DSGVO und Blockchain: Ist das neue EU-Datenschutzgesetz eine Bedrohung oder ein Anreiz?

Die  Datenschutz-Grundverordnung (DSGVO), ein umfassender und strenger EU-weiter Rechtsrahmen für den Schutz personenbezogener Daten, trat am 25. Mai in Kraft. Bereit oder nicht, dieser Rahmen wird das Geschäft jedes digitalen Unternehmens drastisch verändern. Die International Association of Privacy Professionals (IAPP) prognostiziert, dass  mindestens 75.000 Arbeitsplätze im Privatbereich geschaffen werden, und Fortune Global 500 Unternehmen werden  fast 7 Mrd. Euro ausgeben, um sicherzustellen, dass sie mit der DSGVO konform sind. Aber was bedeutet das für die Blockchain?   

Die Ziele der Datenschutz-Grundverordnung lauten: Schaffung eines einheitlichen Rahmens für die Datenregulierung in Europa und Stärkung der Kontrolle der Nutzer über die Speicherung und Nutzung ihrer personenbezogenen Daten. Es wurde im Jahr 2016 angenommen und ist nach einer zweijährigen Übergangszeit in Kraft.

Verpflichtungen und Rechte

Die DSGVO führt neue verfahrenstechnische und organisatorische Verpflichtungen für "Datenverarbeiter" ein, einschließlich Unternehmen und öffentliche Einrichtungen, und verleiht den "betroffenen Personen" - dem Begriff, den sie für Einzelpersonen verwendet - mehr Rechte.

Öffentliche und private Organisationen, wenn sie sich selbst überlassen sind, tendieren dazu, Daten zu sammeln, noch bevor sie wissen, was sie damit machen werden, eine Art "Goldrausch" bei der persönlichen Datenerfassung. Die DSGVO widerspricht dieser Gewohnheit, indem sie festlegt, dass Datenverarbeiter keine Daten sammeln dürfen, die über das hinausgehen, was für ihre unmittelbare Interaktion mit Verbrauchern unmittelbar nützlich ist. In der Tat sollte die Datenerhebung "angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, notwendige Minimum beschränkt" (Artikel 39 der DSGVO).

Neben dem, was erlaubt ist oder nicht erlaubt ist, legt die DSGVO auch organisatorische Richtlinien fest, die die Datenverarbeiter von nun an übernehmen müssen. Zum Beispiel muss ihre technologische Architektur Benutzerdaten nach der Verwendung standardmäßig löschen - "Privacy by Design".

Zweitens muss jede Einrichtung, die als "Daten-Nexus" betrachtet wird, über einen Datenschutzbeauftragten (DSB) verfügen, der für die Einhaltung der DSGVO verantwortlich ist. Dieser Datenschutzbeauftragte ist gesetzlich verpflichtet, die Aufsichtsbehörde zu benachrichtigen, wenn ein Risiko für die Privatsphäre der betroffenen Person entsteht (Artikel 33).

Neue europäische Datenschutzverordnung

Die betroffenen Personen werden besser darüber informiert, wie ihre privaten Daten gespeichert und verarbeitet werden (Artikel 15). Sie haben beispielsweise das Recht, eine Kopie der Informationen von den Unternehmen zu verlangen, die über sie gehalten werden. Darüber hinaus müssen die Datenverarbeiter die betroffenen Personen über die Verarbeitung der Daten und deren Weitergabe oder Erwerb informieren.

Neben der Transparenz bietet die DSGVO den Bürgern mehr Kontrolle darüber, wie ihre Daten verwendet werden. In Artikel 17 sind die Bedingungen aufgeführt, unter denen sie die Löschung ihrer Daten aus Geschäftsdatenbanken oder das so genannte "Löschungsrecht" beantragen können.

Wie Sarah Gordon und Aliya Ram in der Financial Times jedoch feststellten, "hängt der Einfluss der DSGVO letztlich davon ab, ob sich Einzelne dazu entschließen, die größeren Befugnisse auszuüben, die ihnen die Regeln geben." Wann haben Sie Ihre Zustimmung zur Datenschutzerklärung von Facebook zum letzten Mal abgelehnt?

Eine geladene Waffe mit globaler Reichweite

Die DSGVO erhebt extrem hohe Gebühren für Unternehmen, die sich nicht daran halten. Darüber hinaus reicht seine Reichweite weit über die EU hinaus.

Für Unternehmen könnte ein Besuch des Datenschutzbeauftragten noch beängstigender sein als ein Besuch des Steuerinspektors. Eine vorsätzliche oder wiederholte Nichteinhaltung der Grundsätze der DSGVO führt zu Geldstrafen bis zu 20 Mio. € oder bis zu 4% des jährlichen weltweiten Umsatzes des Täters - je nachdem, welcher Betrag höher ist. Anstatt sich nur auf die DPOs der Unternehmen zu verlassen, um Alarm zu schlagen, werden auch regelmäßige Datenschutzaudits durchgeführt.

Obwohl im engeren Sinne nur Datensubjekte innerhalb der EU geschützt werden, ist die Reichweite der DSGVO in der Praxis global. Zunächst müssen sich Datenverarbeiter außerhalb der EU, die mit den personenbezogenen Daten von EU-Bürgern umgehen, daran halten.

 Die EU erneuert sich zudem, indem sie die Datenströme jetzt an die Handelsströme bindet: Jedes Land, das ein Handelsabkommen mit der EU unterzeichnen will, muss sich verpflichten, die DSGVO zu beachten. In den letzten zehn Jahren sind die USA zur Weltwirtschaftspolizei geworden und haben riesigen Summen Geldstrafen auferlegt, weil sie ihre Anti-Geldwäsche-Vorschriften nicht eingehalten haben. Wird die EU mit der Datenschutz-Grundverordnung der Datenschutzbotschafter der Welt?

Entgeht Blockchain der DSGVO?

Die DSGVO wurde erstmals von der Europäischen Kommission im Jahr 2012 vorgeschlagen, mit einem anfänglichen Fokus auf Cloud-Dienste und soziale Netzwerke, zu einer Zeit, als Blockchain noch kein bekanntes Wort war. Cloud-Dienste und soziale Netzwerke sind zumindest in der Pre-Blockchain-Welt meist zentral organisiert: Viele Datensubjekte interagieren mit einer einzigartigen Server-Einheit - dem Datenprozessor / Controller. Die zentrale Verwaltung schafft einen einfachen Angriffspunkt für Regulierungsbehörden. Aber wie wirkt sich die DSGVO auf dezentrale Protokolle wie öffentliche Blockchains aus?

Es ist klar, dass angesichts der dünnen Grenze zwischen Pseudonymität und Identifikation - die Blockchain speichert einige potenziell persönliche Daten - beginnend mit der eigenen Transaktionsgeschichte. Es könnte als solches in den Geltungsbereich der DSGVO fallen.

Auf den ersten Blick könnte man meinen, dass zwischen der DSGVO und öffentlichen Blockchains ein direkter Widerspruch besteht. Unter den vielen Prinzipien, die in der DSGVO niedergelegt sind, scheint das "Recht auf Löschung" beispielsweise besonders im Widerspruch zu der unveränderlichen Natur zu stehen, die im allgemeinen Sprachgebrauch den Kern der Blockchain-Technologie darstellt. Nimmt man einen Moment lang diesen Widerspruch an, stellt sich die Frage: Wer sind die rechenschaftspflichtigen Datenprozessoren in einem rein dezentralen Blockchain-System?

Alles in allem scheint es schwierig zu sein, die Logik der DSGVO und der Blockchain zu artikulieren, indem man die Aufteilung "Datenverarbeitung" / "Datensubjekt" verwendet. Zweifellos steht eine anstrengende juristische Debatte bevor.

Blockchain mit DSGVO?

Dennoch teilt die Blockchain viele Ziele mit der DSGVO. Beide zielen darauf ab, die Datenkontrolle zu dezentralisieren und die Leistungsungleichheit zwischen zentralisierten Dienstleistungsanbietern zu mildern - zum Teil, indem diese im Blockchain-Mythos - und Endnutzern unterdrückt werden. Während die ursprüngliche Bitcoin-Spezifikation keine Anonymität garantierte, brachten uns viele technologische Innovationen von elementaren Zuhaltungen bis hin zu zk-SNARK-Anwendungen diesem Ideal näher. Diese Art von Anonymität ist jedoch wahrscheinlich nicht das, wonach der Regulator sucht - gibt es Lösungen, die von der Blockchain vorgeschlagen werden, die von der Regulierungsbehörde leichter akzeptiert würden?

Eine besonders vielversprechende Forschungsrichtung ist die Kombination von Trusted Hardware und Blockchains. In öffentlichen Blockchains werden alle Daten repliziert und auf allen Computern im Netzwerk gemeinsam genutzt. Dies macht das Löschen von Transaktionsdaten und den Datenschutz für die Benutzer zu einem Albtraum. Jüngste Untersuchungen haben begonnen, zu untersuchen, wie "Trusted Computing Enklaven", wie Intel SGX, sichere und vertrauliche Datenspeicherung und Privatsphäre bieten könnten.

Die Kombination von Trusted Computing mit öffentlichen Blockchains bedeutet, dass der Datenschutz von Daten vor externen Bedrohungen geschützt und außerhalb der Kette gespeichert werden kann, wobei die Blockchain als letzte Instanz entscheidet, wer auf diese Daten zugreifen darf oder nicht. Weil Smart Contracts bedeuten, dass sie nicht mehr zentralisierten Dienstleistern vertrauen müssen, können Datenrechte ausschließlich über die Blockchain und vertrauenswürdige Hardware von Benutzern verwaltet werden; die Kontrolle und Vertraulichkeit ihrer Daten an sie zurückgeben. Gegenwärtig verfolgen mehrere Projekte diese Idee, in der Hoffnung, dass sie die Blockchain von einem Albtraum der GDPR in ein Märchen verwandeln könnte.

Ein solcher Versuch ist eine gemeinsame Anstrengung des Imperial College London und der Cornell University. Teechain ist ein Projekt, das vertrauenswürdige Hardware verwendet, um sichere und effiziente Off-Chain-Transaktionen für eine öffentliche Blockchain zu ermöglichen. Es ist ein interessanter Schritt, ob die Transaktions-Privatsphäre in allen öffentlichen Blockchains gefunden werden kann und nicht nur in denen, die anonym bleiben. Ein alternatives Projekt, das auch zu Live-Demonstrationen führte, ist die Zusammenarbeit zwischen iExec und Intel, die innerhalb der Enterprise Ethereum Alliance (EEA) initiiert wurde.

Unternehmen Ihre Lieblings-Blockchain-Projekte die notwendigen Schritte, um sich an dieses Datenschutz-Erdbeben anzupassen? Wenn nicht, ist es vielleicht an der Zeit, Produkte mit "Privacy by Design" zu implementieren. Wie immer werden Zwänge Kreativität züchten.

 

Der Artikel wurde gemeinsam mit Joshua Lind, einem Ph.D. Kandidat in Computing Science verfasst.