Datenschutz und Distributed Ledger

Blockchain DSGVO-konform betreiben

28.11.2018
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Carola Bader ist Expert Associate bei Core. Die  Wirtschaftsrechtexpertin verfügt über umfangreiche Erfahrung in den Bereichen Compliance und Risikomanagement in der Finanzindustrie. Sie ist spezialisiert auf die Beratung von Finanzdienstleistern bei der Umsetzung effektiver Compliance-Strategien, der Erfüllung regulatorischer Anforderungen und der Bekämpfung von Finanzkriminalität.

Die entgegenstehende Ansicht stellt nur darauf ab, welche Schlüsse der einzelne Verantwortliche ziehen kann. Die DSGVO hat nun eine vermittelnde Ansicht übernommen, die auch vom Europäischen Gerichtshof vertreten wird. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei sollen alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden.

Für die Blockchain bedeutet dies, dass sich die Frage, ob ein Personenbezug vorliegt, nicht allgemein beantworten lässt, sondern stets mit Blick auf den konkreten Einsatzzweck bewertet werden muss. Bei dem öffentlichen Schlüssel einer Person handelt es sich unproblematisch um ein personenbezogenes Datum, da dieser Schlüssel direkt einer Person zugeordnet ist.

Private Blockchain

Handelt es sich um eine private Blockchain, handelt es sich bei der Nutzerkennung und den mit diesen verbundenen Daten um personenbezogene Daten für denjenigen, der die Nutzerkennung vergibt. Diese Vergabestelle ist in der Lage, von der Nutzerkennung auf die dahinterstehende Person zu schließen. Aber auch bei öffentlichen Blockchains kann teilweise ein Personenbezug hergestellt werden: Veröffentlicht ein Nutzer der Blockchain, welcher Hashwert ihm zugeordnet ist, ist der Personenbezug hergestellt.

Werden Informationen in der Blockchain nicht als Klardaten, sondern in Form von Hashes gespeichert, ist fraglich, ob ein solcher Hash ein personenbezogenes Datum ist. Verfügt man nur über den Hashwert, kann man keinen Rückschluss auf die eigentlichen Eingabewerte ziehen. Dies spricht zunächst dafür, den Hashwert nicht als personenbezogenes Datum einzuordnen. Die DSGVO unterscheidet aber zwischen anonymisierten Daten und pseudonymisierten Daten.

Anonymisierte Daten haben keinen Personenbezug mehr. Pseudonymisierte Daten lassen es zumindest zu, dass ein Personenbezug hergestellt werden kann. Vor diesem Hintergrund werden pseudonymisierte Daten als personenbezogene Daten eingeordnet. Fraglich ist nun, ob ein Hashwert als anonymes oder als pseudonymes Datum anzusehen ist.

Zur Startseite