Expert Take: Passen die neue EU-Datenschutz-Grundverordnung und Blockchain zusammen?

In unseren Expert Takes äußern Meinungsführer innerhalb und außerhalb der Kryptoindustrie ihre Ansichten, teilen ihre Erfahrungen und geben professionelle Ratschläge. Unsere Expert Takes decken alle Bereiche der Krypto-Industrie ab. Von Blockchain-Technologie und ICO-Finanzierung bis hin zur Versteuerung, Regulierung und Akzeptanz von Kryptowährungen in verschiedenen Bereichen der Wirtschaft.

Wenn Sie gerne einen Expert Take abgeben möchten, schicken Sie uns Ihre Ideen und Ihren Lebenslauf per Email an a.mcqueen@cointelegraph.com.

Die EU-Datenschutz-Grundverordnung (DSGVO) ist dabei, ihre größte Überarbeiten seit ihrer Einführung 1995 zu erfahren. Der neue Gesetzesrahmen mit dem englischen Namen "General Data Protection Regulation (GDPR)", wird am 25. May in Kraft treten und ändert auf drastische Weise die Handhabung von persönlichen Daten durch Organisationen, insbesondere die Art der Datenerhebung und Nutzung. Die DSGVO will Datenschutzregelungen innerhalb der EU einheitlich machen und Einzelpersonen bessere Kontrolle über ihre persönlichen Informationen geben.

Nach den neuen Regelungen müssen sich alle Organisationen, die persönliche Daten von EU-Bürgern oder Bewohnern speichern, neuen und strengeren Privatsphäre-Regelungen unterwerfen, wobei die Regelungen auch für Blockchain-Projekte gelten. Wenn dies nicht geschieht, werden Geldstrafen verhängt, deren Höhe von der Schwere des Verstoßes, dem Charakter des Verstoßes und dem Compliance-Protokoll der Organisation abhängen. Die ausgemachtesten Täter müssen mit Strafen von bis zu 20 Millionen Euro bzw. von vier Prozent des Jahresumsatzes rechnen, je nachdem, welche Rechnung höher ausfällt.

Um das Risiko von Geldstrafen zu vermeiden, müssen alle Organisationen, die mit personenbezogenen Daten von EU-Bürgern oder Einwohnern arbeiten, auch solche, die außerhalb der EU lokalisiert sind, aktive Schritte zur Einhaltung der Vorschriften einleiten. Da die DSGVO auf alle Onlinedienste zutrifft, die von EU-Bürgern oder Bewohnern genutzt werden, treffen die Gesetze vermutlich auf einen Großteil der Blockchain-Projekte weltweit zu, unabhängig davon, von wo aus diese operieren.   

Ob die EU in der Lage sein wird, die Gesetzte effektiv auf Organisationen außerdem der EU anzuwenden, bleibt abzuwarten. Wie soll die EU zum Beispiel die Datenbank eines Callcenters in Banglaseh erreichen? Oder ein Blockchain-Projekt, dass tausende von Nodes überall in der Welt bedient? Unabhängig davon sollten jedoch Organisationen innerhalb der EU sofort mit der Implementation des neuen Gesetzesrahmens beginnen, der die Einhaltung dutzender neuer Protokolle beinhaltet, einschließlich:

  • Die eindeutige Angaben von Datenschutzrichtlinien.
  • Die Einholung der ausdrücklichen Einwilligung von Einzelpersonen vor der Erfassung personenbezogener Daten.
  • Die Möglichkeit zur Zurückziehung der Zustimmung von Einzelpersonen zu jedem Zeitpunkt.
  • Datensicherung.
  • Die Gewährleistung, dass Datenübertragungen aus der EU strengen Standards entsprechen.
  • Die Erlaubnis, dass Einzelpersonen ihre persönlichen Daten überarbeiten oder löschen.

Kann Blockchain unter der neuen EU-Datenschutz-Grundverordnung funktionieren?

Leider widersprechen viele der Voraussetzungen der DSGVO der Kerntechnologie von Blockchain. Blockchain ist eine unveränderliche Datenbank, die auf einem dezentralisierten Netzwerk gelagert, gewartet und kontrolliert wird. Dies unterscheidet sie von traditionellen Datenbanken, die von einer zentralen Autorität wie Facebook, Google oder Amazon Web Services kontrolliert werden. Die DSGVO soll zwar technologieunabhängig sein, sie wurde jedoch unter der Annahme konzipiert, dass personenbezogene Daten bei traditionellen zentralisierten Behörden gespeichert werden, die die Daten gemäß dem DSGVO-Rahmen problemlos verwalten können. Bei Blockchain allerdings wird es unklar, wie dezentralisierte Netzwerke überall auf der Welt die Standards einbauen sollen.

Zum Beispiel sind die Blockchains eindeutig nicht mit der Forderung der DSGVO vereinbar, dass Einzelpersonen die Möglichkeit erhalten, ihre persönlichen Daten zu überarbeiten oder zu löschen. Blockchains sind unveränderlich und können nicht verändert werden, sobald ein Block erschaffen wurde. Wie können Datenrevision und Unveränderbarkeit abgestimmt werden? David Fragale, Mitbegründer von Atonomi, hebt den Widerspruch hervor:

"Die DSGVO bietet den EU-Bürgern die Möglichkeit, die Kontrolle über ihre personenbezogenen Daten auszuüben. Aus Sicht von Blockchain passt dies gut zum Ethos der Gemeinschaft, sich von einer zentralen Behörden zu entfernen. Technologisch steht dieses jedoch im Widerspruch zu Blockchains unveränderlichem Hauptbuch und seiner dezentralen Datenspeicherarchitektur."

Shane Brett, der Geschäftsführer von GECKO Governance, stimmt zu, dass es einen Konflikt gibt. Er erinnert jedoch daran, dass es möglicherweise Raum für Interpretationen und unterschiedliche nationale Ansätze innerhalb der EU geben könnte:

"Die DSGVO soll der Einzelperson die Kontrolle über ihre personenbezogenen Daten und deren Nutzung durch Dritte ermöglichen, wobei eine der Schlüsselkomponenten der Gesetzgebung das Recht auf Vergessenwerden / Datenlöschung ist. Dies steht jedoch in einem gewissen Widerspruch zur Blockchain-Technologie, die als unveränderliches Hauptbuch bezeichnet wird, das nicht gelöscht werden kann. Im Wesentlichen können Daten aus einer Blockchain nicht gelöscht werden, sobald sie einmal geschrieben wurden, da dies die Kette unterbrechen würde.

Es sollte jedoch beachtet werden, dass die DSGVO nicht genau definiert, was Löschung bedeutet. Daher wird die Interpretation dem Besitzer der Daten überlassen oder kann in den Rechtsvorschriften, die in jedem EU-Mitgliedstaat umgesetzt werden, weiter präzisiert werden."

Eine Möglichkeit, die untersucht wird, ist das Konzept der Speicherung von persönlichen Daten außerhalb der Kette. Diese Aufteilung in die Datenarchitektur erlaubt es, dass persönliche Daten in einer Blockchain referenziert werden, aber ohne Zugriff auf die off-chain Datenbank nicht eingesehen oder abgerufen werden können, erklärt Serafin Lion Engel von Datawallet, mit einer generell optimistischen Sicht auf die neue DSGVO:

"Eine interessante Lösung für das Problem wäre eine duale Datenverarbeitungsarchitektur, bei der vertragliche Elemente einer Transaktion über intelligente Verträge on-chain erfolgen und die eigentliche Datenübertragung außerhalb der Kette erfolgt. Dies löst auch das Skalierbarkeitsproblem, mit welchem Blockchain-Technologien aktuell zu kämpfen haben.

Ich denke, die DSGVO ist ein großer Schritt in die Zukunft eines datengestützten Anwenders, insbesondere indem Unternehmen gezwungen werden, Benutzern zu erlauben, Daten herunterzuladen und auf andere Plattformen zu verschieben, oder sogar ganz zu löschen, und es gibt definitiv Unternehmen, die wie DataWallet sicherzustellen versuchen, dass diese notwendige Regulierung und aufregende Technologie sich nicht gegenseitig ausschließen."

Während dieser Ansatz es Organisationen ermöglicht, personenbezogene Daten zu überarbeiten oder zu löschen und somit dem DSGVO-Rahmen zu entsprechen, wirft sie eine Reihe anderer Bedenken auf. Zum Beispiel: Wie können Einzelpersonen darauf vertrauen, dass die Off-Chain-Datenbank ordnungsgemäß verwaltet wird? Wie einfach kann off-chain auf persönliche Daten zugegriffen werden, während gleichzeitig Transaktionen on-chain vereinfacht werden? Und vor allem, nach allem, was wir über zentralisierte Datenbanken gelernt habe: wie werden sie sich gegen Angriffe schützen?

Laut Rob Viglione, Mitgründer und Teamleiter bei ZenCash, ist die Einhaltung der DSGVO ein wichtiges Anliegen für Unternehmen aus dem Bereich Identitätsmanagement, die Blockchain-Lösungen erforschen:

"Wir arbeiten mit mehreren Unternehmen zusammen, die Blockchain digitale Identitätsprotokolle zur Verfügung stellen wollen, aber bisher hat noch niemand das Problem der DSGVO gelöst. Der EU-Rahmen ist für die Blockchain-Technologie schwer anwendbar und verursacht definitiv Probleme für diesen Projekten."   

Leider werden viele dieser Probleme durch die Knotenarchitektur von Blockchain weiter kompliziert. Die DSGVO ist so konzipiert, dass Organisationen die personenbezogenen Daten von EU-Bürgern und -Bürgern innerhalb der EU und nicht über Tausende von dezentralisierten Knotenpunkten auf der ganzen Welt speichern müssen. Darüber hinaus geht die DSGVO von einer Welt aus, in der Unternehmensführer für die Umsetzung von Regulierungsstandards verantwortlich sind.

Blockchain-Projekte werden jedoch oft von lockeren Kollaborationen zwischen Entwicklern und Entrepreneuren aus der ganzen Welt geleitet. Einige stehen unter der Leitung von dezentralisierten anonymen Organisationen (DAO). Diese neuartigen Regierungssysteme arbeiten nicht auf die Art und Weise, die EU-Regulatoren festgelegt haben. Wer innerhalb eines Blockchain-Projekts kann sicherstellen, dass jeder Knoten den Datenschutzgrundsätzen der DSGVO entspricht? Wen können DSGVO-Regulatoren ansprechen, um die Einhaltung der Vorschriften nachzuverfolgen? Wen können sie wegen Nichteinhaltung bestrafen? Das sind alles Themen, mit denen sich EU-Regulierer und Blockchain-Projekte in den kommenden Monaten auseinandersetzen müssen, was eine wahre Herkules-Aufgabe sein wird.

Die Ansichten und Interpretationen in diesem Artikel sind die des Autors und repräsentieren nicht unbedingt die Ansichten von Cointelegraph.

Dean Steinbeck ist ein US-amerikanischer Unternehmensanwalt mit Schwerpunkt Datenschutz und Technologie. Er ist General Counsel bei TigerConnect, einer klinischen Kommunikationsplattform für über 4.000 US-amerikanische Gesundheitsorganisationen.