Blockchains und Datenschutz – Teil 2: Verantwortlichkeit der Akteure

Written on 5 Mar 2019

Im ersten Beitrag dieser Reihe wurde die Frage nach der grundsätzlichen Anwendbarkeit von datenschutzrechtlichen Vorschriften beim Einsatz von Blockchain-Technologie thematisiert.

Sofern dies im jeweiligen Einzelfall zu bejahen sein sollte, stellt sich in Konsequenz die Frage, welcher der in einer Blockchain beteiligten Akteure zur Einhaltung der jeweils anwendbaren datenschutzrechtlichen Vorschriften verantwortlich ist. Eine datenschutzrechtliche Verantwortlichkeit führt dabei zu diversen in der DSGVO geregelten bußgeldbewehrten Pflichten, insbesondere zur Rechtfertigungsbedürftigkeit der Verarbeitung, Einhaltung der datenschutzrechtlichen Grundsätze, Sicherstellung der Betroffenenrechte usw. Inwiefern den einzelnen Akteuren dabei datenschutzrechtliche Verantwortung zukommt, ist weitestgehend ungeklärt. Bislang existieren nur vereinzelte aufsichtsbehördliche Äußerungen sowie Stimmen in der Literatur.

Im Folgenden soll daher untersucht werden, wie die Beteiligung der einzelnen auf der Blockchain tätigen Akteure datenschutzrechtlich zu bewerten ist. Hierbei sollen unterschiedliche Deutungsalternativen aufgezeigt werden. Wie bereits im ersten Beitrag dieser Reihe soll die folgende Untersuchung am Beispiel des strukturellen Aufbaus der Bitcoin-Blockchain erfolgen.

1. Akteure auf der Blockchain / Grundsätzliche datenschutzrechtliche Klassifizierung

Die Blockchain benötigt eine Vielzahl an Akteuren, damit sie ihrer Funktion als dezentrale Datenbank gerecht wird. Neben demjenigen, der die Blockchain programmiert hat, gibt es die Nutzer der Blockchain, die die Transaktionen veranlassen, diejenigen, die die Blockchain auf dem eigenen Rechner als Node speichern, und die Miner, welche die neuen Blöcke der Kette errechnen und dabei die Transaktionen validieren. Außerdem kann es zwischen die Nutzer und die Blockchain geschaltete Handelsplätze/Geldbörsendienstleister oder bei privaten Blockchains auch Zulassungsstellen geben. Je nach strukturellem Aufbau einer Blockchain können die einzelnen Rollen auch in einer Person zusammenfallen.

Bei der Zuweisung von datenschutzrechtlicher Verantwortlichkeit bei der Zusammenarbeit mehrerer Stellen wird traditionell zwischen zwei Rollen unterschieden: Verantwortlicher und Auftragsverarbeiter.

Datenschutzrechtlich Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei ist die Bestimmung des Zwecks gleichbedeutend mit der Frage nach dem „Warum“ der Verarbeitung und die des Mittels mit der Frage nach dem „Wie“ der Verarbeitung. Demgegenüber sind diejenigen Akteure als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO zu klassifizieren, die nicht über Zwecke und Mittel einer Datenverarbeitung entscheiden, sondern diese im Auftrag eines verantwortlichen Auftraggebers verarbeiten und von Letzterem weisungsabhängig sind. Daher tragen Auftragsverarbeiter (abgesehen von einzelnen, originären Pflichten) keine datenschutzrechtliche Verantwortung.

Dem Datenschutzrecht liegt dabei ein binäres Verständnis zugrunde: Insofern ist eine datenverarbeitende Stelle (in Bezug einen bestimmten Datenverarbeitungsvorgang) entweder als Verantwortlicher oder als Auftragsverarbeiter einzustufen; weitere (unter Umständen sich dazwischen befindende) Rollen sind dem Datenschutzrecht grundsätzlich fremd.

2. (Bekannte) Allokation von datenschutzrechtlicher Verantwortlichkeit angewendet auf die Blockchain / sich im Vortreffen befindliche Sichtweise

Bereits auf den ersten Blick wird klar, dass eine entsprechende Allokation von datenschutzrechtlicher Verantwortung im Rahmen der Blockchain mit erheblichen Schwierigkeiten verbunden ist, da elementarer Bestandteil einer (public) Blockchain nun einmal ist, dass es keine zentrale Stelle gibt, welche die „Fäden in der Hand“ hält und daher prima facie auch als datenschutzrechtlich Verantwortlicher in Frage käme.

Demgegenüber verfügen private Blockchains (im Gegensatz zum Leitbild der Bitcoin-Blockchain) gerade über einen zentralen (technische) Betreiber der Blockchain, der – im Vergleich zu anderen Betreibern von Online-Plattformen – in der Regel als datenschutzrechtlich Verantwortlicher einzustufen sein wird. Private Blockchains sind insbesondere im Bereich der staatlichen Verwaltung (z.B. Grundbuch) oder der sich einen zentralen Zugriff vorbehaltenden Banken denkbar.

Im Falle von public Blockchains, die einen solch zentralen Akteur gerade nicht aufweisen, gestaltet sich die Allokation von datenschutzrechtlicher Verantwortung jedoch deutlich schwerer. Um sich dem Problem schrittweise zu nähern, bieten sich dabei unterschiedliche Betrachtungswinkeln bzw. Deutungsalternativen an. Sofern man eine Blockchain-Transaktion als abgegrenzten Verarbeitungsvorgang ansieht, lässt sich diese zunächst auf Mikro- und Makroebene betrachten und bewerten.

Auf Mikroebene ließe sich eine Transaktion zum einen etwa in einzelne, bilaterale Beziehungen zwischen sämtlichen an der Transaktion beteiligten Akteuren zerlegen. Die so entstehenden Einzelverbindungen bzw. Datenströme könnten sodann dahingehend bewertet werden, ob die jeweils beteiligten Akteure als Verantwortlicher oder Auftragsverarbeiter zu klassifizieren sind. Losgelöst von der Blockchain-Technologie wurde ein solcher Ansatz bereits bei der Bewertung komplexer Verarbeitungskonstrukte unter Beteiligung einer Vielzahl von Akteuren erwogen, in Konsequenz jedoch weitestgehend abgelehnt. So entstünde durch eine solch kleinteilige Betrachtung die Gefahr, dass die Zuweisung datenschutzrechtlicher Verantwortung verwässert werden könnte. Insofern sei als Korrektiv in jedem Fall eine wertende Betrachtung auf Makroebene vorzunehmen (vgl. Art.29-Datenschutzgruppe, WP 169, S. 20 und 27). Auf Makroebene wäre eine Transaktion demgegenüber als „Vorgangsreihe“ einheitlich zu betrachten und daher die Stellung der Akteure als Verantwortliche bzw. Auftragsverarbeiter innerhalb dieser Vorgangsreihe insgesamt zu bewerten.

Kursorisch betrachtet ergibt sich auf der Makroebene dabei folgendes Bild:

2.1 Programmierer

Programmierer der Blockchain sind unabhängig von den vertretenen Einstufungsvarianten wie andere Softwareentwickler nicht als Verantwortliche einzustufen, da sie mit dem Datenverarbeitungsprogramm nur einen Rahmen zur Verfügung stellen und mit der Veröffentlichung des Programmcodes die faktische Bestimmungsmacht aus der Hand geben, weil sie nicht selbst einzelne Verarbeitungen innerhalb dieses Rahmens initiieren oder durchführen und auch keinen Einfluss auf die konkreten Inhalte der Transaktionen haben.

2.2 Nutzer

Die Nutzer von Blockchains, die einzelne, personenbezogene Daten enthaltende Transaktionen entweder selbst per Client zum Zweck deren Validierung in die Blockchain schreiben, werden jedenfalls für die initiale Übermittlung dieser Informationen als datenschutzrechtlich verantwortlich anzusehen sein. So entscheiden sie als Initiatoren über den Zweck sowie den Inhalt der auf der Blockchain abgebildeten Transaktion, also welcher Transaktionsgegenstand von welcher Adresse an welche andere Adresse übermittelt wird. Anders wäre dies lediglich, sofern im Einzelfall die in Art. 2 Abs. 2 lit. c DSGVO verankerte „Haushaltsausnahme“ greift, wonach lediglich durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ausgeführte Datenverarbeitungsaktivitäten nicht dem Anwendungsbereich der DSGVO unterfallen (vgl. etwa Ziffer 2 der Stellungnahme der CNIL, die eine eher extensive Auslegung der Ausnahme befürworten). Um eine weitergehende Verantwortlichkeit für die weitere Verarbeitung der in die Blockchain geschriebenen Informationen zu bejahen, wird den Nutzern jedoch in aller Regel die nötige Möglichkeit zur Einflussnahme fehlen.

Demgegenüber liegt nahe, dass die eine Transaktion empfangenden Nutzer keine Verantwortlichkeit (jedenfalls nicht für die ihnen zugewandten Transaktionen) tragen, da sie zwar an der Blockchain teilnehmen, als bloße Empfänger in aller Regel aber keine Daten in datenschutzrechtlich relevanter Weise, mithin i.S.v. Art. 4 Nr. 2 DSGVO verarbeiten, weil sie die Transaktionsdaten nicht erheben oder anderweitig verarbeiten, sondern diese nur in der Blockchain (bzw. von den Full Nodes) gespeichert werden.

2.3 Miner / Nodes

Enorm wichtig für das Fortleben einer Blockchain sind auch die Miner. Diese sind insofern an der Datenverarbeitung involviert, dass sie, wenn sie ein mathematischen Rätsel zur Findung des passenden Nonce als Erster lösen, den jeweiligen nächsten Block der Kette schreiben und somit die personenbezogenen Daten dem Block hinzufügen dürfen. Aus Makro-Sicht entscheiden sie dabei nicht über den Zweck der Verarbeitung, denn der Inhalt der durch den Block protokollierten Transaktion ist ihnen in der Regel gleichgültig und sie haben daran – abgesehen von den äußerst seltenen Fällen einer 51 %-Attacke durch einen geplanten Zusammenschluss von Minern – keine Möglichkeit zur Einflussnahme.

Insofern stuft etwa die Französische Datenschutzaufsichtsbehörde (CNIL) in einer ersten Einschätzung Miner nicht als Verantwortliche, sondern als Auftragsverarbeiter ein (siehe Ziffern 2 und 4 der Stellungnahme der CNIL auf Englisch). Auch scheint in der Lehre bislang diese Tendenz zu bestehen.

Nach traditionellem datenschutzrechtlichem Verständnis leuchtet dies auf ersten Blick auch ein. So partizipieren Miner zwar an jeder Transaktion, bei der sie sich durch ihre Rechenstärke als Fortschreiber der Blockchain durchsetzen, führen diese jedoch weitestgehend blind und auf Geheiß der transferierenden Nutzer aus, ohne auf den Transaktionszweck Einfluss zu nehmen.

Ebenfalls nur als Auftragsverarbeiter dürften nach der Makro-Betrachtung die auch als (Full-)Nodes bezeichneten Akteure einzustufen sein, die die Blockchain auf ihrem Computer speichern und sich mit den anderen Nodes über den aktuellen Stand der Blockchain austauschen. Sie halten (je nach strukturellem Aufbau der jeweiligen Blockchain) die gesamte Blockchain und damit alle dort gespeicherten personenbezogenen Daten insgesamt oder teilweise vor. Dabei haben sie – vergleichbar mit einem Server-Betreiber – allerdings in der Regel keinen tatsächlichen oder rechtlichen Einfluss auf das „Warum“ und „Wie“ der Verarbeitung und scheiden daher nach dem Makro-Ansatz als Verantwortliche aus.

2.4 Handelsplätze / Wallet-Anbieter

Sollten ferner Handelsplätze oder Wallet-Anbieter auf der Blockchain durch die Nutzer eingebunden werden, etwa indem sie die eigentliche Transaktion für die Nutzer initiieren, muss stets im Einzelfall geprüft werden, ob diese als Verantwortliche oder Auftragsverarbeiter zu klassifizieren sind. Eine gewisse Vergleichbarkeit zu (herkömmlichen) Zahlungsdienstleistern legt dabei nahe, dass solche Anbieter auch im Rahmen der Blockchain zwar in Ausführung der durch den Nutzer ausgelösten Transaktionen, jedoch weitestgehend weisungsfrei und daher eigenverantwortlich agieren. Eine Einschaltung als Auftragsverarbeiter im Einzelfall ist jedoch nicht ausgeschlossen.

2.5 Zwischenüberlegungen / praktische Probleme

Eine Einstufung als Auftragsverarbeiter führt jedoch insbesondere im Falle von Minern und Nodes zu kaum lösbaren praktischen Problemen: So muss zwischen jedem Verantwortlichen und Auftragsverarbeiter gemäß Art. 28 DSGVO stets ein Auftragsverarbeitungsvertrag abgeschlossen werden. Ferner müssen Auftraggeber ihre Auftragnehmer regelmäßig überprüfen. Der Blockchain ist jedoch inhärent, dass sich die Nutzer (als Auftraggeber der Verarbeitung) in der Regel keine Kenntnis davon haben, wer (unter den vielen Minern) als Miner für ihre Transaktion agiert, geschweige denn einen Miner bewusst mit der Durchführung der Transaktion mandatieren. Dies erfolgt vielmehr nach freier Wahl der Miner.

Die Bitcoin-Blockchain hat momentan beispielsweise mehr als 10.000 Nodes und nach Schätzungen mehr als 1.000.000 Miner. Ein Abschluss von Auftragsverarbeitungsverträgen von jedem Nutzer mit all diesen Akteuren, nur um eine einzelne Transaktion vorzunehmen, ist offensichtlich bürokratischer Wahnsinn, selbst wenn eine entsprechende digitale Vertragsschluss-Lösung vorgesehen werden würde. Demgemäß ist eine andere, praktikable Lösung zu finden.

3. Vorschlag: Zweckorientierte und technologiezentrierte Betrachtung

Eine Kategorisierung von Minern und Nodes als Auftragsverarbeiter führt wie aufgezeigt zu in der Praxis kaum lösbaren Problemen. Vor diesem Hintergrund soll vorliegend für eine zweckorientierte und technologiezentrierte Betrachtung bei der Allokation von datenschutzrechtlicher Verantwortlichkeit als neuer Denkansatz plädiert werden.

So ist fraglich, ob eine zwischen Verantwortlichen und Auftragsverarbeitern streng differenzierende Sichtweise der Lebenswirklichkeit der Blockchain-Technologie überhaupt gerecht wird, denn sie zerstückelt ein kompliziertes, aufeinander abgestimmtes und ineinandergreifendes Ökosystem in einzelne Verarbeitungsreihen und Akteure. So wirkt die erzwungene Einstufung von Minern und Nodes als Auftragsverarbeiter innerhalb dieser Verarbeitungsreihen künstlich. Die Miner werden weder bewusst von den Nutzern ausgewählt, noch erfolgt eine Überwachung der Miner seitens der Nutzer. Miner sind insofern mit Bankinstituten vergleichbar, die den Geldtransfer übernehmen. Miner und Nodes sind nicht an einen Nutzer gebunden; vielmehr suchen sich die Miner autark aus, welche Transaktion sie validieren. Insofern könnte sogar argumentiert werden, dass Miner noch weisungsfreier agieren können, als herkömmliche Kreditinstitute bei der Ausführung von Überweisungsaufträgen, wobei allgemein anerkannt ist, dass Kreditinstitute dabei als eigene Verantwortliche tätig werden (vgl. etwa BayLDA).

Ferner ist fraglich, ob eine Einstufung als Auftragsverarbeiter dem eigenen Verständnis bzw. der eigenen Wahrnehmung der Miner im Hinblick auf ihre Funktion entspricht. So wirkt eher fernliegend, dass dort die Vorstellung herrscht, im Auftrag und streng nach Weisung der Nutzer tätig zu werden. Wahrscheinlicher scheint es vielmehr, anzunehmen, dass Miner in erster Linie aus eigenem (wirtschaftlichen) Interesse agieren; am Beispiel der Bitcoin-Blockchain etwa um die infolge der Validierung ausgeschütteten Bitcoins zu erhalten. Zutreffend ist zwar, dass das bloße, wirtschaftliche Interesse an der Durchführung einer Datenverarbeitung grundsätzlich nicht genügt, um eine Stellung als Verantwortlicher zu begründen. Vorliegend tritt jedoch hinzu, dass die Miner aller Erwartung nach nicht in dem Verständnis tätig werden, eine Leistung für die Nutzer zu erbringen, geschweige denn dabei deren Weisungen unterlegen zu sein. Ähnlich, wenn auch wenig akzentuiert verhält es sich bei den Nodes: Sie sind nicht mit klassischen Server-Betreibern vergleichbar, denn sie speichern nicht nur fremde Daten, sondern lassen die Blockchain-Applikation auf ihrem Computer laufen und sind damit elementarer Bestandteil des Peer-to-Peer-Netzwerks sowie der Konsensfunktion der Blockchain. All diese Akteure nehmen mit eigenen Zielen und in vollkommener wirtschaftlicher und tatsächlicher Unabhängigkeit an der Blockchain teil.

Eben auch vor diesem Hintergrund sprechen die besseren Argumente dafür, dass dabei in der Regel keine gemeinsame Verantwortlichkeit (i.S.v. Art. 26 DSGVO) sämtlicher Akteure entsteht. Vielmehr agieren diese autark und selbstbestimmt, ohne an einer gemeinsamen Zweckbestimmung oder -findung zusammenzuwirken. Die bloße Teilnahme an einer solchen Plattform kann nicht dazu führen, dass zwischen sämtlichen Beteiligten eine globale gemeinsame Verantwortlichkeit (in Konsequenz somit auch für den gesamten in der Blockchain gespeicherten Datenbestand) entstünde. Vielmehr ist auf den einzelnen Datenverarbeitungsvorgang, mithin Transaktion abzustellen.

4. Zusammenfassung

Vieles spricht dafür, dass transaktionsausführende Nutzer jedenfalls für die initiale Übermittlung von Informationen an die Blockchain als Verantwortliche einzustufen sind, es sei denn die Verarbeitung erfolgt in Ausübung rein „persönlicher oder familiärer Tätigkeiten“.

Die gegenwärtig wohl herrschende Ansicht stuft Miner und Nodes hingegen als Auftragsverarbeiter ein, was zu erheblichen praktischen Problemen führt. Nach der hier vertretenen Ansicht sind Miner und Nodes vielmehr als eigenständige Akteure anzusehen, die für ihre Datenverarbeitung selbst verantwortlich sind.

Im nächsten Beitrag dieser Reihe soll untersucht werden, welche datenschutzrechtlichen Konsequenzen (insbesondere im Hinblick auf die Rechtfertigung der Datenverarbeitung) eine Klassifizierung von Minern und Nodes als datenschutzrechtlich Verantwortliche mit sich bringt.