Data protection via or versus blockchain technology. An analytic reflection and discussion of the exercise of rights arising from the GDPR to improve privacy in the public digital space when using blockchain technology

Abstract

Data protection came into public focus in past years through advances in data collection and evaluation, data breaches and stricter legislation such as the European Union's General Data Protection Regulation (GDPR). Distributed ledger technologies such as blockchain have attracted public interest following their successful application in asset exchange. Their openness and immutability raised new concerns about data privacy and its long-term impact on individual data ownership, but also enabled new approaches to reclaiming individual rights in a currently centralised environment of authority and control. This dissertation addresses the need for a structured techno-legal analysis on the matters of uses of public and private blockchains and their impact on GDPR compliance. This work contains a qualitative risk-based analysis of privacy issues with private and public blockchains, and an analysis of solutions, risk treatments and resulting residual risk. Furthermore, two important GDPR processes are modelled, and potentially problematic process activities are identified by facilitating quantitative research with a survey. These process models are also used to identify criteria for supporting applications using the Delphi method. These criteria are structured and condensed with the help of thematic maps, and criteria questions are generated to assess applications regarding their supporting features. Two case studies are applied against the criteria questions with the help of an expert evaluation. The results are a method for a risk-based assessment of technologies regarding data protection, a technique used to model processes of laws and assess technologies regarding their support in these processes that show how blockchain technology can support certain data subject related data protection activities. The results show that some solutions referred to in current literature have a small impact on the risks; public blockchains can be used in applications to impact certain activities of data subjects' GDPR processes. The outcomes allow researchers, technologists and policymakers to assess technologies and base their decisions on a scientific model. Further research can use the risk-analysis template for assessing privacy-enhancing technologies for blockchain technologies to further reduce risk.

Der Datenschutz ist in den vergangenen Jahren durch Fortschritte bei der Datenerfassung und -auswertung, Datenschutzverletzungen und strengere Rechtsvorschriften, wie die Datenschutzgrundverordnung (DSGVO) der Europäischen Union, in den Fokus der Öffentlichkeit gerückt. Die Blockchain hat nach ihrer erfolgreichen Anwendung beim Austausch von Vermögenswerten an öffentlichem Interesse gewonnen. Ihre Offenheit und Unveränderlichkeit haben Bedenken hinsichtlich des Datenschutzes und der langfristigen Auswirkungen auf das persönliche Dateneigentum geweckt, aber auch neue Ansätze zur Rückgewinnung individueller Rechte in einem derzeit zentralisierten Umfeld von Autorität und Kontrolle ermöglicht. Diese Dissertation widmet sich einer strukturierten technisch-rechtlichen Analyse zur Nutzung von Blockchains und deren Auswirkungen auf die Einhaltung der DSGVO, einer Diskussion über die Auswirkungen von Lösungen zur Minderung von Blockchain-Datenschutzrisiken und wie Blockchain-Technologie in Anwendungen zur Unterstützung des Datenschutzes eingesetzt werden kann, um die Rechte betroffener Personen gemäß der DSGVO einzufordern. Diese Arbeit beinhaltet eine qualitative risikobasierte Analyse von Datenschutzproblemen mit Blockchains sowie eine Analyse von Lösungen, Risikobehandlungen und resultierenden Restrisiken. Darüber hinaus werden zwei wichtige DSGVO-Prozesse modelliert und potenziell problematische Prozessaktivitäten durch die Erleichterung quantitativer Forschung identifiziert. Diese werden verwendet, um Kriterien für unterstützende Anwendungen mit Hilfe der Delphi-Methode zu identifizieren. Diese Kriterien werden strukturiert und verdichtet, und es wird ein Kriterienkatalog generiert, um Anwendungen hinsichtlich ihrer Unterstützung zu bewerten. Zwei Fallstudien werden mit Hilfe einer Expertenevaluation auf die Kriterienfragen angewendet. Ergebnisse sind eine Methode zur risikobasierten Bewertung von Technologien im Bereich des Datenschutzes, eine Technik zur Modellierung von Prozessen in Gesetzen und zur Bewertung von Technologien hinsichtlich ihrer Unterstützung in diesen, die zeigen, wie Blockchain-Technologie bestimmte datenschutzrelevante Aktivitäten unterstützen kann. Die Ergebnisse zeigen, dass einige aktuelle Lösungen einen geringen Einfluss auf die Risiken haben; öffentliche Blockchains können in Anwendungen verwendet werden, um bestimmte Aktivitäten der GDPR-Prozesse der betroffenen Personen zu unterstützen. Die Ergebnisse ermöglichen es Forschern, Technologen und politischen Entscheidungsträgern, Technologien zu bewerten und ihre Entscheidungen auf ein wissenschaftliches Modell zu stützen. Weitere Forschungsarbeiten können die Risikoanalyse-Vorlage zur Bewertung von Technologien zur Verbesserung des Datenschutzes für Blockchain-Technologien nutzen,um das Risiko weiter zu verringern.