Blockchain und DSGVO können zusammen passen
Blockchain und DSGVO können zusammen passenQuelle: Bild von Gerd Altmann auf Pixabay 
Schlaglicht

So vereinbaren Versicherer Blockchain und DSGVO

Von Maximilian VolzTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Die Blockchain-Technologie bietet für Versicherer eine Fülle von Möglichkeiten. Die Vereinbarkeit mit anderen Systemen und Vorschriften kann allerdings herausfordernd sein. Ein Beispiel ist das Spannungsfeld zwischen Blockchain (BC) und DSGVO. Doch Experten wie Anwältin Dr. Lucy Gordon wissen Rat.

Die Möglichkeiten der BC-Technik sind ebenso vielfältig wie noch nicht erschlossen. Welche Chancen sich den Versicherern bieten, konnte zuletzt auf dem MCC-Kongress Blockchain für die Assekuranz gelernt werden. Doch wo Möglichkeiten sind, finden sich auch Probleme, dies ist auch bei der Blockchain der Fall.

 

Lucy Gordon, hat sich mit der Vereinbarkeit von Blockchain und DSGVO beschäftigt. Die Expertin, Legal Partner bei MME, LL.M., Fachanwältin SAV Haftpflicht- und Versicherungsrecht, hat sich eingehend mit der Wechselwirkung der beiden Komponenten auseinandergesetzt und sowohl Probleme identifiziert wie auch Lösungen entwickelt.

 

"Blockchain nicht unvereinbar mit DSGVO"

 

Das Gute vorneweg, die Blockchain ist mit der DSGVO vereinbar, wie sowohl die EU Blockchain Beobachtungsstelle wie auch die französische Datenschutzbehörde CNIL unabhängig voneinander feststellten. Das Schlechte ist, der Versicherer muss an einige Aspekte denken.

 

Wichtig ist zu verstehen, dass es "die" Blockchain nicht gibt. Zu unterscheiden sind "Publik-" und "Private"-Blockchain, die sich hinsichtlich ihrer Eigenschaften unterscheiden.

Blockchain-Arten
Blockchain-ArtenQuelle: Lucy Gordon,

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Die persönlichen Angaben dürfen beispielsweise nur solange gespeichert werden, "wie es zweckmäßig ist", erklärt Gordon. Zudem braucht es im Unternehmen einen Verantwortlichen, der für die Einhaltung der Vorschriften sorgt.

Die BC-Technologie ist vom Grundsatz her dezentral, unveränderbar und transparent angelegt. Das bedeutet, es gibt oft keinen Verantwortlichen, das gilt insbesondere für die public permissionless Blockchain (siehe Schaubild oben).

 

Zudem können einmal in der Blockchain angelegte Daten nicht mehr (einfach) verändert oder gelöscht werden. Gordon spricht von einer "ewig wachsende Kette von Daten".

Diese Unveränderbarkeit der Daten kann zudem dem Grundsatz der Richtigkeit der Daten wiedersprechen, wie Gordon betont. Das bedeutet, der Versicherer benötigt ein Datenschutz und Löschkonzept.

 

This is not the end

 

War es das, ist die Blockchain dank SGVO am Ende, bevor die Technik ihr Potenzial überhaupt entfalten durfte? Mitnichten, Gordon kennt Möglichkeiten, die die genannten Probleme lösen oder erst gar nicht entstehen lassen – und sie sind nicht sonderlich aufwendig.

 

Die erste Lösung ist sehr einfach. Personenbezogene Transaktionsdaten werden außerhalb der Blockchain, also off-chain, gespeichert. Auf der Blockchain selbst verbleiben nur die kryptographischen Hashwerte inklusive Zeitstempel. Ein Hashwert ist im Wesentlichen eine mathematische Funktion zur Verschlüsselung, die eine beliebig lange Zeichenfolge auf eine Zeichenfolge mit fester Länge mit Einwegcharakter abbildet.

 

Eine weitere Möglichkeit der Problemlösung ist die Verschlüsselung der Daten auf der Blockchain selbst. Der zum Auflösen benötigte Schlüssel (Private Key, PIK) steht nur einem beschränkten Kreis von berechtigten Personen zur Verfügung. Wenn der Zugriff dauerhaft entzogen werden soll, werden alle PIK-Kopien zerstört.

 

Es gibt noch weitere Lösungen wie beispielsweise die Ring Signaturen oder Noise. Bei letztgenannter Technik werden verschiedene Transaktionen so gruppiert, dass es von außen nicht möglich ist, die Identität des Senders und Empfängers einer Transaktion zu enthüllen. Es handelt sich dabei um eine Anonymisierungstechnik, wie Gordan erklärt.

 

Damit die Versicherer wissen, wie sie bei dem Spannungsfeld Blockchain und DSGVO vorgehen müssen, hat Gordon vier einfache Regeln aufgestellt:

 

  1. Braucht es zur Zweckerreichung die Blockchain
  2. Daten sollten wann immer möglich mittels eines technischen Mittels anonymisiert werden
  3. Daten sollten "off-chain" gesammelt werden, falls Speicherung auf Blockchain erforderlich, vorteilhafterweise auf privaten, permissioned-Blockchain-Netzwerken.
  4. In Abwesenheit von Regeln der Regulierungsbehörden soll Innovation mit gesundem Menschenverstand im Hinblick auf den Schutz der Daten vorangetrieben werden, und die Information der User soll so klar und transparent wie möglich sein.

Was getan werden muss

 

Das Spannungsfeld Blockchain und DSGVO sollte und dürfte keinen Versicherer davon abhalten, die Blockchain bei Bedarf anzuwenden. Doch sollten sich die Versicherer bewusst sein, dass die Finanzaufsicht bei der Einhaltung der Datensicherheit den obersten Datenschützer des Unternehmens nicht aus der Verantwortung entlässt, nur weil dieser die fortschrittliche Blockchain einsetzt, die praktisch hackersicher ist.

 

Die Probleme mit der DSGVO sind lösbar, wenn grundlegende Gedanken zum Datenschutz vor der Errichtung einer Lösung bedacht werden. Die Befragung von Experten wie Lucy Gordon ist dabei nicht die schlechteste Idee.

 

Wer mehr über die Möglichkeiten, den Einsatz und die Schwächen von Blockchain lernen möchte, dem sei das Interview mit  Prof. Dr. Philipp Sandner, Head des Blockchain Center an der Frankfurt School of Finance & Management, ans Herz gelegt.

Blockchain · Lucy Gordon · DSGVO · MCC-Kongress
Auch interessant
Zurück
22.07.2019VWheute
"Deutsch­land muss sich bei Block­chain nicht hinter Asien verste­cken" Beim Thema Blockchain gibt es für die deutschen Unternehmen einiges nachzuhole…
"Deutsch­land muss sich bei Block­chain nicht hinter Asien verste­cken"
Beim Thema Blockchain gibt es für die deutschen Unternehmen einiges nachzuholen. Nur knapp zwei Prozent aller Unternehmen ab 50 Mitarbeiter setzen schon auf die Technologie zur gesicherten Verarbeitung und …
24.05.2019VWheute
Oberster Daten­schützer zu DSGVO: "Alle Seiten setzten sich mehr mit Daten­schutz ausein­ander" "Die EU-Datenschutzgrundverordnung (DSGVO) hemmt die …
Oberster Daten­schützer zu DSGVO: "Alle Seiten setzten sich mehr mit Daten­schutz ausein­ander"
"Die EU-Datenschutzgrundverordnung (DSGVO) hemmt die Digitale Wirtschaft in Deutschland" schrieb VWheute gestern. Ulrich Kelber sieht eher die Vorteile, die Regelung erhöhe …
23.05.2019VWheute
DSGVO ist der Feind der Wirt­schaft Bürokratie ist der Unternehmen Tod. Die EU-Datenschutzgrundverordnung (DSGVO) hemmt die Digitale Wirtschaft in …
DSGVO ist der Feind der Wirt­schaft
Bürokratie ist der Unternehmen Tod. Die EU-Datenschutzgrundverordnung (DSGVO) hemmt die Digitale Wirtschaft in Deutschland – beinahe jedes dritte Unternehmen hat seine digitalen Aktivitäten wegen der DSGVO eingeschränkt, 39 Prozent rechnen mit …
11.03.2019VWheute
Politik und Aufsicht wollen das Tarif­partner Chancen des BSRG nutzen Es fehlt auch nach gut einem Jahr ein Pilotprojekt für das Tarifpartnermodell. …
Politik und Aufsicht wollen das Tarif­partner Chancen des BSRG nutzen
Es fehlt auch nach gut einem Jahr ein Pilotprojekt für das Tarifpartnermodell. Der Eberbacher Kreis, in dem sich Fachanwälte für die betriebliche Altersversorgung (bAV) zusammengeschlossen haben, hatten …
Weiter