1.
Datenschutz, Blockchain und Self-
Sovereign Identity
Mag. Jakob Zanol
1
basierend auf Zanol/Czadilek/Lebloch, Self-Sovereign Identity und Blockchain
in Schweighofer/Kummer/Saarenpää/Schafer (Hrsg.) Tagungsband des 21. Internationalen Rechtsinformatik Symposions -
IRIS 2018 (2018) 235.

2.
Agenda 1. Self-Sovereign Identity und Blockchain
2. Daten auf der Blockchain
3. Personenbezug
4. Zulässigkeit der Verarbeitung
2

3.
Self-Sovereign Identity - das Konzept
● Self-Sovereign Identity
● Digitales Identitätsmanagement
● Identitätsattribute (Name, Geburtsdatum, etc. [claims]) in der Kontrolle des
Users
● Blockchain (DLT; hier: public und permissioned bzw. permissionless)
● unterschiedliche Verwendung der Blockchain (verschlüsselte
Identitätsattribute, Hashwerte oder DID-Dokumente)
3

4.
Daten auf der Blockchain – Datenschutz?
1. Identitätsattribute
2. Hashwert der Identitätsattribute
3. DID-Dokument
4

5.
Personenbezogene Daten?
1. Identitätsattribute?
(Haarfarbe, Persönlichkeit - aber auch: Name, Geburtsdatum,
Adresse, etc.)
→ regelmäßig Identifikatoren, aus denen sich ein
Personenbezug ergibt
5

6.
Personenbezogene Daten?
2. Hashwert der Identitätsattribute
Rückführbarkeit durch Verwendung von Salts sicherer
Hash-Funktion (z.B. SHA-256) derzeit wohl
auszuschließen
Erwägungsgrund 26 DSGVO:
Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen
Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür
erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare
Technologie und technologische Entwicklungen zu berücksichtigen sind.
→ unter Berücksichtigung der Unveränderlichkeit der Blockchain? 6

7.
Personenbezogene Daten?
3. DID-Dokument
URL und public key
URL à IP-Adresse
(EuGH 19.10.2016 C-582/14 - Breyer)
7

8.
DID und DID Documents
● Decentralized Identifier (DID)
○ “did:”
○ Methode
○ Specific ID-String
● DID Document
○ DID
○ Service Endpoints (URL)
○ Public Keys
○ Eigentümerschaft (Self/Guardian)
8

9.
Beispiel eines Identitätsnachweises
9Quelle: Sovrin: A Protocol and Token for Self-Sovereign Identity and Decentralized Trust, Version 1.0, January 2018
https://sovrin.org/wp-content/uploads/Sovrin-Protocol-and-Token-White-Paper.pdf

10.
Zulässige Verarbeitung
● Erlaubnistatbestände?
● Unveränderlichkeit der Blockchain (Widerruf?, Beendigung des
Vertrages?, Berechtigte Interessen?)
→ nach Wegfall des Vertrages/Widerruf der Einwilligung nur noch
der Rechtfertigungsgrund der berechtigten Interessen
● Betroffener als Verantwortlicher der Speicherung?
10

11.
Zulässige Verarbeitung
● Art 9 Abs 2 lit e DSGVO:
[Verbot des Abs 1 gilt nicht in folgenden Fällen:]
“[...] die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich
gemacht hat”
● Veröffentlichung durch den Betroffenen immer auch Erlaubnis
zur Verarbeitung?
● In bestimmten Fällen Anlehnung an die Einwilligung (informiert,
freiwillig, Zeitpunkt, Koppelungsverbot) geboten?
11

12.
Vielen Dank!
CL+B
FEST
2018
12