Fachbeitrag

Auch Blockchain-Projekte unterliegen dem Datenschutz

Uhr
von Martin Eckert, Legal Partner, MME Legal Tax Compliance

Datenschutz-Folgenabschätzungen sind ein Must für Projekte, bei denen Personendaten bearbeitet werden. Das gilt auch für Blockchain-Projekte. Denn auch wenn Informationen über die Blockchain pseudonymisiert werden, ist eine Verbindung zwischen den pseudonymisierten Daten und der betroffenen Person möglich.

Martin Eckert, Legal Partner, MME Legal Tax Compliance (Source: zVg)
Martin Eckert, Legal Partner, MME Legal Tax Compliance (Source: zVg)

Bei Nichteinhaltung von Datenschutzbestimmungen können Blockchain-Projekte und -Geschäftsmodelle durch Anordnungen von Massnahmen der Datenschutzbehörden gefährdet werden. Die Bearbeiter personenbezogener Daten laufen zudem Gefahr, mit Bussen, Schadenersatz- und Genugtuungsansprüchen konfrontiert zu werden.

Da Blockchains in der Regel global betrieben werden, empfiehlt es sich, die Compliance an der europäischen Datenschutz-Grundverordnung (DSGVO) als Standard auszurichten.

Klären, ob personenbezogene Daten verarbeitet werden

Vorab ist zu klären, ob in einem Blockhain-Projekt personenbezogene Daten verarbeitet werden. Nach der EU-DSGVO werden personenbezogene Daten als Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person wird als identifizierbar angesehen, wenn es Mittel gibt, die vernünftigerweise geeignet sind, von dem für die Bearbeitung Verantwortlichen oder einer anderen Person zur Identifizierung verwendet zu werden.

Auch wenn Informationen über die Blockchain pseudonymisiert werden, ist eine Verbindung zwischen den pseudonymisierten Daten und der betroffenen Person möglich, sobald Blockchain-Transaktionen mit Off-Chain-Daten kombiniert werden. In reinen On-Chain-Transaktionsmodellen wird die Identifizierung schwieriger, aber nicht unmöglich sein.

Es gilt, zwei heikle Punkte zu berücksichtigen

Heikel ist die Umsetzung des Rechts auf Berichtigung und das Recht auf Vergessenwerden (Art. 16 und 17 DSGVO). In diesem Zusammenhang gibt es zwei Herausforderungen:

  1. Es gibt in einer Public Blockchain keinen Verantwortlichen, da die Blockchain dezentral verwaltet wird. Miners können den Inhalt der Blockchain grundsätzlich nicht bestimmen. Es ist daher unklar, gegen wen der Anspruch der Betroffenen gerichtet werden kann.

  2. Die Blockchain-Technologie zeichnet sich dadurch aus, dass Einträge zwar hinzugefügt, nicht aber nachträglich abgeändert oder entfernt werden können – zumindest nicht ohne Genehmigung anderer Nodes. Offen ist in diesem Zusammenhang, ob die betroffenen Personen auf eine Berichtigung und Löschung im Voraus rechtsgültig verzichten können.

Die EU-DSGVO fordert auch, dass den Grundsätzen des Datenschutzes durch Technik (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) Genüge getan wird und die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt wird (Data Minimization). Mögliche technische Massnahmen zur Gewährleistung des Datenschutzes sind sichere Mehrparteienberechnungen, Chamäleon-Hashfunktionen, Verschlüsselungen und Zero-Knowledge-Proofs.

Saubere Dokumentation

Als Teil der Projektgovernance ist in der Konzeptphase – spätestens aber vor dem Going Life – zu prüfen, ob eine formelle Datenschutz-Folgenabschätzung (Data Protection Impact Assessment gemäss Art. 35 DSGVO) notwendig ist. Wichtig ist in diesem Zusammenhang eine saubere Dokumentation, auch wenn man zu einem negativen Schluss kommt. Auf jeden Fall muss der Verantwortliche die Einhaltung der Datenschutzvorschriften nachweisen können (Accountability).

Webcode
DPF8_111016