DLT / Blockchain-Ökosysteme im Spannungsfeld mit der …DLT / Blockchain-Ökosysteme im Spannungsfeld mit der DSGVO Reza Hedayat Head of Security Innovation Datenschutz-Forum Schweiz

DLT / Blockchain-Ökosysteme im

Spannungsfeld mit der DSGVO

Reza Hedayat

Head of Security Innovation

Datenschutz-Forum Schweiz

Zürich, 21. Juni 2018

Einführung Technische Herausforderungen Konklusion

Inhalt

1 Einführung

2 Technische Herausforderungen

3 Konklusion

DLT / Blockchain-Ökosysteme im Spannungsfeld mit der DSGVO - Reza Hedayat | 1 / 35

Einführung


Kurze Vorstellung

WhoAmI I

Aktuell@InfoGuardSicherheitsservices für aufstrebende Technologien (IoT,DLT, ...)Security Research Lab

VorherSr. Security Architect@FLYNT Bank AGSoftware Security Engineer/Security Consultant/SecurityArchitect@AdNovum

BackgroundComputer ScienceInformation Security mit Spezialisierung aufKryptographie, Smart Cards / Token und Malware (Analyseund Design)



Kurze Vorstellung

WhoAmI II

Passion

♥ Kryptographie ♥Malware und ihre Untergrundökonomie

Full-Stack Exploit Engineering

Systems Security



Eine neue Hoffnung

Datenarchitektur bestehender Ökosysteme

Unser Alltag ist manipuliert:

SuchenEinkaufenVerbinden...

Ökonomische Zentralisierung via Macht über diePlattformen (z.B. Google, Apple, Amazon, Facebook, ...)

Die Monopole sammeln, speichern, prozessieren undmonetarisieren unsere Datenspuren

Erschwert MarkteinstiegPrivacy → GDPR/DSGVO [1]



Eine neue Hoffnung

Evolution der Datenherrschaft

Zentralisiert

Mehrheit vonE-Kommerz Systemen

Föderiert

Delegation von Daten

Benutzerzentrisch

Soziale Netzwerke

Eigene Datenhoheit

DLT-basiert

Abbildung: (Quelle: [3])



Eine neue Hoffnung

DLT Anatomie



Eine neue Hoffnung

DLT’s Versprechen

Sicherheitseigenschaften

Vertraulichkeit → nicht per VoreinstellungNichtabstreitbarkeit → Digitale Signatur

IntegritätDatenursprungsauthentifizierung

Verfügbarkeit → p2pÜbereinkunft/Double Spending → Consensus

Privacy

Nicht per VoreinstellungZusätzliche kryptographische Mechanismen vonnöten



Eine neue Hoffnung

Übersicht der DLT-Bedrohungen I



Eine neue Hoffnung

Übersicht der DLT-Bedrohungen II


Technische Herausforderungen

des DSGVO für DLT-basierte

Ökosysteme


Qualifikation von personenbezogenen Daten auf der DLT

Transaktionen

Je nach Branche und Anwendungsfall vollerunterschiedlichen personenbezogenen Daten

VersicherungsdatenFinanzdatenDaten über Liegenschaften/EigentümerIdentitätenMedizinische Daten...



Qualifikation von personenbezogenen Daten auf der DLT

Public Keys

Nicht anonym, da nicht irreversibel

Analogie: IP-Adresse (Meta-Daten via ISP)

Nicht pseudonym, da die Meta-Daten nicht separiertund geeignet geschützt werden können

Mapping zwischen Public Key und Individuum istmöglich

Freiwillige Bekanntgabe beim Empfangen von AssetsRegulierungsauflagen wie z.B. Know-Your-Customer(KYC) und Anti-Money-Laundering (AML)Forensische Chain-Analyse Techniken



Qualifikation von Verantwortlichen auf der DLT

Private vs. Public DLT

Private DLT

Zentrale Autorität ist verantwortlichNodes und andere Vermittler (konsumierende Server) sindAuftragsverarbeiter (Art. 4(8))

Public DLT

Keine zentrale Autorität → jede Node qualifiziert sich alseinen VerantwortlichenErweckt den falschen Gedanken, dass sich die betroffenePerson bei den Nodes melden kann, um ihre Rechtegeltend zu machenNodes qualifizieren sich nicht als GemeinsameVerantwortliche (Art. 26), da sie nicht zusammen dieZwecke / Mittel der Datenverarbeitung festlegen




Nodes I

Ermittlung von exakter Anzahl, Position und Identitätvon Nodes mit Aufwand verbunden

Nodes sind passive Entitäten (Explizites Vertrauen inEntwickler und ihren Umgebungen)

Nodes sehen Daten (Klartext, verschlüsselt oderge-hashed)

Nodes können die Daten jedoch nicht ändern(append-only)




Nodes II

Nodes können daher bei Verletzungen des Datenschutzesnicht reagieren (wie es in der zentralisierten Ökonomiemöglich ist)

Durchsetzen des Rechtes ist daher herausfordernd

Mehrheit der Nodes müssten kontaktiert werdenWenn nicht möglich → vom Netz nehmen (take-down)

Geldbussen (Art. 83)

Bis zu 20 Mio. EUR oder 4% des Jahresumsatzes einesUnternehmensWie soll das für eine dezentrale Architektur sauberberechnet werden?Wie kann sich das eine gewöhnliche Node leisten?




Betroffene Person

Sie hat die Datenhoheit über ihre eigenen Daten viaBesitz des Private Keys

Sie ist auch eine Verantwortliche, da sie Daten auf denLedger transferiert



Implikationen des Räumlichen Anwendungsbereiches auf der DLT

DLT’s transnationale Charakteristik I

Breiter Umfang des räumlichen Anwendungsbereichesbindet DLT-basierte Systeme, die auch nur eine indirekteVerbindung zur EU haben (Art. 3(1-3))

DLT ist von Natur aus transnational

Nodes erscheinen und verschwinden dynamisch inGebieten mit unterschiedlichen rechtlichenZuständigkeitenSchöpfer eines DLT-Ökosystems hat keine Kontrolle überdie geographische Ausbreitung des Netzwerkes



Implikationen des Räumlichen Anwendungsbereiches auf der DLT

DLT’s transnationale Charakteristik II

Vorschriften für die Datenübermittlung (Art. 44-50)wurden für zentralisierte Architekturen entworfenund können nicht einfach auf dezentralisierteArchitekturen angewendet werden

Ausser Art. 49 → betroffene Person willigt dieDatenübermittlung ausdrücklich ein

Fazit

DSGVO wurde für Ökosysteme konzipiert, die auf einerzentralisierten Architektur basieren, d.h. zentralisiertesSpeichern, Sammeln und Prozessieren



Durchsetzen des Datenschutzrechtes auf der DLT

Datenminimierung

Ganz im Gegenteil der Vorschrift bezgl.Datenminimierung (Art. 5)

Ledger wächst kontinuierlichJede Full-Node hat eine Kopie des LedgersEinmal auf dem Ledger, können die Daten wedereditiert noch gelöscht werden

Problematik jedoch nicht neuartig

Analogie: AI/Big Data




Recht auf Berichtigung

Personenbezogene Daten müssen sachlich richtig undauf dem neuesten Stand sein (Art. 5(1d))

Die betroffene Person hat das Recht auf dieunverzügliche Berichtigung ihrer Daten (Art. 16)

Herausforderungen:

1 Betroffene Person kann die Nodes nichtbenachrichtigen (z.B. weil offline, andere IP, ...)

2 Nodes können die Daten nicht editieren

Die Mitteilungspflicht (Art. 19) erweist sich daher alseher unmöglich bzw. ist mit einemunverhältnismässigen Aufwand verbunden




Auskunftsrecht der betroffenen Person I

Sie hat das Recht zu erfahren ob personenbezogeneDaten verarbeitet werden (Art. 15(1))

VerarbeitungszweckeKategorien der DatenEmpfängerGeplante Dauer der Speicherung...

Herausforderung:

Node-Besitzer wäre nicht in der Lage eine präziseAussage bezgl. der Daten der betroffenen Person zumachen




Auskunftsrecht der betroffenen Person II

Daten nicht nur im Klartext, sondern auch verschlüsseltoder ge-hashed

Die betroffene Person könnte selbst eine Nodebetreiben und somit eine Kopie des Ledgers beziehen

Dieser Ansatz ist jedoch fragwürdig, da sehr aufwendigund nicht garantiert zielführend

Know-HowEquipmentWas wenn verschlüsselt oder ge-hashed?Und überhaupt ausreichend aus Sicht DSGVO?




Recht auf Löschung / Vergessenwerden

Die betroffene Person hat das Recht, dass ihre Datenunverzüglich gelöscht (Art. 17(1)) werden

DLT wurde jedoch entworfen, um nicht zu vergessen

Das Recht auf Löschung ist jedoch kein absolutesRecht

Art. 17(2) relativiert Art. 17(1) und lässtInterpretationsspielraum bzgl. der Definition vonLöschung / Vergessenwerden, d.h. macht esTechnologie-/Implementations- undAufwands-abhängig




Lösungsansätze: Off-Chain

Vorteile

DatenminimierungRecht auf BerichtigungAuskunftsrechtRecht auf Löschung

Nachteile

Zerstörung der DLT-basiertenArchitekturFührt die alten Probleme(Zentralisierung) wieder ein




Weitere Lösungsansätze I

Recht auf Löschung

Exklusive Kontrolle an die betroffene Person delegieren(d.h. den Private Key transferieren)Den Private Key unter Aufsicht löschen(Schlüsselzeremonie)Pruning

Recht auf Berichtigung

Chamäleon HashesHard Forks




Weitere Lösungsansätze II

Datenminimierung & Pseudonymisierung

Ring-Signaturen / Stealth-Adressen (Schutz von Senderund Empfänger)Kryptographische Zero Knowledge (ZK) Beweise

Struktur:

< ciphertext >||< proof >

zkSNARKS

zkSTARK (Post-Quantum Ära)


Konklusion


Zusammenfassung

DLT vs. DSGVO I

Die DSGVO wurde das für das Zeitalter vonzentralisierten Datensilos konzipiert

Sie kann nicht auf die charakteristischenEigenschaften angewandt werden (analog zu AI / BigData)

Das Gesetz hinkt der Technologie nach



Zusammenfassung

DLT vs. DSGVO II

Die DLT läutet einen Paradigmenwechsel einPro

Gibt der Person mehr Kontrolle über ihre Daten

Kontra

Es kann sich herausstellen, dass dezentralisierteStrukturen weitaus mehr verwundbar sind (z.B. inKombination mit dem NDG ([2]))

Pure DLT-Lösung verlagert die Security auf den Enduser

Hohes Mass an Awareness unausweichlich!



Zusammenfassung

DLT vs. DSGVO III

Wichtig

Das Gesetz und die Technologie müssen noch näherzusammenarbeiten

Das Gesetz darf den Fortschritt in der Technologie undsomit die Innovation nicht hindern

Das Gesetz muss aber sicherstellen, dass sie sich derFortschritt in die gewünschte Richtung entwickelt

Datenschutz ist essenziell, sollte aber im Dienste derMenschheit stehen (ErwG 4)



Zusammenfassung

Fragen & Kontakt

Reza HedayatHead of Security Innovation

[email protected]


Anhang


Referenzen I

Datenschutz-Grundverordnung (DSGVO).Datenschutz-Grundverordnung (DSGVO). Verfügbar viahttps://dsgvo-gesetz.de/. 2018.

Schweizerische Eidgenossenschaft. Bundesgesetz überden Nachrichtendienst. Verfügbar viahttps://www.admin.ch/opc/de/classified-compilation/20120872/index.html. 2018.


https://dsgvo-gesetz.de/

https://www.admin.ch/opc/de/classified-compilation/20120872/index.html

https://www.admin.ch/opc/de/classified-compilation/20120872/index.html


Referenzen II

Andrew Tobin und Drummond Reed. White Paper: TheInevitable Rise of Self-Sovereign Identity. Available athttps://sovrin.org/wp-content/uploads/2017/07/The-Inevitable-Rise-of-Self-Sovereign-Identity.pdf. 2016.


https://sovrin.org/wp-content/uploads/2017/07/The-Inevitable-Rise-of-Self-Sovereign-Identity.pdf



Documents

DLT / Blockchain-Ökosysteme im Spannungsfeld mit der …DLT / Blockchain-Ökosysteme im Spannungsfeld mit der DSGVO Reza Hedayat Head of Security Innovation Datenschutz-Forum Schweiz