Spring zum Hauptinhalt Spring zum Footer

Trust Layer | 12.07.2021

Blockchain-Notarisierung unter der DSGVO-Lupe

von Dr Jana Moser & Sascha Maschek

Haben Sie schon einmal ein Grundstück erworben oder ein Unternehmen gegründet? Dann wird Ihnen der Begriff "Notarisierung" vielleicht schon begegnet sein. Was aber bedeutet dieser Begriff im Kontext der Blockchain-Technologie? Und welche Verbindung zur DSGVO gibt es hier? Eine Auflösung finden Sie in diesem Hintergrundartikel.

Was ist Notarisierung?

Unter Notarisierung versteht man im allgemeinen Sprachgebrauch die Bestätigung über die Echtheit einer Unterschrift oder die Richtigkeit von Urkunden durch einen Notar. Der Notar fungiert dabei als unabhängige und vertrauenswürdige Instanz, die den Unterschriften und Urkunden durch ihre Bestätigung besondere Beweiskraft verleiht und damit Rechtssicherheit schafft.

Setzt man diesen Begriff nun in einen Blockchain-Kontext, meint man die Verankerung des digitalen Fingerabdrucks eines Datensatzes in einem Blockchain-Netzwerk. Damit kann jeder beliebige Datensatz (etwa ganze Verträge oder einzelne Bilddateien) jederzeit revisionssicher gemacht und jederzeit auf Manipulationsfreiheit überprüft werden. Das Blockchain-Netzwerk übernimmt dabei die Rolle des Notars als unabhängige und vertrauenswürdige Instanz ohne sogenannten „Single Point of Failure“.

Damit wird klar: Der von der analogen Welt geprägte Begriff der „Notarisierung“ wird durch die Blockchain-Technologie auf ein neues Level gehoben.

Funktionsweise

Im Kern der Blockchain-Notarisierung steht das „Hashing“. Damit lässt sich aus einem Datensatz beliebiger Länge, eine alphanummerische Zeichenfolge mit fester Länge (der sogenannte „Hashwert“) ableiten. Dieser Hashwert fungiert fortan als digitaler Fingerabdruck des ursprünglichen Datensatzes. Seine Eignung als Fingerabdruck verdankt der Hashwert seinen grundlegenden Eigenschaften: (i) Aus demselben ursprünglichen Datensatz ergibt sich immer derselbe Hashwert, während ein veränderter Datensatz in der Praxis immer einen anderen Hashwert ergibt, und (ii) mit vertretbarem Aufwand ist es nicht möglich zwei unterschiedliche Datensätze zu finden, die denselben Hashwert ergeben.

Die reine Existenz solcher digitalen Fingerabdrücke gibt allerdings noch keinen Aufschluss über die Integrität eines Datensatzes. Erst in Kombination mit einem Blockchain-Netzwerk lässt sich eine Aussage über die Integrität treffen. Dazu werden die geschaffenen Fingerabdrücke in ein dezentrales Blockchain-Netzwerk (d.h. also eine verteilte Datenbank) geschrieben. Die dezentrale, unveränderbare und cyber-resiliente Natur des entsprechenden Blockchain-Netzwerks (siehe dazu Link) sorgt dafür, dass dieser Fingerabdruck dauerhaft und unveränderbar abgespeichert wird. Er wird – ganz untechnisch ausgedrückt – in Stein gemeißelt.

Der entscheidende Notarisierungsschritt erfolgt nun durch einen simplen Vergleich: Man vergleicht den in das Blockchain-Netzwerk eingespeisten und damit unveränderlichen Hashwert mit dem Hashwert des Ursprungsdatensatzes zu dem Zeitpunkt, zu dem man die Integrität des Datensatzes bestätigen will. Stimmen die beiden Hashwerte überein, ist die Notarisierung perfekt: Der Datensatz ist integer und wurde somit nicht manipuliert. Aufgrund der Transparenz des Blockchain-Netzwerks kann diese Integrität auch zu jeder Zeit gegenüber jedem objektivierbar nachgewiesen werden.

Klingt einfach?

Zur effektiven Notarisierung gehören allerdings mehr als die genannten Prozessschritte. Die Skalierbarkeit des Hashings, Schnittstellen zu bestehenden Systemen, mühsame manuelle Integritätsprüfung sowie teilweise hohe Transaktionskosten bei großen Blockchain-Netzwerken sind nur einige der Herausforderungen, die für eine erfolgreiche Blockchain-Notarisierung gelöst werden müssen.

Unser einzigartiger Trust Layer (der auch der Unterbau der Compliance Cloud ist), unterstützt Sie genau bei diesen Herausforderungen. Mit vorkonfigurierten Schnittstellen, einer 24/7 Integritätsprüfung und unserem Skalierungs-Konzept ebnen wir den Weg zu einer manipulationsfreien Datenzukunft. Und das zu 100% DSGVO-konform.

Aber kommt die DSGVO bei der Blockchain-Notarisierung überhaupt zur Anwendung?

Die Blockchain-Notarisierung beinhaltet grundsätzlich zwei Verarbeitungsschritte: (i) das Hashing (also das Ableiten von Hashwerten) sowie (ii) das Einspeisen dieser Hashwerte in ein Blockchain-Netzwerk.

Nachdem der Verarbeitungsbegriff gemäß Art 4 Z 2 DSGVO weit ausgelegt wird, ist beim ersten Verarbeitungsschritt von einer Datenverarbeitung i.S.d. DSGVO auszugehen, wenn der Ursprungsdatensatz, aus dem der Hashwert abgeleitet wird, personenbezogene Daten beinhaltet. Schließlich wird man den Ursprungsdatensatz aus einer bestehenden Datenbank auslesen müssen, um den Hashwert mit einer Hash-Funktion ableiten zu können1.

Der erste Verarbeitungsvorgang unterliegt damit dem Anwendungsbereich der DSGVO. Nachdem diese Verarbeitung off-chain2 erfolgt, sind damit noch keine datenschutzrechtlichen Probleme verbunden. Schließlich lässt sich durch den datensichernden Charakter dieser Verarbeitung problemlos ein berechtigtes Interesse zur Rechtfertigung dieser Verarbeitung darlegen3.

Spannender ist hier der zweite Verarbeitungsvorgang. Schließlich werden hierbei Hashwerte an ein Blockchain-Netzwerk mit unzähligen Teilnehmern (und damit auch Datenempfängern) übermittelt. Bei diesem Übermittlungsvorgang handelt es sich grundsätzlich um eine Verarbeitung i.S.d. Art 4 Z 2 DSGVO. Durch diesen Vorgang werden Daten offengelegt, gespeichert und verwendet. Allerdings hängt die Anwendbarkeit der DSGVO von dem Personenbezug des Hashwerts ab. Nur wenn der abgeleitete Hashwert als personenbezogenes Datum zu qualifizieren ist, kommt die DSGVO mit voller Wucht zur Anwendung.

Personenbezug der Hashwerte

Hashwerte sind entweder als pseudonymisierte4 oder anonyme bzw. anonymisierte5 Daten zu qualifizieren, weil sie gegenüber dem Empfänger keine personenbezogenen Daten im Klartext offenlegen. Die Grenzziehung ist dabei nicht leicht. Es kommt nämlich auf die tatsächliche technische Ausgestaltung des angewendeten Hashing-Verfahrens an.

Das Vorliegen eines Personenbezugs ist aus der Sicht des jeweiligen Empfängers zu beurteilen6. Es kommt auf die von ihm, nach allgemeinem Ermessen, wahrscheinlich zur Identifizierung genutzten Mittel an. Wenn daher lediglich der Verantwortliche aufgrund der ihm zur Verfügung stehenden Mittel einen Personenbezug herstellen kann, hat das noch keine Auswirkungen für einen Dritten, der nicht über diese Mittel verfügt. Für den Verantwortlichen würde es sich daher um personenbezogene Daten handeln, während es für den Dritten anonyme Daten bleiben würden.

Ein Praxisbeispiel

Ein Beispiel: Sollte ein Unternehmen selbst personenbezogene Daten hashen und in ein Blockchain-Netzwerk einspeisen, dann wären die Hashwerte für dieses Unternehmen jedenfalls personenbezogen. Schließlich kennt es den personenbezogenen Ursprungswert, aus dem sich immer derselbe Hashwert ableiten und mit dem in das Blockchain-Netzwerk eingespeisten Hashwert vergleichen lässt. Stimmen sie überein, ist der Personenbezug hergestellt. Diese Datenverarbeitung wäre daher aus Sicht dieses Unternehmens ein Tatbestand nach der DSGVO. Aufgrund des datensichernden Charakters dieser Verarbeitung ist allerdings auch hier schnell ein Rechtfertigungsgrund gefunden. Sollte sich das Unternehmen eines Dritten bedienen, der die Daten für ihn notarisiert, müsste ein schlichter Auftragsverarbeitungsvertrag (auch bei Software-as-a-Service Lösungen abgeschlossen werden). Eine Datenübermittlung ins Drittland sollte – wenn zwingend notwendig – natürlich nur im Einklang mit Schrems II7 durchgeführt werden. Die einzige Herausforderung, die in diesem Zusammenhang noch bleiben würde, wäre die Umsetzung des Rechts auf Vergessenwerden im unveränderlichen Blockchain-Kontext. Aber dazu kommen wir gleich.

Problematischer wäre es hingegen, wenn dieser Hashwert auch für alle anderen Teilnehmer des Blockchain-Netzwerks (sog. Nodes und Miner) personenbezogen wäre8. Damit der Hashwert für diese Empfänger tatsächlich anonym bleibt, muss der Aufwand für die Herstellung eines Personenbezugs erschwert werden, sodass die Mittel des jeweiligen Empfängers nach allgemeinem Ermessen nicht für die Identifizierung ausreichen. Dazu muss man den Dateninput, aus denen der Hashwert gebildet wird, ausreichend unvorhersehbar gestalten. Sonst könnte man mit simplen Cyber-Attacken (wie zum Beispiel Brute-Force Attacken) den Personenbezug herstellen9.

Um derartige Brute-Force Attacken auszuschließen, müssen unvorhersehbare Zufallswerte beim Hashing hinzugefügt werden. Diese Zufallswerte werden entweder „Salts“ oder „Peppers“ genannt. Der Unterschied: Der Salt wird in derselben Datenbank wie der ursprüngliche Dateninput gespeichert, damit der Hashwert vom Datenbankbetreiber validiert werden kann. „Peppers“ sind hier noch sicherer. Diese Zufallswerte werden getrennt von jener Datenbank aufbewahrt, in der die Ursprungsdaten liegen. Selbst die traditionell strenge Artikel-29-Datenschutzgruppe (nunmehr abgelöst durch den Europäischen Datenschutzausschuss) sieht die Re-Identifizierungsrisiken bei Hashwerten, die Peppers verwenden, als sehr gering an10. Es dürften damit für den Empfänger nach allgemeinem Er-messen keine Mittel zur Verfügung stehen, wonach der Personenbezug herstellbar wäre. Die Hashwerte sind daher für die restlichen Teilnehmer des entsprechenden Blockchain-Netzwerks anonym.

Deshalb setzt unser Trust Layer immer auf die höchsten Hashing-Standards und die Implementierung von Peppers auf der Feldebene von Datensätzen.

Recht auf Vergessenwerden

Anhand des obigen Beispiels wird klar, dass der Hashwert aus Sicht desjenigen, der den personenbezogenen Ursprungsdatensatz kennt, personenbezogen bleibt. Die DSGVO kommt daher für den Verantwortlichen zur Anwendung. Da stellt aber aufgrund des Zwecks der Verarbeitung und des damit verbundenen Interesses des Verantwortlichen kein Problem dar (siehe oben und insbesondere Fußnote 3).

Herausfordernd ist lediglich das Recht auf Löschung bzw. Berichtigung nach der DSGVO und ihre Umsetzung im Blockchain-Umfeld. Das unveränderliche Wesen einer Blockchain macht Löschungen und Veränderungen von Daten unmöglich. Es gibt vereinzelte technische Ansätze, die eine on-chain Löschung theoretisch ermöglichen würden (etwa Chameleon Hashes oder Reverse Transactions). Diese Ansätze müssten jedoch bereits im Quellcode des Blockchain-Netzwerks vorgesehen sein und ein Löschbarkeit von Datensätzen on-chain würden den eigentlichen Zweck einer Blockchain (nämlich ihre Unveränderbarkeit) konterkarieren.

Wir haben daher ein einzigartiges Löschkonzept entwickelt (Patentierung laufend), mit dem die Unveränderlichkeit der Blockchain – bei 100%er DSGVO-Compliance – erhalten bleibt. Wir setzen dabei auf eine off-chain Anonymisierung der Ursprungsdatensätze, wodurch der in einer Blockchain enthaltene Hashwert mit keinem Ursprungsdatensatz mehr verknüpft werden kann und somit seinen Personenbezug verliert.

Über die Autoren

Quellen und Erläuterungen

1 Unter „Auslesen“ wird jede Zurückgewinnung von Informationen von bereits gespeicherten Daten verstanden.

2 Mit einer „off-chain“-Verarbeitung ist eine Verarbeitung ohne Interaktion mit einem Blockchain-Netzwerk gemeint.

3 Der Verarbeitungszweck der IT-Sicherheit ist ein berechtigtes Interesse des Verantwortlichen (siehe dazu ErwGr 49 Verordnung (EU) 2016/679).

4 Pseudonymisierte Daten lassen aufgrund technischer und organisatorischer Maßnahmen und Eigenschaften keinen direkten Personenbezug zu. Um einen solchen herzustellen, bedarf es zusätzlicher Informationen, die gesondert aufbewahrt werden müssen.

5 Anonyme bzw anonymisierte Daten weisen von vornherein keinen Personenbezug auf bzw verunmöglichen die Herstellung des Personenbezugs.

6 Sog. „relative Theorie“, die sich in der Lehre und Rsp (in strengerer Auslegung) gegen die „absolute Theorie“, wonach ein Datum erst anonymisiert ist, wenn von absolut niemanden ein Personenbezug herstellbar ist, durchgesetzt hat.

7 EuGH 16.07.2020, C-311/18 (Facebook Irland und Schrems).

8 Schließlich müssten dann mit allen Teilnehmern entsprechende Art. 26 bzw. Art 28 DSGVO Verträge abgeschlossen werden. Außerdem würde es sich in den meisten Fällen auch um eine Datenübermittlung ins Drittland gem. Art 44 DSGVO handeln.

9 Beispiel: Es wird eine Email-Adresse gehashed. Bei einer Attacke könnte man nun alle auf unserem Planeten möglichen Email-Adressen hashen und so herausfinden, welcher Hashwert zu jenem passt, bei dem man den Ursprungsdatensatz herausfinden will. Stimmen die zwei Hashwerte überein, hat man den Personenbezug hergestellt. Eine solche Brute-Force Attacke wäre heutzutage keine große Herausforderung für ihr Gerät, auf dem sie gerade die-sen Blogpost lesen.

10 Artikel-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken 24f; siehe dazu auch EPRS, PE 634.445 – July 2019 31.

Aktuelles

Verwandte Beiträge