Blockchains werden als Datenbanken der nächsten Generation angepriesen, die versprechen, sichere und effiziente Transaktionen zwischen unbekannten Parteien zu ermöglichen. Einer der Hauptpfeiler der Sicherheit einer Blockchain ist jedoch die Tatsache, dass Personen mit Zugang zur Blockchain den gesamten Verlauf der auf der Blockchain ausgeführten Transaktionen einsehen können – das Ergebnis ist, dass jede Partei die gleiche Möglichkeit hat, die Richtigkeit der gespeicherten Informationen zu überprüfen . Aber wenn alle in der Blockchain gespeicherten Informationen von jedem mit Zugriff auf die Blockchain eingesehen werden können, was passiert dann, wenn diese Informationen nach den kanadischen Datenschutzgesetzen als „personenbezogene Daten“ gelten? Organisationen, die „personenbezogene Daten“ sammeln, verwenden oder offenlegen, unterliegen einer Vielzahl von Compliance-Verpflichtungen, die, wie unten dargelegt, mit bestimmten Blockchain-Grundlagen schwer in Einklang zu bringen sind.
Was sind personenbezogene Daten?
Im Gordon gegen Kanadaerklärte das Bundesgericht, dass personenbezogene Daten Informationen sind, die zur Identifizierung einer Person verwendet werden können, wenn die Informationen die mögliche Identifizierung der Person „erlauben“ oder „führen“, sei es auf der Grundlage dieser Informationen allein oder wenn die Informationen sind kombiniert mit anderen Informationen aus anderen verfügbaren Quellen.1 Dementsprechend kann ein Unternehmen, das Daten lediglich „anonymisiert“ oder „pseudonymisiert“, dennoch den Anforderungen des kanadischen Datenschutzgesetzes unterliegen, da die Möglichkeit besteht, dass solche Daten „neu identifiziert“ werden können. Dies stellt die Entwickler der Blockchain-Infrastruktur und die Unternehmen, die auf der Blockchain-Infrastruktur operieren, vor eine einzigartige Herausforderung, wenn die Metadaten, die notwendigerweise in Blockchain-Transaktionen verwurzelt sind, möglicherweise neu identifizierbar sind. Solche Metadaten können personenbezogene Daten darstellen, wenn sie zeigen, woher Transaktionen gesendet werden, an wen sie gesendet werden (nicht unbedingt der Name des Empfängers, aber die Adresse des Empfängers), wie viel Geld gesendet wurde und zu welcher Zeit.
Nehmen Sie zum Beispiel dezentrale Anwendungen (DApps), die aus Software aufgebaut sind, die auf der Blockchain bereitgestellt wird (z. B. Smart Contracts), die typischerweise dazu bestimmt sind, Geschäftsvorgänge für Unternehmen auszuführen.2 Die Operationen der Smart Contracts, die die Funktionalität der DApps effektiv erleichtern, werden häufig jedem Knoten im Blockchain-Netzwerk als „Bytecode“ öffentlich zugänglich gemacht, der rückentwickelt werden kann, um dieselben Transaktionsinformationen wie Metadaten in Peer-to-Peer offenzulegen Transaktionen.
Was bedeutet es also, wenn solche Daten, die in öffentlichen Blockchain-Netzwerken gespeichert und verarbeitet werden, als personenbezogene Daten gelten? Das Ergebnis ist etwas paradox.
Die Blockchain – Datenschutz-Paradoxon
Aufzeichnungen, die in einer Blockchain veröffentlicht werden, können nicht gelöscht werden, aber die meisten modernen Datenschutzgesetze gewähren Einzelpersonen ein „Recht, vergessen zu werden“. Wie kann eine Einzelperson oder betroffene Person ihr Recht auf Vergessenwerden ausüben, wenn die im Hauptbuch einer Blockchain aufgezeichneten Informationen dauerhaft sind?
Die eigentliche Vertrauensbasis in dezentralen Netzwerken ergibt sich aus der Transparenz des Ledgers. Alle Teilnehmer an öffentlichen Blockchain-Netzwerken vertrauen auf die Unversehrtheit der Informationen, weil sie alle diese Informationen gleichermaßen und in Echtzeit sehen und analysieren können. Aber wenn alle Informationen transparent sind, werden sie für jeden zugänglich und können theoretisch von unbekannten Akteuren für unbekannte Zwecke verwendet werden. Wie kann dementsprechend ein Unternehmen, das die Blockchain-Technologie nutzt, um Transaktionen auszuführen und/oder Informationen zu speichern, die betroffenen Personen angemessen schützen, wenn es darum geht, wie ihre Informationen verwendet oder offengelegt werden können?
Öffentliche Blockchains sind absichtlich dezentralisiert, damit es nicht eine verantwortliche Einheit gibt. Darüber hinaus erstrecken sich die durch öffentliche Blockchains gebildeten Netzwerke oft über Gerichtsbarkeiten und können aus Hunderten, Tausenden oder Millionen von Menschen bestehen, die alle technisch in der Lage sind, Aktualisierungen der Blockchain zu melden (eine Fähigkeit, die der Entscheidungsfindung des Managements ähnelt). Wie kann eine Aufsichtsbehörde unter diesen Umständen Maßnahmen gegen die Unterstützer einer öffentlichen Blockchain durchsetzen, wenn die Verantwortung für Wartung, Verwaltung und laufende Entwicklung auf eine Gemeinschaft nicht verbundener Personen verteilt ist?
Best Practices für die Verwaltung personenbezogener Daten im Blockchain-Kontext
In Kanada wurden keine offiziellen Empfehlungen oder Interpretationen zur Verarbeitung personenbezogener Daten auf öffentlichen oder privaten Blockchains veröffentlicht. Eine breite Auslegung personenbezogener Daten, die nach kanadischem Recht üblich ist, könnte Blockchain-Stakeholder jedoch davon abhalten, personenbezogene Daten in öffentlichen Blockchains zu verarbeiten, da Daten in einer Blockchain für jeden zugänglich sind, der Zugriff auf diese Blockchain hat, und auf alle Knoten verteilt/gespeichert werden im öffentlichen Blockchain-Netzwerk.
Im privaten Blockchain-Kontext ist die Verwaltung individueller Rechte an personenbezogenen Daten möglich, da es benannte und rechenschaftspflichtige Stellen gibt, die die Anzahl der Beteiligten mit Zugriff auf die Blockchain kontrollieren. Unter solchen Umständen können Interessengruppen die Einhaltung von Datenschutzbestimmungen als Mittel zum Zugriff auf die private Blockchain und die damit verbundenen Anwendungen fordern. Stakeholder können auch wegen Verstößen aus dem Netzwerk entfernt werden, und eine ausreichend zentralisierte private Blockchain kann von den Teilnehmern durch Zusammenarbeit überschrieben werden, um auf bestimmte Vorfälle zu reagieren, die die Privatsphäre verletzen.
Die Interessengruppen hinter DApps in öffentlichen oder privaten Blockchain-Kontexten haben auch die Möglichkeit, datenschutzrechtliche Risiken proaktiv zu mindern, indem sie geeignete Datenschutzrichtlinien entwerfen und Best Practices implementieren, die Folgendes beinhalten:
- Kombinieren von On-Chain- und Off-Chain-Daten
Die Blockchain-Anwendung sollte vermeiden, personenbezogene Daten als Nutzlast auf der Blockchain zu speichern (d. h. einschließlich identifizierender Informationen in der Nachricht, die der Zahlung selbst beiliegt), und Blockchain-Transaktionen stattdessen als bloße Hinweise oder als Zugangskontrollmechanismus zu einfacher zu verwaltenden Speicherlösungen dienen lassen -Kette.
- Nutzung datenschutzzentrierter Technologien und kryptografischer Methoden
Zu den Verschlüsselungstechniken, die derzeit von datenschutzzentrierten Ketten verwendet werden, gehören ZK-SNARKS, Ring Confidential Transactions und Mischtechniken, die alle darauf abzielen, die Identität des Absenders oder Empfängers zu verschleiern und/oder es den Teilnehmern zu ermöglichen, die Legitimität der Transaktion zu bestätigen, indem sie dies kryptografisch beweisen sie wissen etwas, ohne die Art und Identität der Informationen preiszugeben.
- Durchführung von Datentransformationen
Andere datenschutzfördernde Verschlüsselungs- und Vernichtungstechniken können verwendet werden, um die Datenschutzrechte einer Person zu schützen, wie z. B. Hashing von Daten oder die Anwendung anderer Datentransformationstechniken auf personenbezogene Daten und Widerruf von Zugriffsrechten auf eine Blockchain-Anwendung (oder eine gesamte Blockchain in einem privaten Blockchain-Netzwerk). . Die kanadischen Aufsichtsbehörden haben sich jedoch nicht damit befasst, ob solche Maßnahmen ausreichen, um die Anforderungen der kanadischen Datenschutzgesetzgebung zu erfüllen.
Organisationen, die die Blockchain-Technologie nutzen, um personenbezogene Daten zu sammeln, zu verwenden oder offenzulegen, müssen darauf achten, informiert zu bleiben und die Anforderungen der kanadischen Datenschutzgesetze einzuhalten.