Datenschutz und Distributed Ledger
Blockchain DSGVO-konform betreiben
Fazit
Zusammenfassend kann gesagt werden, dass die Identifizierbarkeit der betroffenen Person bestimmt, ob es sich um ein personenbezogenes Datum handelt: Während Klardaten personenbezogene Daten darstellen, ist dies bei Hashes eher fraglich. Kann bei Hashes durch zusätzliche Informationen der Bezug zu einer natürlichen Person hergestellt werden, so handelt es sich um ein personenbezogenes Datum. Personen, die ausschließlich einen Hashwert empfangen, sind beispielsweise nicht in der Lage diesen Bezug herzustellen.
Die Verantwortlichen, die über den Zweck und das Mittel der Datenverarbeitung entscheiden, sind aufgrund der verteilten Eigenschaft der Blockchain nicht eindeutig bestimmbar, jedoch nach dem Prinzip des Joint Controllerships auf den Betreiber und die Miner der Blockchain festzusetzen.
Um personenbezogene Daten verarbeiten zu dürfen, bedarf es einer Rechtsgrundlage. Als Rechtsgrundlage können die Erfüllung eines Vertrags, die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten sowie die Einwilligung der betroffenen Person herangezogen werden. Im Falle einer Einwilligung stellt sich jedoch das Problem, dass bei einem Widerruf der Einwilligung durch den Betroffenen, das Recht auf Vergessenwerden durch Löschung der personenbezogenen Daten gegen das Prinzip der Unveränderlichkeit der Daten in einer Blockchain verstößt und daher technisch nicht umsetzbar ist.
Es lässt sich festhalten, dass die Blockchain-Technologie die personenbezogenen Daten dank der Kryptographie und Pseudonymisierung schützt. Zur Änderung eines Blocks sowie zum Hacken eines Hashes wäre eine außerordentliche Rechenkapazität nötig. Somit werden die in der DSGVO festgehaltenen Ansprüche an die Datensicherheit sowie der wachsende Wunsch der Betroffenen nach Sicherheit mithilfe der Blockchain erfüllt.
Dem stehen teilweise die Betroffenenrechte der DSGVO, wie das Recht auf Vergessenwerden, entgegen. Dieser Konflikt kann mit der Anwendung der DSGVO jedoch nicht abschließend geklärt werden. Hier sind die Datenschutzaufsichtsbehörden, die Gerichte und nicht zuletzt der Gesetzgeber gefragt, um praktikable und rechtssichere Möglichkeiten zum Umgang mit der neuen Technologie zu schaffen.