André Mundo

Lesezeit: 4 Minuten

Techblog

DSGVO und Blockchain – geht das?

IT agiert nie losgelöst von Bestands-Systemen, gesetzlichen Regelungen oder etablierten Abläufen. Auch neue Technologien wie Blockchain, die gerade für verschiedenen Business-Anwendungen validiert werden, müssen sich in diese bestehenden Rahmenbedingungen einordnen. Die Vereinbarkeit zwischen DLT und der Umwelt untersuchen wir für jeden Anwendungsfall unserer Kunden neu. Eine der Rahmenbedingungen, die in den letzten Monaten viele Systeme…

Techblog

IT agiert nie losgelöst von Bestands-Systemen, gesetzlichen Regelungen oder etablierten Abläufen. Auch neue Technologien wie Blockchain, die gerade für verschiedenen Business-Anwendungen validiert werden, müssen sich in diese bestehenden Rahmenbedingungen einordnen.

Die Vereinbarkeit zwischen DLT und der Umwelt untersuchen wir für jeden Anwendungsfall unserer Kunden neu. Eine der Rahmenbedingungen, die in den letzten Monaten viele Systeme betroffen hat, war die DSGVO. Auch in unseren Blockchain-Projekten kam immer häufiger die Frage auf: DSGVO und Blockchain – geht das überhaupt? Oder bekommen wir hier möglicherweise Probleme?

DSGVO führt unter anderem dazu, dass ich als Nutzer das Löschen meiner Daten verlangen kann. Ein Vorteil der Blockchain-Technologie ist aber die revisionssichere Ablage von Informationen. Wie soll das gehen – das widerspricht sich doch! Wird hier der noch jungen Blockchain-Technologie ihre Grenzen aufgezeigt?

Ja es geht und es widerspricht sich nicht – wenn man die Technologie richtig einsetzt!

Drei Blockchain-relevante DSGVO-Artikel

Aber fangen wir von vorne an: Die DSGVO besteht aus 99 Artikeln. Nicht alle Artikel beeinflussen eine Umsetzung in IT und somit Blockchain. Alleine 56 Artikel behandeln Organisation und nichttechnische Rahmenbedingungen.

Von den bleibenden 43 Artikeln drehen sich zehn ganz spezifisch um Implementierungsfragen der Software. Diese zehn Artikel muss ich als Architekt oder Entwickler einer IT-Lösung zwingend bedenken – egal mit welcher Technologie ich eine Software entwickele.

Uns ging es aber ganz speziell um die Blockchain-Technologie und da bleiben lediglich drei Artikel (Artikel 5, 16 und 17) übrig.

Zusammenfassend ergeben sich folgende Anforderungen:

  • Schutz von personenbezogenen Daten (Art. 5)
    – bei Blockchain besonders relevant, da öffentlich
  • Recht auf Berichtigung (Art. 16)
    – unveränderbare Blockstruktur
  • Recht auf Vergessen (Art. 17)
    – unveränderbare Blockstruktur

Bachelorarbeit liefert Lösungsvorschläge

Wie das technisch gelöst werden kann, wird in der Bachelorarbeit „Nutzung von Blockchains unter Berücksichtigung der Privatsphäre nach der DSGVO“ von Maximilian Niemzik beschrieben. Diese hat er bei uns und dem Blockchain Competence Center Mittweida (BCCM) der Hochschule Mittweida erstellt – hier geht’s zum Download. Der Nachweis wird mittels einer entsprechenden Beispielimplementierung angetreten.

Der Lösungsansatz verfolgt das Grundprinzip der indirekten Speicherung von personenbezogenen Daten und der Einbindung durch sogenannte Hashlinks. Die notwendigen Hashs werden mittels zusätzlicher multipler Secrets gebildet. Der Hash-Suchraum vergrößert sich derart, dass dieser maschinell nicht erraten werden kann. Für einen zusätzlichen Schutz des Secret sorgt ein veränderter Merkle-Tree. Ein Merkle Tree (en.wikipedia.org/wiki/Merkle_tree) stellt die Integrität von Daten sicher. Damit erlaubt das Verfahren weiterhin die Verifizierbarkeit und eine speichereffiziente Ablage der Informationen.

Damit wird

  • die Löschpflicht im Umfeld der Blockchain-Lösung umgangen.
  • die Änderungspflicht im Umfeld der Blockchain-Lösung umgangen.
  • der Schutz der Daten erreicht.
  • die Verifikation prinzipiell ermöglicht.

Das ist nur ein Beispiel von vielen, bei dem wir aktuell relevante Technologiefragen, gemeinsam in Bachelor- und Masterarbeiten im Wissenschaftsumfeld, praxisnah erarbeiten. Ziel ist es, fundierte Lösungen für unsere Projekte zu erarbeiten, um auch neue Themen, wie Blockchain, in Thematiken, wie Datenschutz, richtig einzuordnen.

Update April 2019: Die technische Umsetzung der Abschlussarbeit gibt es bei heise developer. Hier geht es zum Artikel.


Über den Autor

André Mundo