Recht auf Vergessen in Blockchain-Szenarien

Recht auf Vergessen in Blockchain-Szenarien

Ideengeber*in:

Potenzielle Projektpartner*innen

• Elke Kunde, IBM
• Holger Tallowitz, SAP
• Dian Balta, Fortiss
• Gavin Wood, Polkadot
• Rhett Oudkerk Pool, EOS Amsterdam & Europechain.io

• Nikita Fuchs, æternity

• Silvan Jongerius, TechGDPR

• Jörn Erbguth, freier Wissenschaftler

• Frederic Hannesen, Lightcurve

• Dennis Hillemann, KPMG Law
• Olga Stepanova, Winnheller Rechtsanwälte
• Oliver Terbu, uPort (Consensys)
• Michelle Fink, Max Planck Institute for Innovation & Competition

Ausgangslage

Jüngst hat die Bundesregierung ihre „Blockchain-Strategie“ verabschiedet. Damit hat sich die deutsche Politik zum ersten Mal damit beschäftigt, welche regulatorischen und wirtschaftlichen Rahmenbedingungen notwendig sind, um das Innovationspotential im Hinblick auf „Dezentralität, Zuverlässigkeit, Fälschungssicherheit“ (S. 3) bestmöglich auszunutzen. Als eine wichtige Lösungsstrategie schlägt die Blockchain-Strategie einen Fokus auf „Standards, Zertifizierungen und Informationspflichten“ vor.
Als eines ihrer Hauptziele identifiziert die Bundesregierung eine hohes Maß an Datenschutz und IT-Sicherheit. Im Hinblick auf die EU-Datenschutz-Grundverordnugn (DSGVO) hält sie zwar keine Gesetzesänderungen für notwendig – weist aber zugleich darauf hin, dass zahlreiche Herausforderungen noch ungelöst sind. Eine der zentralen offenen Fragen lautet: „Wie wird das Recht auf Löschung bei der Nutzung von Blockchain-Technologie gewährleistet?“ (S. 15). Hinter der Frage steht die diffizile Frage, wie sich die Eigenschaft der Unveränderbarkeit (immutability) mit dem Recht auf informationelle Selbstbestimmung in Einklang bringen lässt.
Zu der Frage hat sich bislang kein Stand der Technik herausgestellt. Im Gegenteil: Es kursieren jeweils nur – oftmals halbgare – Vorschläge für einzelne Teilprobleme. So existieren mit den technischen Verfahren Pruning, Zero-Knowledge-Proofs, Chameleon-Hash oder kryptographisches Überschreiben zwar bereits erste Ansätze, um einzelne Datensätze auf einer Blockchain zu "entfernen". Jedoch fehlt bislang ein umfassendes Konzept dafür, wie die technischen Verfahren in das Gesamtsystem einzubetten sind, um den rechtlichen Anforderungen umfassend Rechnung zu tragen. Es fehlen verlässliche Standards oder Leitfäden, die Hilfestellungen für einen DSGVO-konformen Umgang mit dem Verlangen einzelner Betroffener liefern, ihre personenbezogenen Daten dauerhaft aus einer Blockchain zu entfernen.

Das Thema des geplanten Standardisierungsvorhabens ist bisher nicht Gegenstand eines laufenden Standardisierungsvorhabens. Es existieren jedoch die folgenden, themenverwandten Gremien, Normen und/oder Regelwerke, die im Zuge des Projekts berücksichtigt und ggf. einbezogen werden:
    ISO/NP TR 23244 (Blockchain and distributed ledger technologies -- Overview of privacy and personally identifiable information (PII) protection)
    ISO/NP TR 23246 (Blockchain and distributed ledger technologies -- Overview of identity management using blockchain and distributed ledger technologies)
    ISO/TC 307 (Technical Committee on “Blockchain and distributed ledger technologies”)/ WG 2: Working group on “Security, privacy and identity”
    CNIL report: “Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data”, 6 November 2018 (source: https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data)
    DIN SPEC 16597:2018-02 - Terminologie für Blockchains; Text Englisch (source: https://www.beuth.de/de/technische-regel/din-spec-16597/281677808)
    Beitrag in DIN-Mitteilungen 2017-08: Standardisierung einer Terminologie für Blockchains (source: https://www.din.de/de/wdc-beuth:din21:277470276)
    Informationsveranstaltung: Blockchain and distributed ledger technologies haben die Normung erreicht (source: https://www.beuth.de/de/technische-regel/din-spec-16597/281677808)
    Blockchain Workshop am 29.01.2019 in Berlin (DIN) (source: https://www.din.de/de/forschung-und-innovation/themen/industrie4-0/blockchain-workshop-am-29-01-2019-in-berlin-din--320200)
    DIN SPEC 310 - Blockchain und Distributed Ledger Technologien in Anwendungsszenarien für Industrie 4.0 (source: https://www.din.de/de/wdc-proj:din21:287132667)
    DIN SPEC 3104 - Blockchain-basierte Datenvalidierung (source: https://www.din.de/de/wdc-proj:din21:287756473)
ISO/AWI TS 23259 - Blockchain and distributed ledger technologies - Legally binding smart contracts (source: https://www.din.de/de/mitwirken/normenausschuesse/nia/projekte/wdc-proj:din21:283080314)

Nutzen

Das Standardisierungsvorhaben setzt an der drängenden gesellschaftspolitischen Frage an, wie sich neue dezentrale Technologien – wie DLT oder Blockchain – mit den Anforderungen an einen zeitgemäßen technischen Umgang mit personenezogenen Daten versöhnen lassen. Dafür sammelt es zunächst die aktuellen wissenschaftlichen Befunde zum Umgang mit dem Recht auf Löschung und gleicht sie mit den Lösungsstrategien der Konsortiumsmitglieder ab. Darauf aufbauend erarbeitet es ein Konzept, das technische und organisatorische Maßnahmen vereint – mit dem Ziel, einen Standard zu definieren, um das Recht auf Löschung effektiv und zuverlässig in das eigene Geschäftsmodell zu integrieren.
Das „Recht auf Vergessenwerden“ ist Gegenstand nahezu jeder Abhandlung oder Diskussion über die Frage, ob sich Blockchain-Lösungen auf dem europäischen Markt langfristig etablieren können. Für die einen ist es eine unüberbrückbare Hürde, an der jedes Blockchain-Projekt früher oder später scheitert – für andere ist es eine Herausforderung, die organisatorischen und technischen Rahmenbedingungen innovativer Blockchain-Produkte weiterzudenken und mit den rechtlichen Anforderungen in Einklang zu bringen. Ein erster Nutzen des Vorhaben liegt darin, die oftmals unzureichend fachlich fundierte Debatte zu versachlichen und auf konkrete Lösungsvorhaben zu fokussieren.
Das Standardisierungsvorhaben entwickelt ein technisch-organisatorisches Verfahren, um das „Recht auf Vergessenwerden“ im Szenario einer permissionless Blockchain effektiv durchzusetzen. Dafür zeichnet es zunächst die rechtlichen Rahmenbedingungen vor, die Art. 17 DSGVO vorgibt – und setzt darauf gezielt mithilfe von Entwurfsmustern auf. Dadurch entsteht ein konkreter Mehrwert für alle Wirtschaftsteilnehmer, die Blockchain-Technologie in ihr Portfolio aufnehmen oder einzelne Produkte mit Blockchain-Elementen ausstatten möchten. Denn wie bereits dargestellt, existiert derzeit kein Stand der Technik zu der Frage, wie das Recht auf Löschung in Blockchain-Produkten effektiv umsetzbar ist. Das Standardisierungsvorhaben leistet insofern Pionierarbeit, indem es die bestehenden Forschungsarbeiten, Lösungsansätze und Teilprobleme sammelt und zu einem Gesamtkonzept vereinigt.
Die Projektergebnisse können sowohl in die internationale Standardisierung zur Blockchain-Technologie als auch in die Vorarbeiten der Datenschutzaufsichtsbehörden für Leitfäden, Zertifikate oder Datenschutzsiegel (nach Art. 42 DSGVO) einfließen. Für Unternehmen, die in den Blockchain-Markt einsteigen wollen, kann der Standard wichtige Orientierung bieten, um von Beginn an der Rechtspflicht „Privacy by Design“ (Art. 25 Abs. 2 DSGVO) nachzukommen.
Es besteht ein enormes Bedürfnis sowohl der Verbraucher als auch der Industrie nach detaillierten Antworten auf die Herausforderungen an der Schnittstelle zwischen Blockchain-Technologie und Datenschutzrecht. Nur durch konkrete Lösungen auf die regulatorischen Probleme kann es gelingen, dass Deutschland und Europa zum Marktführer im Bereich dezentralisierter technischer Ökosystem avancieren. Ein frühes gemeinsames Verständnis kann den Innovationsprozess zugleich ordnen und beschleunigen.

Kompetenzen und Ressourcen

Die beantragende Organisation „Privacy by Blockchain Design“ kann auf eine langjährige Forschungsarbeit an der Schnittstelle zwischen Recht und Informatik zurückblicken. Die Initiatoren Christian Wirth und Michael Kolain publizieren zu dem Thema Blockchain-Technologie und Datenschutz seit 2014 und wurden dabei u.a. bereits von einer Studie des Europäischen Parlaments zitiert. Mit ihrer Kombination aus angewandter Informatik und Rechtswissenschaft verfügen Sie über die entscheidenden Kompetenzen, um einen Standard zum Recht auf Vergessen in Blockchain-Szenarien zu verfassen. Als Senior Blockchain Architect bei IBM konnte Christian Wirth nach seinem Informatik-Studium an der FU Berlin einschlägige Erfahrungen sammeln; als wissenschaftlicher Koordinator hat der Volljurist Michael Kolain tiefe Einblicke in die neuste rechtswissenchaftliche Forschung am Forschungsinstitut für öffentliche Verwaltung Speyer (Programmbereich „Digitalisierung“).
Mit der DIN SPEC 4997 haben die Initiatoren zudem Erfahrungen im Bereich der Standardisierung gesammelt und ein großes und ausgewogenes Konsortium zusammengestellt und geleitet. Die Erfahrungen haben gezeigt, dass die „Blockchain-Community“ (v.a. in Berlin) ein großes Interesse an der Standardisierung hat und sich aktiv in die Normierungsarbeit einbringt: Von großen IT- und Beratungskonzernen über kleine Start-Ups bis hin zu renommierten Wissenschaftler*innen waren sehr unterschiedliche Kompetenzen im Konsortium gebündelt. „Privacy by Blockchain Design“ verfügt auch über die notwendigen zeitlichen, technologischen und sonstigen Ressourcen, um das Standardisierungsvorhaben durchzuführen.

Standardisierungsscope

Der geplante Standard definiert die Anforderungen und Kriterien von Blockchain-basierten IT-Systemen für Unternehmen, deren Ziel die Umsetzung der technischen Möglichkeit zur Löschung von Daten auf der Blockchain ist.