Blockchains und Datenschutz – Teil 1: Anwendbarkeit des Datenschutzrechts
Veröffentlicht am 4th Dez 2018
Während der Bitcoin-Kurs in den letzten Monaten rapide gefallen ist, spielt die hinter dem Bitcoin stehende Technologie der Blockchain branchenübergreifend bei der fortschreitenden Digitalisierung auch abseits von klassischen Kryptowährungen eine immer größere Rolle.
So verbinden Blockchains zum Beispiel Unternehmen mit großem Werbebudget direkt mit Social-Media-Influencern, Start-ups lassen per ICO Kleininvestoren an ihrem Geschäftsmodell partizipieren und in der Energiewirtschaft können Energieerzeuger per Blockchain mit Energieabnehmern zusammengebracht werden, ohne dabei auf dazwischengeschalteten Energieversorger angewiesen zu sein.
Grund genug, sich über die datenschutzrechtlichen Aspekte von Blockchains Gedanken zu machen. Bisher hat sich – soweit ersichtlich – nur die französische Datenschutzaufsichtsbehörde CNIL in einer ersten Analyse (offizielle Übersetzung auf Englisch verfügbar) mit dem Thema befasst, so dass weitreichende Rechtsunsicherheit besteht.
Dieser erste Teil des Blog-Beitrags zu Blockchains und Datenschutz soll dabei die Anwendbarkeit datenschutzrechtlicher Vorschriften beim Einsatz von Blockchain-Technologie am Beispiel des strukturellen Aufbaus der Bitcoin-Blockchain diskutieren. Hierbei soll im Fokus behandelt werden, ob die Verarbeitung von Public Keys sowie Transaktionsdaten dem Datenschutzrecht unterfällt. Datenschutzrechtliche Vorschriften sind zweifelsfrei anwendbar, sofern eindeutig einer natürlichen Person zuordenbare Informationen Gegenstand einer Transaktion oder anderweitig auf einer Blockchain gespeichert sind. Ob ein Personenbezug abseits solch eindeutiger Fälle (insbesondere im Hinblick auf den Public Key eines Nutzers) gegeben ist, ist jedoch kritisch zu hinterfragen.
Im nächsten Beitragsteil sollen sodann darauf aufbauend verschiedene Deutungsalternativen angeboten werden, welche Akteure in der Blockchain als Verantwortlicher im datenschutzrechtlichen Sinn zu klassifizieren, mithin zur Einhaltung ebendieser Vorschriften verpflichtet sein können. Im letzten Teil der Reihe soll abschließend erörtert werden, wie die einzelnen datenschutzrechtlichen Pflichten in der Blockchain zu deuten sind und von den Akteuren eingehalten werden können.
Ausgangslage: Personenbezug von Public Keys und Transaktionsinhalten?
Ausgangsfrage für jegliche datenschutzrechtlichen Problematiken im Zusammenhang mit der Blockchain ist, ob es sich bei den in der Blockchain verarbeiteten Informationen um personenbezogene Daten im datenschutzrechtlichen Sinn handelt und deren Verarbeitung damit unter geltendes Datenschutzrecht fällt.
Die Frage ist dabei weder trivial noch unkritisch. So ist das Grundkonzept der Blockchain ein Peer-to-Peer-Netzwerk, das ein digitales Kassenbuch („Digital Ledger“) über alle Transaktionen in Form von aneinander gereihten Blöcken vorhält. Bei der Anwendbarkeit des Datenschutzrechts stehen sich bei dieser Konstruktion zwei Aspekte der Blockchain gegenüber: Zum einen sind Blockchains so konzipiert, dass die Nutzer möglichst unerkannt bleiben, indem sie bei Transaktionen nicht mit persönlichen Angaben wie Namen oder E-Mail-Adresse auftreten, sondern ihnen ein aus zufälligen Buchstaben und Zahlen bestehender sogenannter „Public Key“ im Sinne eines Alias zugewiesen wird, der in der Regel ohne Angabe von persönlichen Daten eingerichtet werden kann. Zum anderen ist ein großer Vorteil von Blockchains die Transparenz, weil alle Interessierten die gesamte Transaktionshistorie im Digital Ledger einsehen können. Dementsprechend sind Transaktionen von Nutzern, die nicht für jede Transaktion einen neuen Public Key verwenden auf lange Zeit eindeutig zurückführbar.
Personenbezogene Daten sind gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie u.a. einer Online-Kennung, identifiziert werden kann. Demnach kann die Verarbeitung eines – isoliert betrachtet – nicht einer eindeutigen Person zuordenbaren Datums unter gewissen Umständen gleichwohl die Anwendbarkeit datenschutzrechtlicher Vorschriften auslösen.
Dies ist dann der Fall, wenn die jeweils datenverarbeitende Stelle über Mittel verfügt, die sie nach allgemeinem Ermessen wahrscheinlich nutzt, um eine entsprechende Identifizierung der dahinterstehenden Person herzustellen (vgl. Erwägungsgrund 26 S. 3 DSGVO). Dabei sind gemäß Erwägungsgrund 26 S. 4 DSGVO alle objektive Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, unter Beachtung der verfügbaren Technologie und etwaiger technologischer Entwicklungen zu berücksichtigen. Etwaiges Zusatzwissen von Dritten ist nur dann zurechenbar, wenn der Verantwortliche über (in der Regel rechtliche) Mittel verfügt, um an die Informationen zur Bestimmung der betroffenen Person zu gelangen. Eine rein theoretisch mögliche Identifizierbarkeit ist jedoch nicht ausreichend; vielmehr darf die Identifizierbarkeit der jeweils hinter einem Datum stehenden Person keinen unverhältnismäßigen Aufwand an Zeit, Arbeit und Kosten erfordern. Entscheidend ist daher, ob ein faktisches Risiko einer Identifizierung besteht.
Nicht abschließend ist bislang geklärt, wann eine Person als identifiziert gilt. Ausweislich der Rechtsprechung des EuGH zum Personenbezug von IP-Adressen ist jedoch jedenfalls davon auszugehen, dass es nicht genügt, wenn eine Person lediglich individuell angesprochen werden kann. So statuiert der EuGH, dass IP-Adressen isoliert betrachtet kein personenbezogenes Datum darstellen, sondern dies lediglich durch entsprechendes Zusatzwissen werden können (vgl. EuGH, Urt. v. 19.10.2016 – C-582/14 – Breyer, Rn. 38 i.V.m. 40, 41; abgedruckt in: MMR 2016, 842 m. Anm. Moos/Rothkegel). Diese Feststellung erlaubt Rückschlüsse auf den Personenbezug anderer Online- bzw. Gerätekennungen wie Smartphone-IDs, Cookie-IDs oder MAC-Adressen. All diese Kennungen sind für sich jedenfalls keine personenbezogenen Daten. Sie sind allenfalls personenbeziehbar; hierbei ist im Einzelfall zu prüfen, ob der datenverarbeitenden Stelle jeweils entsprechende Mittel zur Verfügung stehen, um einen entsprechenden Personenbezug herzustellen.
Dies ist dabei für jede datenverarbeitende Stelle gesondert zu bestimmen; insofern kann eine Stelle über die erforderlichen Mittel verfügen, während einer anderen keine solchen Möglichkeiten offenstehen. Mit anderen Worten kann dies dazu führen, dass ein und dasselbe Datum für gewisse Stellen als personenbezogen zu behandeln sein kann, während es für andere eine anonyme Information darstellt.
Um nun den Bogen zur Blockchain zu spannen, ist festzustellen, dass analog zu den anderen, obengenannten Online-Kennungen weder der Public Key von Sender und Empfänger noch in der Regel der Inhalt der Transaktion aus sich heraus unmittelbaren Personenbezug aufweisen. So handelt es sich bei Public Keys um eine Aneinanderreihung von Buchstaben und Zahlen, die alleine keinen Rückschluss auf dahinter stehenden Nutzer zulässt; auch der Inhalt der Transaktion besteht häufig nur aus einem Transaktionswert. Vor diesem Hintergrund ist entscheidend danach zu fragen, ob die jeweils datenverarbeitende Stelle über entsprechende Mittel verfügt, um einen Public Key oder einen Transaktionsinhalt einer bestimmten, identifizierten Person eindeutig zuzuordnen.
Personenbezug kann bei entsprechendem Zusatzwissen gegeben sein
Im Einzelfall kann aus Sicht der datenverarbeitenden Stelle ein Personenbezug hinsichtlich der Public Keys gegeben sein, sofern die hinter dem Public Key stehende natürliche Person für die Stelle erkennbar ist. Dies kann zum Beispiel bei folgenden Konstellationen der Fall sein:
- Sofern der Public Key von der natürlichen Person mit sich selbst in Verbindung gebracht wird (z.B. gegenüber dem Geschäftspartner oder durch öffentlich zugängliche Angabe des Public Key auf persönlichem Blog zu Spendenzwecken);
- „Off-Chain“-Transaktionen: Einkaufen in Online-Shops oder Bezahlung von Dienstleistungen auf entsprechenden Online-Portalen bei Verknüpfung mit Kundendaten. Umgekehrt dürfte bei ausschließlich „On-Chain“ stattfindenden Transaktionen eine Identifizierbarkeit seltener gegeben sein;
- Initial Coin Offering (ICO): Im Rahmen der Geldwäscheprävention die Know Your Customer (KYC)-Daten sowie Krypto-Börsen bei der Authentifizierung der Kunden;
- Für den Betreiber privater Blockchains (auch „permitted communities“ genant), bei denen sich die Nutzer vor der Nutzung authentifizieren müssen. Werden die Public keys der Nutzer mit Zuordnung zu den dahinter stehenden natürlichen Personen veröffentlicht, sind sie für alle Teilnehmer der privaten Blockchain personenbezogene Daten;
- Zuordnung der IP-Adresse zum Public Key durch den Staat oder private Rechtssuchende über Auskunftsansprüche gegen den Access-Provider.
Bei fehlendem Zusatzwissen ist von mangelndem Personenbezug auszugehen
Ob über diese Einzelfälle hinausgehend, mithin ohne bereits über entsprechendes Zusatzwissen zu verfügen, stets davon ausgegangen werden kann, dass es sich bei Public Keys und/oder Transaktionsinhalten um personenbezogene Daten handelt, erscheint äußerst fraglich. Insofern würde dies voraussetzen, dass entsprechende Mittel zur Verfügung stehen, die unter Einsatz verhältnismäßigen Aufwands, eine Identifizierung der dahinter stehenden Person ermöglichen würden. Dies kann im Einzelfall zwar gegeben sein; in der absoluten Mehrheit der Fälle werden die beteiligten Akteure jedoch nicht über entsprechende Mittel verfügen.
Es stellt sich bereits die Frage, welche Mittel hierbei grundsätzlich in Betracht kämen. Denkbar wäre in erster Linie das Transaktionsverhalten eines Nutzers zu beobachten, um dort gegebenenfalls auf deren Identität hindeutende Angaben zu stoßen. Da jedoch auch die an einer Transaktion beteiligten anderen Nutzer sowie in aller Regel auch der Transaktionsinhalt keine weiteren Hinweise auf die dahinterstehenden Personen enthalten, werden sich daraus jedoch in aller Regel bereits kaum weiterführende Informationen ableiten lassen. Möglich wäre grundsätzlich, die Transaktionshistorie eines Nutzers nach einem bereits bekannten Transaktionspartner zu durchsuchen und heranzutreten, um letzteren zur Herausgabe weitere Informationen über den gesuchten Nutzer aufzufordern. Die Fälle, in denen ein solches Vorgehen zielführend sein wird, werden jedoch äußerst rar gesät sein. Demnach liegt nahe, dass ohne entsprechendes, bereits vorliegendes Zusatzwissen das bestehende Identifizierungsrisiko als vernachlässigbar anzusehen ist. Die besseren Argumente sprechen daher dafür, Public Keys und Transaktionsinhalte grundsätzlich als anonyme Daten anzusehen. In Konsequenz unterliegt deren Verarbeitung nicht den datenschutzrechtlichen Vorschriften.
Zusammenfassung
Im Grundsatz sprechen daher die überzeugenderen Argumente dafür, dass sowohl Public Keys als auch Transaktionen keinen Personenbezug aufweisen. In Konsequenz führt dies dazu, dass deren Verarbeitung im Rahmen der Blockchain keinen datenschutzrechtlichen Limitierungen unterfällt.
Jedoch ist zu beachten, dass diese Daten im Einzelfall gleichwohl einer identifizierten natürlichen Person zugeordnet werden können. Dies hängt jedoch entscheidend davon ab, welches Zusatzwissen der jeweils datenverarbeitenden Stelle über die hinter einem Public Key agierende Person zur Verfügung steht. Dies ist jeweils im Einzelfall und für jede datenverarbeitende Stelle gesondert zu evaluieren.
Aufbauend auf den Erkenntnissen dieses Beitrags behandeln wir im zweiten Teil die Frage, welche Akteure innerhalb einer Blockchain für die Einhaltung der jeweils anwendbaren Datenschutzvorschriften verantwortlich sind.