Datenschutz bei Anwendung einer Blockchain im Lebensmittelsektor
In der DLT zu speichernde Datenkategorien
Daten aus gesetzlichen Anforderungen an die Rückverfolgbarkeit von Lebensmitteln
Zunächst sind diejenigen Daten zu speichern, die erforderlich sind, um den gesetzlichen Aufzeichnungspflichten aus Art. 18 VO EG 178/2002 und §§ 44 Abs. 3 LFGB zu entsprechen.
Daten zur Qualitätssicherung
Zur Qualitätssicherung ist es erforderlich, dass darüber hinaus noch weitere Daten gespeichert werden. Diese Daten stammen aus zwischen den Verarbeitungsschritten und Transportabschnitten fortwährend durchgeführten Qualitätskontrollen. Die Speicherung der Daten im Blockchain-Verzeichnis ermöglicht zum einen, dass die übrigen Teilnehmer – bspw. die Abnehmer – die Durchführung der Kontrollen und die dabei festgestellten Werte einsehen können. Zum anderen ist eine nachträgliche Änderung der einmal gespeicherten Daten nicht möglich. Bezogen auf die eingangs dargestellte Käseherstellung kann die Milch damit bereits zur Molkerei transportiert werden, mit der Verarbeitung hingegen bis zum Ende der Laboruntersuchung und der folgenden Eintragung der Laborergebnisse in die Blockchain gewartet werden. Die Werte geben Aufschluss über die Zusammensetzung der Milch und evtl. enthaltene Krankheitserreger. Die Laboruntersuchung wird von einem Mitarbeiter durchgeführt, der die gewonnenen Ergebnisse daraufhin in die Blockchain einfügt.
Standortdaten
Des Weiteren könnten Standortdaten unter anderem von Transportfahrzeugen verarbeitet werden. Dadurch (bspw. mittels GPS) ließen sich die Transportwege der Produkte feststellen. Wären diese Daten ebenfalls für den Endverbraucher einsehbar, könnte dieser mittelbar auf die Herkunft und die Nachhaltigkeit des Transports schließen.
Personenbezug zu den verarbeitenden Datenkategorien
Inwieweit das Datenschutzrecht für die Verarbeitung der zuvor genannten Informationen von Relevanz ist, hängt davon ab, ob der Anwendungsbereich der DSGVO in sachlicher Hinsicht eröffnet ist. Hierfür müsste es sich um die Verarbeitung personenbezogener Daten handeln. Dies folgt schon aus Art. 2 Abs. 1 DSGVO. Gem. Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Daten aus gesetzlichen Anforderungen
Die Aufzeichnungspflicht aus Art. 18 VO EG 178/2002 fordert es, Lieferanten- und Kundendaten zu speichern, sodass Angaben zu (Firmen-)Name und Adresse betroffen sind. Soweit es sich bei den Unternehmen ausschließlich um juristische Personen handelt, deren Daten gespeichert werden, ist dies auf den ersten Blick datenschutzrechtlich unbedenklich, da es hierbei grundsätzlich an einem Bezug zu natürlichen Personen mangelt und damit keine personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO vorliegen. Reine Unternehmensdaten unterfallen folglich nicht dem Anwendungsbereich der DSGVO. Enthält die Bezeichnung der juristischen Person jedoch Namen der (natürlichen) Gesellschafter, so weisen die Informationen einen Personenbezug zu einer natürlichen Person auf, soweit sie Rückschlüsse auf die finanziellen oder wirtschaftlichen Verhältnisse eben dieser zulassen. Gleiches gilt für Personengruppen oder Personenmehrheiten, wie etwa Personengesellschaften. Zum Teil wird unter Hinweis auf ErwGr Nr. 14 S. 2 zur DSGVO, der den Namen einer juristischen Person bewusst ausnimmt, gefordert, die Annahme eines Personenbezugs insoweit aber auf Fälle zu beschränken, in denen die Verarbeitung „erkennbar auf die im Firmennamen benannten natürlichen Personen abzielt.“ Will man gleichzeitig die Besonderheiten der „Ein-Mann-GmbH“ sowie den Ausschluss juristischer Personen nach EG 14 berücksichtigen, ist ein Personenbezug nur unter dieser Bedingung anzunehmen.
Besonderheiten ergeben sich jedoch für den Lebensmittelsektor: Von vehementer Relevanz ist hier der Primärsektor (die sog. „Urproduktion“), zu dem etwa landwirtschaftliche Betriebe zählen. Diese firmieren überwiegend nicht als juristische Personen, sondern zu einem weit überwiegenden Teil als Einzelunternehmer. Gleiches gilt für den Tertiärsektor, zu dem der Groß- und Einzelhandel zählt – auch hier sind nicht selten eingetragene Kaufleute anzutreffen. Für deren Daten ergibt sich der Personenbezug entweder bereits aus ihrer Eigenschaft als natürliche Person oder aber jedenfalls dadurch, dass unternehmensbezogene Daten notwendigerweise auf sie als einzige dahinterstehende Person bezogen werden können, beispielsweise über die Bezeichnung oder Anschrift eines landwirtschaftlichen Betriebs oder Lebensmittelhandels. Ganz ähnliche Erwägungen müssen für den Logistiksektor angestellt werden, denn auch hier kommt es nicht selten vor, dass beispielsweise kleine Spediteure als Ein-Mann-Betriebe unter ihrem eigenen Namen firmieren. Im Gegensatz zu juristischen Personen lassen die Informationen in diesen Fällen typischerweise Rückschlüsse auf die hinter dem Unternehmen stehenden natürlichen Personen zu.
Standortdaten und Daten aus der Qualitätskontrolle
Sobald Standortdaten einer natürlichen Person zugeordnet werden können, weisen sie einen Personenbezug auf. Bei ihnen findet die DSGVO grundsätzlich Anwendung. Werden die Standortdaten unter dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) ohne Verknüpfung zu einer konkreten Person – etwa dem Kraftfahrer – gespeichert, weisen sie jedoch keinen Bezug zu einer bereits identifizierten natürlichen Person auf. Allerdings könnte die Person durch Verknüpfung dieser Daten mit weiteren Informationen aus einem Dienst- oder Einsatzplan identifizierbar sein.
Selbiges gilt für Daten aus der Qualitätskontrolle, z.B. bei Lebensmittelkontrolleuren. Wird die Durchführung der Kontrolle bzw. Daten aus der Kontrolle in der Blockchain gespeichert, kann ein Interesse bestehen, diese Daten einem konkreten Kontrolleur zuordnen zu können. Mit Blick auf den Grundsatz der Datenminimierung sollte jedoch auch hier auf die Nennung des Klarnamens des Kontrolleurs in der Blockchain verzichtet werden. Stattdessen ist die jeweilige Kontrolle einer Kennung zuzuordnen, die ihrerseits dann lediglich über eine Liste außerhalb der Blockchain einem Klarnamen zugeordnet werden kann. Aus dem personenbezogenen Qualitätskontrolldatum wird dadurch ein gem. Art. 4 Nr. 5 DSGVO pseudonymisiertes, also ein solches Datum, das ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann. Bei Rückgriff auf die Zuordnungsregel besteht allerdings keine Anonymisierung, wodurch der Personenbezug der Daten nicht aufgelöst wird und der sachliche Anwendungsbereich der DSGVO weiterhin eröffnet bleibt.
Der Zugriff aller an der Blockchain Beteiligten beschränkt sich zunächst auf die in ihr gespeicherten Standortdaten und Qualitätskontrolldaten sowie Kennungen der Kontrolleure. Zur Identifizierung bedarf es im Regelfall weiterer Mittel. Nach EG 26 S. 3 zur DSGVO sollen i. R. d. Beurteilung der Identifizierbarkeit alle solche Mittel berücksichtigt werden, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich zur Identifizierung genutzt werden. EG 26 S. 4 zur DSGVO konkretisiert, dass für diese Beurteilung alle objektiven Faktoren zu berücksichtigen sind, wozu etwa Kosten, Zeitaufwand und die verfügbare Technologie zählen. Betrachtet man vorliegend die Informationen, derer es für die Zuordnung bedarf, so befinden diese sich in der Hand desjenigen, der die Fahrer bzw. Kontrolleure beschäftigt. Für denjenigen ist die Person mithin ohne Weiteres identifizierbar. Zu klären gilt es, inwieweit dessen Wissen bei der Beurteilung der Identifizierbarkeit für die übrigen Teilnehmer maßgeblich ist:
- Relativer Ansatz: Nach einem relativen Ansatz sollen allein die individuellen Möglichkeiten des Verantwortlichen von Relevanz sein, Wissen Dritter ist nicht zu berücksichtigen.
- Absoluter Ansatz: Nach dem absoluten Ansatz genügt bereits die Möglichkeit der Identifizierung durch einen beliebigen Dritten, um das Bestehen eines Personenbezugs anzunehmen. Einzig wenn völlig ausgeschlossen ist, dass der Verantwortliche von diesem Wissen Kenntnis erlangt, soll der Personenbezug nicht vorliegen. Auf die Möglichkeit oder gar die Nutzung des Zusatzwissens abzustellen, würde den Personenbezug ins Belieben des Verantwortlichen stellen. Insoweit kann zwar auf die ausdrückliche Einbeziehung von „Mitteln […] anderer Personen“ (EG 26 S. 2) verwiesen werden, diese sollen aber nur Berücksichtigung finden, wenn sie nach „allgemeinem Ermessen wahrscheinlich“ (EG 26 S. 3) genutzt werden. Rückgriffe auf das Wissen Dritter sollen also nur beschränkt möglich sein.
- Vermittelnder Ansatz: Eine vermittelnde Ansicht stellt dabei auf die Möglichkeiten des Verantwortlichen ab: Sein Wissen soll um solches Dritter ergänzt werden, das er sich verschaffen könnte und dies bei verständiger Betrachtung der Umstände wahrscheinlich auch tun wird.
Der EuGH orientiert sich bei der Beantwortung dieser Frage (noch bei Geltung der alten Rechtslage) an der vermittelnden Ansicht und lässt es für die Annahme eines Personenbezugs ausreichen, wenn der verarbeitenden Stelle ein rechtliches Mittel zur Verfügung steht, um die Informationen des Dritten in Erfahrung zu bringen. Genügen soll demnach, wenn er mittelbar über eine dritte Stelle Zugriff nehmen kann, wie in jenem Fall über die Strafverfolgungsbehörde. Diese Rechtsprechung erweist sich als auf die neue Rechtslage nach der DSGVO übertragbar.
Dem EuGH zur alten Rechtslage folgend ist demnach maßgeblich, ob der Verantwortliche insbesondere über rechtliche Möglichkeiten verfügt, an die zusätzlichen Informationen zu gelangen, und inwiefern die Inanspruchnahme dieser Möglichkeiten wahrscheinlich ist. Ein lediglich über die Kennnummer oder Standortdaten Verfügender könnte Strafanzeige (in Frage käme bei durch fehlerhafte Lebensmittel eingetretene Schäden etwa fahrlässige Körperverletzung gem. § 229 StGB, sowie Körperverletzung gem. § 223 StGB oder Sachbeschädigung gem. § 303 StGB) erstatten, sofern er etwa meint, durch das Handeln eines Kontrolleurs oder Spediteurs sei ein Schaden an der Ware entstanden oder eine Verunreinigung erfolgt, die sich nachteilig auf die Gesundheit eines Verbrauchers ausgewirkt hat. Unabhängig von einer tatsächlich strafrechtlich relevanten Handlung könnte er diese Vorgehensweise wählen, um ebenso einen zivilrechtlichen Schadensersatzanspruch durchzusetzen. Die Strafverfolgungsbehörde könnte in einem entsprechenden Ermittlungsverfahren die zusätzlichen Informationen entweder zur Identifizierung nach den §§ 94, 95 StPO beschlagnahmen, oder aber weitere Mitarbeiter nach § 161a StPO zu diesen befragen. Das Ermittlungsverfahren ermöglicht also Datenverarbeitern die Verknüpfung von Standortdaten oder Kennungen mit weiteren Informationen, die zur Identifizierung der betroffenen Person erforderlich sind.
Folglich bestehen rechtliche Instrumente, welche einen Rückgriff auf die Informationen Dritter zulassen und so einen Personenbezug von Standort- und Qualitätskontrolldaten begründen können. Somit liegt für die Standortdaten wie auch für die Qualitätskontrolldaten der Personenbezug nicht lediglich für den Teilnehmer, der die jeweiligen Mitarbeiter beschäftigt, sondern ebenso für jeden beliebigen, an der Blockchain beteiligten Dritten, vor.
Rechtmäßigkeit der Verarbeitung
Ist nun der sachliche Anwendungsbereich der DSGVO eröffnet, bestimmt Art. 6 Abs. 1 DSGVO als Verbotsprinzip mit Erlaubnisvorbehalt, dass die Verarbeitung von personenbezogenen Daten nur rechtmäßig ist, wenn einer der in der Norm enumerativ aufgeführten Erlaubnistatbestände erfüllt ist.
Art. 6 Abs. 1 lit. c DSGVO: Soweit ein Unternehmen Daten von dem in der Versorgungskette jeweils vor- oder nachgelagerten Unternehmen speichert, um den Aufzeichnungspflichten für eine Rückverfolgbarkeit nachzukommen, folgt diese Pflicht unmittelbar aus der VO EG Nr. 178/2002 und dem LFGB, sodass eine Legitimation gem. Art. 6 Abs. 1 lit. c, Abs. 3 DSGVO in Betracht kommt. Bei EU-Verordnungen und Bundesrecht, wie vorliegend, handelt es sich um Unionsrecht bzw. Recht der Mitgliedstaaten nach Art. 6 Abs. 3 S. 1 lit. a bzw. b DSGVO. Mit Blick auf das mit den Vorschriften verfolgte Ziel der Rückverfolgbarkeit zur Erreichung eines hohen Schutzniveaus der Verbraucherinteressen und Gesundheit, ist die Speicherung der gesetzlich geforderten aufzuzeichnenden Daten auch verhältnismäßig. Insoweit ist die Datenverarbeitung nach Art. 6 Abs. 1 lit. c DSGVO zulässig.
Art. 6 Abs. 1 lit. b DSGVO: Soweit Daten zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich sind, die Verarbeitung der Daten also in einem engen Sachzusammenhang zum Vertragszweck steht, kann die Verarbeitung auch auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Lieferanten- und Kundendaten sind ohne Weiteres zur Vertragserfüllung und -abwicklung erforderlich und somit nach Art. 6 Abs. 1 lit. b DSGVO zulässig.
Art. 6 Abs. 1 lit. a DSGVO: Wenn jedoch weitere Unternehmen personenbezogene Daten in ihrem Blockchain-Verzeichnis ablegen und einsehen können, wenngleich sie (noch) keine Produkte von diesem Unternehmen beziehen oder an dieses liefern, so stellt dies weder eine gesetzlich geforderte, noch zur Erfüllung eines Vertrags erforderliche Verarbeitung dar. Auch eine Verarbeitung zur Durchführung einer vorvertraglichen Maßnahme i. S. d. Art. 6 Abs. 1 lit. b DSGVO scheidet aus, da sich eine solche auf ein bestimmtes Vertragsverhältnis beziehen und die Initiative zur Verarbeitung wegen einer vorvertraglichen Maßnahme von der betroffenen Person ausgehen muss. In solchen Konstellationen wird folglich eine wirksame Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO erforderlich sein.
Bestimmung des Verantwortlichen
Den Verantwortlichen trifft gem. Art. 5 Abs. 2 DSGVO die Rechenschaftspflicht (sog. Accountability-Prinzip) für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze des Datenschutzrechts. Definiert ist der Verantwortliche in Art. 4 Nr. 7 DSGVO als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Anders als bei einer klassischen Datenbank fehlt in einer Blockchain, also einem dezentralen Netzwerk, eine zentrale Instanz, die über die Verarbeitung entscheidet. Stattdessen ist eine Vielzahl von Stellen beteiligt, die sowohl Daten einbringen, als auch speichern und damit verarbeiten. Es besteht somit die Frage nach dem Verantwortlichen in der dezentralisierten Blockchain.
Absender
Grundsätzlich gilt der Absender einer Information als Verantwortlicher. Dies ist folgerichtig, da ihm die Entscheidung obliegt, ob, warum und wofür ein Datum verarbeitet wird. Damit entscheidet er über die Zwecke und, indem er sich des der Blockchain zugrundeliegenden Algorithmus bedient, über die Mittel der Verarbeitung.
Gemeinsame Verantwortlichkeit
Meist beruht ein Blockchain-Netzwerk und die einzelnen Verarbeitungsvorgänge auf der Mitwirkung einer Vielzahl von Personen. Neben demjenigen, der eine Information einbringt, müssen zunächst weitere Teilnehmer die Information verarbeiten. Erst anschließend wird sie den Verzeichnissen der Blockchain hinzugefügt. Wegen der Vielzahl der Beteiligten könnte deshalb auch eine gemeinsame Verantwortlichkeit (sog. „joint controllership“, Art. 26 DSGVO) angenommen werden. Eine solche wird aber zum Teil mit dem Hinweis auf regelmäßig fehlende Absprachen und mangelnden Einfluss auf die Verarbeitung anderer Beteiligter in der Blockchain grundsätzlich abgelehnt. Lediglich, wenn „gezielte, gemeinsam[e] Entscheidungen über die Verwendung der Blockchain zu einem konkreten Datenverarbeitungszweck“ getroffen werden, soll eine gemeinsame Verantwortlichkeit gegeben sein.
Teilweise wird vertreten, dass die bloße „Mitursächlichkeit für einen Datenstrom“ nicht genüge, und das Ziel der Datenverarbeitung sowie die dafür eingesetzten Mittel einheitlich bestimmt werden müssten. In Ermangelung dessen fehle es demnach bei den Teilnehmern einer Blockchain regelmäßig an einer gemeinsamen Verantwortlichkeit. Dagegen wird angeführt, dass nicht ein einzelner Teilnehmer über die Verarbeitung entscheide, sondern jeder Teilnehmer zu gleichen Teilen an der Verarbeitung der Daten beteiligt sei, weshalb grundsätzlich die gemeinsame Verantwortlichkeit aller Beteiligten anzunehmen sei. Aufgrund des Wortlauts des Art. 26 Abs. 1 S. 1 DSGVO, der eine gemeinsame Zweck- und Mittelfestlegung voraussetzt, um eine gemeinsame Verantwortlichkeit zu begründen, ist richtigerweise der Ansicht zu folgen, welche vertritt, dass nicht grundsätzlich jede Hilfeleistung der anderen Beteiligten bei der Verarbeitung eine gemeinsame Verantwortlichkeit begründen kann.
Eine Besonderheit der Nutzung einer Blockchain im Lebensmittelsektor ergibt sich daraus, dass ihre Anwendung nicht allein der Durchsetzung einzelner Individualinteressen verhelfen soll. Die Verarbeitung dient vorliegend vielmehr dem gemeinsamen Zweck der Absicherung der gesamten Versorgungskette. Hierzu bedienen sich die Beteiligten des Netzwerks, indem sie selbst Daten einbringen, aber auch indem sie solche der anderen Teilnehmer weiterverarbeiten. Die Bestimmung hinsichtlich der Zwecke der Verarbeitung erfolgt durch Beitritt deshalb zumindest konkludent. Wegen den qualifizierten gemeinsamen Zwecken, zu deren Erreichung sich die Teilnehmer der Blockchain bedienen, begründet das Zusammenwirken eine gemeinsame Verantwortlichkeit. Zum Schutze der Betroffenenrechte ist es erforderlich, dass die Verantwortlichen im Rahmen einer transparenten und nachvollziehbaren Vereinbarung ihre Verantwortlichkeiten bestimmen.
Löschung
Wesentliches Merkmal der Blockchain-Technologie ist, dass die einmal eingefügten Daten unveränderlich festgehalten werden. Diese Unveränderbarkeit konfligiert mit wesentlichen Grundsätzen des Datenschutzrechts, wonach die Speicherung personenbezogener Daten gem. Art. 5 Abs. 1 lit. c DSGVO auf ein notwendiges Minimum zu beschränken ist. Nicht (mehr) benötigte Daten sind deshalb zu löschen. Darauf, dass die sie betreffenden personenbezogenen Daten unverzüglich, also ohne unangemessene Verzögerung, gelöscht werden, hat die betroffene Person insb. gem. Art. 17 Abs. 1 lit. a DSGVO dann ein Recht, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Ein Recht auf Löschung der Daten besteht ebenso gem. Art. 17 Abs. 1 lit. b DSGVO, wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Die datenschutzrechtlich verstandene Löschung meint die Unkenntlichmachung von Daten in einer Weise, dass sie für den Verantwortlichen unlesbar sind. Dazu wie und ob eine solche Löschung umzusetzen ist, werden einige Ansätze vertreten.
(Unbegrenzte) Rechtmäßigkeit der Verarbeitung
Nach einem Ansatz soll das Erbeten um Löschung der personenbezogenen Daten verweigert werden. Dies soll möglich sein, soweit „die Existenz der gesamten Blockchain gefährdet“ würde und deshalb eine vorzunehmende Interessenabwägung zugunsten der verantwortlichen Betreiber ausfalle. In die Interessenabwägung seien insoweit das aus Art. 7 und 8 GR-Charta folgende „Recht auf Vergessenwerden“ einerseits und andererseits jenes aus Art. 16 GR-Charta auf unternehmerische Freiheit einzustellen, wobei Letzteres durchaus überwiegen könne.
Zu einer Interessenabwägung kommt es zumindest dann, wenn einer der Fälle des Art. 17 Abs. 3 DSGVO einschlägig ist (was auf die hier dargestellte Konstellation allerdings nicht zutrifft). Außerdem, wenn das Löschungsverlangen auf dem Widerruf der Einwilligung fußt und die Verarbeitung stattdessen theoretisch auf Art. 6 Abs. 1 lit. f DSGVO als andere Rechtmäßigkeitsbedingung gestützt werden könnte, die eine Interessenabwägung voraussetzt. Oder schließlich, wenn die Verarbeitung dem Grunde nach auf einer gesetzlichen Verpflichtung beruht bzw. zur Vertragserfüllung erforderlich ist, für die (zeitlich) darüberhinausgehende Speicherung von Vornherein aber ausschließlich Art. 6 Abs. 1 lit. f DSGVO als Rechtmäßigkeitsbedingung in Frage kommt.
Wird die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt, muss der Verantwortliche ein berechtigtes Interesse an dieser Verarbeitung haben und die Interessen der betroffenen Person dürften dieses wiederum nicht überwiegen. Das berechtigte Interesse für die Datenverarbeitung ist grundsätzlich weit zu fassen. Dieser weiten Auslegung wird im Rahmen der Interessenabwägung mit dem einschränkenden Kriterium der Erforderlichkeit begegnet. Hierbei trifft die betroffene Person die Darlegungslast, dass ihre Interessen überwiegen. Abzuwägen ist anhand des Einzelfalls unter Berücksichtigung der konkreten Umstände. Hierbei ist zugunsten der betroffenen Person zunächst zu berücksichtigen, ob die konkrete Form der Datenverarbeitung für sie zuvor erkennbar gewesen ist. Des Weiteren ist in die Interessenabwägung die Schwere des Eingriffs in ihre Rechte einzustellen, wobei es maßgeblich auf die Art der verarbeiteten Daten ankommen dürfte. Für Daten der einzelnen, an der Lieferkette beteiligten Unternehmen, die etwa auf deren jeweiligem Internetauftritt oder in öffentlichen Registern einsehbar sind, ist die Schwere des Eingriffs eher als gering einzustufen. Die potenziell unbegrenzte Dauer der Speicherung hingegen ist, da sie das Recht auf Löschung in Frage stellt, erschwerend zu berücksichtigen. Es muss deshalb ein überragendes Interesse bestehen, welches die Umsetzung der Datenverarbeitung in dieser Form zwingend erforderlich macht. Sind mildere Alternativen, insbesondere durch Gestaltung oder Umsetzung des konkreten technischen Ansatzes im Sinne von Privacy by Design, ersichtlich, wird die Abwägung regelmäßig zulasten des Verantwortlichen zu entscheiden sein.
Nur selten (beispielsweise bei öffentlich einsehbaren Daten) wird das Interesse des Verantwortlichen an der Datenverarbeitung überwiegen. Angesichts der im Folgenden dargestellten milderen Mittel ist aber selbst für diese Daten ein Überwiegen der Interessen wohl in aller Regel nicht anzunehmen. Zu beachten ist auch, dass sofern für einzelne oder alle Daten – etwa durch ein Gericht – ein überwiegendes Interesse des Verantwortlichen verneint wird, nach diesem Ansatz eine Löschung von Daten bei gleichzeitigem Erhalt der Blockchain ausgeschlossen ist.
Verschlüsselung
In Betracht käme es, die Daten in der Blockchain ausschließlich in verschlüsselter Form zu speichern und die zur Entschlüsselung erforderlichen Informationen (sog. „Entschlüsselungskey“) außerhalb der Blockchain, also „off-chain“, zu speichern. Eine Löschung der personenbezogenen Daten könnte dann schon durch die Vernichtung des Entschlüsselungskeys erfolgen, denn vergleichbar mit der Unlesbarkeit eines auf Papier gedruckten, aber übermalten und damit den Anforderungen der Löschung genügenden Datums, genügt auch hier die Unlesbarkeit. Die Herstellung eines Personenbezugs müsste jedoch den Kriterien in EG 26 S. 4 zur DSGVO entsprechend ausgeschlossen sein. Es müsste folglich eine Unumkehrbarkeit gewährleistet werden, die Verschlüsselung also entschlüsselungssicher sein. Ausdrücklich sind demzufolge sowohl bereits verfügbare Technologien, aber ebenso zu erwartende technologische Entwicklungen zu berücksichtigen. Die Verschlüsselung muss damit vor einer Entschlüsselung durch auch zukünftige Technologien schützen. Diese Technologien sind i. R. einer Risikobewertung fortlaufend neu zu berücksichtigen. Die Sicherheit derzeit eingesetzter Verschlüsselungen rührt daher, dass die Entschlüsselung durch herkömmliche Computer zwar möglich, jedoch äußerst langwierig und deshalb für den gängigen Gebrauch impraktikabel ist. Ungeklärt ist, ob dies bei Berücksichtigung des kontinuierlichen Fortschritts im Bereich der Entwicklung von Quantencomputer weiterhin gilt.
Pseudonymisierung
Vergleichbar mit der unter b) erläuterten Alternative ist eine weitere „off-chain“-Lösung denkbar: Ordnet man Daten in der Blockchain anstelle Namen lediglich Pseudonymen zu, und die Pseudonyme lediglich „off-chain“ den Namen, kann statt der Löschung der Daten die Vernichtung der „off-chain“ gespeicherten Zuordnungen erfolgen. Die in der Blockchain gespeicherten Daten sind anschließend zwar nicht aus der Blockchain entfernt, jedoch lediglich einem Pseudonym zuordenbar, das seinerseits aber keine Zuordnung zu einer bestimmten Person erlaubt. Die Daten sind damit dem Grunde nach nicht länger personenbezogen. Zu berücksichtigen sind jedoch auch hier (zukünftige) Technologien, die dazu genutzt werden könnten, aus der Vielzahl einem bestimmten Pseudonym zugeordneter Daten die dahinterstehende Person zu ermitteln. Weiter ist auch zu beachten, dass u. U. zwar einzelne Datensätze gelöscht werden sollen bzw. deren Personenbezug entfallen soll, gleichzeitig aber andere, dem gleichen Pseudonym zugeordnete Datensätze, weiterhin zuordenbar bleiben sollen. Damit dies umgesetzt werden kann, die Identifikation einer bestimmten Person durch Auswertung einer Vielzahl einem Pseudonym zugeordneter Datensätze aber nicht möglich ist, sollten Pseudonyme in regelmäßigen zeitlichen Abständen neu vergeben werden.
Anwendungsbeispiele von Smart Contracts
Smart Contracts können in vielen verschiedenen Bereichen eingesetzt werden. Denkbar ist z.B., eine Ernteausfallversicherung in einen Smart Contract zu programmieren. Tritt der Versicherungsfall ein, würde automatisch die Versicherungsleistung erbracht werden. Auch können Smart Contracts zur Optimierung einer Lieferkette eingesetzt werden. So könnte der Smart Contract, sobald es des Nachschubs bedarf, diesen eigenständig ordern. Eine „manuelle“ Abwicklung des Vertrags wäre nicht mehr erforderlich.
Unterscheidung zwischen Vertrag und Smart Contract
Ein Smart Contract ist kein Vertrag an sich, sondern nur das diesen darstellende Programm. Für den Fall, dass der Inhalt des Vertrags und des Smart Contract voneinander abweichen, ist daher nur der Vertrag rechtlich bindend. Wurde der Vertrag nicht in die Blockchain als Smart Contract implementiert, ist der Vertrag trotzdem wirksam. Dies ist nur dann nicht der Fall, wenn die Implementierung Bedingung für die Wirksamkeit der Willenserklärung i. S d. § 158 Abs. 1 BGB ist oder eine „Blockchainform“ nach § 125 S. 2 BGB vereinbart wurde.
Vertragsschluss mittels Smart Contract
Mittels eines Smart Contract können automatisch Verträge geschlossen werden (siehe hierzu Anwendungsbeispiele). Bezüglich der Formvorschriften gibt es dabei allerdings Probleme, da bislang lediglich die Textform (§ 126b BGB) oder eine nach § 125 S. 2 BGB vereinbarte Form, die das Anfügen einer Erklärung als Block an die Blockchain voraussetzt, eingehalten werden kann. Rechtsgeschäfte, die strengere Formvoraussetzungen haben (z.B. Bürgschaftserklärungen, § 766 S. 1 oder Grundstückskaufverträge, § 311b Abs. 1 S. 1 BGB), können daher nicht allein mittels eines Smart Contract wirksam vorgenommen werden.
Mitbestimmungsrecht des Betriebsrates beim Einsatz von Smart Contracts
Beim Einsatz von Smart Contracts ist zu beachten, dass in vielen Fällen die Zustimmung des Betriebsrates erforderlich ist. So erklärt § 87 Abs. 1 Nr. 6 BetrVG dies für notwendig, wenn technische Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, eingeführt und angewendet werden sollen. Das Bundesarbeitsgericht hält die Zustimmung des Betriebsrates überdies für erforderlich, wenn die technische Einrichtung nicht notwendigerweise dazu bestimmt, aber geeignet ist, dies zu tun. Davon betroffen ist z.B. die Optimierung von Lieferketten. Da in der Blockchain der Zeitpunkt erfasst würde, ab dem es des Nachschubs bedarf, wäre ein Rückschluss auf das Arbeitstempo und damit die Leistung eines Arbeitnehmers möglich.
