Datenschutz bei Bitcoin und anderen DLT-basierten Anwendungen

1. Einleitung

Der Europäische Rat, das Europäische Parlament und die Europäische Kommission einigten sich nach einer fast 4 Jahre anhaltenden Diskussion letztendlich für den abschließenden Inhalt der neuen Datenschutz-Grundverordnung.¹ Am 25. Mai 2018 soll diese dann, als eine Antwort auf die sich stetig weiterentwickelnden Herausforderungen der Informationswirtschaft des 21. Jahrhunderts und der damit zusammenhängenden Wahrung der Privatsphäre und der Autonomie, in Kraft treten.² Das Ziel der neuen Datenschutz-Grundverordnung ist es, datenschutzrechtliche Belange innerhalb Europas zu vereinheitlichen, um dem einzelnen gewährleisten zu können, dass er mehr Kontrolle über seine eigenen Daten hat. Dies hat zum Ergebnis, dass alle EU-Staaten sich an dieselben Standards bezogen auf den Datenschutz halten müssen.³ Die Datenschutz-Grundverordnung hat unter anderem sich zur Aufgabe gemacht, offen für Technologie zu sein und Problematiken bezogen auf neue Technologien lösen zu können. Dementsprechend gilt sie auch für die Blockchain-Technologie, die in dieser Arbeit in Bezug auf den Datenschutz thematisiert wird.⁴ Die Blockchain ist eine Art der Technologie des dezentralen Transaktionsregisters. Im englischsprachigen Raum redet man auch von „Distributed Ledger Technology“, DLT genannt. Am einfachsten ist zu sagen, dass die Blockchain ein digitales Buchführungssystem ist, dass kein Gebrauch von einem zentralen Register macht.⁵ Den aktuellen Bekanntheitsgrad genießt die Blockchain durch die Kryptowährung Bitcoin, die die Blockchain als technische Basis benutzt. DLT, wie Bitcoin, lassen jedoch verschiedenste datenschutzrechtliche Fragen, bezogen auf die DSGVO, entstehen. Es besteht eine Problematik, da sich die DSGVO hauptsächlich auf herkömmliche zentralisierte Datenverarbeitungsverfahren beschränkt. Trotz dessen, dass sich das Europäische Parlament und der Rat darum bemühen, den datenschutzrechtlichen Gefahren von dezentralen Systemen zu entgegnen, ist zu sagen, dass die DSGVO diese nicht explizit anspricht. Hierdurch entsteht im Ergebnis ein Mangel an Rechtssicherheit unter anderem für Intermediäre von Digital Ledger-Ökosystemen. Hierunter fallen z.B. Bitcoin-Börsen oder auch Zahlungsdienstleister, die durch die Unsicherheiten dazu geneigt sind, sich außerhalb des EU-Gebiets anzusiedeln. Dies könnte besonders problematisch sein, da diese Intermediäre die einzigen Akteure im Netzwerk sind, die Potenzial dazu haben, einen wirksamen Ansatz der Regulierung zur Verhinderung von Missbrauch von Digital Ledger-Systemen zu implementieren und letztendlich durchzuführen.⁶ Im Laufe dieser Seminararbeit soll verständlich gemacht werden, inwiefern die Funktionsweise des Bitcoins und damit verbunden der Blockchain für ein Grundverständnis der Datenschutzproblematik essentiell ist. Des Weiteren soll erarbeitet werden, inwiefern die Blockchain und somit auch der Bitcoin mit dem Datenschutzrecht und der DSGVO vereinbar ist, insbesondere auch bezogen auf die in §5 ff. DSGVO erläuterten Grundsätze. Anschließend wird kritisch betrachtet, welche rechtlichen Problematiken es bezogen auf einzelne Recht der Betroffenen und wie diese mit den Eigenschaften der Blockchain harmonieren, gibt. Im letzten Teil, dem Fazit, wird die Arbeit noch einmal zusammengefasst und eine Aussicht für die Zukunft in Bezug auf die Kompatibilität zwischen der DSGVO und dem Bitcoin bzw. der Blockchain-Technologie, aufgestellt. Im Ergebnis soll die Arbeit aufweisen, welche Konflikte zwischen der Blockchain und der DSGVO vorhanden sind. Jedoch wird in dieser Arbeit kein Lösungsansatz für diese entwickelt.

2. Die Blockchain

2.1 Funktionsweise des Bitcoins und der Blockchain

Übliche Währungen werden im Normalfall über eine Bank oder auch durch direkte Transaktionen, wie bei einem Baraustausch ausgetauscht, im Gegensatz hierzu werden Bitcoins mithilfe eines sogenannten Peer-to-Peer Netzwerks transferiert.⁷ Das Peer-to-Peer Netzwerk, auch „P2P“ genannt, ist ein Modell, das auf einem Netzwerk basiert, in dem Computer-Ressourcen, aber auch Dienste über den direkten Handel geteilt werden können.⁸ Jegliche teilnehmenden Computer können Dienste in Anspruch nehmen aber auch anbieten, hierbei ist essentiell, dass keine Abhängigkeit von zentralen Servern besteht.⁹ Demnach wird das Netzwerk durch teilnehmende Nutzer gebildet, die eine bestimmte Software nutzen, die sich Bitcoin-Client nennt. Daraus kann geschlossen werden, dass es keinen zentralen Verwaltungsserver gibt und der Bitcoin keiner Aufsicht einer bestimmten Behörde oder auch Regierung unterliegt. Die Vertrauenswürdigkeit eines Users ist dadurch gegeben, dass Bitcoins eine elektronische Anreihung von Signaturen darstellen und diese mit Informationen verbunden sind, durch die der Ersteller der Signatur sich mit seiner abgegebenen Unterschrift identifizieren kann.¹⁰ Eine Übertragung des Bitcoins von einem Nutzer auf den anderen funktioniert, wie beim Online-Banking, mithilfe von Überweisungen, die mit jedem internetfähigen Gerät durchgeführt werden können.¹¹ Bei Überweisungen in herkömmlichen Bankensystemen ist der Name und die IBAN des Empfängers und auch des Senders bekannt. Im Gegensatz dazu sind Bitcoin Überweisungen, dadurch, dass Sender und Empfänger nur durch einen mathematisch erstellten Schlüssel aus Ziffern und alphabetischen Werten verbunden sind, weitestgehend anonym.¹² Da hier der Begriff „weitestgehend“ benutzt wird, ist daraus zu verstehen, dass eine vollkommene Anonymität jedoch nur möglich ist, wenn man in seiner Vorgehensweise sehr vorsichtig ist und darauf achtet, möglichst wenig Informationen bei Transaktionen auf z.B. fremden Seiten zu hinterlassen, denn in diesem Falle wäre es möglich durch bestimmte Vorgehensweisen diese Schritte bis zum Namen zurückzuverfolgen.¹³ Daraus resultiert, dass bei allen Transaktionen, bei denen man bei der Anmeldung seinen Namen angeben muss, wie zum Beispiel bei Käufen in Onlineshops oder auch beim Handel an Börsen, es möglich ist, die Transaktionen bis auf den Namen zurückzuverfolgen.¹⁴ Dies ändert jedoch nicht, dass der Bitcoin mit einem noch nie dagewesenen Umfang an Transparenz arbeitet, alle Bitcoin-Transaktionen öffentlich sind und sie in einem Bitcoin-Netzwerk gespeichert werden.¹⁵ Lediglich bestehen Transaktionen mit Bitcoins aus Bitcoin-Adressen, die von einem Nutzer zum anderen gesendet werden und somit auch die einzige Information zum Nutzer hergeben.¹⁶ Bitcoin-Adressen sind somit der einzige informationshaltige Wert, der verwendet wird, um bestimmen zu können, wem welche Bitcoin-Transaktion innerhalb des Netzwerks zugeteilt ist. Die sogenannte „Wallet“, ein Konto für die Verwaltung und Transaktionsabwicklung von Bitcoins, ist der Ort an dem diese Adressen generiert werden.¹⁷ In dem Moment, in dem eine Adresse verwendet wird, wird diese dann ebenfalls auch in dem Geschichtsverlauf aller Transaktionen festgehalten und ist somit für alle Nutzer einsehbar.¹⁸ Durch die Installation der Bitcoin-Software wird die „Wallet“ eingerichtet und ist in der Lage den Besitz von Bitcoin und den Verlauf des Bitcoin-Verkehrs anzuzeigen. Für die Aufzeichnung aller Transaktionen gibt es die sogenannte Blockchain, eine zentrale Verzeichnisdatei, in der alle Bitcoin-Transaktionen in Blocks gespeichert werden.¹⁹ Die Blockchain dient dazu, alle abgelaufenen Transaktionen im Rahmen des Bitcoin-Netzwerks chronologisch zu registrieren. Sie wird durch ihre Nutzer verwaltet und ist dezentral bei allen Teilnehmern des Netzwerks gesichert.²⁰ Bitcoins tragen innerhalb dieses Netzwerks die Rolle der Rechnungseinheiten. Durch kryptographische Algorithmen werden sichere Transaktionen und eine dezentrale Verwaltung der Blockchain gewährleistet. Hierbei baut der Bitcoin auf zwei fundamentalen Konzeptionen der Kryptographie auf: Zum einen auf die Public-Key-Kryptographie und zum anderen auf die kryptographischen Hash-Funktionen. Diese werden im Folgenden genauer erklärt. Die Public-Key-Kryptographie zeichnet sich dadurch aus, dass ein Algorithmus ein mathematisch miteinander vereinigtes Schlüsselpaar mit einem öffentlichen und einem privaten Schlüssel erstellt. Zur Erstellung einer digitalen Signatur kann das erstellte Paar genutzt werden. Hierfür stattet der Absender eine Nachricht mit seinem privaten Schlüssel, der allein ihm bekannt ist aus und kann dann die signierte Nachricht an den Empfänger zu senden. Im nächsten Schritt kann der Empfänger die signierte Nachricht mit dem öffentlichen Schlüssel des Absenders prüfen und dementsprechend, wenn die Schlüssel kompatibel sind, die Authentizität der Nachricht bestätigen. Durch das System der digitalen Signatur werden also drei verschiedene Ziele erreicht. Zum ersten, kann die Authentizität der Nachricht dadurch nachgewiesen werden, dass nur der Absender den privaten Schlüssel kennt. Zweitens kann die Sendung der Nachricht seitens des Absenders nicht geleugnet werden. Als letzter Punkt kann die Nachricht nicht ohne, dass es bemerkt wird, verändert werden, was die Integrität des Inhalts gewährleistet. Damit wird eine Lösung für das Problem des doppelten Ausgebens desselben Betrags, das aufgrund der Kopierbarkeit digitaler Informationen grundsätzlich besteht, gefunden.²¹ Die Blockchain wird ebenfalls beim Bitcoin-Mining benutzt, um eine Nachvollziehung aller Transaktionen zu jedem Zeitpunkt gewährleisten zu können.²² Die Funktion des Bitcoin-Minings liegt darin, dass die sogenannten Miner, eine Bestätigung aller virtuell verbuchten Vorgänge erfassen. Dadurch, dass täglich eine Vielzahl von Transaktionen mit Bitcoins durchgeführt werden, müssen all diese Transaktionen erfasst und dokumentiert werden, damit man sie im Nachhinein nachvollziehen kann. Daher besteht auch der Bedarf an den sogenannten Minern, da sie das komplette Bitcoin-Netzwerk am Leben halten. Die Sicherstellung dieser Hauptquelle wird dadurch gewährleistet, dass erst nach einer Verschlüsselung des Blocks in Form eines sogenannten Hashs, das heißt einer Folge von Buchstaben und Zahlen, die Übertragung in die Blockchain erfolgt.²³ Nach der Generierung eines Blocks von Transaktionen lassen die Miner einen Prozess durchlaufen, in dem sie die Informationen entnehmen und eine mathematische Formel anwenden, die die Transaktion letztendlich umwandelt. Im nachfolgenden Schritt ist die Transaktion um ein erhebliches Maß kürzer und nur noch eine Aneinanderreihung von Buchstaben und Zahlen, ein Hash. Am Ende der Blockchain wird dieser Hash dann im Block aufbewahrt. Es ist nicht schwer einen Hash zu erzeugen, jedoch zu beachten ist das, wenn auch nur ein Zeichen im Block verändert wird, sich der ganze Hash ändert. Dadurch ist jeder Hash einzigartig. Bei der Erzeugung eines Hashs nutzen die Miner nicht nur die Transaktionsdaten im Block, sondern auch zusätzliche Daten, wie zum Beispiel ein Teil der Daten im Hash des letzten Blocks in der Blockchain.²⁴ Jeder Hash eines Blocks benutzt den vorherigen Hash eines Blocks, sodass dadurch eine Art von Siegel entsteht, der bestätigt, dass der aktuelle Block und der vorherige gültig sind. Würde man also versuchen eine Transaktion zu manipulieren, in dem man einen Block ändert, der bereits in der Blockchain vorhanden ist, müsste man den Hash ebenfalls ändern. Da es mithilfe der Hashing-Funktion möglich ist, die Echtheit eines Blocks zu überprüfen, würde man direkt merken, dass der Hash nicht mit dem in der Blockchain übereinstimmt. Hieraus würde sich, da jeder Hash eines Blocks dazu genutzt wird, den Hash des nächsten Blocks in der Blockchain zu erstellen, ergeben, dass auch die folgenden Hashes manipuliert sind.²⁵ Zusammenfassend ist zu sagen, dass der Prozess des Minings, zur Ausschüttung von neuen Bitcoins dient, in dem in einem sehr komplexen Rechenverfahren die Bitcoin-Transaktionen zu Blöcken zusammengefasst und verifiziert werden. In Abständen von durchschnittlich zehn Minuten werden Blöcke erstellt und nach Korrektheit geprüft. Im nachfolgenden Schritt werden dann diese erstellten Blöcke, der Blockchain hinzugefügt. Da das Mining ein sehr komplexer, mit hohen technischen Kenntnissen und auch hohen Rechenkapazitäten verbundener Ablauf ist, erhalten die Miner, diejenigen, die ihre Rechenleistung zur Verfügung stellen, eine Gegenleistung in Form von Bitcoins.

2.2 Arten der Blockchain

Um ein grundlegendes Verständnis für die Datenschutzproblematik aufzubauen, spielt es eine große Rolle, sich bewusst zu machen, welche verschiedenen Arten von Blockchain in den letzten Jahren entwickelt wurden. Hierbei ist die Blockchain zum einen in die offene und dezentrale „Permissionless Blockchain“ und zum anderen in die „Permissioned Blockchain“ einzuteilen.²⁶ Im Falle, dass eine Blockchain für jeden zugänglich gemacht wird mit dem Ziel, dass hier Transaktionen von jedermann durchgeführt werden können, spricht man von einer öffentlichen Blockchain, besser bekannt als „Open Permissionless Blockchain“. Diese Blockchain genießt in der Öffentlichkeit am meisten Aufmerksamkeit, da der Bitcoin aber auch das Ethereum mit dieser Blockchain arbeiten. Das Besondere an ihr ist, dass es keine Kontrollinstanzen gibt, die darauf achten, wer das Netzwerk betritt oder verlässt. Als Gegenstück zur „Open Permissionless Blockchain“ gibt es die private Blockchain, auch „Permissioned Blockchain“ genannt. Für diese ist charakteristisch, dass Lese- und Zugriffs Berechtigungen verteilt werden an einen eingegrenzten Kreis von Personen. Nur nach Erteilung einer Berechtigung kann die dann für die Blockchain zugelassene Person Transaktionen tätigen. Ein passendes Beispiel hierfür wäre, wenn eine Bank und eine Versicherung sich für ein gemeinsames Projekt entscheiden und diesbezüglich eine Blockchain einrichten, um eine effizientere Abwicklung der Geschäfte untereinander zu ermöglichen. Hierbei ist wichtig zu verstehen, dass auch wenn die Blockchain privat bzw. geschlossen ist, man von den Vorteilen der Blockchain profitieren kann. Die gering mögliche Abänderbarkeit der Daten zum Beispiel kann in Fällen von evtl. Compliance-Verstößen helfen. Ebenfalls die durch die Blockchain gewährleistete Vermeidung von doppelten Transaktionen, kann weiterhin auch hier als Vorteil gesehen werden.²⁷ Die Schwierigkeiten zwischen der Blockchain und der DSGVO rühren nicht aus den „Private permissioned Blockchains“, da diese stark mit einem gewöhnlichen privaten Datenbanksystem verglichen werden kann. Vielmehr entstehen Probleme in Verbindung mit der offenen „Permissionless Blockchain“, die auch wie schon erwähnt die Grundlage für den Bitcoin widerspiegelt.²⁸

[...]

¹ Ackermann, A., Eu-Datenschutz-Grundverordnung: Das sind die Neuerungen, Internquelle.

² Smolenski,N., The EU General Data Protection Regulation and the Blockchain, Internetquelle.

³ Ackermann, A., Eu-Datenschutz-Grundverordnung: Das sind die Neuerungen, Internetquelle.

⁴ Maas,S, Datenschutz in der Produktentwicklung: Blockchain Technologie, Internetquelle.

⁵ Hammonds,K, Die Kraft des Zusammenspiels, Internetquelle.

⁶ Pesch/Sillaber, CRi 2017, 166, (167).

⁷ Kerscher, Bitcoin: Funktionsweise, Risiken und Chancen der digitalen Währung, S.31.

⁸ Eisenschmid, Peer-to-Peer-Architekturen, 2005, S.3.

⁹ Ebd.

¹⁰ Kerscher, Bitcoin: Funktionsweise, Risiken und Chancen der digitalen Währung, S.11.

¹¹ Ebd. S.12.

¹² Ebd.

¹³ 99bitcoins.com, TOP SIEBEN MÖGLICHKEITEN, DIE IHRE IDENTITÄT, IHRE BITCOIN-ADRESSE VERKNÜPFT WERDEN KÖNNEN, Internetquelle.

¹⁴ Ebd.

¹⁵ Schulz, B., Spuren des Geldes, Internetquelle.

¹⁶ Blockchaincenter, Wie viele Bitcoin-Adressen gibt es?, Internetquelle.

¹⁷ Kerscher, Bitcoin: Funktionsweise, Risiken und Chancen der digitalen Währung, S.12.

¹⁸ Ebd.

¹⁹ Ebd. S.13.

²⁰ Schlat/Schweizer/Urbach/Fridgen, Blockchain: Grundlagen, Anwendungen und Potenziale, 2016, S.8.

²¹ Ebd.

²² BTC-Echo, Wie funktioniert Bitcoin Mining?, Internetquelle.

²³ Focus Online, Bitcoin-Mining-So generieren Sie die Kryptowährung selbst, Internetquelle.

²⁴ BTC-Echo, Wie funktioniert Bitcoin Mining?, Internetquelle.

²⁵ Ebd.

²⁶ Finlow-Bates, BLOCKCHAIN AND GDPR, 2017.

²⁷ Isler, Jusletter, 2017, 2 (4).

²⁸ Finlow-Bates, BLOCKCHAIN AND GDPR, 2017.