Datenschutz in der Produktentwicklung: Blockchain Technologie
Neue Technologien führen natürlich auch immer zu der Frage, wie lauten die rechtlichen Anforderungen dazu, gibt es bereits Gesetze, die zu beachten sind? Oder werden neue Regularien und damit auch Gesetze benötigt? Das gilt auch für Blockchains, die etwa über Kryptowährungen wie Bitcoin gerade Anfang 2018 erhebliche öffentliche Aufmerksamkeit erfahren haben. Vorliegend geht es um die Frage, ob und inwieweit der Datenschutz betroffen ist. Und natürlich geht es um die Datenschutz Grundverordnung der EU.
Zum Datenschutzrecht ist zunächst einmal festzustellen, dass dieses vor einer umfassenden Reform und damit gerade auch Modernisierung steht. Zum 25.05.2018 wird die EU-Datenschutzgrundverordnung vollumfänglich anzuwenden sein. Es handelt sich um ein euriopäisches Gesetz im Range einer EU Verordnung, daher ohne weitere Umsetzung durch die Mitgliedstaaten in Kraft stehend. Einen ersten Überblick gibt unser Beitrag aus Januar (hier).
Die Datenschutzgrundverordnung trägt den Anspruch in sich, technologiefreundlich zu sein und auf Fragen in Bezug auf neue Technologien Antworten geben zu können. Als neues Datenschutzrecht ab Ende Mai 2018 „gilt“ sie daher natürlich auch für Blockchain-Technologien und zwar für bereits bestehende als auch künftige.
Eine Grundnorm, die eine zentrale Anforderung an derartige Technoligen bzw. Produkte darstellt, ist z.B. Art. 24 Abs. 1 DS-GVO. Danach wird von den Verantwortlichen (einer Technologie) gefordert, dass diese „geeignete technische und organisatorische Maßnahmen“ ergreifen, um die Verarbeitung personenbezogener Daten gemäß der Verordnung sicherzustellen.
Art. 25 DS-GVO formuliert u.a. das Prinzip des „privacy by design“, d.h. der Datenschutz soll bereits bei der Entwicklung und Implementierung Eingang in die Produktgestaltung finden. Denkbar wäre etwa, dass personenbezogene Daten gar nicht im Klartext, unverändert oder unverschlüsselt Eingang in das Produkt finden.
Blockchain-Technologien (vgl. Wikipedia) beruhen ganz wesentlich darauf, dass ältere Vorgänge bzw. Transaktionen (etwa im Falle der Kryptowährungen), in der „Kette“ mit abgespeichert sind. U.a. wird daraus auch die Vertrauenswürdigkeit abgeleitet. Diese Gestaltung der Technologie spricht dafür, dass hier eine Vielzahl von Daten „in die Kette eingespeichert“ werden und damit die Fragen des Datenschutzes zu diskutieren sind. Auf die Vorfrage, ob der Datenschutz tatsächlich betroffen ist, soll hier nicht eingegangen werden.
Hierzu wäre sicherlich der Prozess zu durchlaufen, festzustellen, ob personenbezogene Daten vorliegen und verarbeitet werden.
Zurück zur Ausgangsfrage – inwieweit bei der Entwicklung und Gestaltung der Datenschutz Eingang finden kann.
Art. 24 und Art. 25 stellen insoweit Grundanforderungen an das technische und organisatorische Design. Sie fordern vom Anbieter und Entwickler der Technologie, dass bestenfalls personenbezogene Daten gar nicht Eingang finden sollten. dürfen, oder aber nur in reduzierter, nämlich anonymisierter Form, und nur wenn dies unumgänglich ist als pseudonymsierte oder gar tatsächlich als personenbezogenes Datum.
Der Erwägungsgrund 78 formuliert wie folgt:
„Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“
Wir halten also fest: Bereits in der Frühphase der Produktentwicklung und -gestaltung sollte spätestens ab dem 25. Mai 2018 der Datenschutz zwingend Bestandteil des Entwicklungsprozesses sein und eine umfassende Auseinandersetzung mit den verarbeiteten Daten, den damit verbundenen Zwecken und insbesondere den technischen und organisatorischen Maßnahmen erfolgen, um den Datenschutz im Sinne der Verordnung sicherstellen zu können.
Neben dieser inhaltlichen Anforderung sollte sodann auch gleich die formale und rechtliche Anforderung mit in den Blick genommen werden. Diese ergibt sich grundlegend aus Art. 5 der DS-GVO und erfordert eine Dokumentation jenes Auseinandersetzung im Rahmen der Produktentwicklungsphase.
Am Ende muss natürlich auch die Frage beantwortet werden, sollten tatsächlich personenbezogene Daten verarbeitet, auf welcher Rechtsgrundlage erfolgt dies.
Für die Blockchaintechnologie kommen etwa naheliegend in Betracht:
- eine Einwilligung nach Art. 6 lit. a)
- eine vertragliche Lösung nach Art. 6 lit. b)
- eine im Interesse des Betroffenen liegende Abwägung nach Art. 6. lit. f).
Denkbar wäre natürlich auch, dass gesetzliche Rechtfertigungstatbestände greifen könnten (Art. 6 lit. c)). Diese könnten auf künftig noch zu schaffenden gesetzlichen Rechtfertigungen beruhen oder aber auf der Anwendung aktuell bestehender rechtlicher Vorschriften, indem etwa die Blockchain als eine dementsprechende, etwa zeitgemäße, dem Stand der Technik entsprechende Anwendung anzusehen ist.
Das ist eine Wertungsfrage, die natürlich Gerichte zu treffen hätten, sofern Ihnen derartige Fälle zur Entscheidung vorgetragen werden.
Bedeuten all diese Fragestellungen, dass der Datenschutz per se ein Hindernis für den technologischen Fortschritt darstellt?
Das ist beinahe eine philosophische Fragestellung. Ich meine „nein“. Allerdings mahnt der Datenschutz dazu, nicht einfach blindlinks allem technisch machbaren zu folgen, sondern stellt ein zumindest gedankliches Korrektiv dar, dass den Technologieanbieter zu einem Perspektivwechsel zwingt. Diesen bereits in der Planungs- und Entwicklungsphase vorzunehmen ist unter Kostengesichtspunkten effizient und daher sinnvoll. Datenschutzrechtlich Umgestellungen des Produkts am Ende eines Entwicklungszyklusses dürften nur mit deutlich höherem Ressourceaufwand zu berwerkstelligen sein, so dass es auch insoweit ratsam erscheint, den Entwicklungsprozess frühzeitig um die „Hürden“ Datenschutz und IT-Sicherheit zu ergänzen.
Haben Sie Fragen, arbeiten Sie an derartigen Fällen oder Fragestellungen?
Melden Sie sich – telefonisch unter 0221-8888760 – oder per E-Mail oder hinterlassen Sie einen Kommentar.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!