Co-Autor Roman Aus der Au

Distributed Ledger Technologie ermöglicht – gerade in Form von Blockchains – effektiven Datenschutz. Diese Aussage erstaunt auf den ersten Blick und ist in dieser Absolutheit natürlich auch nicht richtig. In ihrem Aufsatz in der Fachzeitschrift Sic! (09/2018) setzen sich Cornelia Stengel und Roman Aus der Au mit der Frage der Beziehung von Distributed Ledger Technologien (DLT) und Datenschutz auseinander.

Dazu haben die Autoren die zentralen Elemente von DLT und die Prinzipien des Datenschutzes zusammen dargestellt und Lösungsansätze aufgezeigt, die sich aus den Datenschutzgesetzen (Schweiz und EU) selbst oder aus technologischen Entwicklungen ergeben. Dabei kommen sie zum Schluss, dass DLT und Datenschutz sich nicht gegenseitig ausschliessen, ja sogar, dass Blockchains so gebaut werden können, dass sie effektiven Datenschutz ermöglichen.

Nur Personendaten unterliegen den Regeln der Datenschutzgesetze. Die Autoren analysieren, welche Daten in DLT als Personendaten im Sinne der Datenschutzgesetze zu qualifizieren sind. Weiter gilt es, die eigentlichen Ziele des Datenschutzes nicht aus den Augen zu verlieren. Es geht um den Schutz der Persönlichkeit und der Grundrechte der Personen, über welche Daten bearbeitet werden, deren geistige Integrität, die Privatsphäre und die informationelle Selbstbestimmung.

Einige der zentralen Prinzipien von Datenschutz sind Transparenz und Zweckbindung, Datenminimierung und -sparsamkeit, Recht auf Löschung bzw. „Vergessen werden“ sowie Richtigkeit der Daten bzw. Recht auf Berichtigung. Diese und weitere Prinzipien stellen die Autoren den zentralen Elementen von DLT gegenüber, nämlich Dezentralität, Transparenz, Unveränderbarkeit und die Verwendung von Kryptografie und Hashfunktionen (wobei sich die verschiedenen Systeme auch in diesen zentralen Punkten unterscheiden können).

Besonders im Anwendungsbereich der DSGVO, welche stärker als das Schweizer Datenschutzgesetz auf zentrale Rollen, sogenannte «Verantwortliche», baut, zeigen die Autoren Reibungsflächen und Anwendungsprobleme, aber auch rechtliche (Grundsatz der allgemein zugänglich gemachten Daten oder Einwilligung) und technologische Lösungsmöglichkeiten auf. Je nach Anwendungsfall können möglicherweise technische Elemente wie beispielsweise Chamäleon-Hashfunktionen, Zero-Knowledge-Protokolle oder Off-chain-Lösungen eingesetzt werden, um datenschutzrechtliche Problemstellungen gezielt zu adressieren.

Wichtig ist das abschliessende Statement: Das eigentliche Ziel von Datenschutzgesetzen, der Schutz der Persönlichkeit und der Grundrechte der Personen, über welche Daten bearbeitet werden, wird letztlich nicht mit gesetzlich vorgeschriebener Dokumentation und Administration erreicht. Vielmehr muss beispielsweise sichergestellt werden, dass Daten tatsächlich so bearbeitet werden, wie es zweckmässig ist und «versprochen» wurde. Anstelle dieses «Versprechens» tritt im Kontext von DLT ein vorgeschriebenes Protokoll, dessen Einhaltung von den Teilnehmern des Netzwerks geprüft und validiert werden kann. Wesentlich ist, bereits bei der Konzipierung eines solchen Systems die Regeln des Datenschutzes im Auge zu behalten.