Löschung

< Zurück

Wesentliches Merkmal der Blockchain-Technologie ist, dass die einmal eingefügten Daten unveränderlich festgehalten werden. Diese Unveränderbarkeit konfligiert mit wesentlichen Grundsätzen des Datenschutzrechts, wonach die Speicherung personenbezogener Daten gem. Art. 5 Abs. 1 lit. c DSGVO auf ein notwendiges Minimum zu beschränken ist. Nicht (mehr) benötigte Daten sind deshalb zu löschen. Darauf, dass die sie betreffenden personenbezogenen Daten unverzüglich, also ohne unangemessene Verzögerung, gelöscht werden, hat die betroffene Person insb. gem. Art. 17 Abs. 1 lit. a DSGVO dann ein Recht, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Ein Recht auf Löschung der Daten besteht ebenso gem. Art. 17 Abs. 1 lit. b DSGVO, wenn die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Die datenschutzrechtlich verstandene Löschung meint die Unkenntlichmachung von Daten in einer Weise, dass sie für den Verantwortlichen unlesbar sind. Dazu wie und ob eine solche Löschung umzusetzen ist, werden einige Ansätze vertreten.

(Unbegrenzte) Rechtmäßigkeit der Verarbeitung

Nach einem Ansatz soll das Erbeten um Löschung der personenbezogenen Daten verweigert werden. Dies soll möglich sein, soweit „die Existenz der gesamten Blockchain gefährdet“ würde und deshalb eine vorzunehmende Interessenabwägung zugunsten der verantwortlichen Betreiber ausfalle. In die Interessenabwägung seien insoweit das aus Art. 7 und 8 GR-Charta folgende „Recht auf Vergessenwerden“ einerseits und andererseits jenes aus Art. 16 GR-Charta auf unternehmerische Freiheit einzustellen, wobei Letzteres durchaus überwiegen könne.

Zu einer Interessenabwägung kommt es zumindest dann, wenn einer der Fälle des Art. 17 Abs. 3 DSGVO einschlägig ist (was auf die hier dargestellte Konstellation allerdings nicht zutrifft). Außerdem, wenn das Löschungsverlangen auf dem Widerruf der Einwilligung fußt und die Verarbeitung stattdessen theoretisch auf Art. 6 Abs. 1 lit. f DSGVO als andere Rechtmäßigkeitsbedingung gestützt werden könnte, die eine Interessenabwägung voraussetzt. Oder schließlich, wenn die Verarbeitung dem Grunde nach auf einer gesetzlichen Verpflichtung beruht bzw. zur Vertragserfüllung erforderlich ist, für die (zeitlich) darüberhinausgehende Speicherung von Vornherein aber ausschließlich Art. 6 Abs. 1 lit. f DSGVO als Rechtmäßigkeitsbedingung in Frage kommt.

Wird die Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt, muss der Verantwortliche ein berechtigtes Interesse an dieser Verarbeitung haben und die Interessen der betroffenen Person dürften dieses wiederum nicht überwiegen. Das berechtigte Interesse für die Datenverarbeitung ist grundsätzlich weit zu fassen. Dieser weiten Auslegung wird im Rahmen der Interessenabwägung mit dem einschränkenden Kriterium der Erforderlichkeit begegnet. Hierbei trifft die betroffene Person die Darlegungslast, dass ihre Interessen überwiegen. Abzuwägen ist anhand des Einzelfalls unter Berücksichtigung der konkreten Umstände. Hierbei ist zugunsten der betroffenen Person zunächst zu berücksichtigen, ob die konkrete Form der Datenverarbeitung für sie zuvor erkennbar gewesen ist. Des Weiteren ist in die Interessenabwägung die Schwere des Eingriffs in ihre Rechte einzustellen, wobei es maßgeblich auf die Art der verarbeiteten Daten ankommen dürfte. Für Daten der einzelnen, an der Lieferkette beteiligten Unternehmen, die etwa auf deren jeweiligem Internetauftritt oder in öffentlichen Registern einsehbar sind, ist die Schwere des Eingriffs eher als gering einzustufen. Die potenziell unbegrenzte Dauer der Speicherung hingegen ist, da sie das Recht auf Löschung in Frage stellt, erschwerend zu berücksichtigen. Es muss deshalb ein überragendes Interesse bestehen, welches die Umsetzung der Datenverarbeitung in dieser Form zwingend erforderlich macht. Sind mildere Alternativen, insbesondere durch Gestaltung oder Umsetzung des konkreten technischen Ansatzes im Sinne von Privacy by Design, ersichtlich, wird die Abwägung regelmäßig zulasten des Verantwortlichen zu entscheiden sein.

Nur selten (beispielsweise bei öffentlich einsehbaren Daten) wird das Interesse des Verantwortlichen an der Datenverarbeitung überwiegen. Angesichts der im Folgenden dargestellten milderen Mittel ist aber selbst für diese Daten ein Überwiegen der Interessen wohl in aller Regel nicht anzunehmen. Zu beachten ist auch, dass sofern für einzelne oder alle Daten – etwa durch ein Gericht – ein überwiegendes Interesse des Verantwortlichen verneint wird, nach diesem Ansatz eine Löschung von Daten bei gleichzeitigem Erhalt der Blockchain ausgeschlossen ist.

Verschlüsselung

In Betracht käme es, die Daten in der Blockchain ausschließlich in verschlüsselter Form zu speichern und die zur Entschlüsselung erforderlichen Informationen (sog. „Entschlüsselungskey“) außerhalb der Blockchain, also „off-chain“, zu speichern. Eine Löschung der personenbezogenen Daten könnte dann schon durch die Vernichtung des Entschlüsselungskeys erfolgen, denn vergleichbar mit der Unlesbarkeit eines auf Papier gedruckten, aber übermalten und damit den Anforderungen der Löschung genügenden Datums, genügt auch hier die Unlesbarkeit. Die Herstellung eines Personenbezugs müsste jedoch den Kriterien in EG 26 S. 4 zur DSGVO entsprechend ausgeschlossen sein. Es müsste folglich eine Unumkehrbarkeit gewährleistet werden, die Verschlüsselung also entschlüsselungssicher sein. Ausdrücklich sind demzufolge sowohl bereits verfügbare Technologien, aber ebenso zu erwartende technologische Entwicklungen zu berücksichtigen. Die Verschlüsselung muss damit vor einer Entschlüsselung durch auch zukünftige Technologien schützen. Diese Technologien sind i. R. einer Risikobewertung fortlaufend neu zu berücksichtigen. Die Sicherheit derzeit eingesetzter Verschlüsselungen rührt daher, dass die Entschlüsselung durch herkömmliche Computer zwar möglich, jedoch äußerst langwierig und deshalb für den gängigen Gebrauch impraktikabel ist. Ungeklärt ist, ob dies bei Berücksichtigung des kontinuierlichen Fortschritts im Bereich der Entwicklung von Quantencomputer weiterhin gilt.

Pseudonymisierung

Vergleichbar mit der unter b) erläuterten Alternative ist eine weitere „off-chain“-Lösung denkbar: Ordnet man Daten in der Blockchain anstelle Namen lediglich Pseudonymen zu, und die Pseudonyme lediglich „off-chain“ den Namen, kann statt der Löschung der Daten die Vernichtung der „off-chain“ gespeicherten Zuordnungen erfolgen. Die in der Blockchain gespeicherten Daten sind anschließend zwar nicht aus der Blockchain entfernt, jedoch lediglich einem Pseudonym zuordenbar, das seinerseits aber keine Zuordnung zu einer bestimmten Person erlaubt. Die Daten sind damit dem Grunde nach nicht länger personenbezogen. Zu berücksichtigen sind jedoch auch hier (zukünftige) Technologien, die dazu genutzt werden könnten, aus der Vielzahl einem bestimmten Pseudonym zugeordneter Daten die dahinterstehende Person zu ermitteln. Weiter ist auch zu beachten, dass u. U. zwar einzelne Datensätze gelöscht werden sollen bzw. deren Personenbezug entfallen soll, gleichzeitig aber andere, dem gleichen Pseudonym zugeordnete Datensätze, weiterhin zuordenbar bleiben sollen. Damit dies umgesetzt werden kann, die Identifikation einer bestimmten Person durch Auswertung einer Vielzahl einem Pseudonym zugeordneter Datensätze aber nicht möglich ist, sollten Pseudonyme in regelmäßigen zeitlichen Abständen neu vergeben werden.

Inhalt