dogan.legal // Vergaberecht, IT-Recht und Datenschutzrecht

Blockchain: Chancen und Risiken für Datenschutz, Smart Contracts & Co.

Security concept: Red Shield With Keyhole on digital background, 3d render

Seit dem regelrechten Siegeszug von Bitcoin ist die mit dieser Kryptowährung verbundene Blockchain-Technologie in aller Munde. Doch was genau steckt hinter diesem kryptischen Begriff? Weshalb stehen die dezentralen Blockchain-Netzwerke in dem Ruf einer besonders hohen Datensicherheit? Und werden Blockchain-Datenbanken auch den Bestimmungen der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) gerecht?

Funktionsweise der Blockchain

Bei einer sog. public Blockchain handelt es sich um eine dezentrale, auf eine Vielzahl unterschiedlicher Rechner verteilte, Datenbank. Innerhalb dieses digitalen Transaktions- und Informationsprotokolls werden sämtliche Vorgänge in chronologischer Reihenfolge auf unveränderbare und damit nachvollziehbare Art miteinander verknüpft und gespeichert. Wesentliche Merkmale der Blockchain sind somit zum einen der Verzicht auf eine kontrollierende,  vertrauenswürdige Instanz (“Trust Quelle”). Zum anderen bietet die redundante Konstruktion der Blockchain einen inhärenten Basisschutz vor Manipulation und Ausfall.

Jeder Nutzer innerhalb eines Blockchain-Netzwerks erhält einen öffentlichen (“Public Key”) und einen privaten Schlüssel (“Private Key”). Der öffentliche Schlüssel wird mittels einer Hash-Funktion in eine Adresse umgewandelt, die für jeden sichtbar ist und vereinfacht dargestellt einem Schließfach mit einer gläsernen Tür entspricht. Zwar ist der Inhalt dieses Schließfaches für jeden ersichtlich, Zugang zu diesem ermöglicht aber nur der private Schlüssel. Der private Schlüssel dient wiederum der Signatur bzw. Bestätigung von Transaktionen: Ohne Signatur ist die Transaktion ungültig. So ist jede Transaktion eindeutig zuordenbar, obwohl alle Nutzer nur unter Pseudonymen im Netzwerk auftreten.

Die praktische Fälschungssicherheit der Blockchain beruht darauf, dass alle Transaktionen in sogenannte Blöcke (“Blocks”) geschrieben werden und anschließend zu einer unveränderbaren Kette (“Chain”) verknüpft werden. Die Transparenz des Gesamtsystems wird zusätzlich dadurch erhöht, dass jeder Computer innerhalb des Blockchain-Netzwerks eine Kopie der gesamten Blockchain besitzt und nicht bloß Bruchstücke.

Die jeweiligen Blöcke enthalten neben einer oder mehreren Transaktionen zusätzlich ein Abbild aller vorherigen Transaktionen in Form eines Hash-Werts. Hash-Werte sind Prüfsummen bzw. Buchstaben-Zahlen-Folgen, die jeweils aus dem zu prüfenden Inhalt selbst errechnet werden. In der Folge hätten bereits kleinste Änderungen des Inhalts eine Veränderung des Hash-Werts zur Folge. Erst wenn das Übereinstimmen eines Hashs bestätigt ist, wird die nächste Transaktion in der Kette genehmigt. Auf diese Weise werden sämtliche Blöcke so miteinander verknüpft, dass eine nachträgliche Veränderung eines Blocks sofort auffallen Würde. Eine Manipulation innerhalb des Blockchain Netzwerks ist also faktisch ausgeschlossen. Wäre da nicht der – noch – theoretisch mögliche >50%-Angriff.

Zu guter Letzt stellen spieltheoretische Anreizsysteme wie Proof of Work (PoW), Proof of Stake (PoS) und Proof of Burn (PuB) sicher, dass die Teilnehmer im Netzwerk ein eigenes Interesse am funktionierenden Gesamtsystem haben. Dabei haben alle vorgenannten Ansätze Vor- und Nachteile: Zum Beispiel stößt der Proof of Work-Ansatz  unter den sog. Minern (“Buchhalter” der Blockchain) bei jedem neuen Block einen Wettlauf an. Dies hat zur Folge, dass nur der erste bzw. schnellste Miner für das erfolgreiche Einfügen eines validierten Blocks eine Belohnung erhält. Hinsichtlich der Bitcoin-Blockchain sind dies gegenwärtig 12,5 BTC  (Bitcoins). Doch das Generieren eines Hashs durch die dezentralen Rechner erfordert eine immense Rechenleistung, weshalb Kritiker die PoS-Methode zumindest energieeffizienter bezeichnen.

Eine Transaktion, die in das Netzwerk kommuniziert wird, verläuft bis zur Bestätigung folgendermaßen:

  1. Eine oder mehrere Transaktionen werden in einen Block zusammengefasst,
  2. die Miner prüfen, ob diese Transaktionen legitim sind, indem sie die “Proof-of-Work”-Berechnungen ausführen,
  3. der erste Miner, der die Lösung gefunden hat und den Block somit validieren konnte, wird mit der oben genannten Vergütung belohnt,
  4. die nunmehr validierten Transaktionen werden in Form eines Blocks an die Blockchain angehängt.

Smart Contracts: Ein Anwendungsszenario unter vielen

Bitcoin ist lediglich ein Anwendungsszenario der Blockchain-Technologie. Dies sei zugestanden: ein sehr populäres! Blockchain kann daneben aber auch für Smart Contracts, dApps (Decentralized Applications) und DAOs (Decentralized Autonomous Organizations) verwendet werden. Um den Rahmen nicht zu sprengen, soll der Fokus an dieser Stelle auf Smart Contracts liegen.

Blockchain-Netzwerke können die Vertrauenswürdigkeit und Verkehrsfähigkeit von Smart Contracts steigern. Diese “intelligenten Verträge” sind digitale Protokolle, die auf der Ebene des Maschinencodes – also auf der Ebene der grundlegenden Computersprache – die Logik eines Vertrags nachbilden. Aufgrund dieser Nachbildung können Verträge sich automatisiert selbst vollziehen. Einer zentralen, zwischengelagerten Instanz bedarf es in diesem Szenario per se nicht. Dadurch, dass der Smart Contract selbst auf der Blockchain verteilt und validiert wird und dort abläuft, ist der Code seinerseits jederzeit nachvollziehbar. Der automatisierte Vollzug einer digitalen “Wenn-Dann-Folge” sei anhand eines simplen Beispiels skizziert:

Alice schließt einen Vertrag über eine Kfz-Versicherung ab. Das Auto verfügt über eine Blackbox, die gemäß den Vertragsbedingungen programmiert wurde. Alice ist eine risikofreudige Fahrerin und missachtet am Freitagabend diverse Verkehrsregeln, so dass kurz darauf ein Hinweis im Bordcomputer erscheint, welcher Alice über eine 30 %-ige Erhöhung ihres Versicherungsbeitrags informiert. Dieser Vorgang verlief automatisiert und in konsequenter Umsetzung der einschlägigen Vertragsklauseln: Wenn der Versicherte Verkehrsregeln missachtet, dann steigt sein Beitrag um 30 %.

Ungeachtet der Frage, wie erstrebenswert die theoretisch wertneutrale Ausführung von Vertragsklauseln ist, bergen Smart Contracts in jedem Fall das Potenzial, Transaktionskosten zu senken. Hinzu kommt, dass sowohl Verbraucher als auch Unternehmen bereits heute mit dem Grundgedanken des Smart Contracts und der ihr innewohnenden Wenn-Dann-Funktion in Berührung kommen: Wenn Sie Ihre Bankkarte in einen Geldautomaten einführen und die Geheimzahl richtig eingeben und das Guthaben bzw. Dispo auf dem Konto auskömmlich ist, dann wird der gewünschte Betrag ausgezahlt.

Sind Smart Contracts also der Königsweg zu den Vertragsverhältnissen der nächsten Generation? Möglich, aber nicht ausnahmslos. Bei allen erwarteten Vorteilen sollte im Zuge der Gesamtanalyse der erwarteten Kosteneinsparungen beachtet werden, dass die Vertragspartner weiterhin menschlicher Natur sein werden und mit dem Wegfall von Intermediären das Konfliktpotenzial zwischen den Vertragspartnern nicht zwingend gleichermaßen entfallen wird. Es verlagert sich unter Umständen nur oder nimmt andere Ausmaße an. Diese Ausmaße gilt es zu antizipieren und mit angemessenen Instrumenten zu steuern.

Hinzu kommt, dass Smart Contracts und entsprechende Automatisierungen auch datenschutzrechtlichen Grenzen unterliegen: So sind vollautomatisierte Einzelentscheidungen mit rechtlichen Folgen gem. Artikel 22 EU-DSGVO nur zulässig, wenn eine ausdrückliche Einwilligung oder gesonderte Rechtsgrundlage vorliegt oder die Automatisierung für den Abschluss oder die Erfüllung eines Vertrages zwischen Verantwortlichem und Betroffenem erforderlich ist. Dem steht aber das grundlegende Recht des Betroffenen auf “Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung” entgegen. Vorab sind dem Betroffenen mitunter außerdem Informationen über die involvierte Logik und die Tragweite wie auch angestrebten Auswirkungen der jeweiligen Entscheidung mitzuteilen (Artikel 13 Abs. 2 lit. f) EU-DSGVO).

Mit anderen Worten: Erwartete Kostenvorteile könnten auf eine Milchmädchenrechnung hinauslaufen…

Implikationen auf den Datenschutz

Blockchain-Netzwerke ermöglichen Transaktionen zwischen den Beteiligten, ohne deren Identität gegenüber dem Vertragspartner oder Dritten offenbaren zu müssen. Hieraus könnte abgeleitet werden, dass das Recht der Nutzer auf informationelle Selbstbestimmung nicht angetastet würde. Fallen die Transaktionsdaten also nicht in den Anwendungsbereich der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO)? Und dürfen Unternehmen  diese Daten zu nutzen, ohne dabei an spezifische datenschutzrechtliche Verpflichtungen gebunden zu sein?  Meines Erachtens ist dies zu verneinen.

Innerhalb eines Blockchain-Netzwerks treten Nutzer in aller Regel pseudonym auf und nicht – wie oft fälschlich angenommen – anonym (zum Unterschied von Pseudonymisierung und Anonymisierung, siehe hier). Und pseudonyme Daten sind letztlich personenbezogene Daten: Gemäß Erwägungsgrund 26 der EU-DSGVO gelten die Grundsätze des Datenschutzes  für Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Wiederum sollten solche personenbezogene Daten, die der Pseudonymisierung unterzogen werden und durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden. Insofern dürften Daten innerhalb von Blockchain-Netzwerken in der Regel dem Anwendungsbereich der EU-DSGVO unterliegen.

Sobald also die Verknüpfung zwischen dem Pseudonym und der jeweiligen Nutzeridentität offengelegt wird, können dieser Person rückwirkend alle Transaktionen zugeordnet werden. So gelangt man gleichzeitig zur Erkenntnis, dass die fundamentale Eigenschaft der public Blockchain, Transaktionen öffentlich und manipulationssicher zu dokumentieren, Fluch und Segen zu gleich ist.  Der Widerspruch zwischen der nicht möglichen Löschung innerhalb eines Blockchain-Netzwerks und dem  datenschutzrechtlichen Grundsatz, dass personenbezogene Daten gelöscht werden müssen, wenn sie zur Zweckerreichung nicht mehr erforderlich sind, ist allerdings nur die Spitze des Eisbergs. Dies gilt auch für das gegebenenfalls tangierte “Recht auf Vergessenwerden” (EuGH-Urteil vom 13. Mai 2014).

Besonders am Beispiel von Bitcoin zeigt sich das Ungleichgewicht zwischen kollektiver Wahrnehmung in Form von “bedingungsloser Anonymität” und technischer Realität. Bitcoin steht in dem Ruf, ein vollkommen anonymes und nicht verfolgbares Zahlungsmittel zu sein. Aber verschiedene Untersuchungen (1 u. 2) belegen, dass bei Bitcoin verschiedene Möglichkeiten der De-Pseudonymisierung bestehen. Demnach lässt sich über die in der Chain gespeicherte Bitcoin-Adresse eines Nutzers dessen IP-Adresse ermitteln. Über jene lassen sich wiederum ein konkreter Internetanschluss und dessen Inhaber zurückverfolgen. Zudem berichtete das Motherboard-Magazin erst im August dieses Jahres, dass die größte deutsche Bitcoin-Plattform Kundendaten an die Polizei aushändigte, ohne einer datenschutzrechtlichen oder anderweitigen Verpflichtung zu unterliegen. Der Plattformbetreiber machte schlicht von seinem Melderecht aus § 28 Abs. 2 Nr. 2 lit b) BDSG Gebrauch.

Jedoch sind derartige – gewollte oder ungewollte – Sicherheitslücken kein unvermeidbarer Bestandteil des Blockchainsystems. Tatsächlich wären sie mittels gezielter technischer Anpassungen bis zu einem gewissen Grad vermeidbar. Einen solchen Zugewinn an Datensicherheit bzw. Datenschutz  durch eine entsprechende Technikgestaltung (Privacy by Design) fordert jetzt auch die EU-DSGVO in Artikel 25.

Ausblick

Die technologische und rechtliche Debatte im Zusammenhang mit der Blockchain-Technologie steckt noch in den Kinderschuhen. Der Meinungsstand wandelt sich daher fortwährend und wird ständig die sich ebenso umwälzenden Interessen der Betroffenen berücksichtigen müssen. Unternehmen, die auf die Blockchain-Technologie setzen, werden sich ab sofort vertieft Gedanken zu einer (rechts-)sicheren Gestaltung der von ihnen eingesetzten Technik machen müssen, um die datenschutzrechtliche Unbedenklichkeit ihres Geschäftsmodelles garantieren zu können und vermeidbare Risiken rechtzeitig zu erkennen.

Aktuelle Blockchain-Projekte:


(Bild-)Quelle(n): Motherboard-Magazin; © maxkabakov – de.depositphotos.com; © bloomicon – stock.adobe.com; © OpenClipart-Vectors – Pixabay.com; © By The Bitcoin Foundation / C rall (Diskussion) 00:08, 25. Okt. 2016 (CEST) [Public domain], via Wikimedia Commons

Note: There is a rating embedded within this post, please visit this post to rate it.
Die mobile Version verlassen