GDPR als Stolperstein oder Chance für Blockchain?

Es sind interessante Diskussionen, die mit unseren Klienten und Partnern in den letzten Monaten stattfinden. Während weltweit die Blockchain als entstehende und disruptive Technologie eingeschätzt wird, nähert sich in Europa die Frist am 25. Mai 2018 für die Umsetzung der neuen Verordnung über den Datenschutz. Die Allgemeine Datenschutzverordnung (GDPR - General Data Protection Regulation) soll den Datenschutz für alle EU Bürger stärken. Zuwiderhandlungen können zu einer Geldbuße von bis zu 4% des weltweiten Jahresumsatzes der Organisation führen.

Das GDPR enthält eine Reihe von Bestimmungen, die die Verwaltung digitaler Identitäten betreffen und Einzelpersonen die Kontrolle über ihre persönlichen Daten ermöglichen. Wesentliche Bestimmungen sind:

1. Einwilligungsrecht: Die Einwilligung muss, bevor personenbezogenen Daten verwendet werden können, erteilt und kann jederzeit widerrufen werden.
2. Recht auf Vergessenheit: Die Löschung der persönlichen Daten kann beantragt werden.
3. Recht auf Portabilität: Das Recht für die schon zur Verfügung gestellten persönlichen Daten in einem benutzerfreundlichen digitalen Format zu erhalten und/oder an andere Organisationen zu übermitteln.
4. Recht auf Datenminimierung: Personenbezogene Daten einer Person können nur dann verwendet werden, wenn dies für den jeweiligen Zweck erforderlich ist.

Die Einhaltung der GDPR-Richtlinien hat für Unternehmen in der EU oberste Priorität.

Was bedeutet es für den Einsatz von Blockchain Technologien?

Blockchain ist eine Governance-freundliche Technologie, die die Integrität der Daten zu jeder Zeit sicherstellt. Allerdings stehen die Eigenschaften dieser Technologie in direktem Widerspruch zu den GDPR-Bestimmungen. Zwei der Herausforderungen, die sich aus der Verabschiedung des GDPR ergeben, sind:

• Blockchains sind nicht editierbar: Aktuell ist es unmöglich, die in den Blöcken enthaltenen Informationen zu ändern oder zu löschen

  ⇒ was im Widerspruch zum Recht auf vergessene Bestimmung von GDPR steht.
  Daher müssen Unternehmen darauf achten, wie sie persönliche Informationen speichern und gleichzeitig die Vorteile der Blockchain-Technologie nutzen. Es gibt Organisationen, die daran arbeiten, einen gesicherten Mechanismus zum Bearbeiten oder Löschen von Blöcken zu schaffen, aber dieser befindet sich noch im konzeptionellen Stadium.
• Es ist unklar, wer personenbezogene Daten in einer Blockchain kontrolliert: Diese Daten werden auf jedem Knoten des verteilten Netzes verwaltet, der für jedermann zugänglich ist, unabhängig vom ursprünglichen Zweck der Erhebung und Verarbeitung.

  ⇒ dies steht im Widerspruch zum Recht auf Datenminimierung von GDPR, bei dem der Auftragsverarbeiter nur die für den jeweiligen Prozess erforderlichen minimalen personenbezogenen Daten verwendet.

In meinem nächsten Blog werde ich meine Überlegungen darüber vorstellen, wie man Synergien zwischen Blockchain-technologie und GDPR-Compliance schaffen kann.

Bleiben Sie dran...

Genutzte Quellen:

• https://www2.deloitte.com/dl/en/pages/legal/articles/blockchain-datenschutzrecht.html
• https://medium.com/learning-machine-blog/the-eu-general-data-protection-regulation-and-the-blockchain-1f1d20d24951
• https://www.csoonline.com/article/3232386/cyber-attacks-espionage/blockchain-technology-may-not-be-the-best-solution-for-gdpr-compliance.html