Ist die Blockchain mit der DSGVO vereinbar?
 

Hallo!

Ich bin bei einer Projektplanung auf eine interessante Fragestellung gestoßen: Ist die Blockchain qua Design überhaupt mit den Vorschriften der DSGVO vereinbar? Speziell geht es um den Passus des Löschanspruchs. Eine Person kann von einem Datenverarbeiter verlangen, dass personenbezogene Daten nach Vertragsende gelöscht werden, sofern dem nicht gesetzliche Anforderungen entgegen stehen (z.B. Aufbewahrungspflichten im Belegwesen).

Angenommen, jemand käme auf die Idee, Logdaten als Blockchain zu speichern. In den Logdaten könnten auch personenbezogene Daten enthalten sein. Die Logdaten sind jedoch nicht aufbewahrungspflichtig, daher bei Vertragsende zu löschen. Die Blockchain ist aber nicht so konstruiert, mittendrin Elemente zu löschen. Das Grundprinzip ist eigentlich das genaue Gegenteil: Unbegrenzte Nachvollziehbarkeit der gesamten Ereigniskette.

Daher stellt sich doch die Frage, ob die Blockchain-Technik im Geltungsbereich der DSGVO nicht perse als inkompaible Technik anzusehen wäre. Denn es gibt kaum eine scharfe Abgrenzung, was personenbezogene Daten sind, was keine personenbezogenen Daten sind und in wieweit Pseudonomisierung im konkreten Fall auszulegen wäre.

Eure Meinung?

Grüße
Cody

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Wenn man der Meinung ist personenbezogene Daten in den Blockchain zu schreiben klar. In diesen Fall würde es für jede Technologie gelten die per Design keine Löschung zulässt.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Interessante Frage!
Ich schätze die DSGVO wird uns allen noch viel Freude bereiten, zumindest in Europa. Anderswo wird das vielleicht keinen interessieren.
Blockchain: ich weiß sowieso nicht genau, was ich von einer Technology halten soll, die mit Hilfe der jeweils neuesten und besten CPU und GPU nach "Herzenslust" alle greifbaren Energieströme verbrennt.
Vielleicht erstmal intel und amd aktien kaufen.
;)

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Intel profitiert am wenigsten von der Blockchain-Manie. Dann eher AMD, aufgrund ihres ATI-Anteils. Aber vermutlich macht man am meisten Kohle mit nVidia, wenn man glaubt, daß die Blockchain alles voran treibt. Ein Glaube, den ich nicht teile.

Sherlock

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

[OT]
Habe erst diese Woche einen Bericht gehört das BC unser bisheriges Leben, unsere Regierungen, unsere Zukunft komplett umstellen wird.

Das schliesst an die Diskussion hier an: Mit der offenen Frage wie denn genau :stupid:

Noch ist mir keine echt sinnvolle Anwendung bekannt, und die Nachrichten plappern Alles nur hirnlos nach.

Es ist aber definitiv ein Hype, denn zig Bücher, Seminare, Konferenzen, etc. ... dann muss es ja toll sein.
[/OT]

Rollo

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Das ist eher ein Praxisproblem. Es ist oft vorgekommen, dass an sich nicht offenkundig personenbezogene Daten nachträglich doch als solche erkannt wurden (Beispiel EuGH-Urteil zu IP-Adressen als personenbezogenes Datum).

Blockchain <> Bitcoin! Ich bin überrascht dass das sogar hier anscheinend noch in einen Topf geworfen wird:

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

M.E. basiert Bitcoin auf Blockchain Technik. Aber vielleicht werfe ich da auch was durcheinander.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Daten die ummittelbar einer Person zugeordnet werden können sind als personenbezogen zu betrachten, entscheidend ist da der Aufwand dazu. Der lässt sich natürlich schwer einschätzen und obliegt den Wandel der Zeit, ähnlich wie Verschlüsselungen. Was heute sicher ist muss morgen nicht mehr sicher sein.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Die DSGVO gilt nur für personenbezogene Daten, solange in einer konkreten Blockchain also keine personenbezogene Daten (uU auch IP-Adressen) gespeichert sind, kein Problem.

Sonst: Nein.

https://www.cloudcomputing-insider.d...-hat-a-669776/
https://www2.deloitte.com/dl/de/page...hutzrecht.html

Zur DSGVO gibt es noch keine praktische Erfahrung zur Umsetzung, daher sind da noch Anpassungen bzw Interpretationen zu erwarten. Wie zB kann man nachweisen, dass die Daten einer Person nicht mehr im System sind? Geht ja gar nicht, nur weil ich sie nicht finde, heißt das ja nicht, dass sie nicht mehr da sind. Wie lösche ich Daten von WORMs?

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Genau das ist das Problem mit der DSGVO. Das entwickelt sich zur Innovationsbremse aufgrund "umfassender Ungewissheit".

Selektiv? Bohrmaschine. Global? Shredder. Wieder so ein Beispiel dafür, dass beabsichtigter Zweck neuer "Digitalgesetze" und die tatsächlichen Auswirkungen weit auseinander gehen.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Ein neues WORM kaufen, die Daten durch einen Filter umkopieren, den alten WORM vor Augen eines staatlichen Augenzeugen restlos zerstören, und am Ende auch das neue WORM wegwerfen, da die Daten nun kompromitiert sind.

Oder vor das WORM in der Firmware einen Lesefilter und dann auf's WORM speichern "das darf nicht mehr gelesen werden" und schon ist es "rechtlich" weg?
Das dann noch alles mit Bewegungs-/Lichtsensoren in eine Panzerkasette und bei Öffnungsversuch die atomare Selbstzerstörung auslösen.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Klingt nach einer optimalen Vorgehensweise für deutsche Behörden :lol:

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Ich habe auch schon einen Namen für diese Technik: WORNOUT (Write Once Read Never On Unqualified Targets). :-D

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Hallo,
eine Ergänzung. So weit ich weiß,

Daten die unmittelbar einer natürlichen Person zugeordnet werden können

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Juristerei hat weniger mit logischem Denken zu tun als mit der Güte des Frühstücks vom urteilenden Richter.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Schon richtig. Aber Blockchains generell sind bei weitem nicht auf die Nutzung für eine digitale Währung beschränkt. Und nicht alle Ansätze sind gleichermaßen auf CPU/GPUs ausgelegt, und nicht alle Ansätze erfordern den mittlerweile sehr hohen Aufwand bei Bitcoin. Man hat das durchaus schon als Problem wahrgenommen, und es gibt derzeit unüberschaubar viele Projekte, die versuchen Blockchains zu erstellen die eine bessere Balance haben.
Es gibt sogar schon eine Variante, die statt "proof of work" "proof of space" benutzt. Man braucht also statt Tonnen an Rechenleistung ein paar Lagerhallen voller Festplatten :stupid:. Was sich nachher durchsetzen wird ist derzeit noch ziemlich unklar. Aber die Technologie "Blockchain" an und für sich ist nicht automatisch oder konzeptionell mit dem GPU-Problem gleichzusetzen. Dies tun eigentlich meist nur "gamer kiddos", die traurig sind sich die neusten Grafikkarten nicht mehr leisten zu können, und mal gehört haben, dass Bitcoin schuld sei, und das wäre ja Blockchain, und warum sich dann noch mehr informieren bevor man seinen Frust der Welt kund tut - der Täter ist ja gefasst...

Sorry, aber solche Kommentare lösen bei mir mittlerweile erzürnten Sarkasmus aus. Dabei bin ich nichtmals ein großer Fan oder Verfechter. Ich finde es nur immer schade, wenn Ideen mit Potenzial durch Geunke unreflektierter Social-Media-Polemik Jahre bevor sie eine adäquate Reife erreicht haben in Verruf geraten.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Eine besonders stark vereinfachte Blockchain: Ein einfacher MD5-Hash, der aus dem Value gebildet wird in der ersten Zeile bzw. aus dem Value einer Zeile plus angehängtem Hash der vorhergehenden Zeile. So kannst du die Plausibilität die ganze Kette hinauf bis zum Wurzelelement prüfen. Dafür brauchst nicht viel Rechenleistung. Und es hat nichts mit Digitalwährung zu tun.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

..wenn ich BlockChain richtig verstanden habe,
dann müssen die nachfolgenden Hashe bestimmte Bedingungen erfüllen (z.B. bestimmte Anzahl aufeinanderfolgender Ziffern).
Diese Bedingungen zu erfüllen erfodert die Rechenleistung.

Grüße
Klaus

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

"proof of double work space" (CPU, GPU, RAM und HDD)

Das ist eine der möglichen Bedingungen, aber sie ist nicht nötig, damit es eine Blockchain ist.

Das ist nur dafür da, um die Rechenleistung künstlich hochzuschrauben.


https://de.wikipedia.org/wiki/Blockchain ... siehe der erste Satz, also einfach den Namen übersetzen.

Und auch wenn die aktuell gehypten Implementierungen dezentral arbeiten, so ist das auch kein Muß.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Gut ich versuch es mal sachlich. Dass Blockchain != Bitcoin ist, ist sicher den meisten bekannt. Dennoch steht Bitcoin im Ergebnis für viele Probleme der Blockchain, z.B. auch im Sinne der Eingangsfrage und dem Datenschutz. Ich habe auch nirgends behauptet, dass es für nichts anderes gut ist. Dass Björk und andere Musiker so ihre Werke verkaufen wollen, ohne Musikindustrie, dass Stromverträge usw. damit geschlossen werden können, dass eigentlich alles denkbar ist, was in normalen DB abläuft,ist sicher den meisten hier bekannt und mir als Datenbankfreund auch.
Alle diese Dinge sind momentan in Entwicklung und Bitcoin ist offenbar ein gutes Beispiel, wie man es nicht machen sollte. Wenn in Irland mehr Strom für Mining als andere Dinge verbraucht wird, ist das nicht nur ein Konstruktionsfehler, sondern offenbar einer, der sich prinzipbedingt nicht einfach beheben lässt. Den grundsätzlichen Ressourcenhunger durch Änderung der Ressource zu verschieben, zeigt ja schon, dass es offenbar an der Stelle gerade klemmt.

Und nochmal zur Eingangsfrage: ein prinzipiell nicht änderbares System der Datenhaltung finde ich im Sinne des Datenschutzes nicht erstrebenswert. Die im Thread aufgeworfene verträglichkeit zwischen Gesetze und Blockchain ist halt aus dem Leben gegriffen, kein Vorwurf an Blockchain oder umgekehrt. Ich denke, da muss noch viel dran gearbeitet werden, auch wenn mir Stromverträge ohne Stromriesen sehr sympathisch sind.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Ich bitte darum, dass wir das Unterthema Bitcoin an dieser Stelle einfach beenden, weil es schlicht nicht zur Frage gehört und Ursache häufiger Fehlinterpretationen ist. Wie auch hier gesehen.

Es geht mir um die Technik Blockchain. Hier haben wir eine Technik, deren Vor- und Nachteile bisher noch nicht richtig abschätzbar sind. Zu den Vorteilen zähle ich die lückenlose Prüfbarkeit der Plausibilität, zu den Nachteilen die Unveränderbarkeit der Daten. Man sieht gelegentlich Meldungen, dass auch große Firmen wie Bosch in die Blockchaintechnik investieren. Es wirkt fast wie ein Hype. Dann kommt die EU mit ihrer DSGVO daher (das im Wesentlichen eigentlich nur ein europäischer Neuaufguss unseres altgedienten BDSG ist) und zieht Grenzen ein, die dem Grundprinzip der Blockchain nach meiner Meinung fundamental entgegen laufen. Ich konnte noch keine einzige Diskussion dazu finden, wo beide Themenblöcke mal aufeinander trafen.

Dass die Blockchain auch technische Designfehler hat ist eine andere Sache (z.B. wachsender Speicherbedarf, je nach Anwendung linear oder logarithmisch).

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Was passiert denn mit einer BlockChain - nehmen wir dein vereinfachtes Beispiel ein paar Beiträge höher mit dem MD5 Hash - wenn Datensatz zwei und vier aufgrund eines Fehlers, Stromausfalls, Metoriteneinschlages aus der Datenbank verschwinden?
Was wäre die Konsequenz?

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Zwei Bemerkungen:
https://www.youtube.com/watch?v=D4IAiTmrdQI
Embarcadero Webinar: Die Blockchain und Kryptowährungen verstehen

Und ein neues Webinar zur DSGVO:
http://forms.embarcadero.com/webinar-dsgvo

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Blockchains rein als Technologie selbst sind mit der DSGVO vereinbar. Wenn Daten gelöscht werden müssen, werden die Daten gelöscht. Wenn diese mit anderen Daten unzertrennbar vermengt sind, müssen diese Daten eben mitgelöscht werden. Soll heißen: Auch eine Blockchain sind am Ende nur Bits und Bytes die irgendwo gespeichert und wieder gelöscht werden können. [Edit] Klarstellung: Ein einzelner Block in der Kette ist nicht löschbar - jeder Block ist mit den vorherigen Blocks vermengt. Wenn ein einzelner Datensatz gelöscht werden muss, muss die ganze darauffolgende Kette gelöscht oder neu berechnet werden.

Der große Vorteil von Blockchains ist, dass Daten dezentralisiert gespeichert werden können. Das heißt natürlich, dass ich (und jeder andere auch) verifizieren kann, dass die Daten korrekt sind, aber ich verliere die Fähigkeit, die Daten zu löschen. Das ist nicht zwingend ein Problem von Blockchains, sondern eher ein Problem der verteilten, öffentlichen Datenspeicherung. Wenn ich meine Daten, die ich auch löschen können muss, auf 200 Rechner verstreue, muss ich sicherstellen, dass ich die Daten von diesen 200 Rechnern wieder löschen kann. Wenn ich die Daten bereitstelle sodass jeder sie auf seinem eigenen System speichern kann, müsste ich in der Lage sein, Daten aus dem System löschen zu können.

Wobei man auch anmerken muss: Derzeit rennt jeder Blockchains hinterher. Dabei sind sie in den meisten Fällen eine Lösung auf der Suche nach einem Problem. Insb. im Bezug zu Daten die von Benutzern generiert werden würde ich mir mehrfach überlegen, ob Blockchains wirklich die richtige Lösung sind.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Dann wäre die Chain ab dem ersten Verlust nicht mehr verifizierbar und damit alles ab da ungültig. Aka: Schrott.

Man könnte immens arbeitsintensiv die verbleibenden Daten manuell prüfen, bräuchte dafür dann aber wieder genau den Papierkrieg, den man zu vermeiden versuchte als Backup. Aber dann könnte man entweder die fehlenden Daten rekonstruieren, oder die Hashes neu berechnen und die gesamte Chain ab dem "Bruch" neu validieren.

Oder man macht, was viele Ansätze machen: Dezentralisieren, und ein mehrheitsbasiertes Akzeptanz-System implementieren, sodass immer mindestens mehr als 50% aller Chain-Hosts sich auf einen gemeinsamen identischen Ausgabestand geeinigt haben der als "echt" angesehen wird. Je mehr Hosts, desto unwahrscheinlicher der Totalverlust der Chain.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Das stimmt leider nicht so ganz. Die Crux ist, dass bei Blockchains alle Hashes von allen Hashes davor abhängen. Um Daten irgendwo mitten drin zu löschen und die Chain verifizierbar zu halten (was man muss, sonst macht die gesamte Technik keinen Sinn mehr), müsste man ab der Stelle in der Chain wo gelöscht wurde alle Hashes komplett neu berechnen. Alle! Das ist in den meisten Fällen völlig unpraktikabel. Die Verteiltheit kommt da lediglich als kleinere Unwegbarkeit oben drauf.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Du hast recht, und ich habe das nicht klar genug ausgedrückt: es funktioniert nicht, einzelne Blöcke zu löschen. Hier kommt es dann auf die konkrete Implementierung an, wie welche Daten in welche Ketten gehängt werden. Wenn ich eine einzelne Blockchain für alle meine Daten habe, und ich muss nen Satz daraus löschen, muss die Kette entweder neu brechnet (was den gesamten Verifizierungsprozess beeinträchtigen kann) oder komplett gelöscht werden.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Hmm..

(Unwissender ;) )

Wer sagt eigentlich, dass als 'Daten' in der Blockchain die reellen Daten der Persopn stehen müssen?

Um eine Löschfähigkeit zu ermöglichen, würde ich eher die Daten in einer Externen DB/Datei ablegen und von diesen Daten ein HASH erzeugen und diesen dann als 'Daten' in die BlockChain geben.

Somit könnte ich gegenprüfen, ob die Externen Daten (lt. BlockChain) die korrekten HASH haben und somit der Eintrag Valide ist.

Wird nun dieser externe Eintrag gelöscht, bleibt die Chain davon unberührt, da es die (externen) Daten mit diesem HASH ja nicht mehr gibt.

Alle noch vorhandenen Daten mit Einträgen in der Chain bleiben ja valide.

Oder habe ich da was falsch verstanden?

Ich würde die BlockChain somit nur zum Validieren noch vorhandenen (externer) Daten verwenden, mit Betonung auf 'Vorhanden'.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Ich zitiere mal aus Wikipedia, weil es mMn zur Ausgangsfrage passt und ich das gerade entdeckt habe, als ich mal schauen wollte wie Blockchain denn so definiert wird.


Generell frag ich mich, ob man (als Durchschnittsentwickler) sich mit dem Thema überhaupt befassen sollte, wenn man kein konkretes Problem hat, das eine Lösung sucht, oder DIE super Idee hat, was man damit machen kann.

Ich finde ja auch, das relationale Datenbanken eine gute Idee/Technik sind/ist. Ich käme aber nicht auf die Idee, mich da im Detail mit zu befassen oder meine eigene relationale Datenbank zu entwickeln. Ich würde eine fertige Implementierung nehmen, von Leuten, die sich damit befasst haben und die eine konkrete Idee/Vorstellung hatten, was sie da wie entwickeln.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Im Prinzip ist das doch eine BlockChain aka lückenlos nachvollziehbare/verifizierbare Kette von Informationen:
(sieht ein bissl aus wie GIT/SVN/...)

1. Niemand hat jemals gesagt, dass die gesamte Kette mehrfach dezentral und überall immer zusammenhängend/komplett gespeichert sein muß.
Es würde auch reichen, wenn jeweils eine Information und eine Referenz auf deren Vorgängerinformation bekannt sind.

2. Natürlich kann man hier problemlos löschen.
Nur ab der gelöschten Stelle "rückwärts" ist die Kette dann unterbrochen und nicht mehr verifizierbar,
also alles davor müsste z.B. als "ungültig" angesehen werden.

Ja, man könnte nur für die gelöschte Stele eine "Dummy"-Information berechnen/bruteforcen und somit die Kette wieder verbinden,
aber wäre das so einfach, dann wäre auch die komplette BlockChain "unsicher" und man kann diese Art prinzipiell vergessen.

Alternativ könnte man auch die gewünschte Information löschen/ändern und müsste dann die komplette BlockChain (alle Hashs) neu berechnen.
Aber auch da braucht es dann auch einen zusätzlichen Mechianismus, um die alte Kette als "ungültig" zu kennzeichnen und die neue Kette allen Beteiligten bekannt zu machen.

3. fällt mir grade nicht ein

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Ich bleibe dabei, dass ich nicht viel von Blockchain weiß, aber zu 3. würde ich sagen:
- references
- loose coupling
- usw.

Damit beschreibe ich nicht den Status Quo, sondern nur eine Idee. Wer das patentiert, kann mich ja netterweise erwähnen :wink: :
Wenn es darum geht, veränderbare (oder geschützte oder beides) Daten einzubeziehen, könnte man mit mehreren Blockchains arbeiten und mit Referenzen (RDBMS lässt grüßen)
Statt alles in eine Blockchain zu stopfen, wäre es denkbar Nutzdaten und Identity zu trennen.
Also eine Bestellung mit Ihrem Status, Bezahlung, Lieferstatus, etc enthielte dann eine Referenz auf eine Identiy blockchain mit dem Besteller. Diese Referenz zeigt auf eine bestimmte Stelle der Chain, die zum Zeitpunkt gerade gültig ist. Wenn der Besteller später heiratet (Namensänderung) oder Künstler wird, wird die Identity Blockchain geändert, ohne am Bestellzeitpunkt die Information zu verlieren. Eine Namenskorrektur (weil zum Bestellzeitpunkt falsch in der Chain) kann natürlich nachgetragen werden (Referenz Nachtrag in der Bestellblockchain auf die korrigierte Stelle der Identity).
Die Referenzen können nach Bedarf durch Verwendung, Weitergabe, Enthaltung von Schlüsseln verborgen oder publik gemacht werden oder durch Einbeziehung von Role Block Chains (auch wieder Identity am Ende) bestimmten Gruppen/Transaktionsteilnehmer transparent sein.
Das lässt zwar gewisse Probleme offen, wäre aber zumindest ein Beitrag zum Datenschutz.

Bedeutet am Ende, dass es Zweck oder Rollen gebundene Chains gibt, die vielfältig vernetzt sein können. Jeder schaut durch seine Brille (auf seine Chain) und sieht nicht mehr, als er für sein business/Nutzen braucht. Die einzelnen Blockchains mit den spezifischen Aufgaben müssen natürlich (per Trust chain) eine Vertrauensstellung haben.

Bestimmt gibt es das schon.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Diese Auseinanderlaufen gibt es schon per Design, wenn zufällig 2 gleiche Schlässel errechnet werden in Rio und in Basel.
So können kurzzeitug zwei verschiedene Stränge in einer Blockchain entstehen, von denen im Nachhinein eine bereinigt werden muss.
Also löschen is IMHO vorgesehen, aber auch die lückenlose Historie.

Weil jede ID personenbezogen sein kann wenn diese mit einer Person verknüpft werden kann wäre auch DSGVO relevant.
Womöglich dann nicht wenn es nur eine GUUID wäre die sonst keine Relevanz in der wirklichen Welt hat.

Aber wie weise ich nach das der Eintrag mir 'gehört' ?

Bitcoin soll ja angeblich anonym sein, aber die aktuelle Chain soll auch 200TB gross sein.
Das hat man nicht mal eben auf dem usb stick.

Wenn dann verteilt gerechnet werden muss auch in China und Nordkorea ist DSVGO u.U. remevant.

Ich denke nicht nur Blockchain sondern auch DSVGO hat ein Designproblem ..

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

So würde ich das nicht sagen. Sie kommt nur 20 Jahre zu spät. Du kannst das Rad nicht zurückdrehen. Die Menschen sind Bequemlichkeit gewohnt und erwarten sie sogar. Wird ein Teil davon qua Gesetz unterbunden, nimmt man das nicht etwa klaglos hin. Vielmehr wandert er ab zu Anbietern aus liberaleren Jurisdiktionen. Datenschutz ist wichtig, nur die Leute verstehen es nicht und handeln gegen die eigenen Interessen.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Blockchain-Technologien an sich haben kein Designproblem.

Im Prinzip ist eine Blockchain ein Event store, der kryptographisch gesichert ist, und als Sahnehäubchen oben drauf selber entscheiden kann, was als nächstes gespeichert werden darf oder was nicht (Smart Contracts, vergleichbar mit Stored Procedures in einer relationalen DB), und von wem es in die chain gelegt werden darf.

Eventsourcing ist eine Technologie die so alt ist wie Rechner bei Banken (Dein Konto ist mit an Sicherheit grenzender Wahrscheinlichkeit in einem Event store gespeichert. Es gibt eigentlich keine Bank die ihre "Quelle aller Wahrheit" in einer relationalen DB ablegt. Es mag eine Kopie der Daten in einer normalen DB geben (für schneller Suche etc.), aber Dein aktueller Kontostand ist immer die Summe aller vorangegangen Kontobewegungen (inkl. Stornos / Rückbuchungen). Eine Kontobewegung die mal passiert ist, wird auch nicht gelöscht. Natürlich wäre es ineffizient, Deinen Kontostand jedes mal aus der Summe der Einzelbewegungen neu zu berechnen, wenn Du im Onlinebanking drauf guckst, aber dafür gibt es eben separate read stores bzw. caches.

Git ist z.B. auch ein Event store. Die Events sind die Commits. Sie sind auch kryptographisch gesichert, und die Datenhaltung ist auch verteilt möglich. Git ist sozusagen die Vorstufe einer Blockchain.

Wenn man nun noch Smart Contracts einführt, kommen wir schon in die Nähe.

Für vieles, wegen dem stand heute Blockchains gehyped werden, sind sie eigentlich gar nicht notwendig. Ein nachvollziehbares Audit-Trail kann man genauso gut heute auch mit einem klassischen Event store bauen, und die Verifizierbarkeit mit aufeinander aufbauenden Hashes ist in null Komma nichts selber dazu gebaut. Dazu braucht es keine Blockchain.

Blockchains werden dann interessant, wenn mehrere Parteien, die sich potentiell nicht gegenseitig vertrauen, untereinander nachvollziehbar und transparent Geschäfte abwickeln wollen. Unser Paradebeispiel sind Telekommunikationsunternehmen und die RegTp, und der Use-Case der Rufnummernportierung. Dies könnte eine private Blockchain sein, die zwischen allen Telcos und der Regulierungsbehörde verteilt ist. Es würde z.B. darin stehen, welcher der Telcos z.B. welche Nummer gerade betreibt. Um das DSGVO-Thema zu berücksichtigen, wollen wir aber keine Kundendaten da drin haben. Wenn ich jetzt meine Rufnummer von der Telekom z.B. zu Unitymedia umziehen will, fülle ich den Wisch aus, und sende ihn an Unitymedia. Die scannen mein Dokument ein, und stellen einen Portierungsantrag (implementiert als Smart contract) in die Chain ein, zusammen mit einem Hash des Scans. Wenn die Telekom jetzt anzweifelt, ob der Antrag korrekt ist, kann sie das Dokument von Unitymedia anfordern, und verifizieren dass er der Antrag zu dem Smart contract ist. Und die Portierung wird dann in einem der folgenden Blöcke stattgegeben. Damit weiss jeder der anderen Telkos jetzt, dass die Nummer bei Unitymedia liegt, und von wem die ggf. zukünftig portiert werden soll. Die Smart contracts in der Chain können dann Beispielsweise so implementiert sein, dass immer der aktuelle Besitzer der Nummer zustimmen muss, oder aber die RegTp überstimmen kann. Das ganze ist dann auch kryptographisch über Zertifikate abgesichert.

Und was das Thema der Energieeffizienz angeht: Das ist ein Bitcoin- und Ethereum-Problem. Und Ether ist grad auf dem Weg, davon los zu kommen. Im Prinzip wird damit aktuell bestimmt, wer den nächsten Block signieren darf, und wer dafür dann - im Falle von Kryptowährungen - die Mining-Gebühr erhält. Bei Bitcoin und aktuell noch Ether ist es so, dass es derjenige ist, der zuerst ein komplexes Kryptographisches Rätsel löst. Und die Schwierigkeit des Rätsels wird durch Smart contracts in Bitcoin so ausgelegt, dass es immer ungefähr gleich lang dauern wird. Also je mehr Rechenpower drin steht, desto kürzer wird gerechnet, desto schwieriger wird das Rätsel, desto mehr CPU/GPU werden gebraucht. Doofer Teufelskreis.

Das interessante ist, dass der derjenige, der den nächsten Block signieren darf, die Quelle der zukünftigen Wahrheit darstellt. Schmuggele ich bei Bitcoin eine Transaktion ein, die alle Bitcoins die es gibt auf mein Konto überweist, dann ist das für die Zukunft so. Dadurch, das bei öffentlichen Chains aber jeder die Transaktionen sehen kann, und nachrechnen kann, würde das auffallen, und der Block würde vom Netzwerk nicht akzeptiert werden. Meine Rechenenergie wäre also verschwendet.

Ethereum will in Zukunft auf Proof of Stake umstellen. Damit muss jemand eine bestimmte Anzahl von Ether hinterlegen, die eingefroren werden. Sollte jemand nun versuchen, die Chain zu manipulieren, so würde er seinen Einsatz verlieren.

In privaten Blockchains würden sich die beteiligten Parteien entweder auf ein solches System, oder auf einen anderen Algorithmus (Round robin, der Reihe nach, jeweils ein Quorum etc.) einigen, der bestimmt wer den nächsten Block signieren darf.

Das Hashen ist dann nicht mehr Rechenaufwändig als den Hash eines Git-Commits zu berechnen. Also mehr als vernachlässigbar.

Kurzum:
Es gibt einige Fälle, in denen Blockchain in der Tat eine sinnvolle Technologie ist, aber man sollte dem Hype nicht verfallen und mit Blockchain auf alles einschlagen, was nach verifizierbarer Historie aussieht (siehe Eventstore, ggf. reicht es ja auch aus, Logs stündlich in ein Git repo zu committen, und das dann woanders hin zu pushen - ist in ein paar Minuten gescripted...).
Und vor allem sollte man Blockchain nicht mit Bitcoin im speziellen oder Kryptowährungen im allgemeinen gleichsetzen. Andere Use-cases sind deutlich interessanter und spannender.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Dankesehr.
Endlich mal ein use-case der mich überzeugen kann.
In den meisten anderen Fällen denke ich dass das Ziel oft mit weniger Aufwand anders erreicht werden kann.

Also ich verstehe das mal so: wenn mehrseitiges Vertrauen im Spiel ist könnte es sinnvoll sein.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

@Phoenix: Danke:thumb:

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Kleiner später Nachtrag: Die Süddeutsche hat am Samstag einen Artikel veröffentlicht, der meine ursprüngliche Aussage unterstreicht.

AW: Ist die Blockchain mit der DSGVO vereinbar?
 

Auf Heise Developer ist heute ein guter Artikel zu dem Thema veröffentlicht worden, welcher das Ganze mal aus technisch-rechtlicher Perspektive beleuchtet.