Seit dem 25. Mai ist die DSGVO in Kraft. Es sind noch nicht alle Fragen geklärt. Zum Beispiel: Wie kann eine Blockchain das „Recht auf Vergessenwerden" gewährleisten? Ein Beitrag für unsere Themenwoche Datenschutz.

Die neue Datenschutzgrundverordnung (DSGVO) verschärft das „Recht auf Vergessenwerden" - und das wirft Fragen für Nutzer der Blockchain-Technologie auf. Denn nach den nun verschärften Regeln müssen Unternehmen persönliche Daten von Nutzern löschen, wenn diese das fordern - die verteilte Datenbanktechnik der Blockchain wird gerade deshalb so gefeiert, weil sie technisch darauf ausgelegt ist, Daten unlöschbar und vor Manipulation geschützt zu speichern. Ein unlösbarer Widerspruch?

Auf der Blockchain-Technologie basieren nicht nur Kryptowährungen wie Bitcoin und Ethereum: Schon heute wird sie in Logistik und Finanzinstituten genutzt, um Daten besonders robust zu speichern. Da die Technologie noch recht am Anfang steht, sind aber auch noch viele weitere Anwendungsfelder denkbar.

Dezentral gespeicherte Daten sind praktisch unlöschbar

Das Besondere ist die Dezentralität: Daten gehören nicht mehr einem Unternehmen mit einem zentralen Server, sondern werden dezentral, heißt: geteilt von vielen Rechnern, gespeichert. Das schützt vor Manipulation. Allerdings fehlt zumindest öffentlichen Blockchains ein Administrator, der Daten ändern oder löschen könnte. Um Daten aus einem abgeschlossenen Block auf einer öffentlichen Blockchain nachträglich zu löschen, müsste mehr als die Hälfte der beteiligten Rechner, der Miner, zustimmen. Sie müssten einen neuen, veränderten Block kreieren und künftig mit diesem arbeiten. Das ist praktisch unmöglich.

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Solche Daten werden zwar nicht auf der Blockchain direkt gespeichert. Dort liegt lediglich ein für alle sichtbarer Hash, der eine Transaktion markiert und auf den dazugehörigen Datensatz verweist. „Den Datensatz kann man löschen, der Hash bleibt", sagt Joachim Lohkamp, Berater beim Blockchainhub und Gründer des Blockchain-Startups Jolocom.

Gilt die DSGVO überhaupt für auf einer Blockchain gespeicherte Daten?

Ob ein solcher Hash bereits unter „personenbezogene Daten" fällt, darüber streiten Juristen. Mehrere Hashs in Verbindung könnten eine Person schon identifizierbar machen, meint Lohkamp. Stefan Wilke, der mehrere Jahre lang für Deloitte Unternehmen in datenschutzrechtlichen Fragen beraten hat, fordert sogar die Entwicklung einer nachträglich editierbaren Blockchain-Datenbank. Nur durch einen Administrator mit dem Recht, Änderungen in der Blockchain vorzunehmen, lasse sich die nachträgliche Editierbarkeit von Dateneinträgen bei gleichzeitiger Aufrechterhaltung der Authentizität erreichen, schreibt er. Der wesentliche Vorteil einer Datenbank auf Grundlage der Blockchain - die Dezentralität und Schutz vor Manipulation - ginge damit aber verloren.

„Root Key" könnte das Problem lösen

„Die DSGVO ist gemacht worden, ohne Blockchain oder ähnliches auf dem Schirm zu haben", meint Lohkamp. Trotzdem geht er davon aus, dass die DSGVO Blockchain nicht bremsen, sondern fördern wird. Nur: „Wir müssen was dafür tun." Wir, das sind Entwickler, Startups, Politiker. „Wir haben das Problem identifiziert", sagt Lohkamp. Die Lösung: Nutzer bekommen einen „Root Key", der für jede Transaktion einen einzigartigen, neuen Key generiert. Transaktionen einer Person haben dann unterschiedliche Hashs und können nicht mehr miteinander in Verbindung gebracht werden. „Die aktuell führenden Projekte haben das integriert", sagt er. Und trotzdem: „Dass an dem Termin im Mai alle DSGVO-konform sind, das halte ich für utopisch." Er vermutet, dass die Politik den Unternehmen in einer Übergangsphase noch Zeit geben wird, die Maßnahmen umzusetzen.

Eine weitere ungeklärte Frage: Gegenüber wem könnte ein Nutzer bei einem dezentralen System wie der Blockchain sein Recht überhaupt geltend machen?

Mehr zur Blockchain gefällig?

Hinweis in eigener Sache: t3n hat mit zertifizierten Datenschutzexperten ein DSGVO-Rettungspaket inklusive Vorlagen und einer webbasierten Datenschutz-Software erarbeitet. Es unterstützt die Umsetzung der DSGVO in Eigenregie. Für einen Einstieg bietet t3n zudem einen DSGVO-Guide von IT-Rechtsanwalt Dr. Thomas Schwenke an.

Bestelle jetzt das DSGVO-Rettungspaket von t3n und audatis Consulting!