Es kommt auf die Anwendung an
Blockchain – ein Dilemma für den Datenschutz?
Blockchain-Technologien erlauben es Lösungen zu entwickeln, die den steigenden Anforderungen im Zeitalter der Datenökonomie gerecht werden. Möglich macht das die neuartige Verbindung von Datenspeicherung, -vermittlung und -sicherung mit neuen Zugangs- und Prüfverfahren.
Foto: Iaremenko Sergii - shutterstock.com
Mit den Errungenschaften gehen aber auch viele Herausforderungen im Hinblick auf den Datenschutz einher. Unter anderem fehlt die Möglichkeit, Daten zu löschen. Das Thema ist noch geprägt von Unsicherheiten. Kein Wunder, schließlich betritt man hier technologisch und datenschutzrechtlich Neuland. Dabei zeigen erste Anwendungen: Richtig angewandt kann die BlockchainBlockchain eine Technologieplattform sein, mit der sich Lösungen bauen lassen, die einem fortschrittlichen und technologiegestützten Datenschutz entgegenkommen. Alles zu Blockchain auf CIO.de
Die Blockchain im Blickfeld des Datenschutzes
Ziel der Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 EU-weit zur Anwendung kam, ist die Förderung des digitalen Marktes in Europa und die Stärkung des Vertrauens von Bürgern und Verbrauchern in die automatisierte Verarbeitung ihrer personenbezogenen Daten. Das gilt gerade auch im Hinblick auf neue Technologien.
Unter anderem verlangt die DSGVO, Nutzer umfassend zu informieren, wenn personenbezogene Daten erhoben werden. Gleichzeitig müssen diese Informationen transparent bereitgestellt werden. Der Schutz der Rechte und Freiheiten der Betroffenen ist bereits in der technischen Gestaltung zu berücksichtigen.
Worin aber liegt die datenschutzrechtliche Problematik der Blockchain? Datenschützer beobachten öffentliche Blockchains kritisch, das bekannteste Beispiel dafür ist das 2009 gestartete Bitcoin-Netzwerk. Merkmal dieser öffentlichen Blockchains ist es, dass eine für jedermann transparente und nachvollziehbare Speicherung von Datensätzen möglich wird. Nutzer hinterlassen nachverfolgbare Spuren in einer Blockchain und bewegen sich im rechtlichen Sinne nach der DSGVO immer nur pseudonymisiert im System, nicht anonym.
Zwar gibt es Verfahren, um Anonymität einzuziehen, etwa indem Pseudonymgruppen aggregiert oder sich modifizierende Pseudonyme verwendet werden. Doch diese sind nicht im Grundentwurf angelegt. Zudem ist die Unveränderlichkeit der Anordnung der Blöcke öffentlicher Blockchains ein Merkmal, das sich nicht mit der in der DSGVO vorgesehenen Begrenzung der Speicherdauer personenbezogener Daten vereinbaren lässt.
Und wie sieht es bei privaten und konsortialen Blockchains aus? Auch sie stellen Hersteller und Anwender vor grundlegende Fragen und nicht minder große Herausforderungen.
- Blockchain
Blockchain wird in den kommenden Jahren zur Schlüsseltechnologie in der IT werden. - (1) Transaktion
Die Transaktion ist die elementare Grundeinheit der Blockchain. Zwei Parteien tauschen Informationen miteinander aus. Dies kann der Transfer von Geld oder Vermögenswerten, der Abschluss eines Vertrags, eine Krankenakte oder eine Urkunde sein, die digital gespeichert wurde. Transaktionen funktionieren im Prinzip wie das Versenden von E-Mails. - (2) Verifizierung
Die Verifizierung prüft, ob eine Partei die entsprechenden Rechte für die Transaktion hat. Die Prüfung erfolgt augenblicklich oder es wird in eine Warteschlange geschrieben, die die Prüfung später durchführt. An dieser Stelle werden Knoten, also Computer oder Server im Netzwerk, eingebunden und die Transaktion verifiziert. - (3) Struktur
Die Transaktionen werden zu Blöcken zusammengefasst, wobei diese mit einer Hash-Funktion als Bit-Nummer verschlüsselt werden. Die Blöcke können durch die Zuweisung des Hash-Wertes eindeutig identifiziert werden. Ein Block enthält einen Header, eine Referenz auf den vorhergehenden Block und eine Gruppe von Transaktionen. Die Abfolge der verlinkten Hashes erzeugt eine sichere und unabhängige Kette. - (4) Validierung
Bevor die Blöcke erzeugt werden, müssen die Informationen validiert werden. Das am meisten verbreitete Konzept für die Validierung von Open-Source-Blockchains ist das „Proof of Work“-Prinzip. Dieses Verfahren stellt in der Regel die Lösung einer schweren mathematischen Aufgabe durch den Nutzer beziehungsweise dessen Computer dar. - (5) Blockchain Mining
Der Begriff Mining stammt aus der Bergbau und meint das „Schürfen“. Bei diesem Vorgang wird der Block erzeugt und gehasht. Um zum Zug zu kommen, müssen die Miner ein mathematisches Rätsel lösen. Wer als Erstes die Lösung hat, wird als Miner akzeptiert. Der Miner erhält für seine Arbeit ein Honorar in Form von Kryptowährung (Bitcoin). - (6) Die Kette
Nachdem die Blöcke validiert wurden und der Miner seine Arbeit verrichtet hat, werden die Kopien der Blöcke im Netzwerk an die Knoten verteilt. Jeder Knoten fügt den Block an der Kette in unveränderlicher und unmanipulierbarer Weise an. - (7) Verteidigung
Wenn ein unehrlicher Miner versucht, einen Block in der Kette zu ändern, so werden auch die Hash-Werte des Blockes und der nachfolgenden Blöcke geändert. Die anderen Knoten werden diese Manipulation erkennen und den Block von der Hauptkette ausschließen.
In vielen Bereichen - von der Finanzbranche über die Logistik bis zur Energiewirtschaft - werden derzeit Proof of Concepts sowie erste Lösungen auf Basis von Blockchain-Technologien erstellt. Es lässt sich eine vielseitige Entwicklung beobachten, bei der die Entwicklungszyklen relativ kurz sind. Zu erwarten ist, dass der Bedarf, private und öffentliche Blockchains nicht nur intra- sondern auch interoperabel zu nutzen, zur Entwicklung sogenannter Blockchain-Hybrid-Netzwerke führen wird.
Öffentliche Blockchains und die Anonymität
Wie bereits ausgeführt werden in öffentliche Blockchains eingespeiste Datensätze transparent dargestellt, die Teilnehmer sind durch die eindeutige digitale Referenz gekennzeichnet, Deshalb sind öffentliche Systeme für den Nutzer nicht anonym zu nutzen. Aus Sicht des Datenschutzes sind öffentliche Blockchains problematisch, weil sie auf der grundsätzlichen Sichtbarkeit von Daten basieren, die nicht rückgängig gemacht werden kann. Damit stehen öffentliche Blockchains in einem Spannungsverhältnis mit dem in der DSGVO geforderten Recht auf Vergessen stehen.
Derzeit stehen deshalb bei der Entwicklung von Blockchain-Systemen Lösungen im Fokus, die es ermöglichen sollen, anonym zu agieren. So sollen es Blockchains auf Basis des Crypto-Note-Protokolls möglich machen, dass Nutzer anonym agieren können und der Transaktionsinhalt nicht sichtbar wird. Beispiele hierfür sind Monero oder ZCash. Beide Systeme nutzen die Blockchain-Technologie und stellen ein dezentrales Zahlungssystem dar, das Verfahren zur Anonymisierung von Nutzern, Transaktionsdaten und Prüfern einsetzt.
Datenschutz bei privaten und konsortialen Blockchains
Für private und konsortiale Blockchains gelten andere Ansätze, da die datenschutzrechtliche Perspektive eine andere ist. Die Verwendung privater Systeme bietet dann ein höheres Maß an Datenschutz, wenn der Netzzugang auf identifizierbare Teilnehmer beschränkt ist oder zentrale, identifizierte Punkte im System bestehen, die als verantwortlich auftreten. Das kann vor allem im Bereich hochsensibler Daten, beispielsweise im Gesundheitsbereich, interessant sein.
Private Blockchains können etwa unter Sidechains, Private Channels, State Channels oder Off-Chain-Messaging firmieren und sensible Daten aus der eigentlichen Blockchain entnehmen. In Kombination mit der anonymen Auditierbarkeit von Metadaten (mit Vorbildern in öffentlichem Privacy-by-Design) sind sie in der Lage, fortschrittliche Lösungen für den technisch gestützten Datenschutz zu bieten.