iaremenko - stock.adobe.com
DSGVO: Was Blockchain für den Datenschutz bedeutet
Blockchain hat nicht nur Vorteile für den Datenschutz. Bei der Implementierung müssen Maßnahmen für Sicherheit und Datenschutz getroffen werden, um die DSGVO zu erfüllen.
In seiner Eröffnungsrede beim 16. Deutschen IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, gerade mit Blick auf die neuen Herausforderungen der Digitalisierung wie beispielsweise künstliche Intelligenz, autonomes Fahren oder Blockchain würden Datenschutz und Datensicherheit eine immer wichtigere Rolle einnehmen und sollten stets schon bei der Entwicklung von Produkten und Dienstleistungen mitgedacht werden.
Das BSI sieht dies genauso: „Wie bei vielen Themen mit hoher medialer Aufmerksamkeit ist es wichtig, auch bei den Diskussionen um die Blockchain den Bezug zu den technischen Grundlagen zu wahren. Dies gilt insbesondere für den Aspekt der IT-Sicherheit, da durch die Nutzung von Blockchain häufig ein Sicherheitsgewinn erhofft wird“, erklärte BSI-Präsident Arne Schönbohm.
Das BSI sieht dies genauso: „Wie bei vielen Themen mit hoher medialer Aufmerksamkeit ist es wichtig, auch bei den Diskussionen um die Blockchain den Bezug zu den technischen Grundlagen zu wahren. Dies gilt insbesondere für den Aspekt der IT-Sicherheit, da durch die Nutzung von Blockchain häufig ein Sicherheitsgewinn erhofft wird“, erklärte BSI-Präsident Arne Schönbohm.
Was sich Nutzer von Blockchain versprechen
Doch die Erwartungen der möglichen Anwender sind anders: 57 Prozent der Bundesbürger sehen die Blockchain als wichtige Zukunftstechnologie, um den Datenschutz gegenüber Plattformbetreibern neben der EU-Datenschutzverordnung (DSGVO) zu stärken, das ergab der electronica-Trend-Index mit einer Umfrage zur Blockchain-Sicherheit. 51 Prozent der Verbraucher gehen davon aus, dass Banken oder zentrale Anbieter für Online-Transaktionen (Facebook, Google, Amazon & Co.) durch seriöse Blockchain-Netzwerke ersetzt werden können. Knapp ebenso viele rechnen damit, dass eine fälschungssichere digitale Identität Online-Transaktionen künftig transparent macht.
Blockchain und Distributed-Ledger-Technologien (DLT) rücken im Zuge des allgemeinen Interesses auch verstärkt in den Anwärterkreis von Technologieplattformen, die für Datenschutz und Datensicherheit neue Perspektiven aufzeigen, erklärte der Digitalverband Bitkom. Der Grund: Blockchain-Systeme verbinden Datenspeicherung, Datenvermittlung und Datensicherung mit neuen Zugangs- und Prüfverfahren, die es erlauben, neue Lösungen für die steigenden Anforderungen im Zeitalter der Datenökonomie zu entwickeln.
Wie Sicherheitsexperten die Blockchain bewerten
Den erwarteten Vorteilen entsprechend haben sich bereits viele Studien damit befasst, wie es um die Sicherheit und den Datenschutz bei Einsatz von Blockchain-Technologien steht. Eine Sicherheitsanalyse des BSI (PDF) ergab: Grundsätzlich schneiden Blockchains gegenüber klassischen zentralen Datenbanken in den Punkten Verfügbarkeit und Robustheit gegen Missbrauch gut ab. Dem stehen Nachteile im Bereich der Vertraulichkeit und der Effizienz gegenüber.
Offensichtlich hat dann eine Blockchain-Lösung nicht nur Vorteile für den Datenschutz, den sich viele Unternehmen davon versprechen. Es sind weitere Maßnahmen notwendig, um die Datensicherheit bei Blockchain-Lösungen zu gewährleisten.
Zu den Fragen der Datensicherheit stellte das BSI in seiner Analyse fest:
- Vertraulichkeit ist in Blockchains schwer zu erreichen.
- Sensible Daten sollten nicht direkt beziehungsweise nicht ungeschützt auf der Blockchain gespeichert oder verarbeitet werden.
- Kryptografische Verfahren sollten dem Stand der Technik entsprechen und brauchen ein gutes Schlüsselmanagement.
- Mechanismen zur Anonymisierung und Pseudonymisierung in Blockchains sind in der Praxis oft nicht zuverlässig.
- Konkrete (insbesondere quantitative) Aussagen zum Sicherheitsniveau können für die meisten Blockchain-Anwendungen nicht getroffen werden.
Hinsichtlich des Datenschutzes wies das BSI auf folgendes hin:
- Die Vorgaben der DSGVO sind in ihrem Anwendungsbereich auch für den Einsatz von Blockchains zu beachten. Die Erfüllung wichtiger Datenschutzziele ist in Blockchain-Anwendungen schwierig. Blockchains sind nicht ohne Weiteres dazu geeignet, die Datensouveränität der Nutzer zu befördern.
- Probleme werden insbesondere gesehen bei der Umsetzung des Auskunftsrechts, bei den Betroffenenrechten auf Löschung und Berichtigung und auch bei der Datenhoheit des Nutzers, die sich viele von Blockchains erhoffen.
Datenschutz und Sicherheit bei Blockchain kein Automatismus
Blockchain-Lösungen bringen somit nicht nur Vorteile für Sicherheit und Datenschutz mit sich, sondern sie benötigen passend zur Anwendung und dem Schutzbedarf ergänzende Maßnahmen.
Dabei stehen allerdings teils Veränderungen bei der Blockchain-Nutzung an, die die grundsätzlichen Ideen betreffen, wie den Verzicht auf Intermediäre, der nicht ohne weiteres möglich ist, wenn man dem Datenschutz gerecht werden will.
Wie das Grundgutachten „Chancen und Herausforderungen der DLT (Blockchain) in Mobilität und Logistik“ im Auftrag des Bundesministeriums für Verkehr und digitale Infrastruktur (BMVI) zeigt, müsste man ohne Intermediäre auf personenbezogene Daten in den Blockchain-Anwendungen verzichten, um die DSGVO erfüllen zu können:
- Während DLT eine verteilte Speicherung der Daten auf mehrere Knoten immanent ist, folgt die Datenschutz-Grundverordnung dem Prinzip eines zentral Verantwortlichen. Was zunächst einen Widersprich darstellt, lässt sich teilweise durch entsprechende Gestaltung der Architektur auflösen.
- Es zeigt sich jedoch, dass hierfür nicht gänzlich auf den Einsatz von Intermediären verzichtet werden kann. Durch Einrichtung koordinierender Zentralstellen kann ein Ansprechpartner und Anspruchsgegner für den von der Datenverarbeitung Betroffenen geschaffen werden. Der offene Austausch von Daten ohne eine solche Zentralstelle kann nur dann datenschutzkonform gestaltet werden, wenn auf dem DLT-Layer auf personenbezogene Daten gänzlich verzichtet wird.
Es zeigt sich: Man sollte also nicht alleine auf Blockchain vertrauen, wenn es um einen besseren Datenschutz geht, sondern die Blockchain selbst braucht Datenschutz-Maßnahmen.