Die Blockchain-Technologie wurde der breiten Öffentlichkeit durch Kryptowährungen bekannt und und hat sich in der Finanzwelt durchgesetzt, bevor sie sich auch auf andere Bereiche ausdehnte. Im rechtlichen Bereich ist der Datenschutz in den Mittelpunkt der Diskussion gerückt.
Nicht eine, sondern viele Blockchains
Die Blockchain-Technologie kann nicht mit einem einzigen Modell umschrieben werden. Vielmehr kann sie ihrer jeweiligen Umgebung angepasst werden, bietet eine Vielzahl von Lösungen und lässt sich so in verschiedene Systeme integrieren. Aus diesem Grund gibt es nicht die Blockchain, sondern Blockchains.
Diese können gemäss der folgenden Tabelle kategorisiert werden.
Zusammenfassend lässt sich sagen, dass eine Blockchain so aufgebaut werden kann, dass jede Person die aufgezeichneten Transaktionen lesen kann (Daten lesen – öffentlich). In diesem Fall handelt es sich um eine öffentliche Blockchain, die mit einem offenen Buch vergleichbar ist. Umgekehrt spricht man von einer privaten Blockchain, wenn der Zugang zum Lesen der Transaktionen kontrolliert und damit auf autorisierte Personen beschränkt ist (Daten lesen – privat). Um beim Bild des Buches zu bleiben: In diesem Fall ist das Buch mit einem Vorhängeschloss versehen.
Man unterscheidet auch zwischen uneingeschränkten (Daten schreiben – uneingeschränkt) und zugangsbeschränkten (Daten schreiben – zugangsbeschränkt) Blockchains. Im ersten Fall handelt es sich um Blockchains, die es jeder Person erlauben, Transaktionen zu schreiben. Am Beispiel der Blockchain für Bitcoin: Jede und jeder kann entscheiden, ob sie oder er Bitcoins kaufen und verkaufen möchte. Im Gegensatz dazu erlauben zugangsbeschränkte Blockchains nur autorisierten Personen, Transaktionen zu schreiben.
Wenn sich die Blockchain-Technologie als Lösung anbietet (siehe «Wann ist eine Blockchain-Lösung sinnvoll?»), kann eine Blockchain gebaut werden, die auf das jeweilige System zugeschnitten ist.
Aus rechtlicher Sicht spielt dies eine wichtige Rolle. Denn bei der Vielzahl der Möglichkeiten hängt es vom Kontext und damit von den getroffenen Entscheidungen ab, ob die Technologie mit den rechtlichen Anforderungen vereinbar ist.
Blockchains und Datenschutz
Obwohl Blockchains kategorisiert werden können, sind sie alle transparent, dezentralisiert, manipulationssicher und resilient.
Aus datenschutzrechtlicher Sicht stellt sich die Frage der Rechtskonformität, sobald die auf der Blockchain gespeicherten Transaktionen, einen Bezug zu einer natürlichen Person erlauben. Mit anderen Worten: Sobald personenbezogene Daten verarbeitet werden, sind die Anforderungen des Datenschutzes zu beachten. Umgekehrt gilt: Ist es nicht möglich, anhand der in der Blockchain verfügbaren Informationen eine natürliche Person zu identifizieren oder wiederzuerkennen, ist das Datenschutzrecht nicht anwendbar.
Sind Blockchains in diesem Fall Verbündete oder Feinde des Datenschutzes? Diese Frage lässt sich nicht eindeutig beantworten.
Die Blockchain-Technologie bietet beispielsweise den Vorteil, dass die Datenverarbeitung für jede Person nachvollziehbar ist, da sie die in der Blockchain vorgenommenen Transaktionen lesen kann. In dieser Hinsicht trägt die Blockchain zu einer konformen Anwendung des Datenschutzgesetzes bei, genauer gesagt zur Einhaltung des Grundsatzes der Transparenz der Datenverarbeitung.
Die Dezentralisierung und die Widerstandsfähigkeit der Technologie machen Cyberangriffe sehr schwierig, wenn nicht gar unmöglich. Die Sicherheit der Datenverarbeitung, insbesondere die Verfügbarkeit der Daten, wird deutlich erhöht. Allerdings kann die Dezentralisierung die Feststellung der Verantwortlichkeit zu einer echten Herausforderung machen. Die Unveränderbarkeit der Daten garantiert zwar die Integrität der Daten, kollidiert aber zum Beispiel mit dem Recht auf Datenlöschung.
Blockchains bieten insgesamt also interessante Vorteile für den Datenschutz, haben aber auch Nachteile. Diese können jedoch teilweise umgangen werden. Ein Beispiel: Digitale Nachweise ermöglichen den Versand personenbezogener Daten. Dank der Blockchain-Technologie kann die Echtheit der Nachweise überprüft werden. Es werden jedoch keine personenbezogenen Daten auf der Blockchain gespeichert (siehe «Digitale Nachweise: Wie Bildungsleistungen künftig dokumentiert werden»).
Was bedeutet das?
Ob die Blockchain-Technologie mit dem Datenschutz vereinbar ist, hängt in erster Linie davon ab, wie die verwendete Blockchain konzeptionell gewählt wurde und ob die darauf gespeicherten Transaktionen eine Wiedererkennbarkeit oder Identifizierung von natürlichen Personen zulassen.
In diesem Fall ist die Einhaltung der Grundsätze von «privacy by design» und «privacy by default» bei der Gestaltung einer Blockchain von entscheidender Bedeutung. Beispielsweise sollte eine Lösung gewählt werden, die die Verarbeitung personenbezogener Daten in der Blockchain minimiert, wenn diese nicht vermieden werden kann, und die Pseudonymisierung von Daten gewählt werden, wenn eine Anonymisierung nicht möglich ist.
«privacy by design» und «privacy by default»
Allgemein bekannt als privacy by design und privacy by default, sind Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zwei Verpflichtungen, die mit dem neuen Datenschutzgesetzes (nDSG) vom 25. September 2020 eingeführt wurden.
Der für die Datenverarbeitung Verantwortliche muss entsprechend alle erforderlichen und geeigneten technischen und organisatorischen Massnahmen treffen, damit bei der Datenverarbeitung von Anfang an und standardmässig alle Grundsätze und Vorschriften des nDSG eingehalten werden.