen, die in einer Transaktion erfasst werden. Das sind beispielsweise Diplome oder Eigentumsurkunden. Damit werden entweder personenbezogene Daten verarbeitet oder eine Person lässt sich darüber identifizieren.

Forderung nach Privacy by Design

Die CNIL fordert die Akteure auf, bei der Gestaltung von Produkten und Dienstleistungen, die die Blockchain benutzen, den Grundsatz des „Privacy by Design“ zu beachten.

Dabei empfiehlt es sich, auch darüber nachzudenken, ob nicht alternative Technologien einsetzbar wären.

In jedem Fall ist die Durchführung einer Datenschutz-Folgenabschätzung angebracht, um die Verhältnismäßigkeit des Systems zu überprüfen und zu dokumentieren.

Aktionsplan vorgesehen

Die CNIL sieht in der Blockchain eine Technologie, die in Bezug auf die Achtung der Grundrechte eine Reaktion auf europäischer Ebene erfordert.

Sie will in Kooperation mit den anderen europäischen Datenschutzbehörden einen harmonisierten Ansatz vorschlagen, der zukünftig den Umgang mit der Blockchain bewerten und regulieren soll.

Stephan Lamprecht