Es kommt auf die Anwendung an

Blockchain – ein Dilemma für den Datenschutz?

13.08.2018 von Med Ridha Ben Naceur
Die Blockchain-Technologie ist in aller Munde, aber der Datenschutz könnte zu einem Showstopper werden. Das liegt daran, dass sich User im Normalfall nicht anonym in einer Blockchain bewegen können. Aber es gibt Abhilfe.

Blockchain-Technologien erlauben es Lösungen zu entwickeln, die den steigenden Anforderungen im Zeitalter der Datenökonomie gerecht werden. Möglich macht das die neuartige Verbindung von Datenspeicherung, -vermittlung und -sicherung mit neuen Zugangs- und Prüfverfahren.

Die mit der Blockchain verbundenen Herausforderungen im Bereich Datenschutz sind derzeit Gegenstand zahlreicher Forschungs- und Entwicklungsprojekte.
Foto: Iaremenko Sergii - shutterstock.com

Mit den Errungenschaften gehen aber auch viele Herausforderungen im Hinblick auf den Datenschutz einher. Unter anderem fehlt die Möglichkeit, Daten zu löschen. Das Thema ist noch geprägt von Unsicherheiten. Kein Wunder, schließlich betritt man hier technologisch und datenschutzrechtlich Neuland. Dabei zeigen erste Anwendungen: Richtig angewandt kann die Blockchain eine Technologieplattform sein, mit der sich Lösungen bauen lassen, die einem fortschrittlichen und technologiegestützten Datenschutz entgegenkommen.

Die Blockchain im Blickfeld des Datenschutzes

Ziel der Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 EU-weit zur Anwendung kam, ist die Förderung des digitalen Marktes in Europa und die Stärkung des Vertrauens von Bürgern und Verbrauchern in die automatisierte Verarbeitung ihrer personenbezogenen Daten. Das gilt gerade auch im Hinblick auf neue Technologien.

Unter anderem verlangt die DSGVO, Nutzer umfassend zu informieren, wenn personenbezogene Daten erhoben werden. Gleichzeitig müssen diese Informationen transparent bereitgestellt werden. Der Schutz der Rechte und Freiheiten der Betroffenen ist bereits in der technischen Gestaltung zu berücksichtigen.

Worin aber liegt die datenschutzrechtliche Problematik der Blockchain? Datenschützer beobachten öffentliche Blockchains kritisch, das bekannteste Beispiel dafür ist das 2009 gestartete Bitcoin-Netzwerk. Merkmal dieser öffentlichen Blockchains ist es, dass eine für jedermann transparente und nachvollziehbare Speicherung von Datensätzen möglich wird. Nutzer hinterlassen nachverfolgbare Spuren in einer Blockchain und bewegen sich im rechtlichen Sinne nach der DSGVO immer nur pseudonymisiert im System, nicht anonym.

Zwar gibt es Verfahren, um Anonymität einzuziehen, etwa indem Pseudonymgruppen aggregiert oder sich modifizierende Pseudonyme verwendet werden. Doch diese sind nicht im Grundentwurf angelegt. Zudem ist die Unveränderlichkeit der Anordnung der Blöcke öffentlicher Blockchains ein Merkmal, das sich nicht mit der in der DSGVO vorgesehenen Begrenzung der Speicherdauer personenbezogener Daten vereinbaren lässt.

Und wie sieht es bei privaten und konsortialen Blockchains aus? Auch sie stellen Hersteller und Anwender vor grundlegende Fragen und nicht minder große Herausforderungen.

In vielen Bereichen - von der Finanzbranche über die Logistik bis zur Energiewirtschaft - werden derzeit Proof of Concepts sowie erste Lösungen auf Basis von Blockchain-Technologien erstellt. Es lässt sich eine vielseitige Entwicklung beobachten, bei der die Entwicklungszyklen relativ kurz sind. Zu erwarten ist, dass der Bedarf, private und öffentliche Blockchains nicht nur intra- sondern auch interoperabel zu nutzen, zur Entwicklung sogenannter Blockchain-Hybrid-Netzwerke führen wird.

Öffentliche Blockchains und die Anonymität

Wie bereits ausgeführt werden in öffentliche Blockchains eingespeiste Datensätze transparent dargestellt, die Teilnehmer sind durch die eindeutige digitale Referenz gekennzeichnet, Deshalb sind öffentliche Systeme für den Nutzer nicht anonym zu nutzen. Aus Sicht des Datenschutzes sind öffentliche Blockchains problematisch, weil sie auf der grundsätzlichen Sichtbarkeit von Daten basieren, die nicht rückgängig gemacht werden kann. Damit stehen öffentliche Blockchains in einem Spannungsverhältnis mit dem in der DSGVO geforderten Recht auf Vergessen stehen.

Derzeit stehen deshalb bei der Entwicklung von Blockchain-Systemen Lösungen im Fokus, die es ermöglichen sollen, anonym zu agieren. So sollen es Blockchains auf Basis des Crypto-Note-Protokolls möglich machen, dass Nutzer anonym agieren können und der Transaktionsinhalt nicht sichtbar wird. Beispiele hierfür sind Monero oder ZCash. Beide Systeme nutzen die Blockchain-Technologie und stellen ein dezentrales Zahlungssystem dar, das Verfahren zur Anonymisierung von Nutzern, Transaktionsdaten und Prüfern einsetzt.

Datenschutz bei privaten und konsortialen Blockchains

Für private und konsortiale Blockchains gelten andere Ansätze, da die datenschutzrechtliche Perspektive eine andere ist. Die Verwendung privater Systeme bietet dann ein höheres Maß an Datenschutz, wenn der Netzzugang auf identifizierbare Teilnehmer beschränkt ist oder zentrale, identifizierte Punkte im System bestehen, die als verantwortlich auftreten. Das kann vor allem im Bereich hochsensibler Daten, beispielsweise im Gesundheitsbereich, interessant sein.

Private Blockchains können etwa unter Sidechains, Private Channels, State Channels oder Off-Chain-Messaging firmieren und sensible Daten aus der eigentlichen Blockchain entnehmen. In Kombination mit der anonymen Auditierbarkeit von Metadaten (mit Vorbildern in öffentlichem Privacy-by-Design) sind sie in der Lage, fortschrittliche Lösungen für den technisch gestützten Datenschutz zu bieten.

Was ist zu beachten?

Personenbezogene Daten dürfen in der eigentlichen Blockchain nicht im Klartext gespeichert werden. Technische Möglichkeiten, um das zu verhindern, gibt es bereits:

Eine Grundeigenschaft der Blockchain ist die Unveränderlichkeit. Sie gilt es, mit Datenschutzaspekten wie etwa dem Recht auf Löschung in Einklang zu bringen. Zum anderen ist die Unveränderlichkeit technisch im Design der Implementierung des Anwendungsfalls zu berücksichtigen (Privacy by Design).

Authentifizierung mittels öffentlicher Blockchain - ein Anwendungsbeispiel

GFT entwickelte 2017 in Zusammenarbeit mit AuthO ein Authentifizierungsverfahren auf Blockchain-Basis mit folgendem Ziel: Ethereum-Nutzer sollten für das Login auf Webseiten von Drittanbietern lediglich ihre Ethereum-Adresse nutzen. Eine Eingabe von weiteren Passwörtern oder Benutzernamen, die für die jeweilige Website erforderlich sind, sollte nicht mehr notwendig sein.

An die Authentifizierungslösung wurden folgende Anforderungen gestellt:

Die Frage war nun, wie lässt sich ein Authentifizierungsverfahren entwickeln, das diese Anforderungen erfüllt? Benötigt wurden ein Authentifizierungsserver, eine mobile Applikation und das Ethereum-Netzwerk. Wie die einzelnen Komponenten konkret zusammenspielen zeigt die nachfolgende Grafik.

Authentifizierungslösung auf Blockchain-Basis: Ethereum-Nutzer sollen sich auf Webseiten von Drittanbietern lediglich mit ihrer Ethereum-Adresse anmelden können.
Foto: GFT Technologies

So kann der Authentifizierungsprozess ablaufen

Um Sicherheitsaspekte zu berücksichtigen und die Ethereum-Adresse zu schützen, generiert das System eine sogenannte Ethereum-Sub-Adresse (Log-In-only-Adresse), die ausschließlich für den Authentifizierungsprozess genutzt wird. Durch einen Smart Contract wird diese Sub-Adresse dann der Ethereum-Hauptadresse zugeordnet. Dieser Smart Contract wird in der Ethereum-Blockchain gespeichert und hat die folgenden Funktionen:

Für Datenschutz-sensible Anwendungen ist die Blockchain-Technologie immer nur so gut, wie die darauf aufbauenden Use Cases. Immer mehr Unternehmen betrachten die Blockchain als eine geeignete Technologieplattform, mit der sich Lösungen für einen fortschrittlichen, technologiegestützten Datenschutz entwickeln lassen. Hierzu gilt es, die technologischen Möglichkeiten genau mit den gesetzlichen Anforderungen auszutarieren.

In diesem Licht sind auch digitales Identitäts-Management auf Blockchain-Basis oder Privacy-by-Design-Blockchain-Konzepte zu sehen. Oberstes Credo muss es sein, immer lösungsorientiert zu arbeiten, um den First-Best-Ansatz für Datenschutz auf Blockchain-Basis umzusetzen. (hv)