Die Blockchain-Technologie ermöglicht neue Geschäftsmodelle und Prozesse. Wie für jede Technologie, die Neuland beschreitet, ist eine solide rechtliche Analyse unerlässlich. Der Entwickler muss sich aller relevanten Regelungen und Standards bewusst sein, die erfüllt sein müssen, um das Projekt erfolgreich auf die Beine zu stellen.
Nach der am 25. Mai 2018 in Kraft getretenen EU-Datenschutzverordnung (DSGVO) laufen Bearbeiter personenbezogener Daten bei Verletzung der Verordnung Gefahr, mit hohen Bussen sowie Schadenersatz- und Genugtuungsansprüchen konfrontiert zu werden. Auch wenn Entwickler eines Blockchain-Projekts in der Regel weder Verantwortliche noch Auftragsverarbeiter sein dürften, sollten sie die datenschutzrechtlichen Aspekte bei der Softwareentwicklung berücksichtigen. Denn bei Nichteinhaltung von Datenschutzbestimmungen können Blockchain-Projekte und Geschäftsmodelle durch Anordnungen von Massnahmen der Datenschutzbehörden gefährdet werden.
Wie können entsprechende Risiken vermieden werden?
Generell sollte sichergestellt werden, dass das Projekt den höchsten Standards entspricht. Da die Blockchain von Natur aus global ist, empfehlen wir die DSGVO als Standard. Die EU-Gesetzgebung ist im Allgemeinen benutzerfreundlich, aber dennoch teilweise schwer umzusetzen.
Nach der DSGVO werden personenbezogene Daten als Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person wird als identifizierbar angesehen, wenn es Mittel gibt, die vernünftigerweise geeignet sind, von dem für die Bearbeitung Verantwortlichen oder einer anderen Person zur Identifizierung verwendet zu werden. Auch wenn Informationen über die Blockchain pseudonymisiert werden, ist eine Verbindung zwischen den pseudonymisierten Daten und der betroffenen Person möglich, sobald Blockchaintransaktionen mit Off-Chain-Daten kombiniert werden. In reinen On-Chain-Transaktionsmodellen wird die Identifizierung schwieriger, aber nicht unmöglich sein. Generell spricht also vieles dafür, dass solche Informationen über die Blockchain personenbezogene Daten darstellen.
Spricht man von Datenschutz auf der Blockchain scheinen insbesondere die Rechte auf Berichtigung und auf Vergessenwerden nach den Artikeln 16 und 17 DSGVO problematisch. Gemäss diesen Rechten hat die betroffene Person das Recht auf Berichtigung unrichtiger personenbezogener Daten oder auf deren Löschung, wenn diese Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind oder wenn die betroffene Person ihre Einwilligung widerruft und es keinen anderen Rechtsgrund für die Verarbeitung gibt. In diesem Zusammenhang gibt es im Allgemeinen zwei Herausforderungen:
- Zunächst einmal gibt es in einer public blockchain keinen Verantwortlichen, da die Blockchain dezentral verwaltet wird. Miners können den Inhalt der Blockchain grundsätzlich nicht bestimmen. Es ist daher unklar, gegen wen der Anspruch der Betroffenen gerichtet werden kann.
- Zweitens zeichnet sich die Blockchain-Technologie dadurch aus, dass Einträge zwar hinzugefügt, nicht aber nachträglich abgeändert oder entfernt werden können – zumindest nicht ohne Genehmigung anderer nodes.
Vor diesem Hintergrund sollten sich die Architekten und Entwickler von Blockchain-Projekten in einem frühen Stadium mit dem Datenschutz auseinandersetzen. Je früher sich Ihr Team mit dem Thema beschäftigt, desto geringer ist das Risiko, dass eine Blockchainanwendung angepasst oder gar neu aufgebaut werden muss. Die DSGVO fordert ferner auch, dass den Grundsätzen des Datenschutzes durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) Genüge getan wird. Dies bedeutet, dass vorsorglich mittels geeigneter Massnahmen das Risiko von Datenschutzverletzungen zu verringern und durch geeignete Voreinstellungen der verwendeten Systeme sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt wird. Mögliche technische Massnahmen zur Gewährleistung des Datenschutzes sind sichere Mehrparteienberechnungen, Chamäleon Hashfunktionen, Verschlüsselungen und Zero Knowledge Proofs.
Darüber hinaus bedarf es nach der DSGVO in einigen Fällen (1) vor der Bearbeitung personenbezogener Daten einer Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein Verfahren zur Beschreibung der Bearbeitung, zur Beurteilung der Notwendigkeit und Verhältnismässigkeit einer Verarbeitung und zur Bewältigung der Risiken für die Rechte und Freiheiten natürlicher Personen, die sich aus der Bearbeitung personenbezogener Daten ergeben. Die DSFA ist ein wichtiges Instrument für die Rechenschaftspflicht. Es hilft den Verantwortlichen nicht nur, die Anforderungen der DSGVO zu erfüllen, sondern auch nachzuweisen, dass geeignete Massnahmen ergriffen wurden, um die Einhaltung der Verordnung zu gewährleisten. Die DSFA ist daher ein Verfahren zur Erstellung und zum Nachweis der Konformität. (2)
Auch wenn das Projekt bereits läuft, sollte ein sorgfältiger Entwickler die rechtliche Situation und den Umgang der Behörden bezüglich Fragen des Datenschutzes auf der Blockchain überwachen. Die Entwickler müssen bereit sein, alle Fragen zu beantworten und den Behörden die getroffenen Schutzmassnahmen darzulegen. Ein effizienter Weg, um sicherzustellen, dass alle Datenschutzanforderungen erfüllt werden, ist die Erlangung von Datenschutzzertifikaten (z.B. das ePrivacy-Siegel; www.eprivacy.eu).
Die Blockchain-Technologie steckt noch in den Kinderschuhen, weshalb die rechtlichen Fragen dazu nicht restlos geklärt sind. Daher ist es ebenso wichtig, die Entwicklung der rechtlichen Situation, insbesondere in Bezug auf den Datenschutz, im Auge zu behalten und bereit zu sein, Änderungen so schnell wie möglich umzusetzen. Denn langfristig wird sich dies nicht nur auf den Projekterfolg auswirken, sondern auch auf den Wert eines jeden Tokens.
(1) Insbesondere, wenn neue Technologien eingesetzt werden und dies zu einem hohen Risiko für die Rechte und Freiheiten einer natürlichen Person führen kann.
(2) Guidelines on Data Protection Impact Assessment (DPIA).
