Datenschutz und Distributed Ledger

Blockchain DSGVO-konform betreiben

28.11.2018
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Carola Bader ist Expert Associate bei Core. Die  Wirtschaftsrechtexpertin verfügt über umfangreiche Erfahrung in den Bereichen Compliance und Risikomanagement in der Finanzindustrie. Sie ist spezialisiert auf die Beratung von Finanzdienstleistern bei der Umsetzung effektiver Compliance-Strategien, der Erfüllung regulatorischer Anforderungen und der Bekämpfung von Finanzkriminalität.

Mit Blick auf die Blockchain ist fraglich, wer hier als Verantwortlicher in Betracht kommt. Bei der Blockchain sind eine Vielzahl von Akteuren involviert. Jeder dieser Akteure kann - theoretisch - als Verantwortlicher im Sinne des Datenschutzrechts in Betracht kommen, wenn er in seiner Rolle über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden kann.

Dies könnte zunächst der Entwickler der Blockchain sein. Der Entwickler legt fest, was die Blockchain technisch kann. Damit entscheidet er über die Zwecke und Mittel der Datenverarbeitung. Allerdings gibt der Entwickler seine Entscheidungsbefugnis in dem Augenblick ab, indem er die Blockchain aus seinen Händen, zum Beispiel an seinen Kunden, gibt.

Ist dies geschehen, fällt es schwer, einen einzelnen Verantwortlichen auszumachen. Abhängig vom Einsatzzweck und Art der Blockchain kann der Betreiber Verantwortlicher sein (so beispielsweise bei privat-beschränkten Blockchains). Kann er über Mittel und Zwecke der Datenverarbeitung bestimmen, ist er Verantwortlicher. Zudem könnten die Miner Verantwortliche sein.

Erstellen sie neue Blöcke, werden hierbei personenbezogene Daten verarbeitet. Allerdings legen die Miner nicht fest, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden. Sie verfügen jedoch über die dafür notwendigen Mittel. Letztlich liegt es nahe, alle die Personen als Verantwortliche anzusehen, die an der Blockchain mitwirken. Die DSGVO hat hierfür in Artikel 26 die sogenannten Joint Controller geschaffen.

Rechtsgrundlage für die Verarbeitung

Jeder, der personenbezogene Daten verarbeitet, ist dazu nur berechtigt, wenn er sich auf eine Rechtsgrundlage beziehen kann, die ihm die Verarbeitung der personenbezogenen Daten gestattet. Abhängig von der Art und Weise der Blockchain kann die Rechtsgrundlage darin gesehen werden, dass die Datenverarbeitung notwendig ist, um einen Vertrag mit dem Betroffenen durchzuführen. Soweit alle personenbezogenen Daten, die in der Blockchain gespeichert werden, auch tatsächlich erforderlich sind, um den Vertrag durchzuführen, würde diese Rechtsgrundlage die Verarbeitung gestatten.

Zur Startseite