Herausforderungen für den Datenschutz in der Blockchain

Inhaltsverzeichnis

Literaturverzeichnis

A. Einleitung

B. Blockchain
I. Was ist eine Blockchain?
II. Ausprägung von Blockchains
1. Öffentliche Blockchain-Systeme
2. Private Blockchain-Systeme

C. Datenschutz
I. DS-GVO: Anwendbarkeit und wichtigste Grundprinzipien
1. Anwendbarkeit der DS-GVO auf Blockchains
2. Bestimmbarkeit von Daten in der Blockchain
3. Die Datenschutzgrundsätze aus Art. 5 DS-GVO
4. Verantwortlichkeit
5. Betroffenenrechte
II. Datenschutzrechtliche Herausforderungen in der Blockchain
1. Unveränderbarkeit der Daten
2. Vereinbarkeit mit den DS-GVO Grundsätzen
3. Bestimmung des/der Verantwortlichen
4. Durchsetzbarkeit von Betroffenenrechten
5. Blockchain-Technologie und „Privacy by Design“
III. Lösungsansätze
1. Technische Ansätze
2. Konzeptioneller Ansatz
3. Regulatorische Ansatz
IV. Abmahnfähigkeit von DS-GVO-Verstößen

D. Fazit und Ausblick

Literaturverzeichnis

Article 29 Working Party

Opinion 03/2013 on purpose limitation, WP 203 (00569/13/EN) (zit. als: Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203 (00569/13/EN), p.)

Artikel 29-Datenschutzgruppe

Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136 (01248/07/DE) (zit. als: Artikel 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136 (01248/07/DE), S.)

Artikel 29-Datenschutzgruppe

Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 (00264/10/DE) (zit. als: Artikel 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169 (00264/10/DE), S.)

Artikel 29-Datenschutzgruppe

Stellungnahme 5/2014 zu Anonymisierungstechniken, WP 216 (0829/14/DE) (zit. als: Artikel 29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, WP 216 (0829/14/DE), S.)

Artikel 29-Datenschutzgruppe

Leitlinien zum Recht auf Datenübertragbarkeit, 2016, WP 242 rev. 01 (16/DE) (zit. als: Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, 2016, WP 242 rev. 01 (16/DE), S.)

Bartsch, Alexander/Behnke, Elaine

Dynamische IP-Adressen können personenbezogene Daten sein – ein rechtliches Interesse des Website-Betreibers rechtfertigt deren Speicherung, IR 2017, 22-24 (zit. als: Bartsch/Behnke, Dynamische IP-Adressen können personenbezogene Daten sein, IR 2017, 22(S.))

Baumgartner, Ulrich/ Sitte, Konstantin

Abmahnungen von DS-GVO-Verstößen, Angekündigte Abmahnwelle wird wohl ausbleiben, ZD 2018, 555-560 (zit. als: Baumgartner/Sitte, Abmahnungen von DS-GVO-Verstößen , ZD 2018, 555 (S.))

Bechtholf, Hans/Vogt, Niklas

Datenschutz in der Blockchain – Eine Frage der Technik, Technologische Hürden und konzeptionelle Chancen, ZD 2018, 66-71 (zit. als: Bechtholf/Vogt, Datenschutz in der Blockchain – Eine Frage der Technik, ZD 2018, 66 (S.))

Berberich, Matthias/Steiner, Malgorzata

Blockchain Technology and the GDPR – How to Reconcile Privacy and Distributed Ledhers?, 2 Eur. Data Prot. L.Rev. 2016, 422-426 (zit. als: Berberich/Steiner, Blockchain Technology and the GDPR - How to Reconcile Privacy and Distributed Ledgers?, 2 Eur. Data Prot. Law Rev. 422 (2016), p.)

Berentsen, Aleksander/Schär, Fabian

Bitcoin, Blockchain und Kryptoassets, Eine umfassende Einführung, 1. Auflage 2017, Universität Basel (zit. als: Berentsen/Schär, Bitcoin, Blockchain und Kryptoassets, 2017, S.)

Böhme, Rainer/Pesch, Paulina

Technische Grundlagen und datenschutzrechtliche Fragen der Blockchain-Technologie, DuD 2017, 473-481 (zit. als: Böhme/Pesch, Technische Grundlagen und datenschutzrechtliche Fragen der Blockchain-Technologie, DuD 2017, 473 (S.))

Commission Nationale de l’Informatique et des Libertés (CNIL)

Premiers éléments d’analyse de la CNIL, Blockchain, Septembre 2018, abrufbar unter: https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf, zuletzt abgerufen am: 25.01.2019 (zit. als: CNIL, Premiers éléments d’analyse de la CNIL, Blockchain, 2018, S.)

Ehmann, Eugen/Selmayr, Martin (Hrsg.)

DS-GVO, Datenschutz-Grundverordnung, Kommentar, 2. Auflage 2018, München (zit. als: Bearbeiter in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2018, Art. Rn.)

Einaste, Taavi

Blockchain and healthcare: the Estonian experience, abrufbar unter: https://e-estonia.com/blockchain-healthcare-estonian-experience/, zuletzt abgerufen am: 25.01.2019 (zit. als: Einaste, Blockchain and healthcare: the Estonian experience, 02/2018)

Erbguth, Jörn/Fasching, Joachim Galileo

Wer ist Verantwortlicher eine Bitcoin-Transaktion?, Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain, ZD 2017, 560-565 (zit. als: Erbguth/Fasching, Wer ist Verantwortlicher einer Bitcoin-Transaktion?, ZD 2017, 560 (S.))

Fink, Michèle

Blockchains and Data Protection in the European Union, Max Planck Institute for Innovation and Competition Research Paper No. 18-01, 2017, DOI 10.2139/ssrn.3080322 (zit. als: Finck, Blockchains and Data Protection in the European Union, 2017, S., DOI 10.2139/ssrn.3080322)

Gola, Peter (Hrsg.)

Datenschutz-Grundverordnung, VO (EU) 2016/679, Kommentar, 2. Auflage 2018, München (zit. als: Bearbeiter in: Gola, DS-GVO, 2018, Art. Rn.)

Guggenberger, Nikolas

Datenschutz durch Blockchain – eine große Chance, ZD 2017, 49-50 (zit. als: Guggenberger, ZD 2017, 49 (S.))

Hofert, Eduard

Blockchain-Profiling, Verarbeitung von Blockchain-Daten innerhalb und außerhalb der Netzwerke, ZD 2017, 161-165 (zit. als: Hofert, Blockchain-Profiling, ZD 2017, 161 (S.))

Hosp, Julian

Blockchain 2.0, einfach erklärt – weit mehr als nur Bitcoin, 2. Auflage 2018 (zit. als: Hosp, Blockchin 2.0, 2018, S.)

Köhler, Helmut/Bornkamm, Joachim/Feddersen,Jörn (Hrsg.)

Gesetz gegen den unlauteren Wettbewerb, Preisangabenverodnung, Unterlassungsklagengesetz, Dienstleistungs-Informationspflichten Verordnung, Beck’scher Kurz-Kommentar, Band 13a, 37. Auflage 2019, München (zit. als: Bearbeiter in: Köhler/Bornkamm/Feddersen, UWG, 2019, Art. Rn.)

Kulhari, Shraddha

Building-Blocks of a Data Protection Revolution, The Uneasy Code for Blockchain Technology to Secure Privacy and Identity, MIPLC Studies, 2018 (zit. als: Kulhari, Building-Blocks of a Data Protection Revolution, 2018, S.)

Kusber, Thomasz/Schwalm, Steffen/Berghoff, Christian/Korte, Ulrike

Langfristige Beweiserhaltung und Datenschutz in der Blockchain , 2018, abrufbar unter: https://www.researchgate.net/profile/Steffen_Schwalm/publication/327467430_Langfristige_Beweiswerterhaltung_und_Datenschutz_in_der_Blockchain/links/5b90ee4f45851540d1d23d5e/Langfristige-Beweiswerterhaltung-und-Datenschutz-in-der-Blockchain.pdf, zuletzt abgerufen am: 25.01.2019), (zit. als: Kusber/Schwalm/Berghoff/Korte, Langfristige Beweiswerterhaltung und Datenschutz in der Blockchain, 2018, S. 1)

Kühling, Jürgen/Buchner, Benedikt (Hrsg.)

Datenschutz-Grundverordnung,/BDSG, Kommentar, 2. Auflage 2018, München (zit. als: Bearbeiter in: Kühling/Buchner, DS-GVO BDSG, 2018, Art. Rn.)

Kühling, Jürgen/Klar, Manuel

Speicherung von IP-Adressen beim Besuch einer Internetseite, ZD 2017, 24-29 (zit. als: Kühling,/Klar, Speicherung von IP-Adressen beim Besuch einer Internetseite, ZD 2017, 24 (S.))

Marnau, Ninja

Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung in: Eibl/Gaedke (Hrsg), Informatik 2017, 1025, Lecture Notes in Informatics (LNI), Gesellschaft für Informatik, DOI 10.18420/IN2017_105 (zit. als: Marnau, Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung, Informatik 2017, 1025 (S.), DOI 10.18420/IN2017_105)

Martini, Mario/Weinzierl, Quirin

Die Blockchain-Technologie und das Recht auf Vergessenwerden, Zum Dilemma zwischen Nicht-Vergessen-Können und Vergessen-Müssen, NVwZ 2017, 1251-1259 (zit. als: Martini/Weinzierl, Die Blockchain-Technologie und das Recht auf Vergessenwerden, NVwZ 2017, 1251 (S.))

Mienert, Heval/Gipp, Bela

Dashcam, Blockchain und der Beweis im Prozess, Kriterien für einen Privacy by Design-Lösungsansatz bei Dashcams, ZD 2017, 514-518 (zit. als: Mienert/Gipp, Dashcam, Blockchain und der Beweis im Prozess , ZD 2017, 514 (S.))

Mikk, Silver

E-Health in Estland, G&S Gesundheits- und Sozialpolitik (GuS) 2018 , 25-31, https://doi.org/10.5771/1611-5821-2018-3-25 (zuletzt abgerufen am:25.01.2019) (zit. als: Mikk, E-Health in Estland, GuS 2018, 25 (S.))

Moos, Flemming/Schefzig, Jens/Arning, Marian

Die neue Datenschutz-Grundverordnung, Mit Bundesdatenschutzgesetz 2018, 1. Auflage 2018, Berlin; Boston (zit. als: Moos/Schefzig/Arning, Die neue Datenschutz-Grundverordnung, 2018, S. Rn)

Nakamoto, Satoshi

Bitcoin: A Peer-to-Peer Electronic Cash System, 2008, abrufbar unter: https://bitcoin.org/bitcoin.pdf (zuletzt abgerufen am 25.01.2019) (zit. als: Nakamoto, Bitcoin: A Peer-to-Peer Electronic Cash System, 2008, S.)

Paal, Boris/Pauly, Daniel (Hrsg.)

Beck’scher Kompakt-Kommentar zur Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 2. Auflage 2018, München. (zit. als: Bearbeiter in: Paal/Pauly, DS-GVO BDSG, 2018, Art. Rn.)

Pesch, Paulina/Böhme, Rainer

Datenschutz trotz öffentlicher Blockchain? Chancen und Risiken bei der Verfolgung und Prävention Bitcoin-bezogener Straftaten, DuD 2017, 93-98 (zit. als: Pesch/Böhme, Datenschutz trotz öffentlicher Blockchain?, DuD 2017, 97 (S.))

Quiel, Philipp

Blockchain-Technologie im Fokus von Art. 8 GRC und DS-GVO, DuD 2018, 566-573 (zit. als: Quiel, Blockchain-Technologie im Fokus von Art. 8 GRC und DS-GVO, DuD 2018, 566 (S.))

Saive, David

Rückabwicklung von Blockchain-Transaktionen, DuD 2018, 764-767 (zit. als: Saive, Rückabwicklung von Blockchain-Transaktionen, DuD 2018, 764 (S.))

Schreiber, Marlene

Wettbewerbsrechtliche Abmahnung von Konkurrenten wegen Verstößen gegen DS-GVO, GRUR-Prax 2018, 371-373 (zit. als: Schreiber, Wettbewerbsrechtliche Abmahnung von Konkurrenten wegen Verstößen gegen DS-GVO, GRUR-Prax 2018, 371 (S.))

Schrey, Joachim/Thalhofer, Thomas

Rechtliche Aspekte der Blockchain, NJW 2017, 1431-1436 (zit. als: Schrey/Thalhofer, Rechtliche Aspekte der Blockchain, NJW 2017, 1431 (S.))

Shorthouse, David

GDPR Compliance using KSI® Blockchain, Guardtime Whitepaper on VOLTA - its KSI® blockchain-based solution for GDPR, abrufbar unter: https://m.guardtime.com/files/guardtime-whitepaper-volta-v2.pdf, zuletzt abgerufen am: 25.01.2019 (zit. als: Shorthouse, GDPR Compliance using KSI® Blockchain, Guardtime Whitepaper on VOLTA, 2017.)

Spittka, Jan

Datenschutzverstoß im Einzelfall auch unter DS-GVO abmahnfähig, GRUR-Prax 2018, 561-561 (zit. als: Spittka, GRUR-Prax 2018, 561 (S.))

Sydow, Gernot (Hrsg.)

Europäische Datenschutzgrundverordnung, Nomos Handkommentar, 2. Auflage 2018, Baden-Baden (zit. als: Bearbeiter in: Sydow, Europäische Datenschutzgrundverordnung, 2018, Art. Rn.)

Wiefling, Stephan/Lo Iacono, Luigi/Sandbrink, Frederik

Anwendung der Blockchain außerhalb von Geldwährungen, DuD 2017, 482-486 (zit. als: Wiefling/Lo Iacono/Sandbrink, Anwendung der Blockchain außerhalb von Geldwährungen, DuD 2017, 482 (S.))

Wolff, Amadeus

UWG und DS-GVO: Zwei separate Kreise? Qualifizierung von Datenschutzbestimmungen der DS-GVO als Marktverhaltensregelungen i.S.v. § 3a UWG, ZD 2018, 248-252 (zit. als: Wolff, UWG und DS-GVO: Zwei separate Kreise?, ZD 2018, 248 (S.))

Wolff, Amadeus/Brink, Stefan (Hrsg.)

Beck’scher Online Kommentar Datenschutzrecht, 26. Edition Stand: 01.11.2018 (zit. als: Bearbeiter in: Wolff/Brink, BeckOK Datenschutzrecht, 2018, Art. Rn.)

Zyskind, Guy/Nathan, Oz/Pentland, Alex 'Sandy'

Decentralizing Privacy: Using Blockchain to Protect Personal Data, 2015, DOI 10.1109/SPW.2015.27 (zit. als: Zyskind/Nathan/Pentland, Decentralizing Privacy: Using Blockchain to Protect Personal Data, 2015, S., DOI 10.1109/SPW.2015.27)

A. Einleitung

Blockchain wird als die neue revolutionäre Technologie seit dem Aufkommen des Internets gehandelt und Experten schreiben ihr ein ähnliches Innovationspotenzial wie dem TCP/IP-Protokoll zu, welches das Rückgrat des heutigen Internets bildet. Bekannt geworden ist sie 2008 als technologische Basis von Bitcoin, bei dem es sich um das unter dem Pseudonym „Satoshi Nakamoto“ veröffentlichte Konzept einer digitalen Währung handelt.¹ Ihre aktuellen Anwendungen gehen jedoch bereits weit über die Kryptowährungen hinaus. Gerade die dezentrale Organisation, die kein Vertrauen in einen Intermediär erfordert sowie die Transparenz und Unveränderbarkeit der Daten in der Blockchain machen sie als Plattform so attraktiv. Ihre Stärken bedingen aber auch gleichzeitig ihre Schwächen. Vor allem die fehlende Privatsphäre, die Unveränderbarkeit und die Dezentralisierung könnten sich aus regulatorischer und rechtlicher Sicht als problematisch erweisen. Denn trotz des großen öffentlichen Interesses scheint bislang unklar zu sein, ob Anwendungen, denen eine Blockchain-Technologie zugrunde liegt, datenschutzrechtskonform verwendet werden können. Ist beispielsweise die Verbreitung von personenbezogenen Daten in einer Blockchain mit dem Grundsatz der Datenminimierung vereinbar? Wer ist Verantwortlicher im Sinne der Datenschutzgrundverordnung in einem dezentralen System? Was passiert, wenn ein Betroffener seinen Anspruch auf Berichtigung bzw. Löschung durchsetzen möchte, wenn die personenbezogenen Daten in einer unveränderlichen Blockchain gespeichert sind? Gegenstand dieser Arbeit ist daher die Untersuchung sich ergebender datenschutzrechtlicher Herausforderungen für den Schutz personenbezogener Daten in der Blockchain.

Zunächst werden die Grundfunktionsweisen der Blockchain dargestellt (B.I.) und welche verschiedenen Ausprägungen es gibt (B.II). Anschließend wird die Anwendbarkeit des Datenschutzrechts in Gestalt der DS-GVO auf Datenverarbeitungen in der Blockchain sowie die relevantesten Regelungen der DS-GVO erörtert (C.I.). Sodann stehen ausgewählte datenschutzrechtliche Herausforderungen bei dem Einsatz der Blockchain-Technologie im Fokus (C.II.) und mögliche Lösungsansätze für entstehende Konflikte (C.III.). Dem schließt sich eine daraus folgende Fragestellung an, ob Verstöße gegen die DS-GVO von Mitbewerbern nach dem UWG abmahnfähig sind (C.IV). Die Arbeit schließt mit einem Fazit aus zusammenfassenden Ergebnissen und gibt einen Ausblick in die Zukunft (D.)

B. Blockchain

Es gibt bereits viele verschiedene Blockchain-Systeme. Die bekanntesten sind wohl Bitcoin, Ethereum, Zcash und Monero. Doch wie genau funktioniert die dahinterstehende Technologie? Für das bessere Verständnis der nachfolgenden Arbeit, erfolgt zunächst eine kurze Erläuterung, was sich hinter dem Begriff Blockchain überhaupt verbirgt, da es eine einheitliche Definition bisher nicht gibt.

I. Was ist eine Blockchain?

Eine Blockchain ist eine digitale Datei, die als dezentral geführte Datenbank konzipiert ist, welche bestimmte Informationen einer Gesellschaft enthält wie z.B. bei Bitcoin Transaktions- bzw. Zahlungsdaten. Die Daten werden in sog. Blöcken in der Datenbank gespeichert, die wie in einer Kette aneinanderhängen. Ein neuer Datenblock kann nur dann an den letzten Block angehängt werden, wenn feststeht, dass sein Inhalt den vorherigen Blöcken nicht widerspricht. Ist dies der Fall, wird der neue Block mit dem vorhergehenden Block kryptographisch durch sog. Hashes miteinander verbunden. Jeder neue Datenblock speichert den Hash des vorangegangenen Blocks, so dass in der sich fortschreibenden Blockchain alle jemals gespeicherten Informationen in chronologischer Reihenfolge protokolliert werden.² Die so entstehende Blockchain ist nicht zentral auf einem Server hinterlegt, sondern wird in einem dezentralen Peer-to-Peer-Netzwerk verteilt, indem jeder Teilnehmer eine Kopie auf seinem Rechner (sog. Nodes) abspeichert, die sämtliche Transaktionen und Kontostände der Nutzer beinhaltet.³ Eine Blockchain ermöglicht so digitale Direkttransaktionen ohne Partizipation einer dritten Instanz, eines Vertrauensintermediäres.⁴ Damit alle Teilnehmer jederzeit dieselbe Datei haben und es zu keinen Missverständnissen kommt, erfolgen regelmäßig bei neuen Informationen Updates. Die Blockchain wird von den Teilnehmern des Systems selbst fortgeschrieben, wobei nicht jeder Teilnehmer ohne weiteres in die Blockchain schreiben kann. Zur Authentifizierung ist daher je nach Konsensmechanismus z.B. ein Arbeitsnachweis (sog. Proof of work) zu erbringen.⁵ Dies erfolgt durch das Lösen einer mathematischen Aufgabe, die eine hohe Rechenleistung erfordert. Wird die gefundene Lösung durch weitere am Netzwerk angeschlossene Rechner (mind. 51 Prozent) bestätigt, wird ein neuer Datenblock in der Blockchain generiert. Dieses dezentrale Konsensverfahren (sog. Mining) sichert den Prozess zur Durchführung eines Updates auf der Blockchain gegen Manipulationen ab.⁶

II. Ausprägung von Blockchains

Es gibt verschiedene Ausprägungen von Blockchains. Die einzelnen Blockchain-Systeme lassen sich in öffentliche und private Systeme einteilen. Weiterhin kann unterschieden werden, ob die Teilnahme am Verwaltungsprozess der Blockchain von einer Genehmigung abhängt (sog. Permissioned-Blockchain) oder nicht (sog. Permissionless-Blockchain). Diese Unterscheidung ist für die spätere Erläuterung der datenschutzrechtlichen Herausforderungen relevant, da sich hier in Bezug auf die Anforderungen für den Schutz personenbezogener Daten Unterschiede ergeben können.

1. Öffentliche Blockchain-Systeme

Kennzeichnend für eine öffentliche Blockchain ist, dass jeder dieser beitreten kann und auch Außenstehende alle Updates auf dem Ledger einsehen können. Alle Teilnehmer haben zudem die gleichen Rechte und alle Transaktionen werden gleichwertig auf jedem Server des Systems gespeichert.⁷ Jeder kann somit Transaktionen sowie Mining-Dienste vornehmen. Die Erbringung des Proof-of-Work hängt von keiner Genehmigung ab.⁸ Das bekannteste Beispiel für eine offene Blockchain ist das Bitcoin-Netzwerk.

2. Private Blockchain-Systeme

Im Unterschied zu öffentlichen Blockchains ist die Teilnahme an einem privaten Netzwerk nicht allgemein zugänglich. Das Netzwerk ist vielmehr auf einen bestimmten Kreis an Berechtigten beschränkt. In dieser Blockchain gibt es eine zentrale Stelle, die die Teilnehmer bestimmt und ihnen Lese- und Schreibrechte einräumt, sodass die Blockchain nur von einem vorbestimmten Kreis validiert wird.⁹ Außerdem ist die Identität der Teilnehmer in der Regel bekannt. Diese Ausgestaltung der Blockchain bietet sich zum Beispiel innerhalb einer Unternehmensgruppe oder für staatliche Anwendungen an.

C. Datenschutz

In Deutschland gilt auf Bundesebene das Bundesdatenschutzgesetz. Datenschutzrechtliche Regelungen finden sich noch in etlichen weiteren Gesetzen, wie etwa dem Telemediengesetz und dem Telekommunikationsgesetz. Diese Arbeit konzentriert sich jedoch allein auf die Regelungen der europäischen Datenschutzgrundverordnung.

I. DS-GVO: Anwendbarkeit und wichtigste Grundprinzipien

Die DS-GVO trat am 25. Mai 2018 in der Europäischen Union in Kraft. Hierbei handelt es sich um eine Verordnung, die keines Umsetzungsaktes bedarf, sondern in allen Mitgliedstaaten unmittelbare Wirkung entfaltet.¹⁰ Sie ersetzt die bis dahin geltende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Art. 1 DS-GVO¹¹ regelt den Zweck der Verordnung. Sie dient dem Schutz der Grundrechte und Grundfreiheiten des Einzelnen und insbesondere dessen Recht auf Schutz personenbezogener Daten, wobei diese nicht dazu dienen dürfen, den freien Verkehr solcher Daten innerhalb der EU einzuschränken. Ein wichtiges Ziel ist dabei die Erreichung einer einheitlichen Anwendung von datenschutzrechtlichen Regelungen in den Mitgliedstaaten.¹²

1. Anwendbarkeit der DS-GVO auf Blockchains

Zunächst müsste der sachliche Anwendungsbereich der Verordnung eröffnet sein. Dieser ergibt sich aus Art. 2. Danach gilt die Verordnung für die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.¹³ Entscheidend ist, dass nur die Verarbeitung personenbezogener Daten erfasst wird. Art. 4 Nr. 1 definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.¹⁴ Es muss sich also um eine bestimmte oder bestimmbare natürliche Person handeln. Diese wird als betroffene Person bezeichnet. Bezug zu einer bestimmten Person hat das Datum, wenn sich die Identität bereits unmittelbar aus den vorhandenen Informationen ergibt.¹⁵ Eine natürliche Person ist hingegen bestimmbar, wenn grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen.¹⁶ Fraglich war bisher, unter Hinzuziehung welcher Erkenntnisquellen der Personenbezug zu ermitteln ist. Erwägungsgrund 26 der Verordnung führt hierzu aus, dass bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollen, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich genutzt werden unter Berücksichtigung aller objektiven Faktoren wie die damit verbundenen Kosten sowie der erforderliche Zeit- und Technologieaufwand.¹⁷ In der Rechtssache Breyer v. Germany hatte der EuGH über die Beurteilung der Verarbeitung von dynamischen IP-Adressen als personenbezogene Daten zu entscheiden.¹⁸ Fraglich war, ob Personenbezug auch bei einem Webseitenbetreiber vorliegt, der selbst nicht über die Mittel verfügt, die IP-Adressen einem Besucher der Webseite zuzuordnen, sondern hierfür Zusatzinformationen von Dritten benötigt.¹⁹ Das Gericht bejahte den Personenbezug für solche Fälle, in denen die verantwortliche Stelle über rechtliche Mittel verfügt, mit denen die betreffende Person anhand von Zusatzinformationen bestimmt werden kann.²⁰ Es seien auch solche Mittel zu berücksichtigen, die vernünftigerweise von einem Dritten eingesetzt werden könnten. Dabei sei es nicht zwingend, dass sich die zur Identifizierung erforderliche Information in den Händen einer einzigen Person befinde.²¹

Darüber hinaus wird in der Literatur vertreten, dass bei der Bestimmbarkeit von Personen auch solche Möglichkeiten zur Identifizierung Berücksichtigung finden müssten, in denen eine staatliche Stelle als Dritter die Identifizierung einer Person vornehmen oder anordnen kann, so dass dieses Datum als personenbezogen zu beurteilen sei.²²

Werden Daten im Umkehrschluss zu Erwägungsgrund 26 so verarbeitet, dass eine Identifizierung der betroffenen Person ausgeschlossen ist, handelt es sich um anonymisierte Daten. Durch eine Anonymisierung bleibt zwar der Gehalt eines Datensatzes erhalten, es kann jedoch keine Zuordnung mehr zu einer bestimmten oder bestimmbaren Person erfolgen.²³ Bei anonymisierten Daten handelt es sich somit nicht mehr um personenbezogene Daten, so dass diese aus dem Anwendungsbereich der DS-GVO herausfallen.²⁴ In Abgrenzung zur Anonymisierung wird in Art. 4 Nr. 5 das Pseudonymisieren definiert als die Verarbeitung von personenbezogenen Daten in einer Weise, in der diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.²⁵ Erwägungsgrund 26 bestimmt jedoch, dass solche Daten als Informationen über eine identifizierbare Person zu betrachten sind.²⁶ Werden Daten also pseudonymisiert, gelten sie weiterhin als personenbezogene Daten, da die indirekte Identifizierung einer natürlichen Person durch einen Identifikator weiterhin möglich ist.²⁷ Fraglich ist somit, ob gespeicherte Daten auf der Blockchain bestimmbar sind und damit einen Personenbezug aufweisen, so dass die DS-GVO Anwendung findet.

2. Bestimmbarkeit von Daten in der Blockchain

Am Beispiel von Bitcoin lässt sich aufzeigen, dass diese Blockchain im Grundsatz Transaktionsdaten enthält, die zumindest Angaben über wirtschaftliche und geschäftliche und damit persönliche Verhältnisse der Nutzer beinhalten.²⁸ Die Daten können jedoch auf unterschiedliche Art und Weise gespeichert werden. Zum einen ist es möglich Informationen im Klartext in der Datenbank zu speichern. In einer offenen Blockchain kann diese Daten dann jeder lesen, was aus datenschutzrechtlicher Sicht höchst unerwünscht ist. Zudem würde dies eine enorme Speicherkapazität verbrauchen. Deshalb werden Daten in der Regel nicht unmittelbar gespeichert, sondern es wird ein Hash²⁹ der jeweiligen Daten hinterlegt und ein öffentlicher Schlüssel zur Authentifizierung verwendet.³⁰ Die meisten Blockchains enthalten zwei Arten von Daten: zum einen den sog. Block Header, der den Zeitstempel, die Identität der Datenquelle ähnlich wie eine Adresse und den Hash des vorherigen Blocks sowie den Blockinhalt selbst, der die zu speichernden Daten wie beispielsweise Transaktionsdaten bei Bitcoin enthält. Der Blockinhalt wird grundsätzlich verschlüsselt.³¹ In Blockchains werden dafür asymmetrische Schlüsselpaare zur Erstellung digitaler Signaturen eingesetzt. Ein solches Schlüsselpaar besteht aus einem öffentlichen und einem privaten Schlüssel.³² Der öffentliche Schlüssel stellt ein Pseudonym dar, welches bei Bitcoin die Identität des jeweiligen Teilnehmers repräsentiert, jedoch nicht so einfach einer Person zugeordnet werden kann. Der private Schlüssel verbleibt bei der Person, die das Pseudonym erstellt hat und ermöglicht so die Erbringung eines Nachweises über eine Berechtigung am jeweiligen Pseudonym.³³ Zuerst wird der private Schlüssel erstellt und dann über eine mathematische Formel ein zugehöriger öffentlicher Schlüssel generiert. Vom privaten Schlüssel ausgehend ist es einfach den öffentlichen Schlüssel zu berechnen, aber umgekehrt ist es unmöglich aus einem öffentlichen Schlüssel einen privaten zu generieren.³⁴ Somit kann die verschlüsselten Daten in der Blockchain nur ein Teilnehmer, der im Besitz des privaten Schlüssels ist, entschlüsseln. Folglich können zwei Datensätze, die in der Blockchain gespeichert werden, potenziell als personenbezogene Daten im Sinne der DS-GVO definiert werden: Transaktionsdaten, die in den Blöcken gespeichert sind, sowie öffentliche Schlüssel.

Personenbezogene Daten, die im Klartext in der Blockchain gespeichert werden, bleiben natürlich auch im Sinne der DS-GVO personenbezogen. Werden Daten verschlüsselt, können sie dennoch mit dem passenden Schlüssel wieder entschlüsselt werden, so dass sie nicht unumkehrbar anonymisiert sind.³⁵ Die betroffene Person kann somit weiterhin identifiziert werden. Auch die Artikel 29-Datenschutzgruppe sehen verschlüsselte Daten als Beispiel für eine Pseudonymisierung. Die Möglichkeit der Rückverfolgung zur Person und Aufdeckung ihrer Identität bei Verwendung eines Pseudonyms bleibt bestehen, wenn auch nur unter zuvor festgelegten Bedingungen.³⁶ Die Verschlüsselung von Daten stellen daher lediglich technisch-organisatorische Maßnahmen gem. Art. 32 Abs. 1 lit. a) dar, die den Anwendungsbereich der Verordnung nicht ausschließen können.³⁷ Daraus folgt, dass verschlüsselte Transaktionsdaten personenbezogene Daten im Sinne der DS-GVO bleiben.

Ebenso gelten Transaktionsdaten, die gehasht wurden, als personenbezogene Daten, denn eine Hashfunktion, die nicht rückgängig gemacht werden kann, schützt die sensiblen Daten noch stärker. Das Hashing wird auch von der Artikel 29-Datenschutzgruppe als Technik der Pseunonymisierung und nicht der Anonymisierung dargestellt, da es immer noch möglich ist, die Daten mit der betroffenen Person zu verlinken.³⁸

[...]

---

¹ Mienert/Gipp, Dashcam, Blockchain und der Beweis im Prozess, ZD 2017, 514 (517).

² Martini/Weinzierl, Die Blockchain-Technologie und das Recht auf Vergessenwerden, NVwZ 2017, 1251 (1251).

³ Kusber/Schwalm/Berghoff/Korte, Langfristige Beweiswerterhaltung und Datenschutz in der Blockchain, 2018, S. 1.

⁴ Guggenberger, Datenschutz durch Blockchain – eine große Chance, ZD 2017, 49 (49).

⁵ Pesch/Böhme, Datenschutz trotz öffentlicher Blockchain?, DuD 2017, 93 (94).

⁶ S.o. Fn.1,S. 8.

⁷ Berberich/Steiner, Blockchain Technology and the GDPR - How to Reconcile Privacy and Distributed Ledgers?, 2 Eur. Data Prot. Law Rev. 422 (2016), p. 422.

⁸ Bechtolf/Vogt, Datenschutz in der Blockchain - Eine Frage der Technik, ZD 2018, 66 (68).

⁹ Marnau, Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung, Informatik 2017, 1025 (1027), DOI 10.18420/IN2017_105.

¹⁰ S.o. Fn. 1, S. 3.

¹¹ Art. und Erwägungsgründe ohne Bezeichnung sind solcher der DS-GVO.

¹² Ernst in: Paal/Pauly, DS-GVO BDSG, 2018, Art. 1 Rn. 1.

¹³ Art. 2 Abs. 1.

¹⁴ Art. 4 Nr. 1.

¹⁵ Ziebarth in: Sydow, Europäische Datenschutzgrundverordnung, 2018, Art. 4 Rn. 14.

¹⁶ Artikel 29 Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, WP 136 (01248/07/DE), S. 14.

¹⁷ Erwägungsgrund 26, S.o. Fn. 16, S. 17 f.

¹⁸ EuGH NJW 2016, 3579, Urteil vom 19.10.2016, C-582/14 - Breyer/Germany.

¹⁹ Kühling/Klar, Speicherung von IP-Adressen beim Besuch einer Internetseite, ZD 2017, 24 (28).

²⁰ S.o. Fn. 18, Rn. 49.

²¹ Bartsch/Behnke, Dynamische IP-Adressen können personenbezogene Daten sein, IR 2017, 22 (23).

²² Quiel, Blockchain-Technologie im Fokus von Art. 8 GRC und DS-GVO, DuD 2018, 566 (568).

²³ S.o. Fn. 12, Art. 4 Rn. 49.

²⁴ S.o. Fn. 7, p. 423.

²⁵ Art. 4 Nr. 5.

²⁶ Klar/Kühling in: Kühling/Buchner, DS-GVO BDSG, 2018, Art. 4 Nr. 5 Rn. 11.

²⁷ Finck, Blockchains and Data Protection in the European Union,, 2017 S. 10, DOI 10.2139/ssrn.3080322.

²⁸ S.o. Fn. 5, S. 95.

²⁹ Siehe zur Erläuterung der Hashfunktion unter C.II.1.

³⁰ S.o. Fn. 2, S. 1252.

³¹ Berentsen/Schär, Bitcoin, Blockchain und Kryptoassets, 2017, S. 198 f.

³² Hosp, Blockchain 2.0, 2018, S. 55.

³³ S.o. Fn. 31, S. 119.

³⁴ S.o. Fn.32, S. 55.

³⁵ S.o. Fn. 27, S. 10.

³⁶ S.o. Fn. 16, S. 21.

³⁷ S.o. Fn. 22, S. 568.

³⁸ Article 29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, WP 216 (0829/14/DE), S. 24.