Datenschutz und Distributed Ledger

Blockchain DSGVO-konform betreiben

28.11.2018
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Carola Bader ist Expert Associate bei Core. Die  Wirtschaftsrechtexpertin verfügt über umfangreiche Erfahrung in den Bereichen Compliance und Risikomanagement in der Finanzindustrie. Sie ist spezialisiert auf die Beratung von Finanzdienstleistern bei der Umsetzung effektiver Compliance-Strategien, der Erfüllung regulatorischer Anforderungen und der Bekämpfung von Finanzkriminalität.

Kann durch Heranziehung zusätzlicher Informationen der Hashwert einer natürlichen Person zugeordnet werden, handelt es sich bei dem Hashwert um ein personenbezogenes Datum. Dabei sind alle Mittel zu berücksichtigen, die für die Identifikation wahrscheinlich genutzt werden können. Hierbei sind insbesondere Kosten, Zeitaufwand und verfügbare Technologie zu berücksichtigen.

Diejenige Person, die den Hashwert erzeugt hat, kann relativ einfach einen Personenbezug herstellen. Für sie handelt es sich bei dem Hashwert damit um ein personenbezogenes Datum. Der Empfänger, der ausschließlich den Hashwert erhält, wird hingegen kaum in der Lage sein, einen Personenbezug herzustellen. Für diesen ist der Hashwert dann kein personenbezogenes Datum.

Allerdings muss in diesen Fällen ausgeschlossen sein, dass der Empfänger Rückschlüsse auf die Person ziehen kann. Anderenfalls handelt es sich nach einer aktuellen Entscheidung des Verwaltungsgerichts Bayreuth bei einem Hashwert um ein personenbezogenes Datum.

Ähnlich wie mit den Hashwerten verhält es sich mit verschlüsselten Daten. Verfügt der Empfänger der verschlüsselten Daten nicht über den Schlüssel und ist das gewählte Verschlüsselungsverfahren sicher, stellen die verschlüsselten Daten für den Empfänger keine personenbezogenen Daten dar. Im Sinn des Datenschutzrechts ist ein Verschlüsselungsverfahren als sicher anzusehen, wenn mit Blick auf Kosten, Zeitaufwand und verfügbare Technologie nicht davon ausgegangen werden kann, dass die Verschlüsselung geöffnet wird.

Verantwortlicher

Adressat des Datenschutzrechts ist der Verantwortliche. Nach der DSGVO ist ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Danach ist zunächst derjenige Verantwortlicher, der die Hoheit über den Datenverarbeitungsvorgang ausübt.

Zur Startseite