05. Januar 2022Datenschutzrecht | Privathochschulrecht, Gutachten | Digitale Transformation

International agierende Bildungsgruppe erteilt Teipel & Partner Gutachtenauftrag für Blockchain-Lösung

TEIPEL & PARTNER wurden durch eine international tätige Bildungsorganisation mit der Erstellung eines umfangreichen Rechtsgutachten beauftragt, in dem hochkomplexe Fragestellungen im Zusammenhang mit der Digitalisierung von akademischen Abschlusszeugnissen mittels der Blockchain-Technologie behandelt wurden. 

Blockchain ist weit mehr als Kryptowährung: Blockchain-Anwendungsbeispiele sind dynamisch und revolutionieren ganze Industriezweige, so beispielsweise beim Geldtranfser, bei der Datenverwaltung, bei der Digitalisierung von Patientenakten, bei g renzüberschreitenden Zahlungen, bei der Erstellung digitaler Identitäten, beim Börsenhandel, bei der Automatisierung von Geschäftsprozessen und bei noch Vielem mehr .

Unter juristischen Gesichtspunkten ist es bei der Untersuchung einer neuen Technologie notwendig, sich zunächst mit den technischen Merkmalen und den Eigenschaften auseinanderzusetzen, welche diese Technolgie kennzeichnen. Das Verständnis für die technischen Grundlagen einer Blockchain ist hierbei von erheblicher Bedeutung, da die Besonderheiten einer Blockchain erhebliche Auswirkungen auf die Datenschutzaspekte bedingen können. Hierbei ist unter anderem zu berücksichtigen, dass  "die eine" Blockchain nicht existiert. Vielmehr gibt es eine Vielzahl an verschiedenen Blockchain-Modellen, welche jeweils die grundsätzlichen Vorteile der Blockchain-Technologie nutzbar machen sollen. 

Was ist eine Blockchain?

Die zentrale Funktion der Blockchain-Architektur besteht darin, Daten dauerhaft, sicher und unabänderbar zu speichern . Trotz der zahlreichen Anwendungsvarianten einer Blockchain herrscht eine Grundfunktion bei  allen Varianten vor: eine Datenbank mit Registerfunktion . Jeder Eintrag, der in dieser Datenbank hinzugefügt wird, kann (grundsätzlich) nicht mehr verändert oder gar gelöscht werden. Zudem besteht der Vorteil darin, dass der neue Eintrag innerhalb der Blockchain für gültig erklärt werden muss. Mittels „Proof of Existence“ auf Basis der Blockchain-Technologie kann daher bewiesen werden, dass ein elektronisches Dokument zu einem bestimmten Zeitpunkt in einer bestimmten Form existiert hat. „Proof of Existence“ bedeutet, später nachweisen zu können, dass  zu einem bestimmten Zeitpunkt eine bestimmte Datei oder ein bestimmter Datenbestand vorllag. Die abgelegten Daten in einer Blockchain sind transparent, konsistent und akkurat.

Vereinfacht ausgedrückt: Die Blockchain ist eine digitales Journal der Buchführung.

Für die Hochschulen bietet sich ein eingeschränkter Zugang für die Blockchain an (private-permissioned Blockchain). Die zulassungsbeschränkte Blockchain zeichnet sich in der Regel dadurch aus, dass es eine organisierende Einheit gibt, die über Zugangsrechte zur Blockchain entscheidet. Diese Organisationseinheit, die üblicherweise durch die Hochschule betrieben werden sollte, übt die Kontrolle über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Studierenden aus, sodass sie als Verantwortlicher klassifiziert werden kann. Die Hochschule betreibt dabei sog. “Agenten”, die die Hashwerte (Prüfsummen) an die Knoten eines externen Dienstleisters übermitteln. Alle “Knoten” (Nodes) sollten durch den externen Dienstleister betrieben werden. Die “Agenten” erzeugen mittels der personenbezogenen Daten der Studierenden den Hashwert für die Inhalte des Zeugnisses und es wird eine eindeutige ID erzeugt. Nach dem Verständnis der DS-GVO können die “Agenten”  sog. Joint-Controller (=Verantwortliche) sein, denn diese entscheiden über die Mittel und Zwecke der Datenverarbeitung

Welchen Vorteil bietet die Blockchain-Technologie im akademischen Lehrbetrieb?

Sowohl für staatlich als auch privat organisierte Hochschulen bietet die Blockchain-Technologie die Möglichkeit zur Abkehr von der Papierform und stellt damitein wesentliches Element im Rahmen der Digitalisierung von Verwaltungen dar. Auch uns gedade bei Bewerbungen – ob bei Unternehmen  an Hochschulen und Universitäten – müssen die Nachweise im Regelfall elektronisch versendet oder hochgeladen werden. Dass die Erstellung von Papierdokumenten langfristig zudem nachteilig ist, liegt auf der Hand: Neben dem Aspekt der Ressourcenschonung verschlechtert das Einscannen der Dokumente oft die Qualität und die Dokumente sind dadurch auch leichter manipulierbar. Ein weiterer Mehrwert für die Hochschulen: Die aufwendige und platzintensive Archivierung von Papierakten kann  zukünftig entfallen .

Eine dezentrale Blockchain-Chain ermöglicht es den Hochschulen zudem, den Studierenden das jeweilige akademische Abschlussdokument digital und fälschungssicher auszuhändigen . Es muss dann nicht mehr aufwendig recherchiert werden, ob das jeweilige Dokument, sobald es im Rechtsverkehr verwendet wird (z.B. für Bewerbungen), echt ist. 

In technischer Hinsicht wird die Prüfsumme des Dokuments sowie die Identität der ausstellenden  Hochschule in der Blockchain unveränderbar festgehalten. Damit ist das Dokument vor Manipulation geschützt.

Wie wird das digitale akademische Abschlusszeugnis erstellt?

Die personenbezogenen Daten der Studierenden bezüglich der akademischen Abschlussdokumente werden zunächst digital „gesammelt“ (beispielsweise in Tabellenform, als .csv Dateien etc.) einschließlich der jeweiligen erreichten Noten und CreditPoints. Anschließend werden diese Werte in der Regel in sog. Hash-Werte (Prüfsummen) überführt. Ein Hash-Wert ist eine Art Prüfsumme, die rechnerisch durch eine sog. “Hash-Funktion” ermittelt wird und mit der überprüft werden kann, ob zwei Datensätze übereinstimmen. Mit der Erstellung des Hash-Wertes wird eine ID erzeugt, die den Aussteller der Prüfsumme (die Hochschule) erkennen lässt.

Die einzelnen Blöcke der Blockchain sind dann dadurch miteinander verbunden, dass der Hash-Wert der Datensätze aus dem vorherigen in den Hash-Wert des nächsten Blockes einbezogen wird. Es entsteht demnach eine Art “Hash-Kette” aller Datenblöcke, woraus sich auch die Begrifflichkeit “Blockchain” ableiten lässt. Die Kette der Blöcke ist somit unveränderbar, fälschungs- und manipulationssicher. Blockchains erlauben so eine flexible Ausgestaltung des Vertraulichkeitsgrads.

Manipulationssicher

Die dezentrale Blockchain bietet die Möglichkeit, technisch zugangsbeschränkt zu sein, d.h. der Lesezugriff und das Recht, Einträge zu schreiben ist auf einen bestimmten und bekannten Personenkreis beschränkt. 

Wie kann aus der Blockchain gelesen werden?

Der technische Ablauf stellt sich vereinfacht dargestellt folgendermaßen dar:

🔽 Das digitale Abschlusszeugnis wird zunächst lokal auf dem Web-Portal hochgeladen.

🔽 Der Hashwerte der Inhalte wird lokal gebildet.

🔽 Das Web-Portal leitet die ID an den Agenten weiter und fordert den Hash und Status aus der Blockchain an.

🔽 Der Agent liest die Daten der übermittelten ID aus der Blockchain.

🔽 Der Agent übermittelt Daten an das Web-Portal.

🔽 Wenn der Hashwert aus der Blockchain mit dem lokal erzeugten Hashwert identisch ist, ist das Abschlusszeugnis valide.

Das Lesen aus der Blockchain ist nur durch die Knotenbetreiber möglich, da diese die Integrität der Daten gewährleisten sollen. Jede Person kann die digitale Identität eines Ausstellers abfragen, wenn er dessen eindeutige Kennung kennt.

Wie der Überprüfungsprozess (Validierung) abläuft, geben die nachstehenden Grafiken in vereinfachter Weise wieder:

Validierungsprozess 

Wenn der Hash aus der Blockchain identisch mit dem lokal erzeugten Hash ist, ist das Zeugnis valide .​

Können die Einträge in deiner Blockchain wieder gelöscht werden?

Wie bereits erwähnt, können einmal hinzugefügte Einträge in einer Blockchain nicht mehr im klassischen Sinne - wie auf einer Festplatte hinterlegten Daten - gelöscht werden. Dies erscheint in prüfungsrechtlicher Hinsicht zunächst nicht unproblematisch, denn ein Widerspruchsverfahren von Studierenden gegen die Abschlussnote bzw. gegen einzelne Modulnoten kann dazu führen, dass sich die (Gesamt-) Note im Abschlusszeugnis (nachträglich) ändert, so dass in der herkömmlichen Verfahrenspraxis das alte Papierzeugnis in ein neues Papierzeugnis ausgetauscht werden musste. Damit wäre die Bekanntgabe der akademischen Abschlussnote im Rechtsverkehr im Falle eines Widerspruchs "schwebend", d.h. es tritt noch keine Bestandskraft über die Bekanntgabe der jeweiligen Gesamtnote aus dem Abschlusszeugnis ein. In diesen Fällen sollte in enger Zusammenarbeit mit dem Prüfungsamt der Status der eingetragenen Prüfsumme in der Blockchain vermerkt und die bzw. der Studierende informiert werden. Der Ersteller des Blockes muss im Falle der Änderung der personenbezogenen Daten eine neue Prüfsumme mit der gleichen ID erstellen, d.h. nur die Hochschule kann und darf die Datensätze der Studierenden aktualisieren. Der ursprüngliche Block kann nach einem erfolgreichen Widerspruchsverfahren auf ungültig gestellt werden, so dass ein neuer Block geschrieben werden kann.

Sind die Anforderungen an den Datenschutz mit der Blockchain-Technologie vereinbar?

Ebenso im Mittelpunkt des Rechtsgutachtens stand die bedeutsame Frage, ob die Blockchain-Technologie datenschutzrechtliche Belange der Studierende verletzt , wenn akademische Abschlusszeugnisse in einer Blockchain digitalisiert und gespeichert werden sollen. Hierbei war u.a. in rechtlicher Hinsicht zu klären, ob es sich bei der Verarbeitung der Daten für die Erstellung der akademischen Abschlusszeugnisse in sog. Prüfsummen (Hashwerte), die sodann in die Blockchain geschrieben werden, weiterhin um personenbezogene Daten handelt, denn die im jeweiligen Abschlusszeugnis dokumentierten Noten sind personenbezogene Daten in diesem Sinne , so dass der Schutzbereich des Grundrechts der Studierenden auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m . Art. 1 Abs. 1 GG eröffnet ist. Bei der Erstellung der Prüfsummen ist daher streitig, ob die personenbezogenen Daten der Studierenden anonymisiert werden oder ob lediglich eine Pseudoanonymisierung vorliegt. Es ist zu beachten, dass die Vorschriften der DS-GVO auf die Übermittlung der Hashwerte an den externen Dienstleister, der die Blöcke in der Blockchain schreibt, nur dann Anwendung finden können, wenn in oder durch die Blockchain personenbezogene Daten der Studierenden weiterhin im Einsatz sind. Liegen keine personenbezogenen Daten vor, muss das Datenschutzrecht auch nicht berücksichtigt werden. Dabei war zu berücksichtigen, dass der EU-Gesetzgeber konkrete Standards für eine erfolgreiche Anonymisierung der personenbezogenen Daten bislang nicht vorgegeben hat. Die Unterscheidung zwischen Anonymisierung und Pseudonymisierung ist immens wichtig, da sich daraus Konsequenzen für den Verantwortlichen der Datenverarbeitung ergibt. Wenn lediglich die Pseudonymisierung gilt, ist diese vom Anwendungsbereich der DS-GVO umfasst ist, da pseudonyme Daten nach der DS-GVO stets Personenbezug haben. Bei der Erstellung der Hashwerte müssen die Daten daher so beschaffen sein, dass es mit allen Mitteln, die vernünftigerweise eingesetzt werden könnten, unmöglich ist, die betroffene Person zu bestimmen. Klingt für die Hochschulen zunächst herausfordernd, ist aber technisch lös- und umsetzbar.

Kann ein Zeugnis überhaupt digital erstellt und ausgehändigt werden?

Ebenso war die Frage zu klären, ob die Unterschrift einer vertretungsberechtigten Person der Hochschule unter akademischen Abschlusszeugnissen durch eine elektronische Unterschrift überhaupt ersetzt werden kann. Dies würde zunächst voraussetzen, dass für die Verleihung von akademischen Abschlusszeugnissen und Graden die Schriftform normativ vorgeschrieben ist. Auf den ersten Blick eine einfache Frage, aber bei näherer Betrachtung erforderte die Prüfung eine umfangreiche Recherche mit dann doch eindeutigem Ergebnis. Zunächt mussten die allgemeinen Verfahrens- und Formvorschriften darauf hin überprüft werden, ob es eine ausdrückliche Formvorschrift bei der Frage der Unterschrift unter einem akademischen Abschlusszeugnis gibt. Grundsätzlich ist der Verwaltungsakt i.S.d. § 35 S. 1 VwVfG formfrei; er kann mündlich, schriftlich, elektronisch oder in anderer Weise erlassen werden. Es gilt gem. § 37 Abs. 2 S. 1 der Grundsatz der Formfreiheit des Verwaltungsakts. Etwas anderes gilt nur dort, wo das Gesetz ausnahmsweise eine bestimmte Form vorschreibt. Festgestellt werden konnte, dass die Verleihung akademischer Grade eine beweiskräftige Dokumentation eines erreichten wissenschaftlichen Leistungsstandes bzw. einer wissenschaftlichen Qualifikation ist, woraus sich wiederum bestimmte Anforderungen an die Schriftform ergaben und ob diese durch eine elekronische Unterschrift ersetzt werden kann.

Weitere rechtliche Fragestellungen

Ein weiterer wichtiger und zu berücksichtigender Aspekt bei der Speicherung der Prüfsummen in der Blockchain stellt die Thematik digitale Identitäten von Studierenden dar, da sich bestimmte Identitätsdaten im Laufe des Lebens, z.B. durch Heirat, ändern. Auch für diesen wichtigen Aspekt haben wir in unserem Gutachten für die Praxis digitale Lösungsmöglichkeiten angeboten.

Zivilrechtliche Vertragsgestaltung nicht außer Acht lassen

Darüber hinaus war Gegenstand des Gutachtens, wer Auftragsverarbeiter i.S.d. der DS-GVO ist und welche zivilrechtlichen Aspekte bei der Vertragsgestaltung zwischen der Hochschule und dem Autragsverarbeiter zu beachten sind. Es bietet sich an, das Schreiben der Blöcke in die Blockchain durch einen externen Dienstleister vornehmen zu lassen. Die Rechte und Pflichten zwischen der Hochschule und dem externen Dienstleister bedürfen  einer rechtssicheren Vertragsgrundlage. 

Haftungsfragen sind unbedingt zu beachten

Ebenso waren Haftungsfragen Gegenstand des Gutachtens, denn bei Verstößen gegen die Regelungen der DS-GVO drohen für die Verantwortlichen hohe Geldbußen. An dieser Stelle galt es, aufzuzeigen, wo Haftungsfallen auftauchen könnten und wie diese im Hochschulalltag zu vermeiden sind. Wichtig sind praxisnahe und umsetzbare, rechtssichere Lösungen

TEIPEL & PARTNER  haben dezidiert den umfangreichen Fragenkomplex sowohl in theoretischer als auch in praktischer Hinsicht beleutet und sowohl rechtliche als auch digitale Handlungsempfehlungen, die im Hochschulalltag verwertbar sind, ausgesprochen, um die äußerst begrüßenswerte digitale Entwicklung im Hochschulsektor weiter - auch in rechtlicher Hinsicht - voranzutreiben.

Das Blockchain-Projekt für Hochschulen stellt ein richtungweisendes Vorhaben dar, um die aktuellen wie künftigen Anforderungen im Bildungsbereich bereits jetzt annehmen zu können. Ich blicke gespannt auf die weitere Entwicklung, etwa im Hinblick auf GAIA-X, die wir gerne begleiten und fachkompetent unterstützen werden. 

Christian Teipel

Share

Diese Internetseiten verwenden Cookies. Alle eingesetzten Cookies sind essenziell und ermöglichen es, die Webseite nutzen zu können. Weitere Informationen über den Einsatz von Cookies: Datenschutz | Impressum