Uudised

NJORD Estland: Herausforderungen der Blockchain, die mit der Datenschutz-Grundverordnung (DSGVO) einhergehen

Die Datenschutz-Grundverordnung der EU (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, beinhaltet strengere Anforderungen an die Erhebung und Verarbeitung von personenbezogenen Daten und kann die Anwendung von neuen Technologien wesentlich beeinflussen. Als eines der aktuellsten Themen der modernen Technologiewelt, ist Blockchain in ihrer jetzigen Form jedoch wahrscheinlich nicht mit der DSGVO in Übereinstimmung.

Welche Daten können in der Blockchain als personenbezogene Daten klassifiziert werden?

Gemäß DSGVO bezeichnen personenbezogene Daten jene Daten, die mit einer bestimmten oder bestimmbaren natürlichen Person verbunden sind. Pseudonymisierte Daten werden als personenbezogene Daten klassifiziert und nur anonyme Daten fallen außerhalb des rechtlichen Rahmenwerks der DSGVO. Somit können in der Blockchain Daten zweier Arten für personenbezogene Daten gehalten werden: öffentliche Schlüssel und Transaktionsdaten, die in Blocks gespeichert werden. Transaktionsdaten und öffentliche Schlüssel sind pseudonymisierte Daten. Obwohl öffentliche Schlüssel nur eine Zahlenreihe sind, ist es jedoch möglich, mit Hilfe von zusätzlichen Informationen, z. B. der IP-Adresse, die Person zu identifizieren. Transaktionsdaten sind entweder verschlüsselte oder gehashte Daten, sodass man meinen könnte, dass es sich um anonyme Daten handelt. Verschlüsselte Daten können dennoch mit richtigen Schlüsseln entschlüsselt werden, weshalb diese nicht unumkehrbar sind, wie anonyme Daten gemäß GDPR sein sollten. Die Artikel-29-Datenschutzgruppe definiert den Hashing-Prozess als eine Technik der Pseudonymisierung, somit hilft die Hashing-Funktion nicht, das Problem zu lösen.

Wer ist in der Blockchain der Verantwortliche für die Daten bzw. an wen sind die in der DSGVO festgelegten Pflichten adressiert?

Blockchain ist eine gestreute Datenbank, die von allen (Benutzern) ohne zentralisierte Kontrolle betrieben wird. Einerseits ist kein Benutzer so qualifiziert wie der Verantwortliche, aber jeder Benutzer kann der Verantwortliche sein. Auch die betroffene Person selbst kann für den Verantwortlichen der Daten gehalten werden, weil der Betroffene den Privatschlüssel hat und derjenige ist, der personenbezogene Daten für persönliche Zwecke der Blockchain hinzufügt. Also, abhängig von den in der Blockchain ausgeführten Handlungen und dem Typ der Blockchain können der Verantwortliche und der Verarbeiter der Daten im Einzelfall eine unterschiedliche Person sein.

Wo werden die DSGVO-Pflichten eingesetzt?

Die DSGVO wird auf den Verantwortlichen oder den Verarbeiter der Daten angewandt, der in der Europäischen Union tätig ist oder deren Verarbeitungsabläufe entweder mit dem Anbieten von Produkten und Dienstleistungen an die Betroffenen in der Europäischen Union oder mit der Beobachtung des Verhaltens der Betroffenen verbunden sind. Weil sich die Miner überall auf der Welt befinden und die Daten in der Blockchain von einem zufällig ausgewählten Miner gehasht werden, kann aufgrund der DSGVO fast jeder Miner für eine verpflichtete Person gehalten werden.

Gewährleistung der Rechte der betroffenen Personen in der Blockchain

Die DSGVO stellt neue Rechte vor, wie das Recht auf Vergessenwerden und das Recht auf Änderung von personenbezogenen Daten. Diese Rechte werden wahrscheinlich die größten Herausforderungen für die Blockchain sein. Blockchain ist eine unveränderbare Technologie, was bedeutet, dass alle gespeicherten Daten öffentlich sind und weder veränderbar noch löschbar sind. Der Umstand, dass die Daten nicht gelöscht werden können, ist sowohl der größte Wert als auch das größte Problem der Blockchain, weil gemäß DSGVO die betroffene Person von dem Datenverarbeiter die Löschung der personenbezogenen Daten verlangen kann.

Aitame teil leida parima lahenduse