Bis zur Unendlichkeit und noch viel weiter
Die zentrale Kritik der Bremer Datenschutzbehörde ist die allgemeine Unvereinbarkeit zwischen dem Betroffenenrecht auf Löschung und der Blockchain-Technologie.
Steht die Blockchain nun vor vollendeten Datenschutz-Tatsachen? Und ist die These der Unvereinbarkeit wirklich so zwingend?
Im Wesentlichen haben sich zwei Aggregatzustände herauskristallisiert, welche die DSGVO hier annehmen könnte.
Entweder die DSGVO geht weitestgehend von zentralen Datenbanken und intervenierbaren Systemen aus und hat die neuen wasserfallartigen Technologien ,wie Blockchain und KI, in diesem Ausmaß nicht kommen sehen (1. Annahme).
oder
das Recht auf Löschung und Berichtigung ist quasi eine Antipode zu unveränderlichen Systemen und die DSGVO will prinzipiell keine unveränderlichen Systeme befördern und affirmieren, die der menschlichen Einflusssphäre entzogen sind (2. Annahme).
Stunde Null – Die historische Betrachtung
Die Lehren aus Google/Spain ziehen
Für die 2. Annahme wird häufig die Historie der Betroffenenrechte herangezogen. Denn das goldene Kalb, um das diese These tanzt, ist eine Entscheidung des EuGH, auch bekannt als der Google/Spain – Fall.
Die Kurzversion: Ein spanischer Bürger erhob Beschwerde bei der nationalen Datenschutzbehörde unteranderem gegen Google, weil er seine Privatsphäre verletzt sah, indem man bei der Suche nach seinem Namen Einträge auf zwei spanischen Tageszeitungen fand, die Anhaltspunkte auf die Zwangsversteigerung seines Grundstücks lieferten.
Das Internet vergisst nichts – hieß es damals zumindest noch. Eine Löschung bei Google kommt dem aber sehr nahe. So zumindest entschied der EuGH am 13.05.2014 (C-131/12) und schuf das sogenannte „Recht auf Vergessenwerden“. Einige sahen hierin die Schaffung eines neuen Internet-Grundrechts (Boehme-Neßler, NVwZ 2014, 825-830).
Im Leitsatz der Entscheidung betont der EuGH hingegen, dass „die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird“.
Der Betroffene hatte gegenüber Google somit einen Anspruch auf Entfernung seiner personenbezogenen Daten aus den Ergebnislisten. Demnach wurde Google nicht explizit dazu angehalten, die unliebsamen Einträge des spanischen Bürgers auf den diversen Webseiten der Urheber zu löschen. Denn diese wurden selbst nicht gelöscht. Sie bleiben dem Internet schwer auffindbar und quasi dezentral erhalten.
Ebenso entschied auch am 07.07.2015 das OLG Hamburg (AZ U 29/12) hinsichtlich eines Online-Archives. Hier besteht ebenso kein rechtlicher Zwang zur Löschung des Eintrags aus dem Archiv.
Diese und weitere Entscheidungen deuten zumindest darauf hin, dass es, aufgrund der Besonderheit des Internets, kein „absolutes“ Recht auf Vergessenwerden geben kann, sondern „lediglich“ der Zugang für Dritte weitestgehend beschränkt werden soll.
Wieso sollte das was für das Internet, als Gradmesser einer „disruptiven“ und quasi-dezentralen Technologie, nicht auch für die Blockchain gelten? Ohne hier einen eindeutigen „Fehlschluss“ zu ziehen, erstaunen und entzücken uns die Parallelen schon sehr.
Artikel 17 DSGVO – Normativer Rückhalt?
Das Hin- und Her im Kompromissentwurf der DSGVO hinsichtlich der Frage, ob man neben dem Recht auf Löschung auch das „Recht auf Vergessenwerden“ mit aufnimmt, zeigt, dass sich selbst der Verordnungsgeber schwer mit dem Art. 17 DSGVO getan hat. Letztlich wurde diese Begrifflichkeit in den Art. 17 DSGVO mit aufgenommen. Der Erwägungsgrund 65 betont dies ausdrücklich. Allerdings gibt auch die Entstehungsgeschichte des Art. 17 DSGVO keine Rechtspflicht zum absoluten Vergessen her. Dieses Verlangen verlagert sich „lediglich“ in den Art. 17 Abs. 2 DSGVO als Informationsplicht des Verantwortlichen gegenüber einem Dritten (unter Berücksichtigung angemessener Maßnahmen selbstverständlich).
Was gibt der Begriff „Löschung“ normativ her?
In der alten Fassung des Bundesdatenschutzgesetzes (§ 3 Abs. 4 Nr. 5 BDSG) wurde das Löschen als „das Unkenntlichmachen gespeicherter personenbezogener Daten“ festgelegt. Im allgemeinen Sprachgebrauch ähnelt der Begriff „Unkenntlichmachen“ prima facie dem Begriff der „Verschlüsselung“ oder „Anonymisierung“. Die DSGVO verzichtet hingegen auf eine Definition des Löschungsbegriffs. Weder Art. 17 DSGVO noch Art. 4 Nr. 2 DSGVO definieren den Begriff der „Löschung“.
Technisch betrachtet, ist eines, aber klar. Löschen ist nicht gleichzusetzen mit gelöschten Daten. Man denke an RAM (nicht wiederherstellbar) vs. ROM (wiederherstellbar).
Mithilfe der Informatik und anhand diverser Orientierungshilfen der Datenschutzbehörden (https://www.datenschutz‐mv.de/datenschutz/datenschutzmodell/) lässt sich zumindest grob unterscheiden zwischen
einer rückstandslosen Löschung von bsw. Datenträgern („physische Löschung“)
oder
der Löschung von bsw. Kopien („logische Löschung“), womit eine Wiederherstellung, ob ganz oder teilweise, möglich ist.
Das Verhältnis von Anonymisierung und Löschung
Aufgrund der engen Beziehung der „unkenntlich machenden“ Verfahren, lässt sich der Begriff „Löschung“ vielleicht in Abgrenzung zur Anonymisierung näher festlegen.
Der Vorgang der Anonymisierung blockiert die Zuordnung von Daten auf eine Person. Die Daten sind also noch vorhanden und wahrnehmbar, während bei einem Löschvorgang die Daten hinterher nicht mehr selektiv erhoben und bearbeitet werden können. Die Löschung könnte man daher, im Verhältnis betrachtet, als eine Steigerung der Anonymisierung begreifen, weil die Daten im Wege des Löschverfahrens nicht mal mehr einer potenziellen Re-Identifikation zugänglich sind.
Dieser Auslegung zur Folge bedeutet Löschung in concreto = absolute Unwiederbringlichkeit, auch mit verhältnismäßig hohem Aufwand.
Blockchain als privilegierte Pseudonymisierungstechnik?
Bei der „Pseudonymisierung“ werden nach Art. 4 Abs. 5 DSGVO personenbezogene Daten in einer Weise verarbeitet, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können (Verschleierung des Personenbezugs – bsw. durch das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen).
Nach einer gesamtheitlichen Würdigung der Erwägungsgründe (insbesondere 28, 29, 75 und 156) lässt sich sehr schnell erkennen, dass die Pseudonymisierung eine zum Teil privilegierte technische Maßnahme darstellt, welche dazu geeignet ist, Risiken für die Freiheiten und Rechte natürlicher Personen zu verringern.
Letztlich ist die Blockchain durch ihre besondere Verschlüsselungstechnologie (Anwendung der Hashes), als kryptographisches Element, im weitesten Sinne eine solche Pseudonymisierungstechnik.
Soweit so gut. Allerdings schafft diese in Erwägungsgrund 28 manifestierte Privilegierung keine wirkliche Entfaltungsmöglichkeiten für Technologien wie die Blockchain, wenn sie nicht den nötigen Freiraum erhalten.
Zumindest rechtlich betrachtet, lässt sich aus dem Wunsch für mehr Musée und Freiraum in der Blockchain-Anwendung, vermutlich keine Reduktion von Art. 17 DSGVO nach dem Sinn und Zweck ableiten (vgl. ErwG 28 Satz 2). Zumindest wäre die Begründung von der Gesetzeslogik her eine ziemlich harte Turnübung. Wie viel Yoga man da machen muss, um solche rechtlichen Verrenkungen zu bewerkstelligen, steht in den Sternen.
Ausnahmen
Jede Regel hat eine Ausnahme. Und diese sind im Art. 17 Abs. 3 geregelt. Allerdings hilft uns dieser nicht wirklich weiter. Das deutsche Datenschutzgesetz (BDSG) hingegen, erweitert mit § 35 Abs. 1 BDSG den Ausnahmekatalog und grenzt die Löschverpflichtung dahingehend ein, dass besondere Arten der Speicherung oder Löschprozesse mit unverhältnismäßigen hohem Aufwand, ausgeschlossen werden.
Dieser Umstand lässt viel Interpretationsspielraum. Andererseits ist auch hierbei fraglich ob der deutsche Gesetzgeber § 35 Abs. 1 BDSG, als sog. „unechte“ Öffnungsklausel, für eine solche Einschränkung nutzen durfte. Art. 23 DSGVO regelt bsw. so eine nationale Einschränkungsmöglichkeit der DSGVO. Die Erfüllung der Kriterien der Vereinbarkeit (in Art. 23 DSGVO) zwischen nationalem Recht und der europäischen DSGVO erscheinen, ohne näher darauf einzugehen, aber ebenfalls fraglich.
Zumindest eröffnet der Art. 23 DSGVO neue Wege in der öffentlichen Registerführung.
Technisch (nicht) möglich?
Genug mit der Rechtswissenschaft! Kommen wir zu den wichtigen Dinge des Lebens.
Wie heißt es so schön: Man kann alles hacken, man darf sich nur nicht dabei erwischen lassen. Ja, auch die Blockchain ist „hackbar“ (spontane Wortschöpfung) bzw. veränderbar.
Fork-Methode
Im Wege der sog. Fork-Methode könnten unrechtmäßige Transaktionen entfernt werden. „Forking“ ist kein Blockchain-Spezifikum und auch nichts neues. Forking betreibt so gesehen jeder Software-Engineer, wenn er den Quell-Code aus einer Software auslagert und anschließend als neue Instanz verändert. Die Abspaltungsmethode ist auch auf die Blockchain übertragbar, bei der eine Kette in Zwei Ketten, gemeinsamen Ursprungs, geteilt wird und quasi in friedlicher Koexistenz nebeneinander weiter leben.
Problem: Das Forking ist aufwändig und unpraktikabel, weil die Akzeptanz der neuen Kette abhängig von den Teilnehmern ist. Die Aufspaltung der Kryptowährung durch den DAO-Hack in Ethereum und Ethereum-Classic verdeutlichen dieses Akzeptanzproblem.
Off-Chain, noch Blockchain?
Ferner besteht bezüglich der Transaktionsdaten die Möglichkeit einer sog. „offchain“. Diese lagert, wie der Name schon sagt, die Daten extern auf eine Datenbank aus und existiert weiterhin referenziert auf der Blockchain. Ein möglicher Lösungsansatz könnte darin bestehen, dass der betroffene Hashwert mit einem privaten Schlüssel verschlüsselt wird und anschließend auf die off-chain verlagert wird. Eine Dechiffrierung wäre hierbei nur schwerlich durchzuführen. Ob dieser Lösungsansatz den Aufsichtsbehörden genügt, bleibt abzuwarten.
Es war einmal ein Chamäleon
Ist nicht der Beginn eines Kinderbuches von Horst Eckert („Janosch“), sondern ein weiteres Beispiel und die bei weitem innovativste Anwendung. Diese Hash-Funktion beinhaltet, im Gegensatz zu der üblichen kryptographischen Hash-Funktion, einen zusätzlichen Kollisionsfindungs-Algorithmus. Dieser Algorithmus beinhalten wiederum eine Falltür (trapdoor key), die es erlaubt sog. Kollisionen, zwei verschiedene Daten mit demselben Hash-Wert Paare zu finden, um damit eine nachträgliche Entfernung zu ermöglichen. Dem Kollisionsfindungs-Algorithmus können noch weitere Zugangsstrukturen und Attribute „verabreicht“ werden, um für mehr Sicherheit und eine gefestigte Policy zu sorgen (Mehr hierzu bei „Fine-Grained and Controlled Rewriting in Blockchains, David Derler/ Kai Samelin/ Christoph Striecks“).
Hierdurch wären Änderungen an der Blockchain ohne Unterbrechung und Aufspaltung der Kette realisierbar. Der gesetzlichen Wertung des Art. 17 DSGVO könnte diese Variante sehr nahekommen.
Blockchain Blasphemie?
„Ist der Ruf erst ruiniert, Lebt es sich ganz ungeniert.“ (Wilhelm Busch)
Jedoch bleibt hinsichtlich der Schlüsselverwaltung eine dritte und vertrauenswürdige Instanz erforderlich. Das Bestreben auf zentrale Eingriffsmöglichkeiten zu verzichten und die Gleichberechtigung der Nodes, als in gewisser Weise „politische“ Komponente, würden damit aber konterkariert.
„Damit wäre die Blockchain, technisch betrachtet, einfach keine Blockchain mehr.“ So auch IT-Unternehmer Ulrich Engelhardt in unserem Podcast (Folge 2).