Datenschutz-Grundverordnung: Was bedeutet das für Bitcoin, Ethereum & Co.?

Michael Kissler

von Michael Kissler

Am · Lesezeit: 5 Minuten

Michael Kissler

Michael R. Kissler ist ein in Deutschland und Neuseeland ausgebildeter Volljurist und zur Zeit bei Fractal, einer auf den Krypto-Markt spezialisierten KYC/AML-Plattform tätig. Vorher war er bei einer führenden internationalen Kanzlei in Frankfurt am Main im Gesellschafts- und Kapitalmarktrecht und bei einer der sog. „Big Four“-Gesellschaften tätig. Dabei beschäftigte er sich intensiv mit den rechtlichen Problemen rund um die Themen Tokenization, Blockchain und Kryptowährungen.

Teilen

Quelle: German text DSGVO, translate General Data Protection Regulation via Shutterstock

BTC10,910.94 $ 1.34%

Es ist so weit: Die Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Höchst problematisch und vielen unklar sind die Probleme, die das neue Datenschutzrecht bei öffentlichen Blockchains verursacht. Das Recht auf Vergessenwerden prallt auf das Nicht-Vergessen-Können. Das Prinzip der zentralen Verantwortlichkeit stolpert über die Dezentralität. Wie lässt sich das mit der Blockchain und Kryptowährungen in Einklang bringen?

Der Artikel wurde zuletzt aktualisiert am 30. Juni 2019 05:06 Uhr von Tanja Giese

Nach zwei Jahren Gnadenfrist tritt die DSGVO schlussendlich in Kraft. Mit ihrem schier unendlich scheinenden Anwendungsbereich und den saftigen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes hat sie bereits in der gesamten Geschäftswelt für Furore gesorgt. Bislang weniger Beachtung fand sie im Bereich der Blockchains.

Gilt die DSGVO überhaupt für Blockchains?

Als erste Fragen zur Vereinbarkeit von Bitcoin und der DSGVO gestellt wurden, wendeten einige ein, dass die Blockchain anonym sei. Wie mittlerweile jeder weiß, sind die Blockchains bei Ethereum und Bitcoin nicht anonym, sondern pseudonym. Damit ist die DSGVO möglicherweise anwendbar.

Zudem ist der Anwendungsbereich der DSGVO extrem weit.


Zunächst ist sie in territorialer Hinsicht aufgrund der digitalen Vernetzung und des attraktiven europäischen Wirtschaftsraumes de facto weltweit anwendbar, nämlich gemäß Art. 3 DSGVO vereinfacht gesagt immer dann, wenn Daten von EU-Bürgern verarbeitet werden oder eine Datenverarbeitung innerhalb der EU stattfindet.

Zudem sind Datenverarbeitungen immanenter Bestandteil der Funktionsweise einer Blockchain, was sie stärker in den Fokus der DSGVO rückt.

Personenbezogene Daten in der Blockchain

Selbstverständlich reicht nicht die Verarbeitung irgendwelcher Daten aus. Es muss sich um personenbezogene Daten handeln – das klärt die DSGVO direkt in ihren ersten Artikeln (Art. 1 Abs. 1 und Art. 2 Abs. 1 DSGVO). Personenbezogene Daten sind nach der Definition in Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen […]“

Die Blockchain speichert alle jemals getätigten Transaktionen. Mit diesen Transaktionsdaten enthält sie Informationen über die den einzelnen Bitcoin-Adressen zugeordneten Guthaben und Zahlungsströme. Damit lässt sich mit dem entsprechenden Zusatzwissen ein Bezug zu den dahinterstehenden Personen (immer leichter) herstellen. Denn die abgespeicherten Hashes dienen der Nutzererkennung. Damit sind sie für diejenigen Personen personenbezogen, die das notwendige Wissen haben oder erlangen können, um diese Information (mit verhältnismäßigen Mitteln) einer bestimmten Person zuzuordnen – zum Beispiel, wenn eine Handelsbörse, ein Marktplatz oder ein Onlineshop involviert ist.

Damit ist die DSVGO auf öffentliche Blockchains anwendbar.

Verantwortliche in einer öffentlichen Blockchain

Gegen wen können die damit einhergehenden Pflichten denn überhaupt durchgesetzt werden? Wer ist für etwaige Verstöße gegen die DSGVO verantwortlich? Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Es geht also um die tatsächliche Macht, über die Blockchain zu bestimmen.

Am Beispiel von Satoshi Nakamoto wird deutlich, dass es nicht derjenige sein kann, der die Blockchain programmiert und gestartet hat: Nach dem Start hat er die Kontrolle vollends aus der Hand gegeben.

Die Miner können auch nicht als Verantwortliche gesehen werden. Ihr Einfluss ist nur auf das Errechnen neuer Blocks beschränkt. Dabei haben sie weder Einfluss auf den Inhalt noch irgendeine echte Entscheidungsmacht. Sie liefern lediglich die Rechenpower.

Das ist bei Full Nodes jedoch anders: Wer eine Transaktion vornimmt und dadurch Informationen verteilt oder in seine Kopie der Blockchain einträgt, verarbeitet Daten, nimmt am Netzwerk teil und verfolgt eigene wirtschaftliche Zwecke – und ist nach der DSGVO Verantwortlicher.

K.O. durch Betroffenenrechte

Neben einer Reihe anderer Rechte und Pflichten regelt die DSGVO als stärkstes Recht dasjenige auf Vergessenwerden (Art. 17 DSGVO). Damit trifft die Pflicht zur Löschung den jeweils verantwortlichen Node.

Es liegt in der Natur der Blockchain, dass Daten in ihr nicht verändert oder gelöscht werden, sondern dauerhaft gespeichert bleiben sollen. Dadurch wird der dezentrale öffentliche Glaube bzw. das öffentliche Vertrauen überhaupt erst begründet. Zudem ist das vollständige Löschen von Daten in öffentlichen Blockchains zwar theoretisch möglich, praktisch aber äußerst schwierig. Denn durch das Löschen einzelner Daten würde der Hash des Blocks und aller ihm folgenden Blocks verändert werden.

Schließlich ist die Grundidee der Blockchain gerade dadurch so populär geworden, dass in ihre Unveränderbarkeit vertraut werden kann, ohne dass staatliche Institutionen sie kontrollieren.

Verlangt man nun, dass nachträglich verändernd in Blockchains eingegriffen werden muss, zerstört das die Grundidee einer öffentlichen Blockchain. Und damit auch ihre Funktion.

Doch selbst wenn die Löschung bei einem Node erfolgt, führt das nicht zur Löschung bei allen anderen Nodes, da nur neue Transaktionen kommuniziert werden. Daher befinden sich die Daten weiterhin in der Blockchain. Nun müsste durch den Node, der die Daten bereits gelöscht hat, eine Mitteilung an alle anderen Nodes des Netzwerks gehen, dass eine betroffene Person die Löschung ihrer Daten gefordert hat. Das schreibt Art. 17 Abs. 2 DSGVO vor, wenn der Verantwortliche die Daten öffentlich gemacht hat.

Wie das geschehen soll, weiß niemand.

Fazit

Die Anwendbarkeit der DSGVO auf Blockchains wurde bei ihrer Ausarbeitung anscheinend nicht bedacht. Damit ergeben sich mit dem heutigen Inkrafttreten erhebliche Praxisprobleme. Börsen und Marktplätze, die einen Handel mit Bitcoin und anderen Kryptowährungen ermöglichen, sehen sich erheblichen Haftungsrisiken ausgesetzt. Unsicherheit besteht zudem auch für alle privaten Nodes, soweit sie als Verantwortliche anzusehen sind. Es bleibt vorerst abzuwarten, wie die Aufsichtsbehörden und Gerichte bei öffentlichen Blockchains entscheiden werden. Zudem wird sich zeigen, inwiefern die betroffenen Personen aufgrund der dezentralen und offenen Gestaltung der Blockchain Verantwortliche finden werden, um ihre Rechte geltend zu machen.

Wer nicht in die Gefahr der Haftung kommen möchte, sollte seine Prozesse daher unbedingt auf Datenschutzkonformität prüfen – mögliche Strafen können leider nicht mit Bitcoins beglichen werden.


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise
BTC-ACADEMY

Kryptowährungen einfach kaufen und verkaufen

Ein Bankkonto, Krypto-Wallets und Trading vereint

  • Einfach, sicher und zuverlässig
  • Kontoeröffnung in nur 5 Minuten
  • Nur 1% Handelsgebühr
  • Made in Germany