Skip to main content

Artikel · 19.02.2021

Dataansvar på blockchains

I takt med at blockchainteknologien roligt daler ned ad Gartner’s Hype Curve, finder teknologien sin plads i forskellige produkter og tjenester – ud over Bitcoin. Samtidig presser de juridiske spørgsmål, der knytter sig til teknologien og som førhen er blevet skubbet til side grundet teknologiens tidlige stadie, sig på. Det gælder ikke mindst et af de helt store, når man snakker blockchain: databeskyttelse.

Denne artikel handler om, hvornår man er dataansvarlig ved brug af blockchainteknologien og konkluderer overordnet, at svaret afhænger af, hvordan blockchainen er indrettet, og hvordan man vælger at bruge den.

Indledningsvist skal nævnes, at artiklen forudsætter et vist kendskab til blockchainteknologien og dens begreber. Er man helt grøn på den front, henvises til en start til de mange gode internetartikler og YouTubevideoer, der efterhånden findes om emnet.

Blockchain og GDPR – en hvepserede

Hvordan kan man som virksomhed leve op til sine forpligtelser i databeskyttelsesforordningen (GDPR), når man gør brug af blockchainteknologien? Det er et spørgsmål, de fleste – særligt de, der rent faktisk arbejder med teknologien – helst undgår at tænke over. For svaret kan hurtigt blive uoverskueligt.

Det er da heller ikke meningen med denne artikel at afdække hele emnet. Det er stof til universitetsafhandlinger. Artiklen berører et væsentligt delemne, nemlig hvor dataansvaret skal placeres, når man bruger blockchainteknologi.

For en virksomhed, der vil arbejde med teknologien, er det afgørende at have en idé om, hvorvidt man er dataansvarlig for de personoplysninger, der behandles på ens blockchains. Er man dataansvarlig, stiller GDPR nemlig store krav. Flere af dem kan være vanskelige - for ikke at sige umulige - at efterleve alene på grund af den måde, teknologien er indrettet på. Håndtering af disse krav behandles ikke i artiklen her, men i en opfølgende artikel.

Der kan ikke opstilles et endeligt facit for, hvornår man er dataansvarlig, når man bruger blockchainteknologi. Svaret afhænger af, hvordan blockchainen er indrettet, og hvordan man vælger at bruge den.

Blockchainteknologiens mangfoldighed

Blockchainteknologien, også kaldet Distributed Ledger Technology (eller, DLT), fås efterhånden i alle mulige varianter – et biprodukt af, at teknologien siden dens opfindelse i 2009[1] har været offentligt tilgængelig.

Grundlæggende er blockchain en databaseteknologi, der ved hjælp af kryptografi sikrer indholdets integritet. Det er en teknologi, på samme måde som 5G og halvlederchips er teknologier - man kan bruge den som en del af sit produkt for at opnå en bestemt funktionalitet.

Blockchains fås åbne (dvs. alle kan få adgang, fx Bitcoin[2] og Ethereum[3]), lukkede (adgangen styres ofte af en eller flere virksomheder eller organisationer, hvor blockchainen bruges som en del af et produkt eller tjeneste, fx Maersks og IBM’s TRADELENS[4]) eller hybrider derimellem. De fås med proof-of-work (såsom Bitcoin), proof-of-stake (som Ethereum netop er konverteret til fra oprindeligt at være proof-of-work[5]) eller andre proof-of-x konsensusmekanismer. Flere har endda lavet egne afarter af blockchainteknologien, f.eks. IOTA[6] (specifikt henvendt IoT, deraf navnet), som bl.a. tæller en dansk medstifter, som har lavet en ”tangle”-variant af blockchainteknologien, der fungerer som infrastrukturen til håndtering af tjenestens mikrotransaktioner.

Når man ved, hvordan blockchainen er indrettet, og hvordan man har tænkt sig at bruge den, er udfordringen at proppe teknologien ind i de kasser, databeskyttelseslovgivningen har defineret.

Den dataansvarlige er den, der bestemmer hvorfor og hvordan

Ifølge artikel 4, nr. 7 i GDPR bestemmer den dataansvarlige formålet (hvorfor[7]) med behandling af personoplysninger og med hvilke hjælpemidler (hvordan[8]), behandlingen skal ske. Et hjælpemiddel kan eksempelvis være blockchainteknologi. Selvom bestemmelse over formål og hjælpemidler efter ordlyden i GDPR tyder på at være lige vigtige for at identificere den dataansvarlige, har med tiden både praksis og vejledninger slået fast, at formålet er det primære kriterium – altså hvem der bestemmer formålet med behandlingen. Man kan sagtens have situationer, hvor den dataansvarlige alene bestemmer formålet med behandlingen, mens en databehandler bestemmer alle hjælpemidlerne, men ikke den anden vej rundt[9].

Typisk bestemmer man formålet, hvis behandlingen foregår i ens egen interesse. Så hvis en virksomhed tilbyder en tjeneste, der anvender blockchainteknologi, og der i den forbindelse behandles personoplysninger – fx ved registrering på blockchainen – vil virksomheden som udgangspunkt være dataansvarlig for de pågældende personoplysninger. Det vil dog ikke altid være tilfældet.

Eksempel 1: Simpel kryptovalutatjeneste

Et eksempel i den lave ende af kompleksitetsskalaen kunne være en virksomhed, der driver en platform, hvor brugerne kan overføre kryptovaluta til hinanden.

For at kunne overføre valuta kræves en adresse på afsender, en adresse på modtager, beløbet og et tidsstempel. Adresserne er almindeligvis et unikt ID, der identificerer brugerens e-wallet. Tilhører en e-wallet en fysisk person, betragtes adressen som en personoplysning[10]. Tilhører den en virksomhed, er adressen ikke en personoplysning, dog med undtagelse af enkeltmandsejede selskaber og formentlig også interessentskaber[11].

I denne situation er det virksomheden bag platformen, der har bestemt, at platformen skal fungere på en måde, der kræver, at brugeren identificerer sig ved hjælp af en unik adresse. Virksomheden bliver således dataansvarlig for adresserne på blockchainen, der relaterer sig til fysiske personer. Det indebærer bl.a., at virksomheden skal rette urigtige oplysninger, slette oplysninger, hvor der ikke længere er et legitimt behandlingsformål, osv. Fungerer blockchainen som Bitcoins blockchain, hvor transaktionshistorikken ikke kan ændres eller slettes[12], er dette praktisk talt umuligt.

Var tjenesten i ovennævnte eksempel kun målrettet erhvervsdrivende, ville virksomheden måske mene, at man ikke behandler personoplysninger på sin blockchain. Det er til dels korrekt. Som nævnt ovenfor er kun fysiske personers oplysninger beskyttet af GDPR. Derfor vil selskabers oplysninger, f.eks. adresse, kontooplysninger, e-walletadresse osv., ikke være personoplysninger. Men da praksis er, at man rent databeskyttelsesretligt identificerer enkeltmandsejede virksomheder og mindre I/S’er med deres ejere, vil oplysninger om sådanne virksomheder udgøre personoplysninger.

Den eneste måde, virksomheden i dette tilfælde reelt vil kunne undgå at behandle personoplysninger, er, hvis den kun tillader virksomheder, der ikke er enkeltmandsejede selskaber eller interessentskaber, adgang til tjenesten. Det vil kræve skarp kontrol med, at tjenestens brugere ikke opretter personlige e-wallets eller e-wallets tilknyttede specifikke medarbejdere, da adresserne i så fald alligevel vil være personoplysninger.

Eksempel 2: Smart contract-platform

Selv om produktets kompleksitet øges, gælder samme betragtninger. Tillader man brugere at oprette smart contracts (selveksekverende aftaler, der ”lever” på blockchainen), er man fortsat dataansvarlig i det omfang, man har indrettet tjenesten sådan, at den kræver behandling af personoplysninger. Almindeligvis vil ”fødsel” af en smart contract på en blockchain kræve, at adressen på dens skaber er indlejret i kontrakten, dvs. tilgængeliggøres på blockchainen. Er det tilfældet – og er skaberen en fysisk person – er der atter tale om en behandling af personoplysninger. Virksomheden, der har sat blockchainen i verden og har valgt at benytte en smart contract-funktionalitet, der kræver adressens indlejring, vil således være dataansvarlig for behandling af e-walletadressen. Det samme gælder for øvrige personoplysninger, der er påkrævet at behandle af tjenesten.

Selv hvis smart contracten ikke krævede indlejring af skaberens adresse i kontrakten, vil der formentlig på blockchainen findes en transaktion, hvor skaberen ”føder” kontrakten og som vil indeholde skaberens adresse og adressen på smart contracten. Smart contractens ageren på blockchainen vil derfor være kædet sammen med skaberen.

Giver man brugeren mulighed for selv at indlejre oplysninger i kontrakten, eksempelvis via et fritekstfelt eller lignende, bliver vurderingen sværere. Her må det være afgørende, hvorvidt virksomheden, der har sat blockchainen i verden, direkte eller indirekte bestemmer, at de pågældende oplysninger skal indlejres i kontrakten. Her er formålet med tjenesten et vigtigt fortolkningsbidrag, herunder om blockchainen er åben eller lukket.

Benyttes blockchainen – og dermed tjenesten, der benytter sig af teknologien – til et formål, der er bestemt af virksomheden, og ligger behandling af de pågældende personoplysninger i naturlig forlængelse af tjenestens formål, vil virksomheden som udgangspunkt være dataansvarlig for behandlingen. Har man eksempelvis lavet en musikstreamingtjeneste, hvor betaling foregår som mikrobetalinger pr. afspilning, vil man være dataansvarlig for oplysninger omkring, hvor mange gange en bruger har hørt en bestemt sang.

Er tjenesten og den underliggende blockchain derimod ikke tiltænkt et specifikt formål, og er den endda åben for alle, er vurderingen mere vanskelig.

Et eksempel kunne være en tjeneste, hvor brugerne kan oprette smart contracts til alverdens formål. En sådan tjeneste tilbyder, blandt andre, Ethereum Foundation, der promoverer decentraliserede applikationer (eller, dapps), som deres brugere selv har udviklet, og som fødes og lever på Ethereums blockchain. Ethereum har meget lidt kontrol over, hvilke applikationer brugerne sætter i verden – noget de på hjemmesiden aktivt flager med som en styrke ved platformen. Det er altså ikke Ethereum, der bestemmer, hvordan deres dapps skal opføre sig, herunder hvilke personoplysninger de skal indsamle. Det gør deres brugere. Ethereum vil derfor næppe være dataansvarlig for de personoplysninger, der bliver behandlet via deres brugeres dapps, dog med undtagelse af de personoplysninger, der er nødvendige for selve oprettelsen og fødslen af kontrakten. Det kunne som før nævnt være skaberens e-wallet-adresse. Hvad angår behandling af andre personoplysninger, der ikke er nødvendige i denne sammenhæng, vil Ethereum formentlig nok kunne kategoriseres som databehandler – selvfølgelig kun i det omfang, brugeren er dataansvarlig.

Situationen ligner den, hvor en cloudhostingudbyder kræver, at brugerne opretter en konto med sin e-mailadresse. Udbyderen vil være dataansvarlig for brugerens e-mail, da hostingudbyderen behandler den til egne formål (=identifikation af sine kunder). Filerne, som brugeren uploader til tjenesten og som indeholder personoplysninger, vil hostingudbyderen imidlertid ikke være dataansvarlig for. I det omfang brugeren er dataansvarlig for behandling af personoplysninger på platformen, vil hostingudbyderen efter omstændighederne kunne være databehandler.

Brugeren kan være dataansvarlig

Det er altså ikke kun virksomheden, der kan være dataansvarlig. Det kan også brugeren, hvis den pågældende behandler andres personoplysninger. Brugeren, der overfører valuta fra sig selv til en anden eller indgår en smart contract med en anden, er som udgangspunkt dataansvarlig for personoplysningerne om den anden part, der behandles i den forbindelse, herunder registreres på blockchainen. Det skyldes, at brugeren afgør hvorfor oplysningerne skal behandles (at overføre valuta til eller indgå kontrakt med) den anden part.

Det kan måske virke besynderligt, da brugeren ikke har nogen indflydelse på, hvordan oplysningerne behandles på blockchainen. Synspunktet synes dog at stemme overens med EU-Domstolens nuværende, temmelig udvidede fortolkning af begrebet dataansvarlig[13].

Tilfældene vil dog i nogle tilfælde omfattes af undtagelsen for behandlinger foretaget af fysiske personer som led i rent personlige eller familiemæssige aktiviteter, hvilke falder uden for GDPR’s anvendelsesområde. Det er imidlertid kun tilfældet ved private blockchains, hvor oplysningerne derpå ikke bliver gjort tilgængelige for et ubestemt antal personer[14]. Og sker overførslen til en virksomhed, er der som hovedregel ikke tale om personoplysninger.

Det efterlader dog principielt enkeltmandsejede virksomheder og interessentskaber samt fysiske personer, der ikke er omfattet af førnævnte undtagelse, i en situation, hvor de kan være dataansvarlige for personoplysninger, der behandles på en blockchain, som de ikke har nogen reel kontrol over.

”Miners” eller ”nodes” er næppe dataansvarlige

Særligt ved blockchainteknologiens fødsel, hvor Bitcoin var den eneste kendte anvendelse, var bekymringen, at alle, der stillede deres computerkraft til rådighed for at validere transaktionerne på blockchainen (de såkaldte ”miners”), og alle der lå inde med en kopi af blockchainen (”nodes”) ville blive dataansvarlige. Tanken opstod blandt andet, fordi der hos miners og nodes (som regel) ligger en fuld kopi af den samlede blockchain.

Når man som enten node eller miner ligger inde med en kopi af blockchainen, er der ikke den store tvivl om, at der sker en behandling af personoplysninger (hvis der da er personoplysninger på den).

Nodes spiller en passiv rolle ved at sprede nye transaktioner ud i blockchainnetværket, som de foretages, og ligger typisk inde med en fuld kopi af blockchainen. De følger reglerne, som blockchainnetværket opererer under, og ”frastøder” transaktioner, der ikke følger reglerne. Det synes derfor svært at argumentere for, at nodes bestemmer formålet med behandlingen af personoplysninger på blockchainen. Nodes er en integreret del af blockchainens infrastruktur og kan derfor i GDPR’s øjne snarere kategoriseres som værende et ”hjælpemiddel” til behandling af personoplysninger.

Mineren er også en node[15], men spiller en mere aktiv rolle, da mineren som før nævnt validerer nye transaktioner og tilføjer dem til blockchainen ved at følge blockchainens procedure herfor (f.eks. proof of work eller proof of stake). Miners vil dog sjældent være dataansvarlige – i hvert fald ikke ved brug af de mere traditionelle konsensusmekanismer såsom proof-of-work eller proof-of-stake, hvor konsensus opnås via en automatiseret, koordineret indsats mellem de deltagende miners i blockchainnetværket.

Det er vanskeligt at forestille sig en konsensusmekanisme, hvor mineren udøver bestemmelse over formål og hjælpemidler på en sådan måde, at mineren ville blive dataansvarlig, og som samtidig ville kunne kategoriseres effektivt. På den anden side er det ikke helt utænkeligt, at en blockchain blev indrettet på en måde, hvorpå visse transaktioner – mod f.eks. et større transaktionsgebyr – kunne blive udskilt til validering af udvalgte mennesker eller blev valideret med delvis menneskelig involvering. Det kunne f.eks. være overførsel af særligt følsomme oplysninger, som man vil være helt sikker på, ikke havner i forkerte hænder. Under sådanne omstændighederne vil mineren også kunne være dataansvarlig.

Når mineren – hvilket oftest vil være tilfældet – ikke er dataansvarlig, er spørgsmålet så, om mineren er databehandler. Samme spørgsmål er relevant for nodes.

Det forudsætter i første omgang, at behandlingen foretages på vegne af en dataansvarlig.

Den dataansvarlige kan være virksomheden, der udbyder den blockchainbaserede tjeneste eller brugeren af tjenesten (eller endda begge to – se nedenfor).

Er der en eller flere dataansvarlige, er spørgsmålet dernæst om valideringen af den pågældende transaktion og tilføjelsen heraf til blockchainen – hvad end det er en kryptovalutaoverførsel eller en smart contract-handling – er en behandling på vegne de(n) dataansvarlige.

Det må som udgangspunkt siges at være tilfældet. Mineren kan være databehandler for brugeren, der foranlediger transaktionen og er dataansvarlig herfor, da mineren i så fald behandler personoplysninger på brugerens instruks. Mineren kan også være databehandler for virksomheden, i det omfang virksomheden er dataansvarlig for transaktionen, da mineren ved at være en del af virksomhedens blockchainnetværk accepterer, at validering af transaktioner sker ved behandling af personoplysninger på dennes vegne (=instruks). Det samme må være tilfældet for nodes, der – om end behandlingen har mere passiv karakter end minerens – ved at sprede nye transaktioner på netværket således behandler personoplysninger på vegne af de parter, der er dataansvarlige for transaktionen.

Har man således konstateret, at man som virksomhed – og eventuelt sine brugerne – er dataansvarlig for personoplysninger på blockchainen tilknyttet tjenesten, og gør man brug af konsensusmekanismer, der indebærer behandling af personoplysninger, gør man klogt i at få indgået databehandleraftaler med sine nodes og miners.

Fælles dataansvar kan opstå – navnlig i lyset af nyere praksis

Hvis virksomheden, der stiller den blockchainbaserede tjeneste til rådighed for brugeren, er dataansvarlig for behandlinger på blockchainen, vil virksomheden efter omstændighederne kunne blive fælles dataansvarlige med sine brugere.

I nyere praksis er der bl.a. fundet fælles dataansvar mellem Facebook og deres brugere (hhv. Wirtschaftsakademie[16], i forbindelse med oprettelse af Facebook Sites, og Fashion ID[17], i forbindelse med indlejring af Like-knappen på eget website) samt trossamfundet Jehovas Vidner og deres medlemmers forkyndelsesvirksomhed[18]. Afgørelserne markerer en tydelig linje fra EU-Domstolen, hvorefter der ikke skal særlig meget til, før der er tale om fælles dataansvar.

Navnlig Wirtschaftsakademie og Fashion ID er velegnede til at belyse, hvordan en domstol måtte se på fælles dataansvar ved brug af blockchainteknologien.

I Wirtschaftsakademie fastslog Domstolen, at det at benytte et socialt medie ikke i sig selv betyder, at brugeren blev fælles dataansvarlig med mediet for de behandlinger, mediet er dataansvarlig for[19]. Men da brugeren i dette tilfælde ved at oprette et site gav Facebook adgang til at placere en cookie på den besøgendes enhed, bidrog brugeren til at afgøre formålet med behandlingen og hjælpemidlerne dertil.

Man bør kunne overføre ræsonnementet til blockchaintjenester således, at det at brugere benytter en blockchainplatform i sig selv ikke betyder, at brugeren bliver fælles dataansvarlig med den virksomhed, der stiller platformen til rådighed, for den behandling, virksomheden foretager på platformen.

Opretter brugeren imidlertid en smart contract, der indsamler og behandler andres personoplysninger, ligner situationerne den i afgørelsen: Virksomheden tilbyder via platformen oprettelse af en smart contract (i Wirtschaftsakademie, en Facebookside), der sætter brugeren i stand til at indsamle personoplysninger (i Wirtschaftsakademie, via en cookie) om andre, der interagerer med smart contracten (i Wirtschaftsakademie, Facebooksidens besøgende).

Samme konklusion nåede EU-domstolen i Fashion ID[20], hvor oplysningerne blev indsamlet via det script, der bruges, når man indlejrer Facebooks Like-knap på sit website. Det var endda til trods for Generaladvokatens forudgående advarsel om en for bred fortolkning og anvendelse af begrebet fælles dataansvarlige[21].

Er der tale om et fælles dataansvar, vil man skulle indgå aftale med sine brugere om, hvordan ansvaret og forpligtelserne i henhold til forordningen skal fordeles, navnlig hvor og hvordan brugerne kan udøve sine individuelle rettigheder. Se bl.a. Facebooks joint controller addendum[22] tilføjet i kølvandet på Wirtschaftsakademie-dommen.

Som praksis ser ud nu, er der altså risiko for, at udbydere af blockchainbaserede tjenester i nogle tilfælde kommer til at slås med håndtering af fælles dataansvar.

Opsummering

Som artiklens længde kunne antyde, er det ikke ligetil at vurdere dataansvaret ved brug af blockchainteknologi. Det kræver inddragelse af alle relevante forhold, tekniske såvel som forretningsmæssige.

De tekniske detaljer, herunder hvordan blockchainen er indrettet, og hvordan den forretningsmæssigt anvendes, har betydning for fastlæggelsen af, hvem der bestemmer hvorfor og hvordan personoplysningerne på blockchainen behandles.

Brug af smart contract-funktionalitet komplicerer tingene, og man skal gøre sig klart, hvad formålet med tjenesten er, og hvilke oplysninger der er nødvendige for at opnå formålet – og ikke mindst hvilke oplysninger, der ikke er nødvendige.

Når man til den konklusion, at man er dataansvarlig for personoplysninger på sin blockchain, vil de miners, der hjælper med at validere blockchainens indhold, også efter omstændighederne være databehandlere. I så fald skal man sikre, at der indgås en databehandleraftale med sine miners. På samme måde skal man, hvis man vurderer, at ens brugere er dataansvarlige i nogle tilfælde, finde ud af, om miners i disse tilfælde er databehandlere for dem.

Man skal derudover overveje i hvilket omfang, man selv er databehandler for sine brugere og sikre sig det nødvendige databehandleraftalegrundlag i denne sammenhæng.

Og endelig – navnlig som retspraksis ser ud for tiden – kan man komme ud i den situation, at man som virksomhed er fælles dataansvarlig med sine brugere for behandling af personoplysninger på sin blockchain. I så fald skal der indgås en aftale om delt dataansvar, navnlig hvordan de registrerede kan udøve deres rettigheder og over for hvem.

 

[1] https://bitcoin.org/da/faq#hvad-er-bitcoin

[2] https://bitcoin.org/da/hvordan-det-fungerer

[3] https://ethereum.org/en/what-is-ethereum/

[4] https://www.tradelens.com/platform

[5] https://ethereum.org/en/developers/docs/consensus-mechanisms/pos/

[6] https://www.iota.org/get-started/what-is-iota

[7] Artikel 29-gruppens WP 169 vedr. dataansvarlig og databehandler-begreberne, s. 13.

[8] Ibid.

[9] Ibid., s. 14

[10] Europa-Parlamentets undersøgelse om blockchain og GDPR (PE 634.445), 2019: Can distributed ledgers be squared with European data protection law?, s. 26ff.

[11] Henrik Waaben og Kristian Korfits Nielsen: Lov om behandling af personoplysninger – med kommentarer (2015), 3. udgave, DJØF Forlag, s. 142.

[12] https://medium.com/the-bitcoin-times/immutability-5cfeb53cd6fb

[13] Bl.a. EU-Domstolens afgørelse i C-131/12 (Google Spanien), pr. 34.

[14] EU-Domstolens afgørelse i C-101/01 (Lindqvist), pr. 47 og gentaget for nyligt i C-345/17 (Buivids), pr. 43.

[15] https://medium.com/coinmonks/blockchain-what-is-a-node-or-masternode-and-what-does-it-do-4d9a4200938f

[16] C-210/16 (Wirtschaftsakademie)

[17] C-40/17 (Fashion ID)

[18] C-25/17 (Jehovas Vidner)

[19] Wirtschaftsakademie, pr. 35

[20] Fashion ID, pr. 80

[21] Generaladvokat M. Bobeks forslag til afgørelse i sag C-40/17 (Fashion ID), pr. 73-75.

[22] https://www.facebook.com/legal/terms/page_controller_addendum