Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Datenschutz-Folgenabschätzung und Transparenzdefizite der Techniknutzung

Eine Untersuchung am Beispiel der polizeilichen Datenverarbeitungstechnologie

Seit 2018 ist auch für Datenverarbeitungsvorgänge der Polizei nach dem EU-Datenschutzrecht bei hohen Risiken für die Rechte und Freiheiten der Betroffenen eine Datenschutz-Folgenabschätzung (DSFA) vorgeschrieben. Dieser Beitrag untersucht die Möglichkeiten, die diese verbindliche DSFA für eine transparente, grundrechtsschonende und demokratisch kontrollierbare Polizeiarbeit bietet. Er zeigt, dass sich viele Akteure der Innenpolitik und Polizei mit Transparenz schwertun, sodass eine demokratische Kontrolle, die grundrechtsschonendes Polizeihandeln sicherstellen soll, nur eingeschränkt funktioniert. Dem kann durch höhere Transparenzstandards bei der polizeilichen Datenverarbeitung sowie durch eine grundrechtsschonende Technikgestaltung nach dem Grundsatz Privacy by Design entgegengewirkt werden.

Immer mehr prägen „smarte“ Geräte den Alltag. Die darin enthaltenen technischen Anwendungen werden zunehmend vernetzt und tauschen permanent Daten aus. Dementsprechend steigt auch das polizeiliche Interesse an Datenverarbeitungstechnologien. Polizeilicher Technikeinsatz führt oft zu intensiveren Grundrechtseingriffen, wobei insbesondere die Telekommunikationsfreiheit und das Allgemeine Persönlichkeitsrecht in seinen Ausprägungen als Recht auf informationelle Selbstbestimmung und als Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sind. Neue technische Möglichkeiten können zudem erheblichen Einfluss auf gesellschaftliche Verhältnisse und Machtstrukturen haben, z. B. indem sie einseitig Zugang zu Informationen eröffnen. Sie können sich auch auf demokratische Herrschaftsstrukturen auswirken, etwa wenn ihre Ausgestaltung demokratische Kontrolle erschwert. Technische (Überwachungs-)Maßnahmen können einen Einschüchterungseffekt entfalten, wodurch demokratische Partizipationsmöglichkeiten beeinträchtigt werden, z. B. die Wahrnehmung der Versammlungs- und Meinungsfreiheit. Wie sich Technik auf Machtverhältnisse auswirkt, hängt von ihrer konkreten Ausgestaltung ab. So kann Technik auch Freiheiten zur Grundrechtsausübung erweiterten und eine bessere Kontrolle ermöglichen, z. B. durch die Steigerung von Transparenz behördlicher Abläufe.

Dieser Beitrag geht von der Hypothese aus, dass Entwicklung und Nutzung polizeilicher Datenverarbeitungstechnologien – wie etwa international vernetze Datenbanken aber auch Mittel zur Datenerhebung wie Kameras – für die Betroffenen zumeist weitgehend intransparent sind. Die hohe Geschwindigkeit der Technikentwicklung verstärkt solche Transparenzdefizite. Nicht nur für die Bevölkerung, sondern auch für gesetzgebende Parlamentarier*innen und gesetzesanwenden Gerichte ist nur begrenzt nachvollziehbar, wie polizeiliche Technik genau funktioniert und wie sie sich auf den Grundrechtsgebrauch auswirkt. Damit sind Transparenzdefizite polizeilicher Datenverarbeitung auch Teil eines Demokratiedefizits. Demokratische Entscheidungen können gegenüber dem repräsentierten Volk nur auf der Basis ausreichender Informationen verantwortet werden. Transparenz stellt damit ein konstitutives Element demokratischer Entscheidungen dar.

Die Datenschutz-Folgenabschätzung (DSFA) ist im Mai 2018 mit dem 2016 verabschiedeten EU-Datenschutzrecht für die meisten Bereiche durch den unmittelbar geltenden Art. 35 Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) verbindlich geworden. Für den Teil der Polizeiarbeit, der einen Bezug zur Strafverfolgung aufweist, gilt Art. 27 der Richtlinie (EU) 2016/680, in Deutschland u. a. umgesetzt durch §67 des Bundesdatenschutzgesetzes (BDSG). Als prozedurales Begleitelement zwingt die DSFA Unternehmen und Behörden, die Datenschutzfolgen technischer Innovationen und die Auswirkungen auf die Grundrechte Betroffener systematisch in den Blick zu nehmen.

Dieser Beitrag betrachtet die Ursachen und Folgen von (In-)Transparenz polizeilicher Datenverarbeitung aus einer interdisziplinären rechts- und politikwissenschaftlichen Perspektive. Zunächst werden Transparenzdefizite der polizeilichen Techniknutzung betrachtet. Auf dieser Basis wird untersucht, welchen Beitrag die DSFA für die Herstellung von Transparenz des polizeilichen Technikeinsatzes leisten kann. Dabei geht der Beitrag auch der Frage nach, inwieweit die DSFA eine neue Variante der Technikfolgenabschätzung (TA) ist.

Transparenzdefizite polizeilicher IT-Anwendungen

Gesetzliche Regelungen werden oft schon nach kurzer Zeit obsolet, weil neue technische Entwicklungen schwerwiegendere Eingriffsmaßnahmen ermöglichen als zuvor. Die Gesetzgebung tendiert daher zur Schaffung allgemein gehaltener, weitgehend unbestimmter Eingriffsbefugnisse. Diese Tendenz zur Unbestimmtheit von Eingriffsnormen wird noch dadurch verstärkt, dass polizeiliche Eingriffsbefugnisse zunehmend nicht mehr an konkrete Gefahren und Straftaten anknüpfen, sondern Eingriffe bereits in deren Vorfeld legitimieren, z. B. wenn die Polizei bei der Vorbereitung von Einsatzschwerpunkten auf Daten aus dem predictive policing zurückgreift, bei dem aus Kriminalitätsdaten zukünftige Risiken vorausberechnet werden. Durch den Trend zur Analyse großer Datenbestände (Big Data), auch mit Unterstützung künstlicher Intelligenz, dürfte sich die polizeiliche Tätigkeit in Zukunft sogar noch weiter in das Vorfeld von Gefahren und Straftaten verlagern.

Weitgehend ungeregelt und damit intransparent ist die Datenverarbeitung in polizeilichen Vorgangsbearbeitungssystemen, in denen Polizist*innen ihre tägliche Arbeit dokumentieren. Die gesetzlichen Eingriffsbefugnisse knüpfen hier an sehr vage Voraussetzungen an; in der Regel reicht die Erforderlichkeit der Datenverarbeitung für die polizeiliche Aufgabenerfüllung für die Verarbeitung personenbezogener Daten. Empirische Forschungserkenntnisse und konkrete rechtliche Standards zur Nutzung dieser Systeme fehlen. Unbestimmte Eingriffsbefugnisse führen dazu, dass (potenziell) Betroffene nicht ohne Weiteres nachvollziehen können, was genau die Polizei darf. Befugnisse zur verdeckten Datenerhebung, z. B. für Online-Durchsuchungen, im Rahmen verdeckter Observationen oder durch verdeckte Ermittler*innen, verstärken den Trend zu intransparenter polizeilicher Datenerhebung.

Aufgrund dieser Intransparenz ist die polizeiliche Datenverarbeitung nur selten Gegenstand gerichtlicher Kontrolle, zumal die Betroffenen auch nicht über jede Datenverarbeitung informiert werden. Selbst bei offener Datenerhebung, also in Fällen, in denen Daten wie bei einer Ausweiskontrolle so erhoben werden, dass die Erhebung für die Betroffenen erkennbar ist, können diese kaum nachvollziehen, wie ihre Daten in den polizeilichen Systemen verarbeitet werden. Weitgehend intransparent ist z. B. der Datenabgleich, obwohl er oft offen abläuft, mit dem im alltäglichen Polizeidienst geprüft wird, ob zu einer Person Informationen in den polizeilichen Systemen vorliegen. Betroffene können dadurch verunsichert werden, dass für sie in der Regel nicht ersichtlich ist, mit welchen Datenbanken ihre Daten abgeglichen werden, ob ihre Daten gespeichert werden und welche langfristigen Konsequenzen der Abgleich für sie hat. Auch, wenn es rechtlich legitim sein kann, gewisse Informationen mit polizeilichen Datenbanken abzugleichen und diese ggf. auch zurückzuhalten, z. B. zur Eigensicherung der Polizist*innen beim Umgang mit Menschen, die als gewaltbereit bekannt sind, könnten Polizist*innen Betroffenen sehr wohl die Gründe der Kontrolle sowie den abstrakten Ablauf des Datenabgleichs erklären und so Transparenz schaffen, soweit die Einsatzsituation dies zulässt. Allerdings gibt es kaum gesetzliche Vorgaben, die ein transparentes Verfahren eindeutig vorschreiben oder wirkungsvolle und systematische Transparenzmechanismen etablieren. Aus den Verwaltungsverfahrensgesetzen folgen Pflichten zur Begründung von Verwaltungsakten nur, wenn diese schriftlich ergehen (§39 VwVfG), was bei polizeilichen Einsätzen im öffentlichen Raum die Ausnahme ist. Unter Heranziehung von verfassungsrechtlichen Transparenzvorgaben (z. B. BVerfGE 40, 296 (327), Entscheidungen des Bundesverfassungsgerichts) bestehen gleichwohl Aufklärungspflichten, die bisher allerdings nur in wenigen Landesgesetzen und nur bezüglich einzelner Maßnahmen konkretisiert wurden. Ob und ggf. wie intensiv polizeiliche Maßnahmen den Betroffenen erläutert werden, ist bei alltäglichen Einsätzen im öffentlichen Raum daher zumeist den handelnden Beamt*innen überlassen. Die ohnehin aufgrund des staatlichen Gewaltmonopols bestehende überlegende Stellung von Polizist*innen bei Interaktionen mit Bürger*innen wird so erheblich verstärkt. Dies kann im schlimmsten Falle dazu führen, dass Menschen Orte oder Veranstaltungen meiden, wenn sie mit einer Datenverarbeitung rechnen.

Parlamente befassen sich in der Regel nur mit der polizeilichen Datenverarbeitung, wenn größere Investitionen anstehen, die zusätzliche Haushaltsmittel erfordern, oder wenn es in der Anwendung zu gravierenden Defiziten kommt. Behörden entscheiden im Rahmen der verfügbaren Budgets zumeist eigenständig über die Einführung und Ausgestaltung von Datenverarbeitungstechnologien. Parlamente können behördliche Datenverarbeitungsprozesse daher kaum in Gänze überschauen.

Im Ergebnis bestehen somit strukturelle Risiken von Intransparenz gegenüber den vom Technikeinsatz Betroffenen, den Parlamenten und anderen staatlichen Kontrollinstanzen.

Polizeiliche Datenschutz-Folgenabschätzung

Der Ausbau der polizeilichen Informationstechnik kann zu beträchtlichen Risiken für die Privatsphäre der Menschen führen. Aufgrund des großen Umfangs vorhandener Datenbestände und automatisierter Auswertungsmöglichkeiten sind aus polizeilichen Datenbeständen Rückschlüsse auf Personen und ihr Verhalten generierbar, was ein umfassendes Profiling möglich machen kann. Datenbestände werden zunehmend miteinander vernetzt, etwa die Polizei- und Migrationsdatenbanken der Europäischen Union.

Daher hat die Bewertung der Datenschutzqualität bei Auswahlentscheidungen für die Einführung neuer Technologien an Bedeutung gewonnen. Folgerichtig ist die DSFA nun vorgeschrieben, wenn eine Datenverarbeitung, „insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat (§67 Abs. 1 BDSG, Bundesdatenschutzgesetz). Dabei ist auch die Technologiegestaltung zu bewerten. Sie ist ein weiteres rechtsverbindliches Instrument zur Abschätzung von Auswirkungen der Technik, welches in bestimmten Fällen auch gerichtlich eingeklagt werden kann (Nolde 2018, C III, Rn. 1 ff.).

TA und DSFA sind jeweils systematische, prozedurale Instrumente, um frühzeitig die Möglichkeiten, Folgen und Nebenwirkungen von technischen Entwicklungen zu evaluieren, um Risiken rechtzeitig zu erkennen und einmal eingeführte Technik optimal nutzen zu können. Die DSFA soll einer missbräuchlichen Datenmacht, z. B. von großen Konzernen und Sicherheitsbehörden, entgegenwirken. Technik muss so gestaltet werden, dass sie Grundrechte schützt und demokratische Teilhabemöglichkeiten eröffnet. Dazu muss der gesamte Datenverarbeitungsvorgang systematisch mit Blick auf datenschutzrechtliche Risiken begutachtet werden. Risikominimierende Maßnahmen sind zu ergreifen und zu dokumentieren. Die DSFA ist damit eine spezielle Form der TA.

Unzulängliche Vorgaben für die polizeiliche Datenschutz-Folgenabschätzung

Wie eine DSFA in der polizeibehördlichen Praxis abläuft, ist empirisch bisher weitgehend unerforscht. Ausgangspunkt der Überlegungen ist deshalb hier der normative Rahmen, wie er 2016 durch das EU-Datenschutzrecht etabliert wurde. Für die Polizei kann sowohl §35 DSGVO als auch §67 BDSG einschlägig sein, letzterer wenn ein Bezug zu Straftaten besteht, was vielfach der Fall sein wird. Für die Landespolizeien können die Datenschutz- und Polizeigesetze der Länder konkretisierende Regelungen enthalten. Die DSFA wird von den Verantwortlichen, also hier der Polizei, selbst durchgeführt. Eine Beteiligung der zuständigen Landes-Datenschutzbeauftragten oder externer Expert*innen ist möglich, aber nicht vorgeschrieben. Andere Akteure sind nicht zwingend zu beteiligen, anders als nach Art. 35 Abs. 9 DSGVO, wo eine Beteiligungsmöglichkeit der Betroffenen vorgesehen ist. Bezüglich des Verfahrens gibt es keine klaren gesetzlichen Vorgaben. Die Regelungen in §67 Abs. 4 BDSG sind sehr allgemein gehalten; sie beziehen sich abstrakt auf die Verhältnismäßigkeit der Datenverarbeitung und Maßnahmen zum Umgang mit Gefahren für die Betroffenen.

Zunächst ist festzuhalten, dass bei der Einführung neuer datenverarbeitender Geräte und Verfahren zur Gefahrenabwehr und Strafverfolgung im Regelfall ein hohes Risiko für die Privatsphäre Betroffener besteht, so dass eine DSFA erforderlich ist. Dies folgt bereits daraus, dass ein Großteil der personenbezogenen Daten, die für die Polizeiarbeit von Interesse sind, hoch sensible Informationen enthalten, z. B. bezüglich des Verdachts, Straftaten begangen zu haben.

Die DSFA richtet sich nach normativen Kriterien, die aus den Grund- und Menschenrechten und aus den spezielleren Anforderungen der DSGVO und der Datenschutzgesetze folgen. Insofern handelt es sich nicht um eine gänzlich ergebnisoffene TA, sondern um ein rechtlich formalisiertes Verfahren, welches nur datenschutzrechtliche Risiken im Blick hat, obwohl Polizeitechnik auch andere Risiken erzeugen kann, etwa Verletzungsrisiken durch Waffen.

Die polizeiliche DSFA stößt allerdings auf die Schwierigkeit, dass viele Akteure in Innenpolitik und Polizei anscheinend in erster Linie daran interessiert sind, möglichst viele Daten zu verarbeiten, weniger an einer wirksamen Begrenzung und an qualitativ akkuraten Daten. Dabei zielte die Einführung der DSFA gerade darauf, die Datenverarbeitung sowohl effizienter zu gestalten als auch Grundrechtseingriffe möglichst gering zu halten. Zu viele Informationen können dazu führen, dass die polizeiliche Arbeit ineffizient und ineffektiv wird, da die Polizei die Qualitätssicherung für so große Datenmengen kaum bewältigen und daher möglicherweise relevante Daten übersieht oder aufgrund fehlerhafter Daten agiert.

Weil Polizeibehörden in der Regel möglichst viele Daten verarbeiten möchten, sind die Interessen hier anders gelagert als z. B. bei der Umweltverträglichkeitsprüfung, bei der Umweltschutzbelange mit der Verhältnismäßigkeit der Kosten abgewogen werden müssen, die Umweltschutzauflagen für Investoren nach sich ziehen. Zusätzliche technische Eingriffsbefugnisse können die alltägliche Arbeit aus der polizeilichen Perspektive (vermeintlich) deutlich angenehmer und effektiver gestalten. Ein Verzicht auf Transparenz vermeidet zudem lästige Diskussionen mit Betroffenen und der (Fach-)Öffentlichkeit. Auch Dokumentationspflichten sind für Praktiker*innen mit zusätzlichem Aufwand verbunden und können daher als störend empfunden werden. Ferner birgt weniger Kontrolle ein geringeres Sanktionsrisiko für Fehlverhalten, welches neben dienstrechtlichen auch strafrechtliche Konsequenzen haben kann. Insofern ist es kritisch zu sehen, wenn die Polizei der wesentliche Akteur der DSFA ist, da so eine einseitige Herangehensweise zu befürchten ist. Die Umsetzung der EU-Vorgaben sollte in der deutschen Gesetzgebung nachgebessert werden.

Transparenz polizeilicher Datenschutz-Folgenabschätzung und partizipative Ansätze

Aufgrund der komplexen Entscheidungsprozesse über neue Technologien unterliegt deren Bewertung hohen Transparenzanforderungen. Eine angemessene Balance zwischen Sicherheitsbelangen und effektivem Grundrechtsschutz erfordert, dass alle Perspektiven berücksichtigt werden. Daher wird bei der TA eine partizipative Ausrichtung als unverzichtbar eingeschätzt. Die Perspektive der Betroffenen ist essentiell, um die tatsächlichen Auswirkungen der Verarbeitung bestimmen zu können. So kann auch Akzeptanz für neue Technologien geschaffen werden, die allerdings von der Art der Beteiligung, den tatsächlichen Einflussmöglichkeiten und den Interessen der beteiligten Akteure abhängt. Jedenfalls wird der Prozess durch Transparenz und Partizipation demokratischer. Ohne Transparenz kann von der Öffentlichkeit hingegen noch nicht einmal eingeschätzt werden, ob eine DSFA überhaupt durchgeführt wurde oder ob diese sachgerecht war.

Die Komplexität der zunehmend international vernetzten polizeilichen Datenverarbeitung spricht für eine unabhängige DSFA unter Einbeziehung spezialisierter Expert*innen und Nichtregierungsorganisationen. Wie generell bei der TA sind der Entwicklungsstand der Technik, die beteiligten Akteure sowie deren Interessen, der institutionelle Kontext und die bestehenden Gestaltungsspielräume in die Betrachtung einzubeziehen. Gerade bei der polizeilichen Datenverarbeitung kann die Perspektive der vom Technikeinsatz Betroffenen sich grundlegend von den Perspektiven und Interessen der Technikanwender*innen unterscheiden, da es hier oft um die Balance zwischen dem Interesse an möglichst vielen Informationen und dem Grundrechtsschutz geht. In eine partizipative DSFA aus der Betroffenenperspektive könnten auch Interessenvertreter*innen derjenigen Menschen einbezogen werden, die überdurchschnittlich oft von polizeilichen Maßnahmen betroffen sind, z. B. aufgrund ihres Aussehens oder ihrer politischen Betätigung.

Die Einbindung der internen Datenschutzbeauftragten, die eine institutionelle Nähe zu der jeweiligen Behörde aufweisen, reicht nach der hier vertretenen Auffassung nicht, da diese in der Regel nicht hinreichend unabhängig sind. Auch beschränkt sich die Rolle der Datenschutzbeauftragten bei der polizeilichen DSFA auf eine Beteiligung; ein Veto oder andere weitergehende Interventionsrechte sind bisher nicht gesetzlich vorgesehen. Damit fehlt eine effektive externe Beteiligung gerade im polizeilichen Bereich, der durch besonders weitreiche Informationseingriffe geprägt ist. In der deutschen Umsetzung der EU-Vorgaben ist auch nicht geregelt, wer neben der Polizei Zugang zu den Ergebnissen hat.

Das verfassungsrechtliche Transparenzgebot und das Gebot effektiver Umsetzung des EU-Rechts erfordern somit eine ausweitende Auslegung dieser restriktiven Richtlinienumsetzung. Zumindest das Ergebnis der DSFA muss in einer Form veröffentlicht werden, die eine informierte Debatte ermöglicht. Wie detailliert die Veröffentlichung sein muss, hängt u. a. von der Tragweite eventueller Geheimhaltungsinteressen ab. Gänzlich vorenthalten werden kann eine polizeiliche DSFA der Bevölkerung nicht, zumindest an den abstrakten technischen Abläufen wird im Regelfall kein legitimes Geheimhaltungsinteresse bestehen.

Technische Transparenzmechanismen

Die DSFA sollte nicht nur transparent und partizipativ ablaufen, sondern hat zu betrachten, wie datenschutzrechtliche Risiken minimiert und wie Transparenz während der Datenverarbeitung hergestellt werden kann, um unverhältnismäßige Grundrechtseingriffe und Abschreckungseffekte zu vermeiden.

Der Grundsatz Privacy by Design ist ein Schlüsselkonzept zur Verbesserung von Datenschutzstandards und zur Herstellung von Transparenz an der Schnittstelle zwischen Technik und Recht, das auch bei der DSFA eine zentrale Rolle spielt. Dieser Grundsatz besagt, dass die datenschutzkonforme Techniknutzung nicht dem Verhalten der Nutzer*innen überlassen bleiben darf, sondern durch geeignete technische und organisatorische Maßnahmen bereits während der Technikentwicklung sicherzustellen ist. Datenschutzfreundliche Sicherheitstechnologien basieren auf technischen Vorkehrungen, die dazu beitragen, Datenschutzverstöße zu erschweren oder sogar unmöglich zu machen. Videoaufnahmen können z. B. ganz oder teilweise verpixelt, gespeicherte Daten einem automatisierten Löschkonzept unterworfen, Datenverarbeitungssysteme mit technisch mehrfach gesicherten Zugangssystemen versehen werden. Das Datenschutzrecht und die DSFA sollen nicht nur negative Technikfolgen verringern, sondern bereits während der Technikentwicklung sicherstellen, dass Grundrechtseingriffe so milde und transparent wie möglich sind, etwa durch zwingende Voreinstellungen im Benutzungsmenü polizeilicher Geräte. Mobile Geräte können z. B. so ausgestaltet werden, dass ein Zugriff auf Eingriffsmaßnahmen nur dann möglich ist, wenn die jeweiligen Tatbestandsvoraussetzungen erfüllt sind.

Transparenz kann auch durch zu veröffentlichende statistische Auswertungen gefördert werden, indem Verarbeitungsvorgänge ohne Personen- oder Einsatzbezug dokumentiert werden, etwa wie oft Informationseingriffe genutzt wurden und welche Konsequenzen sie hatten. Auch könnten die Betroffenen technisch generierte Nachweise über die Datenverarbeitung erhalten, z. B. über Quick Response (QR) Codes, die den Zugang zu weiteren netzbasierten Informationen über die Praxis der Datenverarbeitung und ihre rechtlichen Begrenzungen eröffnen. Die Polizei sollte ihre Datenverarbeitungspraxis öffentlich gut nachvollziehbar erläutern, etwa auf ihrer Webseite, und damit zugleich die Anforderungen des §55 BDSG erfüllen. Allerdings kann technikbasierte Transparenz die nachvollziehbare Ausgestaltung von Eingriffsmaßnahmen durch Polizist*innen nicht vollständig ersetzen. Professionelle Kommunikation bleibt trotz Digitalisierung eine wesentliche transparenz- und vertrauensbildende Komponente der polizeilichen Arbeit.

Fazit

Dieser Beitrag hat gezeigt, dass die Datenschutz-Folgenabschätzung in Deutschland für den polizeilichen Bereich bislang nur unzulänglich ausgestaltet wurde, ebenso die auf der Richtlinie (EU) 2016/680 basierenden Gesetze.

Die DSFA als rechtlich strukturierte Variante der Technikfolgenabschätzung bietet Chancen, die Nutzung von Informationstechnik durch die Polizei datenschutzfreundlich, grundrechtsschonend, und transparent auszugestalten. Eine solche Transparenz kann nicht nur die Akzeptanz polizeilicher Maßnahmen steigern. Sie kann auch aggregierte Daten produzieren, die Parlamente und (Fach-)Öffentlichkeit nutzen können, wenn sie demokratische Kontrolle über die Polizei als Organ des staatlichen Gewaltmonopols mit weitreichenden Befugnissen ausüben. Allerdings hat der Beitrag auch gezeigt, dass sich die Bereitschaft zur Herstellung von Transparenz im Rahmen der DSFA in Innenpolitik und Polizeipraxis häufig in Grenzen hält. Daher bleibt abzuwarten, inwieweit die EU Deutschland zu Nachbesserungen im Interesse einer effektiven Umsetzung des EU-Datenschutzrechts und des Grundrechtsschutzes für die Bürger*innen zwingt.

Zur einfacheren Lesbarkeit wurden die Verweise entfernt.

Tatup.de; Hartmut Aden, Jan Fährmann; 15.12.2020

https://www.tatup.de/index.php/tatup/article/view/6832/11530

https://creativecommons.org/licenses/by/4.0/

Kategorie: Datenschutz

Blockchain, Smart Contracts und Datenschutz

Risiken und Grenzen Blockchain-basierter Smart Contracts

A. Einführung

2008 wurde unter dem Namen Satoshi Nakamoto das Bitcoin-System beschrieben. Dabei handelt es sich um das erste jedermann zugängliche dezentrale Online-Transaktionssystem. Nachdem in der breiten Öffentlichkeit lange einseitig kriminelle Nutzungspotentiale wahrgenommen und diskutiert worden sind, kursieren um die zugrunde liegende Datenstruktur, die Blockchain, mittlerweile geradezu euphorische Mythen. So wird das disruptive Potential der Blockchain beschworen, auf dessen Realisierung man indes – auch noch knapp zehn Jahre nach Initialisierung der Bitcoin-Blockchain – vergeblich wartet, und wird dabei – in gewisser Ignoranz der technischen Funktionsweise – der falsche Eindruck erweckt, Daten aller Art seien in Blockchains sicherer und effizienter aufzubewahren.

Aus dem Fokus rückt dabei die eigentliche Innovationskraft von Blockchain-Systemen, die schlicht in der Möglichkeit besteht, gemeinsam mit anderen Nutzern eine Datenbank zu pflegen, ohne dass dafür Vertrauen in einen zentralen Intermediär oder der Nutzer untereinander erforderlich ist. Die Möglichkeiten erschöpfen sich dabei nicht in der Vornahme einseitiger Transaktionen. Auf Blockchains lassen sich auch Computerprogramme ausführen, die vertragliche Abreden abbilden können (Smart Contracts). Die Automatisierung des Austauschs von Leistungen durch solche Smart Contracts verspricht die Durchsetzbarkeit von Vereinbarungen auch unter Vertragspartnern, die sich nicht vertrauen – ggfs. sogar nicht kennen.

Dieser Beitrag weist auf tatsächlich bestehende Risiken und Limitierungen Blockchain-basierter Smart Contracts hin und mag zur Beantwortung der Frage beitragen, für welche Anwendungsfälle die Nutzung Blockchainbasierter Smart Contracts sinnvoll ist. Nach einem Überblick über die technischen Grundlagen (siehe unter B.) widmet sich der Beitrag datenschutzrechtlichen und IT‑Sicherheits-bezogenen Risiken (siehe unter C.) und stellt praktische Grenzen der dezentralen Verifikation von Daten dar (siehe unter D.), bevor in einem abschließenden Fazit Kriterien zur Bewertung konkreter Implementierungsvorschläge rekapituliert werden (siehe unter D.).

B. Grundlagen und Anwendungsvorschläge

Blockchain-Systemen wie Bitcoin oder Ethereum liegt eine sog. public, permissionless Blockchain zugrunde. Solche Blockchains sind öffentliche Datenbanken, die ohne Einschaltung einer zentralen Partei durch eine zu einem Peer-to-peer-Netzwerk zusammengeschlossene Nutzergemeinschaft gespeichert und kontrolliert werden. Jedermann kann dem Netzwerk jederzeit bei- oder aus ihm austreten und zur Nutzung des Systems eine beliebige Zahl von Konten generieren, auf die Zuordnungsvorschriften – insbesondere Cryptocoin-Transaktionen – bezogen werden können. Über den Zustand der dezentral – d. h. lokal auf den Rechnern der Nutzer – gespeicherten Blockchain muss die Mehrheit der Nutzergemeinschaft einen Konsens erzielen, wobei die Abstimmung zur Verhinderung von Manipulationen durch spezielle Konsensmechanismen abgesichert wird.

Bei Cryptocoins wie Bitcoin enthält diese dezentrale Datenbank – gleich einem Kontobuch – sämtliche im System vorgenommene Cryptocoin- Transaktionen. Über die bloße Vornahme einfacher Transaktionen hinaus lassen sich jedoch auch komplexere Zuordnungsprozesse auf der Blockchain ausführen. Insbesondere lassen sich – auch im Bitcoin-System – Transaktionen an zusätzliche Bedingungen knüpfen. Das Ethereum-System ermöglicht die Ausführung beliebiger Computerprogramme, die auch zur Abbildung und Durchsetzung vertraglicher Vereinbarungen, also für Blockchain- basierte Smart Contracts genutzt werden können.

Neben dem beschriebenen Modell von public, permissionless Blockchains existieren alternative Modelle. Bei sog. permissioned Blockchains ist der Kreis der schreibberechtigten Nutzer auf einen bestimmten Personenkreis, z. B. Angehörige eines Industriekonsortiums, begrenzt. Ist eine solche Blockchain nicht öffentlich einsehbar, sondern ist auch nur ein begrenzter Personenkreis leseberechtigt, spricht man von einer private Blockchain.

Blockchains weisen spezifische Eigenschaften auf: Bei ihrem Einsatz ist kein Vertrauen in eine zentrale Partei oder die anderen Nutzer erforderlich. Blockchain-Systeme sind durch Vermeidung kritischer Einzelkomponenten widerstandsfähig. Wegen des mit dem dezentralen Konsens verbundenen Aufwands und der Datenstruktur ist die nachträgliche Modifikation eines Großteils der in einer Blockchain enthaltenen Daten impraktikabel aufwändig. Zur Gewährleistung der mehrseitigen Überprüfbarkeit durch die Nutzer sind die Daten in Blockchains transparent. Zwar ermöglichen Zero-Knowledge-Verfahren und homomorphe Verschlüsselung die Implementierung weniger transparenter Blockchain-Systeme, bei denen dennoch die mehrseitige Überprüfbarkeit der Blockchain-Daten erhalten bleibt. Nicht domänenspezifische, universell programmierbare Systeme wie Ethereum so zu gestalten, ist auf Grundlage bekannter kryptographischer Verfahren jedoch bislang nicht gelungen.

Die Anwendungsvorschläge für Blockchain-basiertes Smart Contracting sind zahlreich, beispielhaft herausgegriffen seien die Folgenden:

– Smart Contracts im Bereich des Internets der Dinge (IoT), die den Vertragsabschluss mit autonomen Maschinen ermöglichen. So könne sich ein Mietwagen praktisch selbst vermieten und dabei der Motor erst dann gestartet werden, wenn das Entgelt geleistet worden ist. Ergänzend könne das Fahrzeug mittels eingebauter Sensoren auch Wartungsbedarf anmelden. An den Hersteller könnten wirtschaftliche Überschüsse, an den Staat Steuern abgeführt werden.

– Die Überwachung der Einhaltung insb. regulatorischer Vorgaben in Lieferketten (Supply Chain Transparency). Vorgeschlagen wird z. B., dass die beim Medikamententransport an der Lieferkette Beteiligten die Temperatur der transportierten Medikamente an ein Blockchain-Netzwerk melden und hierdurch einen für die konkrete Lieferkette erstellten Smart Contract ansprechen. Einerseits würden die Messdaten in die unveränderliche Blockchain eingepflegt, andererseits durch den Smart Contract automatisiert darauf geprüft, ob sie den im Smart Contract codierten Vorgaben entsprechen.

– Dezentrale, autonome Organisationen (Decentral Autonomous Organizations = DAOs), bei denen der Erwerb von Anteilen und Abstimmungen über einen Smart Contract ausgeführt werden. Dabei kommt ein Smart Contract zum Einsatz, über den der Erwerb von Anteilen abgewickelt und die Abstimmungen der Mitglieder – etwa über die Verwendung von in dem Smart Contract gebundenen Cryptocoins – organisiert und durchgesetzt werden.

C. Risiken Blockchain-basierten Smart Contractings

Die Ausführung von Smart Contracts auf Blockchains ist mit Risiken insbesondere im Bereich des Datenschutzes (siehe unter I.) und der IT‑Sicherheit (siehe unter II.) verbunden. Daneben gibt es zahlreiche weitere Risiken, die im Weiteren jedoch außen vor bleiben.

I. Datenschutzrisiken

Werden in Blockchains personenbezogene Daten verarbeitet, ist die DSGVO grundlegend einschlägig. In public, permissionless Blockchain-Systemen fungieren Konten als Pseudonyme der Nutzer. Mittels Zusatzinformationen kann ein Konto dem dahinter stehenden Nutzer zuordenbar sein. Mittels spezieller Heuristiken lassen sich mit hoher Wahrscheinlichkeit demselben Nutzer zugeordnete Konten ermitteln, und so kann im äußersten Fall ein vollständiger Überblick über sämtliche diesen Nutzer betreffende Blockchain-Einträge gewonnen werden. Bei der Beteiligung natürlicher Personen an Smart Contracts, beispielsweise an DAOs oder bei der Inanspruchnahme von Leistungen im IoT-Bereich, sind die betreffenden Cryptocoin-Transaktionen und – soweit aus der Blockchain ersichtlich – vertraglichen Abreden potentiell personenbeziehbar.

Datenschutzrechtlich verantwortlich für die Datenverarbeitung in der Blockchain sind die die Blockchain speichernden und fortschreibenden Nutzer, d. h. bei public, permissionless Blockchains eine Gemeinschaft überwiegend Unbekannter. Unter diesen und diesen gegenüber lassen sich datenschutzrechtliche Vorgaben indes nicht durchsetzen, weil die Nutzer weitgehend unbekannt sind und die Inanspruchnahme bloß Einzelner auf die Datenverarbeitung in der Blockchain keinen Einfluss hat. Betroffenenrechte laufen ins Leere.

Speziell der Löschung und Berichtigung von Daten in der Blockchain steht ihre nachträgliche Unveränderbarkeit entgegen. Zwar existieren Vorschläge zur Implementierung nachträglich veränderbarer Blockchains auf Grundlage neuartiger kryptographischer Verfahren. Diese können allerdings nicht als bewährt angesehen werden und gehen mit dem Risiko des Missbrauchs einher.

Auch die Transparenz der von den Nutzern lokal ausgeführten Datenverarbeitungsvorgänge ist nicht gewährleistet. Der Intransparenz der Datenverarbeitungsvorgänge steht die Transparenz der Daten in der Blockchain gegenüber, die im Falle öffentlicher Blockchains den Schutz personenbezogener Daten gefährdet.

Für vorgeschlagene Anwendungsfälle von Smart Contracts im B2B-Bereich – wie insbesondere im Bereich der Lieferketten-Überwachung stellen sich die datenschutzrechtlichen Probleme mangels Personenbezugs indes nicht. Im engen Zusammenhang mit Datenschutzinteressen stehen aber Geheimhaltungsinteressen.

Wegen der Transparenz der Blockchain ist vor der Implementierung Blockchain-basierter Smart Contracts sorgfältig prüfen, welche Informationen in der Folge aus der Blockchain hervorgehen und mit welchen Risiken die Veröffentlichung der Daten verbunden ist. Das Transparenzproblem besteht nicht beim Einsatz von private Blockchains, die nur ein begrenzter Personenkreis einsehen kann.

II. IT‑Sicherheitsrisiken

Auch hinsichtlich der IT‑Sicherheit begegnet Blockchain-basiertes Smart Contracting Bedenken. Das Ethereum-System erlaubt die Ausführung beliebigen, auch angreifbaren Software-Codes auf der Ethereum-Blockchain. Tatsächlich enthält ein signifikanter Anteil der auf der Ethereum-Blockchain ausgeführten Smart Contracts Verweise auf veränderbare Daten oder andere Smart Contracts und funktioniert daher nicht ohne Vertrauen in Dritte wie es das Ethereum-System eigentlich verspricht. Bei einer anderen Analyse der auf der Ethereum-Blockchain ausgeführten Smart Contracts wurden über 40 % als angreifbar identifiziert.

Im Grunde kann selbst die Sicherheit von Bitcoin und anderen Blockchain- Systemen bisher nicht mit an Sicherheit grenzender Wahrscheinlichkeit angenommen werden, auch wenn die genutzten kryptographischen Verfahren für sich genommen als sicher gelten. Der den Systemen zugrunde liegende Open-Source-Code wird aber von einer Vielzahl kundiger Beobachter im Hinblick auf mögliche Fehler ständig überprüft. Für in einer Blockchain gespeicherte Smart Contracts geschieht dies aber, auch soweit deren Code aus der Blockchain ersichtlich oder sonst öffentlich ist, nicht im selben Umfang. Denn angreifbarer Code eines Smart Contracts betrifft unmittelbar nicht die Gesamtheit der Nutzer, sondern nur die beteiligten Nutzer. Für die Nutzergemeinschaft im Übrigen bestehen einerseits weniger Anreize zur Prüfung des Codes. Andererseits lassen sich Fehler bereits in der Blockchain verarbeiteten Codes nachträglich nicht beheben.

In besonderem Maße problematisch sind angreifbare Smart Contracts da, wo bei Inaktivierung des als angreifbar erkannten Smart Contracts den an ihm Beteiligten der Verlust an den Smart Contract gebundener Anteile und Wertverluste drohen oder durch Fehler im Code in ihm gebundene Anteile eingefroren werden. Riskant sind etwa dezentrale autonome Organisationen, die der Bereitstellung von Kapital dienen und dementsprechend im Smart Contract Cryptocoins binden, über deren Verwendung die Mitglieder abstimmen. Realisiert hat sich das Risiko bei der dezentralen Investitionsgesellschaft DAO, bei der ein Mitglied durch Ausnutzung einer Sicherheitslücke des zugrunde liegenden, auf der Ethereum-Blockchain ausgeführten Smart Contracts Ethers im Wert von mehr als 50 Millionen US‑Dollar abziehen konnte. Letztlich hat sich – nach kontroverser Diskussion – die Mehrheit der Nutzergemeinschaft auf Initiative der Entwickler von Ethereum zu einer Änderung der Regeln des Systems entschlossen, die den betroffenen Nutzern die Rückabwicklung des Erwerbs ihrer Anteile ermöglichte. Damit wurde die Blockchain rückwirkend umgeschrieben, was dem Konzept einer unveränderlichen Datenbank gerade widerspricht. Wer Anteile an einer DAO erwirbt, kann nicht darauf vertrauen, dass eine Mehrheit der Nutzergemeinschaft im Falle der Ausnutzung einer Sicherheitslücke eine entsprechende Entscheidung (wieder) trägt, setzt sich also dem Risiko des Totalverlusts aus.

D. Praktische Grenzen der dezentralen Verifikation

Neben den Risiken sollten sich Anwender vor Implementierung eines Smart Contracts in einer Blockchain auch die Limitierungen der dezentralen Verifikation von Daten vergegenwärtigen. Dies führt zu Zweifeln an der Sinnhaftigkeit des Einsatzes von Blockchains auch für solche Anwendungsfälle, für deren Realisierung die oben genannten Risiken hinreichend begrenzt erscheinen.

Die Nutzung von Blockchains wird verbunden mit dem Versprechen valider Daten. Kryptographisch absichern lässt sich jedoch zunächst nur die Validität rein Blockchain-interner Daten. Dies gilt insbesondere für Cryptocoin-Transaktionsdaten. Denn es gelten schlicht nur die Transaktionen als erfolgt, die sich in der Blockchain befinden. Die Daten in der Blockchain können insofern nicht falsch sein. Überall, wo externe Daten in die Blockchain eingespeist werden, die sich der mehrseitigen Überprüfbarkeit durch die Nutzergemeinschaft entziehen, ist die Validität der Daten, auch wenn sie in die Blockchain eingespeist worden sind, nicht abgesichert. Ein entsprechender Blockchain-Eintrag garantiert etwa nicht, dass Waren eine bestimmte Temperatur nicht überschritten haben, wirklich aus einer bestimmten Region stammen, nicht mit Pestiziden behandelt worden sind usw. Denn die Nutzergemeinschaft hat nicht die Möglichkeit zur Validierung solcher Daten. In public, permissionless Blockchains hat der nicht am konkreten Smart Contract beteiligte, und damit der Großteil der Nutzergemeinschaft auch gar kein Interesse an der Validierung.

Sämtliche Anwendungsvorschläge, die auf der Verarbeitung externer Daten in Blockchains beruhen, z. B. im Zusammenhang mit Supply Chain Traceability oder wenn im IoT-Bereich Maschinen Wartungsbedarf melden, nutzen im Kern bloß eine Eigenschaft von Blockchain-Systemen: ihre nachträgliche Unveränderbarkeit. Für solche Daten steht dann praktisch nur fest, dass sie das Blockchain-Netzwerk erreicht haben, in welcher Reihenfolge sie in der Blockchain verarbeitet worden sind und dass sie nicht nachträglich verändert worden sind. Dass die Daten valide sind, also nicht von vornherein manipuliert wurden, ist nicht sichergestellt. Das mangelnde Vertrauen etwa eines Herstellers in die von ihm beauftragten Transportunternehmen oder das mangelnde Vertrauen potentieller Kunden in die Verkehrssicherheit eines Mietfahrzeugs lassen sich nicht durch Nutzung einer Blockchain, sondern allenfalls durch den ergänzenden Einsatz kryptographischer Sensorhardware kompensieren, auf deren Sicherheit indes wiederum vertraut werden muss. Deren Einsatz sehen Anwendungsvorschläge durchaus vor, wobei allerdings das Versprechen einer erhöhten Effizienz der Speicherung der Daten auf der Blockchain im Vergleich zur Nutzung einer zentralen Datenbank unzureichend ökonomisch belegt und wegen der mit der dezentralen Datenhaltung und Abstimmung verbundenen Kosten nicht haltbar erscheint. Nicht nur vor dem Hintergrund der IT‑Sicherheitsrisiken, sondern auch angesichts der Komplexität von Blockchain-Systemen und der Limitierungen des dezentralen Konsenses stellt sich die Frage, inwieweit das Vertrauen in Dritte durch das Vertrauen in Technik sinnvollerweise ersetzt werden kann. Vor allem bei der Beteiligung von Endverbrauchern, aber auch bei der Beteiligung anderer Akteure, denen eigene Sachkunde fehlt, wird das Vertrauen in die Technik über vertrauenswürdige Dritte wie z. B. sich öffentlich äußernde Fachleute oder Hersteller von kryptographischer Hardware vermittelt.

E. Fazit

Die Nutzung Blockchain-basierter Smart Contracts ist – vor allem beim Einsatz von public, permissionless Blockchains – mit Risiken in den Bereichen des Daten- und Geheimnisschutzes sowie der IT‑Sicherheit verbunden. Unter Berücksichtigung dieser Risiken ist daher für jeden möglichen Anwendungsfall zu prüfen, ob die Nutzung einer Blockchain der Implementierung einer etwaig möglichen zentralen Lösung vorzuziehen ist. Das kann sich nur in Fällen ergeben, in denen die beteiligten Akteure sich untereinander nicht (vollständig) vertrauen. Dabei ist zu beachten, dass die Möglichkeiten, Vertrauen der Akteure untereinander durch Vertrauen in Technik zu ersetzen, praktisch begrenzt sind. Vor diesem Hintergrund erscheinen vorgeschlagene Anwendungen vielfach als durch den anhaltenden Hype getrieben und unzureichend durchdacht. Anbieter, die am Markt Vertrauen genießen oder bilden können, laufen bei vorschneller Implementierung eines Smart Contracts, der die in ihn gesetzten Erwartungen nicht erfüllt, Gefahr, dieses Vertrauen zu verspielen.

Zur einfacheren Lesbarkeit wurden die Verweisnoten entfernt.

Paulina Jo Pesch in: Smart Contracts; Hrsg. Martin Fries, Boris P. Paal; 2019

https://library.oapen.org/bitstream/handle/20.500.12657/24858/1005245.pdf?sequence=1&isAllowed=y

https://creativecommons.org/licenses/by-nc-nd/4.0/

Kategorie: Datenschutz
© Swiss Infosec AG 2025