Blockchain – Zukunftsmusik ohne rechtliche Realisierbarkeit?
Tara Schau, Universität Hamburg
Eine Technologie, die Banken und Börsen ersetzen, den Handel vereinfachen und dabei quasi nicht manipulierbar sein soll. All das und mehr sieht die Welt der Technik in der Blockchain. Die Grundidee der Technologie ist es, Sicherheit durch permanente Sicherung und Abrufbarkeit von Daten zu gewährleisten, die Möglichkeit des Zurückverfolgens soll bis in die Ewigkeit bestehen. Ein großer Schritt für Transaktionen der Zukunft oder eher eine nicht vollständig realisierbare Technologie auf Grund der Grundsätze des Datenschutzrechts?
I. Der technische Aspekt
Um verstehen zu können, warum die Blockchain einige datenschutzrechtliche Probleme aufwirft, ist eine Einführung in ihre Funktionsweise unumgänglich. Es handelt sich bei einer Blockchain um eine Datenbank, die, anders als herkömmliche Datenbanken, nicht von einem Drittanbieter verwaltet wird, sondern bei jedem einzelnen ihrer Teilnehmer liegt. Dadurch ergibt sich ein Peer-2-Peer-Netzwerk, also ein solches, bei dem jeder Teilnehmer direkt mit den anderen Teilnehmern verknüpft ist und jeder Computer einen Kotenpunkt, einen „Node“, in dem Netzwerk bildet.
Die Blockchain an sich ist die Verkettung von mehreren Blöcken. Ein Block enthält neben Zeitstempel und Index auch Transaktionsdaten und den sogenannten Hash des vorherigen Blocks. Ein Hash ist der digitale und kryptografisch verschlüsselte Wert, der für einen Block ermittelt wurde. Auf diese Weise werden die Blöcke aneinander gekettet, da jeder Block die Informationen des vorherigen Blocks in Form eines Hashs in sich trägt. Hier liegt auch der Grund, warum die Blockchain so schwer zu fälschen ist, denn eine nachträgliche Änderung eines Blocks führt gleichzeitig zu einer Änderung des Hashs, der wiederum schon Teil eines jeden nachfolgenden Blocks geworden ist.[1] Eine neue Berechnung aller nachfolgenden Hashs übersteigt die Rechenleistung, zu der Computer heutzutage und auch weiterhin fähig sind und sein werden, bei Weitem.[2]
Neben der einfachen Generierung eines Hashs gibt es außerdem die Möglichkeit, diesen zu signieren und zu legitimieren, da es bei manchen Transaktionen notwendig sein kann, sich zu erkennen zu geben. Eine Signierung wird mittels eines private Keys durchgeführt, der nur dem einzelnen Teilnehmer bekannt ist. Publiziert der Teilnehmende einer Blockchain nun den sogenannten public Key, ist es den anderen Teilnehmenden der Blockchain möglich, die Signierung durch den private Key mit dem public Key zu öffnen und damit sicherzugehen, dass diese auch tatsächlich von einem bestimmten Teilnehmenden generiert wurde. Anders herum können andere Teilnehmende mit dem public Key Transaktionen verschlüsseln, die nur der Inhaber des private Key öffnen kann.[3]
Ist ein neuer Block generiert, wird er an die Blockchain angefügt und damit auch bei jedem beteiligten Node der Blockchain gespeichert. Hier wird überprüft, ob es sich tatsächlich um einen verifizierten nächsten Block handelt, was von den Nodes bestätigt werden muss. Erst, wenn genügend Nodes dem neuen Block vertrauen, wird er Teil der Kette. Auch dieses Vorgehen gewährleistet noch einmal die nahezu unmögliche Manipulation der Blockchain.[4]
II. Anwendungsfelder der Blockchain
Wer sich in jüngster Vergangenheit mit der Kryptowährung Bitcoin auseinandergesetzt hat, könnte schon ein mögliches Anwendungsfeld der Blockchain kennen gelernt haben. Transaktionen der Bitcoins werden mittels einer Blockchain durchgeführt und gespeichert, während die Generierung neuer Teile der Blockchain, das sogenannte Mining, den durchführenden Minern, Bitcoin erwirtschaftet.[5] Dies ist jedoch nur ein Beispiel für die Einsetzbarkeit der Blockchain.
Denkbar wäre die Etablierung von digitalen Registern, die durch die Peer-2-Peer-Netzwerke eine Verwaltungsstelle überflüssig machen würden. Es wäre beispielsweise denkbar, das Grundbuch über eine Blockchain zu führen und zu verwalten, da damit Fälschungen quasi ausgeschlossen wären und die Eintragung nicht unbedingt von einer dritten Person durchgeführt werden müsste.[6]
Auch sogenannte „Smart Contracts“ wären zukünftig mit der Blockchain-Technologie realisierbar. Unter diesem Begriff versteht man Programmcodes, die, abgelegt in einer Blockchain, automatisch überprüfen, ob eine Leistung erbracht wurde. Die Blockchain könnte in der Zukunft die rechtlich relevanten Aktivitäten eines Teilnehmers kontrollieren und dokumentieren.[7]
Je nach Art des Anwendungsfeldes handelt es sich bei einer Blockchain um eine „public Blockchain“, bei der die Akteure vollständig anonym agieren oder um eine „permitted (oder permissioned) community“, bei der sich die Teilnehmenden aus bestimmten Gründen identifizierbar machen müssen und der Zugang und die Teilnahme an dem Netzwerk von einer Stelle aus gesteuert wird.
III. Datenschutzrechtliche Aspekte
Die Eigenschaft der Blockchain, Daten zuverlässig, unveränderbar und auf unbestimmte Zeit speichern zu können, macht sie so modern und attraktiv für die Transaktionen der Zukunft, aber auch schon für die der Gegenwart. Allerdings ist die größte Stärke der Blockchain auch ihre größte Schwäche, zumindest in Bezug auf das Datenschutzrecht. Im Folgenden wird die rechtliche Problematik, die die Blockchain-Technologie mit sich bringt, anhand der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung diskutiert. Insbesondere das Recht auf Berichtigung und Korrektur aus Art. 16 DSGVO und das Recht auf Löschung, beziehungsweise auf Vergessenwerden, gemäß Art. 17 DSGVO scheinen von der Wesensart der Blockchain tangiert.
1. Personenbezogene Daten
Die Rechte aus der DSGVO wären allerdings schon dann nicht einschlägig, wenn es sich bei einer Blockchain nicht um personenbezogene Daten handeln würde. Darunter sind gemäß Art. 4 Nr. 1 DSGVO Angaben über persönliche oder sachliche Verhältnisse einer identifizierbaren Person zu verstehen. Bei Blockchains, die im Grunde nur aus kryptografisch verschlüsselten Informationen bestehen, stellt sich daher insbesondere die vieldiskutierte Frage, welche Erkenntnisquellen zum Ermitteln des Personenbezuges hinzugezogen werden dürfen. In seiner Entscheidung bezüglich des Personenbezuges bei dynamischen IP-Adressen stellte der EuGH fest, dass diese zumindest dann als personenbezogen gelten, wenn eine verantwortliche Stelle über Mittel verfügt, mit denen die Person durch Zusatzinformationen bestimmt werden kann.[8]
Betrachtet man unter diesem Aspekt nun sowohl die public Blockchain als auch die permitted (oder permissioned) community, wird schnell deutlich, dass bei letzterer ein Personenbezug der Daten leicht herzustellen ist. Diejenige Stelle, die eine Nutzererkennung in der community vergibt, hat die Möglichkeit, Rückschlüsse auf die Person hinter einem public Key zu ziehen. Damit ist dieses Szenario mit dem der dynamischen IP-Adressen zu vergleichen.
Nicht ganz so deutlich verhält es sich mit einer public Blockchain. Allerdings kann es auch hier in einem gewissen Maße möglich sein, auf die IP-Adressen und andere Informationen eines Teilnehmers Rückschlüsse zu ziehen, wenn sie mit ihrer Anmeldung preisgeben, hinter gewissen public Keys zu stehen. Darüber hinaus können auch Big Data Analysen wie Chainanalysis[9] bei Bitcoin einen legalen Aufschluss über die Identitäten hinter den public Keys geben. Schließlich hätte der Staat bei möglichen Straftaten oder der Durchsetzung von Ansprüchen die rechtliche Autorisierung und die Mittel, die Zugangsinformationen zu erhalten.[10] Zusammenfassend ist daher festzuhalten, dass es sich bei den Daten in einer Blockchain um personenbezogene Daten handelt und daher die Rechte aus der DSGVO für die Teilnehmer einer Blockchain gelten.
2. Data Controller – die verantwortliche Stelle
Wer hat nun aber die Verpflichtung, die Rechte der Teilnehmer der Blockchain umzusetzen? Diese Frage lässt sich sehr schwer beantworten, da es sich bei einer Blockchain ihrer Natur nach um eine dezentrale Datenbank, sowohl im technischen als auch im organisatorischen Sinne, handelt. Wer als „verantwortliche Stelle“ gilt, regelt die DSGVO in Art. 4 Nr. 7. Damit kommen alle natürlichen oder juristischen Personen in Betracht, die alleine oder mit anderen zusammen über die Zwecke und Mittel der Verarbeitung der Daten entscheiden.
Anzudenken sind daher die Programmierer einer Blockchain als verantwortliche Stelle. Diese geben jedoch bei public Blockchain ihre Programmcodes vollständig aus der Hand. Sie stellen lediglich die Programmcodes als „Open Source“ zur Verfügung und entscheiden danach nicht weiter über die Verarbeitung der Daten. Etwas anderes könnte sich ergeben, wenn in permitted communities Blockchain programmiert werden und die Stelle, die die Programmierung in Auftrag gegeben hat, Einfluss auf die Teilnahme an der Blockchain nimmt und damit auch steuert, welche personenbezogenen Daten zur Teilnahme preisgegeben werden müssen. In diesem Fall kann eine Verantwortlichkeit dieser Stelle angenommen werden, da sie über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet.
Stellt man die Überlegungen bezüglich des Zweckes auch bei der public Blockchain an, könnte man jeden einzelnen Node als verantwortliche Stelle ansehen. Der Zweck eines jeden, der sich die Daten der Blockchain herunterlädt, ist die Teilnahme an der Blockchain als solche. Da jedoch keiner der Nodes aktiv über die Mittel der Datenverarbeitung bei anderen Nodes entscheidet, kann keine Verantwortlichkeit allein über die Legaldefinition einer verantwortlichen Stelle für jeden Node abgeleitet werden.
Zusammenfassend ist es daher bei permitted communities zwar möglich, eine Verantwortung für die Zulassungsverwaltung der Blockchain zu konstruieren, bei einer public Blockchain ist dies jedoch nur anhand der DSGVO und ohne ergänzende Regelungen nicht ohne Weiteres möglich.
IV. Ein Blick in die Zukunft – Umsetzbarkeit der Datenschutzrechte?
Wie vorher schon festgestellt, müssen im Rahmen der Datenspeicherung in einer Blockchain die Rechte der DSGVO, insbesondere Art. 16, das Recht auf Berichtigung, und 17, das Recht auf Löschung und „Vergessenwerden“, von einer verantwortlichen Stelle, sofern sie bestimmbar ist, umgesetzt und gewahrt werden. Wie genau würde die Umsetzung dieser Rechte jedoch in Bezug auf die Blockchain aussehen?
Prinzipiell können sowohl das Recht zur Korrektur, als auch das Recht auf Löschung gemeinsam betrachtet werden, da ihre Umsetzung ähnlich funktionieren könnte.
Zunächst ist noch einmal festzustellen, dass Löschung und Korrektur in der Blockchain auf Grund ihrer Beschaffenheit kaum oder nicht umsetzbar sind. Daher ist zu diskutieren, ob mögliche Alternativen dem Recht auf Löschung und Korrektur gerecht werden können.
Als eine Möglichkeit könnte man die Verschlüsselung mit einem private Key andenken, der nur einmal verwendet und anschließend „verworfen“ wird. Damit wäre ein Rückschluss auf Transaktionen mit Hilfe der Verfolgung des Keys unwahrscheinlicher. Allerdings trägt dies nur zur weiteren Verschlüsselung der Daten bei, die Rückschlüsse erschwert, aber nicht für jede Stelle unmöglich macht. In Anbetracht der vorher erwähnten Entscheidung des EuGH[11] zur Rückverfolgbarkeit, wäre der Verschlüsselung der Daten, um diese als anonyme Daten zu behandeln, weiterhin nicht Genüge getan.
Verfolgt man den Gedanken der vollkommenen Verschlüsselung weiter, könnte allerdings in Betracht gezogen werden, Daten von vornherein verschlüsselt in der Blockchain abzuspeichern, da schon auf Anwenderebene entschieden wird, was in der Blockchain stehen wird. Auf Grund der persönlichen Verschlüsselung wäre es dann anderen Stellen nicht mehr möglich, die Daten zu entschlüsseln, womit keine privaten Daten mehr vorhanden wären, die geschützt werden müssten. Eine solche Blockchain würde damit nicht mehr unter den Schutzbereich der DSGVO fallen, da keine personenbezogenen Daten mehr vorlägen, und wäre damit realisierbar. Praktisch gesehen, soll eine Blockchain jedoch eben diese Daten zur Verfügung stellen und abrufbar machen, um ihrer Funktion nachzukommen. Ein Abspeichern ohne entschlüsselbare Daten läuft dem Sinn einer Blockchain entgegen.
In IT-Kreisen wird momentan auch die Möglichkeit einer vergessenden Blockchain debattiert. Einem Nutzer der Blockchain würde damit im Vornherein zugesichert werden, dass nach einer bestimmten Zeit, Daten und Kontos, die nicht mehr genutzt werden, von der Blockchain entfernt werden, indem die Konten saldiert und in eine neue Blockchain integriert werden. Damit wäre die Authentizität gewährleistet, einen direkten Zugriff auf die Daten gäbe es jedoch nicht mehr. Dieser Ansatz verstößt allerdings gegen das Prinzip der Immutabilität,[12] der Unveränderlichkeit, die eine tragende Rolle in der Entwicklung spielt. Gerade in den Fällen, in denen vergangene Daten weiterhin abrufbar sein sollen, stellt dies keine Alternative dar. Betrachtet man die Blockchain jedoch nur noch als „gemeinsamen Ort der Wahrheit“ wäre das Entfernen nach bestimmter Zeit eine Option. In einem solchen Fall sollte sich jedoch die Frage stellen, ob eine spätere (aber absehbare) Löschung oder Änderung von Daten als Erfüllung der Anforderungen aus Art. 16 und 17 DSGVO ausreicht.
So eingeschränkt, wie die Möglichkeiten der Löschung oder Korrektur einer Blockchain wirken, stellt sich die Frage, ob diejenigen, die trotzdem an einer Blockchain teilnehmen wollen, auch auf ihre Rechte aus der DSGVO verzichten können. Dies würde dann in Form einer zwingenden Verzichtserklärung in Bezug auf die Widerrufbarkeit der Einwilligung, die bei Teilnahme an einer Blockchain erteilt wird, geschehen. Ein Widerruf der Einwilligung hätte nämlich zur direkten Folge, dass die Daten unverzüglich gelöscht (oder korrigiert) werden müssten.[13] Einschränkungen einer solchen Widerrufsmöglichkeit sieht die DSGVO nicht vor und es herrscht auch in der Literatur Einigkeit darüber, dass auf das Widerrecht nicht verzichtet werden kann.[14] Auch die Öffnungsklausel für die Mitgliedsstaaten ist so zu verstehen, dass die Rechte der DSGVO nicht zur Disposition der Vertragsfreiheit stehen.[15]
Um abschließend jedoch einen positiven Ausblick auf die Realisierbarkeit zu geben, soll hier noch auf eine, höchstwahrscheinlich mit den Datenschutzgrundsätzen vereinbare, Möglichkeit hingewiesen werden. In Fällen, in denen das genaue Datum einer Transaktion, Erklärung, Idee oder Patent entscheidend ist, könnte die Blockchain als unverfälschbares Medium dienen. Grundbucheinträge oder Patentanträge könnten an einem bestimmten Tag als Daten gespeichert werden und der veröffentlichte Hash in der Blockchain könnte Aufschluss auf die Erstellung dieses privaten Datensatzes geben, ohne diesen als solches preisgeben zu müssen. Diese Speicherung könnte bei der Überprüfung, wann ein Grundstück übertragen oder ein Patent eingereicht wurde, sichere Antworten beitragen.
V. Fazit
In Hinblick auf die DSGVO gibt es wenig Hoffnung auf eine Realisierung mit Privatpersonen als Akteuren, die das volle Potential der Blockchain ausschöpft. Jedoch ist zu beachten, dass die DSGVO nicht mit Rücksicht auf eine solch innovative neue Technologie, wie sie die Blockchain darstellt, gestaltet wurde.
Um der Technologie eine Chance einzuräumen und Deutschland damit in eine wirtschaftlich vorteilhafte Position im Welthandel zu bringen, müssten gesetzliche Regelungen und Ausnahmen geschaffen werden. Schon der Blockchain Bundesverband schlägt in seinem Aufsatz vom 16.10.2017 vor, bestimmte Verschlüsselungsverfahren als Möglichkeit, anonyme Daten zu generieren, anzuerkennen, potentielle Nutzer aktiv über die Verschlüsselung von Daten aufzuklären und eine Neubewertung der datenschutzrechtlichen Verantwortung vorzunehmen.[16]
Der Auftrag der Politik sollte daher in naher Zukunft sein, einen rechtlichen Boden für die Blockchain zu schaffen oder zumindest auf Grund der auftretenden Probleme das Recht anzupassen und weiterzuentwickeln. Dies setzt jedoch eine größere Akzeptanz gegenüber den Neuentwicklungen der Technik voraus. Prinzipiell ist der Zukunftsmusik Blockchain jedoch eine Möglichkeit der rechtlichen Realisierung, jedenfalls in enger Zusammenarbeit von Juristen und Informatikern, zuzusprechen.
* Überlegungen zum Thema im Gespräch mit Michael Merz.
[1] Dölle, „Ketten für Bitcoin – Wie Regierungen Kryptowährungen regulieren“, c‘t, Juni 2018.
[2] Lang, „Was ist eine Blockchain?“, heise online, 13.10.2017, https://www.heise.de/tipps-tricks/Was-ist-eine-Blockchain-3860869.html.
[3] Sharma, „How does Blockchain use public key Cryptography“, Blockchain Council, 27. Januar 2018, https://www.blockchain-council.org/blockchain/how-does-blockchain-use-public-key-cryptography/.
[4] Sixt, Bitcoins und andere dezentrale Transaktionssysteme, Blockchains als Basis einer Kryptoökonomie, 2017, S. 106.
[5] Für eine ausführliche Beschreibung dieses Prozesses wird an dieser Stelle auf folgenden Artikel verwiesen: v. Hauff, „Illegales Crypto-Mining – Rechtliche Herausforderungen digitaler Währung“, http://rechtundnetz.com/illegales-crypto-mining/.
[6] Welzel/Eckert/Kirstein/Jacumeit, „Mythos Blockchain: Herausforderungen für den öffentlichen Sektor“, Kompetenzzentrum Öffentliche Informationstechnologie, https://www.oeffentliche-it.de/documents/10181/14412/Mythos+Blockchain+-+Herausforderung+für+den+Öffentlichen+Sektor, S. 18.
[7] Dazu Kaulartz/Heckmann, CR 2016, 618 ff.
[8] EuGH, Urt. v. 19.10.2016 – C-582/14.
[9] https://www.chainalysis.com.
[10] Martini/Weinzierl, NVwZ 2017, 1251 (1253); denkbar wäre ein Auskunftsanspruch nach § 14 II, § 15 V 4 TMG i.V.m. der Ermächtigungsgrundlage, vgl. auch Art. 2 NetzDG-E (BR-Drs. 315/17, 4).
[11] EuGH, Urt. v. 19.10.2016 – C-582/14.
[12] Merz, „Einsatzpotentiale der Blockchain im Energiehandel“, in: Burgwinkel (Hrsg.), Blockchaintechnologie Einführung für Business- und IT-Manager, 2016, S. 51 ff.
[13] Kramer, in: Eßer/Kramer/von Lewinski: Auernhammer, DSGVO/BDSG, 6. Aufl. 2018, § 7 DSGVO, Rn. 24.
[14] Buchner/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 7 DSGVO Rn. 35; Kramer, in: Eßer/Kramer/von Lewinski: Auernhammer, DSGVO/BDSG, 6. Aufl. 2018, § 7 DSGVO Rn. 23.
[15] Buchner/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 7 DSGVO Rn. 35; Forst, in: Eßer/Kramer/von Lewinski: Auernhammer, DSGVO/BDSG, 6. Aufl. 2018, Art. 88 DSGVO Rn. 9.
[16] Blockchain Bundesverband e.V.; Chancen und Herausforderungen einer neuen digitalen Infrastruktur für Deutschland, 16.10.2017, http://bundesblock.de/wp-content/uploads/2017/10/bundesblock_positionspapier_v1.1.pdf.