Privatsphäre gilt seit langem als eines der wichtigsten nicht-monetären Anwendungsfelder von Blockchain-Technologie. Viele Regierungen und Unternehmen betreiben zum Speichern interner Daten bereits auf Digital Ledger-Technologie basierende Buchhaltungssysteme.

Tech-Enthusiasten glauben, Blockchain habe das Potenzial, das Management von persönlichen Daten und Identitäten auch für Privatpersonen zu revolutionieren. Bewahrheitet haben sich diese Hoffnungen aber bisher kaum. Einer der Gründe dafür ist regulatorische Unsicherheit: Gesetzgebern rund um den Globus fällt es schwer, die durch die ausufernde Online-Wirtschaft entstehenden Herausforderungen an die Datensicherheit aufzuholen.

2019 haben die Regulierungsbehörden ihre Bemühungen zur Stärkung und Standardisierung der Datensicherheitsrichtlinien inmitten der wachsenden Erkenntnis des wirtschaftlichen Wertes von Daten in mehreren wichtigen Rechtsgebieten intensiviert. Der Bereich der Technologien zur Verbesserung des Datenschutzes brachte zudem neue Lösungen hervor, welche die Branche zu Beginn des neuen Jahrzehnts prägen dürften.

DSGVO-Effekt

Praktisch alle Beobachter sind sich darüber einig, dass das Inkrafttreten der Allgemeinen Datenschutzverordnung der Europäischen Union im vergangenen Jahr einen großen Einfluss auf die weltweite Landschaft des Datenschutzes hatte. Obwohl der Prozess formell bereits 2018 begann, nahm der Großteil der Bemühungen um die Einhaltung und Durchsetzung der Verordnung erst im letzten Jahr richtig an Fahrt auf.

British Airways und Marriott waren die ersten Unternehmen, die nach den Bestimmungen des Statuts mit Geldstrafen in Millionenhöhe belegt wurden. In der Folge der Gesetzgebung wurden viele andere Gerichtsbarkeiten einbezogen, die einen DSGVO-konformen Status anstrebten, um einen grenzüberschreitenden Datenaustausch zu ermöglichen. Dean Steinbeck, General Counsel beim Kryptowährungsprojekt Horizen, sagte gegenüber Cointelegraph:

"Erwartungsgemäß folgen viele Nicht-EU-Länder dem Beispiel der EU und führen in ihren Hoheitsgebieten ähnliche Vorschriften wie DSGVO ein. So haben beispielsweise Argentinien, Australien und Brasilien bereits Datenschutzgesetze eingeführt, die der DSGVO sehr ähnlich sind.

Auch in den USA hat der Gesetzgeber intensiv über Fragen der Datennutzung debattiert. Eine Anhörung der Congressional Task Force on Financial Technologies im November ergab, dass weder die Mitglieder der Demokraten noch die Republikaner mit der Gesetzeslage der Nation in Bezug auf die Praxis der Finanzdaten zufrieden waren. Es scheint jedoch unwahrscheinlich, dass eine Regulierung auf Bundesebene zustande kommt, bevor die Ergebnisse des kalifornischen Experiments vorliegen.

Kalifornien verabschiedete als erster US-Bundesstaat ein eigenes Regelwerk, den California's Consumer Privacy Act (CCPA). Für Steinbeck ist dies das bisher umfassendste Datenschutzgesetz in den USA. Das Gesetz trat Anfang 2020 in Kraft. Die Compliance-Beauftragten der Unternehmen erhielten umgehend entsprechende Hinweise zum CCPA.

Mehrere Bundesstaaten - darunter Massachusetts, New York und New Jersey - haben bereits ihre eigenen Datenschutzbestimmungen eingeführt oder Pläne angekündigt, solche zu schaffen. Dies löste Bedenken aus, die Datenschutzlandschaft in den Vereinigten Staaten könnte bald zu einem Flickenteppich aus unterschiedlichen Gesetzen werden, von denen jedes seine eigenen Anforderungen stellt, sagte Yarno Vanto, Partner in der Privacy & Cybersecurity Group der Anwaltskanzlei Crowell & Moring.

Vanto glaubt nicht an die Verabschiedung einer einheitlichen bundesweiten Regelung bereits im Jahr 2020, da es noch einige Zeit dauern wird, bis die zukunftsweisende Regelung Kaliforniens in Kraft treten kann. Erst dann können die Bundesbehörden daraus Lehren ziehen. Er merkte an, der CCPA habe auch einen eher holprigen Start hingelegt:

"Ein Bundesgesetz zum Schutz personenbezogener Daten ist im Jahr 2020 unwahrscheinlich. Der kalifornische Generalstaatsanwalt hat die Durchführungsbestimmungen zum CCPA nicht bis Ende 2019 fertig gestellt, so dass Unternehmen, die den CCPA einhalten wollen, im Frühjahr 2020 einige unbequeme Entscheidungen treffen müssen. Zudem hat der Generalstaatsanwalt mitgeteilt, dass mit der Durchsetzung erst Mitte 2020 begonnen wird und dass auch Aktivitäten, die in der ersten Hälfte des Jahres 2020 stattgefunden haben, Gegenstand von Durchsetzungsmaßnahmen sein könnten."

Auch in Bezug auf die Höhe von Geldbußen hat die DSGVO ein Modell geschaffen. Durch die Einführung eines hohen Preises für die Zulassung von Datenschutzverletzungen und den falschen Umgang mit Nutzerdaten signalisieren die Regulierungsbehörden, dass sie den Datenschutz ernst nehmen. Die Unternehmen ihrerseits erkennen, dass die Alternative zu massiven Compliance-Kosten eine vergleichbar hohe Strafgebühr ist. Michael Loewy, Mitbegründer des auf den Datenschutz fokussierten Protokolls Tide, sagte gegenüber Cointelegraph:

"Der CCPA sieht Geldbußen in Höhe von 2.500 bis 7.500 Dollar pro Datensatz und Verstoß vor, was bedeutet, dass die Wahrung der Privatsphäre jetzt für Unternehmen in Kalifornien und allgemein in den USA von entscheidender Bedeutung ist. Die prognostizierten Kosten für die Einhaltung des CCPA in Höhe von 55 Milliarden Dollar spiegeln dies wider. Wir sehen, dass Unternehmen bezüglich des Datenschutzes eine Operation am offenen Herzen vornehmen und stark investieren, um das Risiko einer möglichen Haftung beim Umgang mit sensiblen Verbraucherdaten zu minimieren."

Kryptographie gewinnt an Bedeutung

Mit der zunehmenden Bedeutung von Datensicherheit bei den Stakeholdern wachsen auch verschiedene Teilbereiche von Kryptographie - Blockchain ist nur eine der Technologien, die sich ihrer bedienen - explosionsartig an, was Business-Anwendungen betrifft. Krypto-Experten erwarten, dass das kommende Jahrzehnt ein Segen für die Branche sein wird.

Lilin Sun, Gründerin und CEO des Krypto-Computernetzwerks PlatON, bemerkte gegenüber Cointelegraph, Spitzentechnologien wie Big Data, künstliche Intelligenz, das Internet der Dinge, Cloud Computing und Blockchain würden für eine Neuordnung von Daten sorgen was in naher Zukunft weitere Datenskandale zur Folge haben könnte:

"Auf Privatsphäre ausgerichtetes Computing mit seinen tiefgreifenden Potenzialen wird in diesem neuen Jahrzehnt einen Durchbruch erreichen. Secure Multi-Party-Computing (MPC), Homomorphe Verschlüsselung (HE), Zero-Knowledge-Proof (ZKP) und andere Teilbereiche der Kryptographie liefern eine nachweisbare Sicherheitsgarantie beim Datenschutz."

Auch Jonathan Rouach, CEO und Mitgründer der Blockchain-Firma QEDIT, erwartet einen Anstieg von Privacy-Enhancing Technologie (PET) und für Zero-Knowledge-Nachweise im Anschluss an die Ereignisse des Jahres 2019:

"Wie ein kürzlich veröffentlichter Bericht des Weltwirtschaftsforums bestätigt, haben neben bedeutenden Entwicklungen im Bereich der Privacy-Enhancing-Technologien (PET) auch regulatorische Veränderungen stattgefunden, die den Aufstieg der Zero-Knowledge-Proof (ZKP)-Kryptographie in der Unternehmenslandschaft vorangetrieben haben.

Blockchain-Befürworter halten auf der Technologie basierende Lösungen für reif, um die dringendsten Probleme im Bereich der Datensicherheit zu lösen und gleichzeitig das Gleichgewicht zwischen einem starken Schutz und einer Zugangsmöglichkeit für Dritte, wie z.B. Strafverfolgungsbehörden, zu wahren. Tide Loewys sagt dazu:

"Die Blockchain-Technologie stellt eine bedeutende Möglichkeit dar, eine Killeranwendung für Bürgerrechts- und humanitäre Schutzaspekte wie den Schutz der Privatsphäre zu bieten, indem sie einen 'vertrauenswürdigen' Umgang mit sensiblen Daten ermöglicht. Zum ersten Mal gibt es eine Technologie, die einen Großteil der Risiken beim Zugriff auf und der Speicherung von sensiblen Daten, einschließlich des menschlichen Elements, beseitigt und gleichzeitig transparent und nachprüfbar bleibt, um Machtmissbrauch zu verhindern."

Rouach brachte einen weiteren interessanten Einblick in die Beziehung zwischen Blockkette und Privatsphäre. Er schlug vor DLT-basierte Lösungen nicht nur als datenschutzfördernde Werkzeuge anzusehen. Vielmehr könnten einige von ihnen verbesserte Datensicherheit für eigene Zwecke nutzen. Rouach argumentierte, dass unzureichender Schutz der Privatsphäre die Verbreitung von Blockchain-Technologie in der Vergangenheit behinderte:

"Ohne eine zusätzliche Datenschutzebene ist es beispielsweise für ein Logistikkonsortium nicht praktikabel, eine Blockchain für die Verfolgung von Assets entlang einer Lieferroute einzusetzen. Aus Wettbewerbssicht können die Hersteller in den Konsortien keine sensiblen Transaktionsdetails übermitteln, die vertrauliche Informationen über ihr Verkaufsvolumen, ihre Preisgestaltung oder ihre Handelspartner preisgeben."

Alte und neue Herausforderungen

Bestimmte Merkmale der Blockchain-Technologie stimmen nicht gut mit einigen grundlegenden Prinzipien des Datenschutzes überein, die im Mittelpunkt der neuen Gesetze zum Schutz personenbezogener Daten stehen. Die auffälligsten Streitpunkte sind die Unveränderlichkeit von Blockchains, was bedeutet, dass sensible oder "schlechte" Daten, die es in ein verteiltes Ledger schaffen, nicht entfernt werden können, falls dies notwendig wäre. Der zweite ist die dezentrale Natur echter Blockchains, welche es schwierig macht, die für einen Verstoß verantwortliche Partei zu identifizieren. Crowell & Moring's Vanto sagte gegenüber Cointelegraph dazu:

"Die Unveränderlichkeit verhindert die Löschung, und das Fehlen eines identifizierbaren "Kontrolleurs" (GDPR) oder "Unternehmens" (CCPA) ist eine Herausforderung, wenn nicht sogar ein unüberwindbares Problem. Die von den Regulierungsbehörden und verschiedenen Arbeitsgruppen vorgestellten Lösungen wie die Verschlüsselung aller Daten auf einer Blockchain oder die Aufbewahrung aller persönlichen Informationen außerhalb der Blockchain sind oft technisch anspruchsvoll und in der Praxis schwer zu implementieren, und es ist ungewiss, ob solche Lösungen tatsächlich die Einhaltung der Vorschriften bieten. Diese Rechtsunsicherheit schafft ein komplexes Umfeld insbesondere für Blockchain-Startups".

Hinter diesen Gesetzeskonflikten verbirgt sich jedoch auch eine tiefer gehende Frage: Kann ein dezentrales Blockchain-Protokoll überhaupt DSGVO-konform sein? Oder sollte es das sein? Paul Schmitzer, Leiter der Marketingstrategie beim datenschutzfokussierten Particl-Projekt, verneint dies. Schmitzer argumentiert, dass reine Blockchains quelloffen sind und nicht von einer bestimmten Instanz kontrolliert werden. Daher sollten sie nicht verpflichtet werden, DSGVO oder ähnliche Vorschriften zu befolgen:

"Es gibt keine Behörde, die die Integration von Vorschriften in Open Code erzwingen kann, wenn die Mehrheit der Knotenpunktbetreiber mit den Änderungen nicht einverstanden ist. Wirklich dezentralisierte Blockchains sind wirklich am Rande dessen, was in der Vergangenheit getan wurde, und es wird für die Regulierungsbehörden eine große Herausforderung darstellen, richtig zu bestimmen, wie diese offenen Protokolle zu regulieren sind."

Schmitzer wies auch darauf hin, dass sich Blockchainprojekte im Grad der Dezentralisierung stark unterscheiden und teilweise eher wie traditionelle, top-down Finanzdienstleistungsunternehmen strukturiert sind. Regulierungsbehörden, wie die Securities and Exchange Commission, sollten den Zentralisierungsgrad, der ein bestimmtes Projekt charakterisiert, von Fall zu Fall nach eigenem Ermessen bestimmen.

Neue Hürden

Was ist in Folge der Veränderungen beim Datenschutz im Jahr 2019 für die Blockkettenindustrie zu erwarten? Auf den ersten Blick sollte die Wende hin zu einem besseren Schutz privater Daten für den positive Auswirkungen auf den Krypto-Sektor haben. Horizen's Steinbeck teilt diese Ansicht:

"Ich sehe eine erneute regulatorische Akzeptanz für Verschlüsselung und ein tieferes Verständnis, dass Datenschutz wichtig ist. Ich denke, der aktuelle Trend zu mehr Datenschutz für Verbraucher ist ein gutes Vorzeichen für Blockchain und Projekte, die den Datenschutz sicherstellen."

Datenschutzanwalt Vanto zeigt sich nach wie vor besorgt über das Spannungsfeld zwischen den Anforderungen von Blockchain-Projekten und den Anforderungen der neuen gesetzlichen Rahmenbedingungen. Dennoch glaubt er, es gebe für die Regulierungsbehörden Möglichkeiten, die dadurch entstehenden negativen Konsequenzen zu mildern:

"Da praktisch alle verabschiedeten oder in Arbeit befindlichen Datenschutzgesetze in unterschiedlichem Maße mit Blockchain unvereinbar sind, dürften die Regulierungsbehörden 'sichere Häfen' einführen, in denen Blockchains, die bestimmte Anforderungen wie die Verschlüsselung persönlicher Daten erfüllen, nicht Gegenstand von Durchsetzungsmaßnahmen sein werden. Die Industrie wird eine wichtige Rolle spielen, um sicherzustellen, dass diese sicheren Häfen mit den technischen Entwicklungen rund um Blockchain kompatibel sind".

In Anbetracht des derzeitigen Tempos, in dem sich die Verschlüsselungstechnologien entwickeln, sowie des neu entdeckten Engagements der wichtigsten Regulierungsbehörden für die Gewährleistung eines ausreichenden Niveaus des Schutzes personenbezogener Daten wird 2020 mit Sicherheit ein aufregendes Jahr werden.