>"Der verteilte Charakter der Blockchain und die damit verbundenen komplexen mathematischen Konzepte bringen ein hohes Maß an Komplexität und Unsicherheit mit sich", erklärt der Europäische Datenschutzausschuss (EDSA) in seinen jetzt veröffentlichten Leitlinien zum Einsatz der dezentralen Datenbanktechnik. "Grundsätzlich sollte die Speicherung personenbezogener Daten in einer Blockchain vermieden werden, wenn dies im Widerspruch zu Datenschutzgrundsätzen steht."

Blockchains sind dazu gedacht, die Integrität von Daten und deren Rückverfolgbarkeit zu gewährleisten. Fehler rückwirkend zu korrigieren oder Daten zu löschen ist gerade nicht vorgesehen, da sich konzeptionell immer nur neue Informationen hinzufügen lassen. Um sicherzustellen, dass bei Blockchain-Einsatz die Datenschutz-Grundverordnung (DSGVO) eingehalten werde, müssten Zuständige "die Risiken für die Rechte und Freiheiten betroffener Personen sorgfältig" bewerten.

Der EDSA stellt in seinem Dokument klar, dass die Rollen und Verantwortlichkeiten bei Verarbeitung personenbezogener Informationen mit Blockchain bereits in der Konzeptionsphase festgelegt werden sollen. Ferner müssten Organisationen vorab eine Datenschutz-Folgenabschätzung durchführen, wenn die Blockchain-Nutzung "voraussichtlich hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt".

Probleme mit dem Recht auf Vergessenwerden

Laut dem Zusammenschluss der Datenschutzbehörden der EU-Mitgliedsstaaten sollen Blockchain-Betreiber "den größtmöglichen Schutz personenbezogener Daten während der Verarbeitung gewährleisten, damit diese nicht standardmäßig einer unbestimmten Anzahl von Personen zugänglich gemacht werden". Datenschutz müsse von vornherein direkt in die Technik integrieren sein, also Privacy by Design).

Dazu gehöre die Umsetzung von Prinzipien wie Speicherbegrenzung und Datenminimierung. Zudem müssten Betroffenenrechte, etwa auf Berichtigung, Löschung und auf Vergessenwerden, befolgt werden. Daher müsse der Verantwortliche jede anvisierte Blockchain-Lösung sorgfältig prüfen.

Blockchain-Daten nur anonym

Rechtsexperten wie Malte Engeler gaben bereits zu bedenken, dass das Recht auf Vergessenwerden mit Blockchains nicht machbar sei. Der EDSA erläutert: "Da die gesamte Blockchain oder die darin gespeicherten Informationen möglicherweise nicht ohne Weiteres gelöscht werden können, sollten Verantwortliche diese Anforderung bereits in der Entwurfsphase berücksichtigen." Sie müssten sicherstellen, "dass alle in der Blockchain gespeicherten personenbezogenen Daten im Falle eines Löschantrags oder Widerspruchs effektiv anonymisiert werden können". Dies setze voraus, dass gespeicherte relevante Transaktionsdaten keine direkte Identifizierung von Betroffenen zuließen.

Alle zusätzlichen Off-Chain-Informationen, die mit angemessenen Mitteln indirekte Identifizierung ermöglichten, müssten dann gelöscht werden. Angesichts der damit verknüpften Umsetzungsschwierigkeiten rät der EDSA, gegebenenfalls andere Instrumente als Blockchains in Betracht zu ziehen.