Der Begriff „Blockchain“ ist mittlerweile mehr als nur ein reines Buzzword, auch wenn der große praktische Durchbruch im Alltag noch aussteht. Rechtlich eröffnen sich rund um das Thema Blockchains und Smart Contracts aber bereits jetzt zahlreiche spannende juristische Fragestellungen, u.a.

Die Liste der juristischen Fragestellungen ließe sich vermutlich noch viel weiter fortführen. Als Datenschutzblog wollen wir uns an dieser Stelle aber lieber mit dem letzten Punkt etwas näher beschäftigen, bzw. einen kurzen Gedankenimpuls geben.

Datenschutz in der Blockchain

Bereits die gerade verwendete Zwischenüberschrift ist irreführend. Betrachtet man das Thema Blockchain aus rechtlicher Perspektive muss der Sachverhalt klarer gezogen und darauf hingewiesen werden, dass es „die Blockchain“ eigentlich gar nicht gibt. Vielmehr verbergen sich hinter dem Begriff zahlreiche Ausprägungen unterschiedlicher Blockchain-Konzepte, die sich technisch teilweise erheblich voneinander unterscheiden.

Betrachtet man z.B. die Konzepte um Bitcoin, Ethereum, Stellar, Monero oder Ripple (um nur einen kleinen Teil der bekannteren Blockchain-Konzepte zu nennen) zeigt sich schnell,

  • dass es neben dezentralisierten auch zentralisierte Blockchain-Konzepte gibt,
  • dass bestimmte Blockchains über sog. Ring Signaturen oder weitere technische Mittel versuchen, Transaktionshistorien zu verschleiern, wohingegen andere Blockchains ein sehr transparentes Kassenbuch führen,
  • dass verschiedene Konsensmechanismen zur Anwendung kommen, etwa proof of work oder proof of stake,
  • dass manche Blockchains Smart Contracts ausführen können, andere hingegen nicht und insgesamt die Funktionen unterschiedlich ausgeprägt sind.

Teilweise existieren neben den genannten öffentlichen Blockchains auch private (unternehmensinterne) Blockchains, was Auswirkungen auf die rechtliche Bewertung haben kann.

Damit nicht genug. Betrachtet man einzelne Blockchain-Konzepte aus rechtlicher Sicht, muss auch berücksichtigt werden, dass diese teilweise im Zusammenspiel mit unterschiedlichen externen Storagelösungen (z.B. dem IPFS) genutzt werden können und sich nicht alles innerhalb der Blockchain abspielen muss, sondern gewisse Dinge ausgelagert werden können.

Gleichwohl zeichnen sich im Hinblick auf den Datenschutz grundsätzlich insbesondere drei Herausforderungen ab:

  • Oftmals gehen Blockchain-Konzepte davon aus, dass Transaktionen anhand von Pseudonymen öffentlich gemacht und nicht verschleiert werden. Zwar soll die Identität hinter den Pseudonymen grundsätzlich nicht offenbart werden. Dennoch bestehen in der Praxis zahlreiche Möglichkeiten, aus den öffentlichen (unverschleierten) Transaktionen Rückschlüsse auf die Identität der Personen dahinter zu schließen (etwa beim Kauf von Versandhandelsprodukten – hier erhält der Verkäufer unter Umständen Einblick in den bisherigen Transaktionsverlauf der Wallet-Adresse des Nutzers oder beim Posten des Bildes der eigenen CryptoKitty in einem sozialen Netzwerk – hier erhält die Öffentlichkeit weitere Informationen zum Ether-Kontostand, der Ethereum-Wallet und den mit dieser Wallet verknüpften weiteren Tokens sowie der Transaktionshistorie der Wallet). An dieser Stelle bestehen in der Anwendung also eine Reihe von Datenschutzrisiken, die beachtet und bewertet werden müssen.

Auszug aus dem Bitcoin Whitepaper: Tatsächlich spricht dieses an keiner Stelle von „Anonymität“, sondern lediglich von eine neuen „Privacy Model“.

  • Datenschutzrechtlich ist eine der größten Herausforderungen der Umgang mit Lösch- und Berichtigungsansprüchen von Betroffenen. Denn fast alle Blockchain-Konzepte basieren darauf, dass einmal protokollierte Transaktionen grundsätzlich unlöschbar und unveränderlich gespeichert werden. Ob hier künftig bestimmte „Eingriffsschnittstellen“ vorzusehen sind (was eigentlich der ursprünglichen Blockchain-Philosophie widerspräche) oder die kluge Nutzung von externen Storage-Technologien eine Lösung bietet oder gesetzliche Regelungen angepasst werden müssen oder völlig andere praktikable Lösungen gefunden werden, ist noch nicht absehbar.
  • Auch im Hinblick auf automatisierte Einzelentscheidungen droht datenschutzrechtliches Ungemach. Eine völlig unabhängig laufende dezentralisierte Applikation, die rechtswirksame Entscheidungen in Bezug auf Personen trifft, wäre datenschutzrechtlich grundsätzlich unzulässig. Hier käme es darauf an, menschliche Steuerungsmöglichkeiten im Code der dezentralisierten Applikation zu verankern, etwa über die Implementierungen von sog. Oracles oder bestimmten Administratorzugiffen des zugrundliegenden Smart Contract Owners.

Bei dezentralisierten Applikationen ohne weitere Steuerungsmöglichkeit stellt sich zudem die Frage, ob bei dem ursprünglichen Initiator überhaupt noch eine datenschutzrechtliche Verantwortung angenommen werden kann, wenn keinerlei Einflussnahmemöglichkeit mehr besteht.

Insgesamt zeigt sich, dass die rechtliche Behandlung des Themas vermutlich noch viele Jurist/innen beschäftigen wird und es auf eine Betrachtung im Einzelfall ankommt. Blockchain ist eben nicht gleich Blockchain.

Zum Abschluss noch ein nicht ganz ernst gemeinter Disclaimer: Die in diesem Beitrag genannten Cryptowährungen und Tokens wurden nur zur besseren Illustration ausgewählt und stellen keine Investmenttipps dar. Der Autor besitzt einige der hier erwähnten Coins und Tokens, unter anderem eine kleine aber feine Anzahl an CryptoKitties.

Wer sich für die rechtliche Bewertung von CryptoKitties näher interessiert, kann hierzu mehr in dem Artikel des Autors „Es miaut in der Blockchain“ in der Ausgabe 1/2019 der c`t ab Seite 160 lesen.

Darüber hinaus finden sich hier die Folien eines Vortrags auf dem DialogCamp 2019 zum Thema „Kryptokatzen und Recht: Gaming in der Blockchain“.