Sicher muss es sein! Von Blockchains und Datenschutz


Blockchain und Distributed Ledger-Technologien* (DLT) kommt aktuell ein großes allgemeines Interesse zuteil. Damit rücken sie auch verstärkt in den Anwärterkreis von Technologieplattformen, die für Datenschutz und Datensicherheit neue Perspektiven aufzeigen. DLT bieten dabei große Potenziale für zukünftige Lösungen. In einem neuen Faktenpapier des Bitkom wird der Zusammenhang zwischen Blockchain und Datenschutz näher beleuchtet – GFT hat aktiv an der Erstellung des Papers mitgewirkt.

Blockchain-Systeme verbinden Datenspeicherung, Datenvermittlung und Datensicherung mit neuen Zugangs- und Prüfverfahren – auf diese Weise werden Lösungen geschaffen, die den immer weiter steigenden Anforderungen im Zeitalter der Datenökonomie gerecht werden. Öffentliche Blockchains stehen zurzeit unter kritischer Beobachtung durch Datenschützer. Sie kennzeichnen sich dadurch, dass sie eine für jedermann transparente und nachvollziehbare Speicherung von Datensätzen ermöglichen. Nutzer bewegen sich im rechtlichen Sinne der DS-GVO nicht anonym auf der Blockchain. Bekanntestes Beispiel für eine öffentliche Blockchain: die Bitcoin. Private Blockchains auf der anderen Seite stellen sich aber ebenfalls nicht als Allheilmittel dar. Sie stellen Anwender genauso wie Datenschützer vor nicht minder größere Herausforderungen.

Klar ist: Die Blockchain-Technologie selbst ist für Datenschutz-sensible Anwendungen immer nur so gut wie die darauf aufbauenden Use Cases. Viele Unternehmen halten Blockchain mittlerweile für eine geeignete Technologie, um Lösungen zu bauen, die einem fortschrittlichen und technologiegestützten Datenschutz dienen.

Anwendungsbeispiel: Authentifizierung mittels öffentlicher Blockchain

In Zusammenarbeit mit Auth0 entwickelte GFT eine Authentifizierungslösung auf Blockchain-Basis. Ziel des Authentifizierungsverfahrens ist, dass Ethereum-Nutzer für den Log-in auf Drittanbieter-Webseiten lediglich ihre Ethereum-Adressen nutzen – ganz ohne Eingabe von weiteren für die jeweilige Webseite erforderlichen Benutzernamen oder Passwörtern.

Folgende Anforderungen wurden an das Verfahren gestellt:

  • Die Webseite des Drittanbieters soll das Verfahren unterstützen, d.h. dieser ermöglicht den Zugang für Benutzer auf Basis ihrer Ethereum-Adresse (API-Anbindung ist vorhanden)
  • Das Verfahren muss einfach konzipiert und benutzerfreundlich sein
  • Die Sicherheit des Ethereum-Kontos darf nicht gefährdet werden. Der User muss in der Lage sein, sein Ethereum-Konto für den Log-in zu nutzen, ohne jedes Mal seinen »private key« einzusetzen
  • Im Falle eines Verlustes müssen die Benutzer dazu imstande sein, ihre Zugangsdaten wiederherzustellen
  • Der Benutzer muss kein spezielles Wissen bezüglich Smart Contracts oder dem manuellen Aufruf von Smart Contracts in Ethereum haben
  • Die Nutzung des Verfahrens soll kostenlos sein. Die Benutzer setzen keine Ether ein, wenn sie den Log-in zu Dritt-Webseiten über deren Ethereum-Konto nutzen

Um ein Verfahren zu entwickeln, das all diese Anforderungen erfüllt, werden ein Authentifizierungsserver, eine mobile Applikation und das Ethereum-Netzwerk benötigt. Und so spielen diese drei Komponenten zusammen:

Um Sicherheitsaspekte abzudecken und die Ethereum-Adresse zu schützen, wird eine sogenannte Ethereum-Sub-Adresse (Login-only-Adresse) vom System generiert, welche ausschließlich für den Authentifizierungsprozess benutzt wird. Diese Sub-Adresse wird mit der Ethereum-Hauptadresse durch einen Smart Contract gemappt. Dieser Smart Contract wird in der Ethereum-Blockchain gespeichert und hat folgende Funktionen:

  • Mapping der 2 Ethereum-Adressen: Ethereum-Hauptadresse (the primary address) und Ethereum-Subadresse (login-only)
  • Sicherstellung, dass nur der Besitzer der Hauptadresse das Mapping vornehmen kann
  • Speicherung der Information in der öffentlichen Blockchain
  • Anstoßen von Events, um Veränderungen der im Smart Contract gespeicherten Daten zu überwachen und darauf zu reagieren

Weitergehende Informationen zur Registrierung für das Verfahren und detaillierte Beschreibung des Authentifizierungsprozesses bzw. Login-Prozesses können hier eingesehen werden.

Datenschutz in der Blockchain: öffentlich oder privat?

Wie bereits angedeutet, unterscheiden sich öffentliche und private Blockchains aus datenschutzrechtlicher Sicht – öffentliche Systeme erlauben schlichtweg eine grundsätzliche Sichtbarkeit von Daten auf der Blockchain. Ein Merkmal vieler öffentlicher Blockchain-Systeme ist die transparente Darstellung aller eingespeisten Datensätze. In Verbindung mit der eindeutigen digitalen Referenz (öffentlicher Schlüssel), die einen Teilnehmer kennzeichnet, sind viele dieser Systeme für Nutzer daher nicht anonym. Die Entwicklung neuer Lösungen im Bereich der öffentlichen Blockchains fokussiert sich daher darauf, ein anonymes Agieren in Blockchain-Systemen zuzulassen.

In privaten und konsortialen Blockchains ist die datenschutzrechtliche Perspektive eine andere, weshalb auch andere Ansätze verfolgt werden. Gerade im Bereich von hochsensiblen Daten, etwa im Gesundheitsbereich, können Konzepte aus privaten Blockchains, die unter Sidechains, State Channels, Private Channels oder Off-chain Messaging firmieren, und sensible Daten aus der eigentlich Blockchain herausnehmen, in Kombination mit der anonymen Auditierbarkeit von Metadaten mit Vorbildern in öffentlichen Privacy-by-Design Blockchains, fortschrittliche Lösungen für den technisch gestützten Datenschutz bereitstellen.

Eine Grundeigenschaft von Blockchains ist es, unveränderlich zu sein. Diese Unveränderlichkeit muss aber mit Datenschutzaspekten wie z.B. dem Recht auf Löschung vereinbar sein und technisch im Design der Implementierung des Anwendungsfalles berücksichtigt werden (Privacy by Design).


Ausführliche Informationen finden Sie im Faktenpapier „Blockchain und Datenschutz“, das Ihnen hier zum Download bereitsteht.


* Distributed Ledger ist die Bezeichnung für eine Art von verteilter Datenbank. Die Datenbank ist mehrfach in Kopie lokal bei den Teilnehmern eines Netzwerks, den sogenannten Nodes, gespeichert. Blockchains können als Untergruppe von Distributed Ledger-Systemen verstanden werden. Die Besonderheit von Blockchain-Systemen ist die Speicherung von Datensätzen mittels hash-verketteter Listen.