GDPR | Das Ende der Blockchain?
Die General Data Protection Regulation (GDPR), ist am 25. Mai 2018 in Kraft getreten. Schon jetzt sind die Auswirkungen für Organisationen und dem Endverbraucher spürbar. Die Blockchain-Technologie bleibt von dieser Verordnung ebenso nicht unberührt. Welchen Einfluss werden die neuen Gesetze auf den Einsatz der Blockchain haben?
Die Ziele der GDPR
Die Datenschutz-Grundverordnung hat weitreichende Änderungen in der Art und Weise, wie Unternehmen und Websites die Daten ihrer Nutzer verwalten und verarbeiten dürfen. Dies beinhaltet das ausdrückliche Rechte der Benutzer, Kopien ihrer persönlichen Daten anzufordern. Sie können ebenso verlangen, dass ihre Daten unwiderruflich aus dem System gelöscht werden.
Darüber hinaus müssen Unternehmen Verstöße melden – und sie werden für eine solche Verletzung mit hohen Strafen belegt. Die GDPR gilt nicht nur für Datenverarbeiter, die in der EU tätig sind. Es gilt generell für alle, deren Kunden in der EU leben.
Der Grund für die Einführung der GDPR- Gesetzgebung ist weitestgehend zurückzuführen auf die in 2013 durchgesickerte NSA-Affäre. Seitdem folgten mehrere große Skandale, zuletzt den mit Facebook und Cambridge Analytica. Diese negativen Schlagzeilen machten es für die Politiker notwendig entsprechende Gegenmaßnahmen zu treffen, um den Datenschutz zu stärken.
GDPR und Blockchain-Technologie sind nicht kompatibel
Die detaillierten Inhalte der neuen GDPR sind online zur Einsicht freigegebenen. Ein wichtiger Aspekt der GDPR zur Blockchain-Technologie ist die Tatsache, dass personenbezogene Daten die EU nicht verlassen dürfen. Das stellt für öffentliche Blockchains ein großes Problem dar, da es keine Kontrolle darüber gibt, wer einen Knoten hostet. Private oder genehmigte Blockchains sind davon weniger betroffen, da die Standorte dort im Vorfeld festgelegt und auf eine bestimmte Gruppe beschränkt sind.
Ein weiterer Stolperstein in Sachen der Distributed-Ledger-Technologie sind die Abschnitte, die sich mit dem Thema Löschung oder auch „das Recht des Vergessenwerdens“ befassen. Die Blockchain-Technologie zeichnet sich durch die unveränderbare Aufzeichnung von Daten aus. Was einmal in den Blöcken hinterlegt wurde, kann nicht einfach wieder gelöscht werden. Da im Definitionsteil keine Angaben gemacht werden, was die Löschung explizit bedeuten soll, muss davon ausgegangen werden, dass es nicht ausreicht lediglich die Verschlüsselungs-Keys zu löschen. Die Daten wären ohne die entsprechenden Keys nicht abrufbar, aber dennoch faktisch nicht gelöscht.
Darüber hinaus verlangt die GDPR von Unternehmen, dass sie über einen Datencontroller verfügen, der die Benutzeranfragen bearbeiten kann. Die Blockchain ist jedoch eine dezentrale Datenbank, daher gibt es keine Person oder Gruppe, die die Kontrolle über die Daten hätte und diese Aufgabe übernehmen könnte. Es stellt sich also die Frage, an wen sich Nutzer einer Blockchain in diesem Fall wenden sollten?
Verbietet die GDPR nun Blockchains?
Die Speicherung personenbezogener Daten in einer Blockchain ist gemäß der DSGVO nicht mehr möglich. Doch das muss nicht zwangsläufig das Ende der Blockchain bedeuten. Es gibt verschiedene Ansätze, wie die Inkompatibilität umgangen werden könnte:
- Off-Chain Speicherung
Nutzer könnten ihre Personenbezogenen Daten off-chain speichern. Nur der Verweis auf die Daten zusammen mit einem Hash und anderer Metadaten, wie Ansprüche und Berechtigungen, würden auf der Blockchain hinterlegt werden. Es würde die Anwendung der Blockchain zwar komplizierter gestalten als zuvor, doch es wäre zumindest mit der GDPR vereinbar. - Sonderregelung für Blockchains
Verschiedene Kampagnen arbeiten daran eine Ausnahmeregelung von der GDPR für die Blockchain-Technologie zu erwirken. Es wäre möglich, dass die Gesetzgeber darauf reagieren und spezifische Gesetze für die Blockchain-Anwendung einfügen. Der Gesetzesentwurf für die GDPR befand sich viele Jahre in der Entwicklung. Es ist sehr wahrscheinlich, dass sie damals nicht bedacht haben, dass die Blockchain so eine große Sache werden würde. Falls sie sich für gesonderte Gesetze für die Blockchain entscheiden sollten, könnte es jedoch sehr lange dauern, bis diese in Kraft treten würden.
GDPR Fazit
Die Beziehung zwischen GDPR und der Blockchain-Technologie ist sowohl paradox als auch in gewisser Weise ironisch. Das Ziel der neuen Verordnung ist es, „den Bürgern die Kontrolle über ihre persönlichen Daten zurückzugeben“ und dabei strenge Regeln für das Hosten und Verarbeiten dieser Daten weltweit aufzuerlegen. Die Blockchain soll den Nutzern ebenso die Kontrolle über ihre Daten zurückgeben. Doch die neue EU-Verordnung bremst die Distributed-Ledger-Technologie aus und hält dadurch Nutzer davon ab eben dieses Ziel auf Blockchain-Ebene zu erreichen.