In diesem Gastbeitrag erläutert das Team von Asia Observatory, warum die Europäische Union (EU) ein Framework für den Umgang mit der Blochcain-Technologie braucht.

Bei den folgenden Zeilen handelt es sich um einen Gastbeitrag. Er erschien zuerst an dieser Stelle.

Zwei Jahre nach der Umsetzung der Datenschutzgrundverordnung (DSGVO) wurden einige bedeutende Geldstrafen an Unternehmen wie Google, British Airways und Marriott verhängt. Trotzdem hat die Verordnung erst begonnen, ihre umfassenderen Ziele an der Oberfläche zu berühren, um den Datenschutz für alle zu verbessern.

Das vergangene Jahr war mit 7,9 Milliarden aufgedeckter Datensätze und Zehntausenden gemeldeter undichter Stellen allein in der EU das „schlechteste Jahr seit Bestehen“ hinsichtlich der Zahl der DSVGO-Verstöße weltweit. Darüber hinaus ist das Jahr 2020 bereits auf dem besten Weg, einen neuen Rekord aufzustellen, wobei allein in den USA in diesem Jahr 5 Milliarden Datensätze durchgesickert sind.

DSVGO und Blockchain: Verbesserungspotential vorhanden

Auch aufkommende Technologien scheinen vernachlässigt worden zu sein. Die Blockchain-Technologie, die Daten transparent und unveränderbar speichert, hat seit der Umsetzung der Verordnung einen unklaren Stand bei der DSVGO. Jetzt, da die Regulierungsbehörden in Europa ihre anfänglichen Bedenken gegenüber der Technologie überdacht haben, wendet sich die Aufmerksamkeit langsam der Privatsphäre und dem Datenschutz zu.

Im vergangenen Sommer veröffentlichte das Europäische Parlament eine Studie, in der die Frage gestellt wurde, ob die Blockchain mit der DSVGO in Einklang gebracht werden kann, und wies darauf hin, dass es „mehrere Spannungspunkte“ zwischen den beiden Bereichen gebe. Könnte Blockchain demnächst ins Visier geraten, wenn die Regulierungsbehörden auf dem ganzen Kontinent die Privatsphäre und den Datenschutz unter Druck setzen?

Blockchain und DSGVO: Die Grundkonflikte

Der erste Kernkonflikt hat mit einem der Kernfeature der Blockchain zu tun – mit unveränderlichen Einträgen. Eines der Prinzipien der DSGVO ist die Speicherbegrenzung, was bedeutet, dass die Daten nicht länger aufbewahrt werden sollten, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.

Ein weiteres Prinzip ist das „Recht auf Löschung“, was bedeutet, dass die Nutzer das Recht haben, ihre persönlichen Daten innerhalb eines Monats nach einer Anfrage löschen zu lassen. Das Problem ist, dass bei den meisten Blockchain-Systemen die Daten dauerhaft gespeichert werden und nicht gelöscht werden könne.

Der zweite Kernkonflikt hat mit der Organisationsform von Blockchains zu tun. Das bedeutet, dass jeder, der am Konsens einer Blockchain beteiligt ist, als Verantwortlicher für die Datenverarbeitung betrachtet werden kann. Die meisten dezentralisierten Blockchains werden schließlich von Teilnehmern verwaltet, die weit von den ursprünglichen Entwicklern entfernt sind.

Es sind diese „für die Verarbeitung Verantwortlichen“, die für die Einhaltung der DSGVO verantwortlich sind. Wenn also die Verantwortung auf Hunderte oder Tausende von Einzelpersonen auf der ganzen Welt verteilt ist, wer ist dann für Verletzungen der DSGVO verantwortlich?

Die CNIL, die französische Datenschutzbehörde, hat bereits eine Antwort auf diese Frage. In einem 2018 veröffentlichten Bericht kam die CNIL zu dem Schluss, dass in vielen Fällen alle Teilnehmer als Verantwortliche betrachtet werden können. In dem Aktionsplan des Berichts wurden Vorschläge gemacht, mit europäischen Kollegen zusammenzuarbeiten, um eine Grundlage für die gemeinsame Regulierung von Blockchains zu schaffen. Dennoch ist die CNIL fast zwei Jahre später immer noch die einzige europäische Regulierungsbehörde, die einen solchen Vorschlag veröffentlicht hat.