Die CNIL sorgt mit der europaweit ersten offiziellen Verlautbarung zu Blockchains und anderen Distributed Ledger Technologies (DLTs) für Aufsehen in der Szene.
Da die DSGVO stets eine zentrale Datenverarbeitung vor Augen hat, bringt ihr Anwendung auf Blockchains oder andere Distributed Ledger Technologies einige Schwierigkeiten mit sich. Vor diesem Hintergrund ist es sehr zu begrüßen, dass die französische Datenschutzaufsichtsbehörde CNIL in einem 11-seitigen Leitfaden konkrete Lösungen vorschlägt. Wir fassen die Ansicht der CNIL im Folgenden zusammen:
1) Verantwortlichkeit und Auftragsverarbeitung in der Blockchain nach DSGVO
Personen, die Transaktionen auf einer Blockchain vornehmen, sind in folgenden Szenarien Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO:
- Eine natürliche Person verarbeitet personenbezogener Daten im Zusammenhang mit einer beruflichen oder kommerziellen Tätigkeit.
- Eine juristische Person verarbeitet personenbezogene Daten in einer Blockchain.
Wird eine Blockchain nur zu persönlichen Zwecken verwendet, zum Beispiel für eine Bitcoin-Transaktion, soll die DSGVO keine Anwendung finden (Art. 2 (2) c) DSGVO). Verarbeiten Mehrere personenbezogene Daten auf einer Blockchain, so können sie als gemeinsam für die Verarbeitung Verantwortliche gelten (Art. 26 DSGVO).
Miner sind nach Auffassung der CNIL Auftragsverarbeiter, da sie nicht über Zwecke und Mittel der Datenverarbeitung bestimmen und lediglich Hash-Werte errechnen würden. Die CNIL ist sich der praktischen Schwierigkeiten bei Public Blockchains bewusst, die sich aus diese Qualifikation ergeben – zum Beispiel wären Verträge mit den Minern zu schließen – und verweist darauf, dass dies noch einer vertieften Betrachtung vorbehalten bleibt.
Entwickler von Smart Contracts könnten ebenfalls Auftragsverarbeiter sein.
2) Datentransfer außerhalb der EU
Natürlich kann bei einer Blockchain ein Datentransfer außerhalb der EU nicht ausgeschlossen werden. Während es nach Ansicht der CNIL Lösungen zur Regulierung von Transfers in einer zulassungsbeschränkten Blockchain geben kann (z.B. Standardvertragsklauseln, verbindliche Unternehmensregeln, Verhaltenskodizes oder Zertifizierungsmechanismen) stellt die CNIL fest, dass im Rahmen einer öffentlichen Blockchain mangels Einfluss auf den Standort von Minern Schwierigkeiten bestehen. Sofern es mit dem Verwendungszweck kompatible ist, rät die CNIL zum Einsatz einer zulassungsbeschränkten Blockchain.
3) Datenminimierung
Die CNIL stellt vorläufig fest, dass für öffentliche Schlüssel eine dauerhafte Speicherung unvermeidlich erscheint. Personenbezogene Transaktionsdaten sollten off-chain gespeichert werden. Weiterhin empfiehlt die Aufsichtsbehörde die personenbezogenen Daten so weit wie möglich zu verschlüsseln oder zu hashen.
4) Betroffenenrechte
In Bezug auf einige Betroffenenrechte sieht die französische Aufsichtsbehörde keine großen Umsetzungsschwierigkeiten – bei manchen Rechten der Betroffenen bestehen nach Auffassung der Behörde Herausforderungen. Zur ersten, unkomplizierten Kategorie zählt die CNIL das Recht auf Information (Art. 13 und 14 DSGVO), das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Hingegen in der Umsetzung herausfordernd seien das Recht auf Berichtigung (Art. 16 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO) sowie die Einhaltung der Vorgaben zur automatisierten Entscheidung im Einzelfall (Art. 22 DSGVO).
Hinsichtlich des Rechts auf Löschung geht die CNIL davon aus, dass es technisch unmöglich ist, einen Antrag der betroffenen Person auf Löschung im vollen Umfang zu erfüllen. Als Lösungsoption schlägt die französische Aufsichtsbehörde vor, private Schlüssel zu löschen und im Falle eines Berichtigungsverlangens falsche Informationen auf dieselbe Weise zu entfernen. Solche Methoden würden es den Anbietern ermöglichen, sich der Einhaltung der Vorgaben der DSGVO zu nähern. Gelichzeitig erkennt die Behörde dabei an, dass hierdurch noch keine Löschung von Informationen „im engeren Sinne″ erfolgt und unklar ist, ob ein solches Verfahren den Verordnungsvorgaben genügen kann.
5) DSGVO: Sicherheit in der Blockchain durch TOMs gewährleisten
In Hinblick auf technisch organisatorische Maßnahmen zur Gewährleistung von Sicherheit bei der Datenverarbeitung solle sichergestellt werden, dass keine Koalition aus 50% der Beteiligten entstehen kann, da andernfalls die Kontrolle über eine Blockchain gefährdet wäre (Anmerkung: Hier spielt natürlich der eingesetzte Konsensmechanismus eine Rolle). Die CNIL empfiehlt ferner, technische und organisatorische Maßnahmen („TOMs“) einzuführen, um die Auswirkungen einer potenziellen Störung zu begrenzen. Bei öffentlichen Blockchains solle eine besondere Aufmerksamkeit Maßnahmen zur Sicherstellung der Vertraulichkeit gewidmet werden.
Kritik: Gute Lösungsansätze zur rechtlichen Einordnung einer Blockchain unter die DSGVO, Forderung nach AVV und EU-Blockchain kritisch
Zunächst ist der französischen Aufsichtsbehörde ein großes Lob auszusprechen, da sie als erste europäische Aufsichtsbehörde auf die datenschutzrechtlichen Unsicherheiten beim Einsatz von Blockchains zu reagieren und vor allem auch Lösungen vorzuschlagen.
Bei Betrachtung der möglichen Verantwortlichkeit von natürlichen Personen fällt auf, dass die CNIL den Anwendungsbereich von Art. 2 (2) c) DSGVO wohl etwas zu weit interpretiert. Der Europäischen Gerichtshofs hat in seiner ständigen Rechtsprechung (insbesondere in den Rechtssachen Lindqvist, Satamedia und Zeugen Jehovas) betont, dass es darauf ankommt, dass eine Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken vorgenommen wird und das eine Veröffentlichung gegenüber einer unbekannten Anzahl an Personen – wie sie wohl zumindest in öffentlichen Blockchains erfolgt – nicht unter die Haushaltsausnahme fallen kann.
Die Abgrenzung zwischen Verantwortlichen und Auftragsverarbeitung muss gewiss im Einzelfall erfolgen. Miner als Auftragsdienstleister zu qualifizieren wird in der Praxis schwierig (man könnte allerdings über eine AVV in Code sinnieren), zumal man sich auch auf den Standpunkt stellen kann, dass die Miner die Mittel der Verarbeitung selbst festlegen und damit selbst Verantwortliche wären.
Entwickler von Smart Contracts dürfen nur in solchen Fällen als Auftragsverarbeiter qualifiziert werden, in denen sie personenbezogene Daten verarbeiten. Dies ist nicht der Fall, wenn ein Entwickler eines Smart Contracts die Kontrolle über diesen bei der Veröffentlichung abgibt und die betroffenen Daten überhaupt nicht zu Gesicht bekommt, wie praktisch immer in der Praxis.
Dass die CNIL bei öffentlichen Blockchains im Ergebnis eigentlich fordert, dass diese nur innerhalb der EU (EU-Blockchain) sowie in sicheren Drittstaaten (nicht: USA) betrieben werden dürfen, ist eine starke Aussage. Der CNIL ist zwar zuzugestehen, dass selbe eine Einwilligung (Art. 49 (1) 1 a) DSGVO) der Betroffenen nicht zulässig sein wird, da eine solche nach Ansicht der Art.-29-Datenschutzgruppe nur bei gelegentlichen Datentransfers zulässig ist. Allerdings wird man in einzelnen Fällen den Vertrag mit dem Betroffenen so formulieren können, dass der Datentransfer erforderlich ist (Art. 49 (1) 1 b) DSGVO). Wer die personenbezogenen Daten ohnehin off-chain speichert, für den spielt das Thema natürlich nur eine geminderte Rolle.
Hinsichtlich der Lösungsvorschläge zur Umsetzung von Betroffenenrechten ist positiv anzumerken, dass die CNIL in dem Löschen von privaten Schlüsseln eine Annäherung an die DSGVO sieht. Zudem gilt das Recht aus Art. 17 DSGVO nicht absolut. Es ist unter der Beachtung des Verhältnismäßigkeitsprinzips umzusetzen und mit den Rechtsgütern Anderer in Einklang zu bringen. Berücksichtigt werden muss außerdem, dass die Daten meist noch notwendig sein werden im Sinne des Art. 17 (1) a) DSGVO wegen der technischen Besonderheiten von Blockchains.
