Der BigBrotherAward in der Kategorie „Technik“ geht als symbolischer Preis an die Bundesdruckerei, vertreten durch den Geschäftsführer Stefan Hofschen,
für ihr Leuchtturmprojekt „Digitale Schulzeugnisse“, welches die Blockchain-Technologie befördert, die erhebliche Datenschutzimplikationen haben kann.
„Macht mal was mit Blockchain“ – Diesen Satz werden in den letzten Jahren viele Abteilungsleiter in Tech-Firmen von ihren Chefs gehört haben. Dabei ist es gar nicht so einfach, eine wirklich sinnvolle Anwendung dafür zu finden. Bei der Bundesdruckerei hat man wohl krampfhaft gesucht und ein Projekt aus dem Boden gestampft, welches auf den ersten Blick wie eine irre gute Anwendung für die Blockchain aussieht: Fälschungssichere, digitale Schulzeugnisse.
Blockchain, was war das nochmal?
Achja, irgendwas mit Bitcoin.
Cryptowährungen sind tatsächlich der bekannteste Anwendungsfall von Blockchain-Technik. Weil die mit viel Energieaufwand erzeugten digitalen Währungseinheiten wie Aktien gehandelt werden und zur Spekulation einladen, herrscht dort noch immer Goldgräberstimmung. Der Hype geht soweit, dass der Tag der Veröffentlichung des Bitcoin-Manifests durch seinen Erfinder mit dem Tag in Verbindung gebracht wird1, an dem Luther einst seine Thesen an die Kirchentür nagelte – beides geschah an einem 31. Oktober.
Kritisiert wird das Krypto-Geld unter anderem für den hohen Energiebedarf. Allerdings muss man das trennen: Der besonders energiehungrige Teil ist das „Schürfen“ der Währung. Die eigentliche Anwendung der Blockchain ist das digitale Kassenbuch für die Krypto-“Münzen“. Dabei wird jede Transaktion, also das erzeugte Geld und jede Überweisung von A zu B, in einer öffentlichen Blockchain gespeichert. Jede Transaktion – ein „Block“ – wird unveränderbar, weil aufeinander aufbauend in der Kette („Chain“) aufbewahrt. Jede Manipulation der Kette würde auffallen, weil die Echtheitsprüfung der nachfolgenden Elemente fehlschlagen würde. Da diese Art der Blockchain öffentlich ist, kann jede.r die Gültigkeit überprüfen und nachvollziehen. Wir haben hier also ein riesiges, öffentliches Kassenbuch.
Soweit der Exkurs in die Welt der Blockchain.
Was hat sich die Bundesdruckerei überlegt?
Die Schulen erstellen mit einer speziellen Software eine digitale Version des Schulzeugnisses, welches über eine Datenschnittstelle an die Bundesdruckerei übermittelt wird.2 Dort wird daraus eine PDF-Datei erzeugt und dafür eine Prüfsumme berechnet. Die Prüfsumme ist ein mathematisches Verfahren, um nachzuweisen, dass ein Dokument nicht manipuliert wurde. Bei der Bundesdruckerei wird diese Prüfsumme dann in einer Blockchain gespeichert – und weil in einer Blockchain die jeweils angehängten Daten aufeinander aufbauen, ist eine nachträgliche Manipulation nur schwer machbar. Wenn ein solches Zeugnis zum Beispiel bei einer Hochschule zur Immatrikulation vorgelegt wird, kann bei der Bundesdruckerei nachgefragt werden, ob das Dokument echt ist. Dort wird in der Blockchain nachgeschaut, ob die Prüfsumme stimmt.
Klingt erstmal ganz gut …
Aber braucht es dafür eine Blockchain?
Viele Anwendungen für digitale Echtheitsprüfungen lassen sich besser mit klassischen, „von oben nach unten“-Zertifikaten lösen. Also eine hierarchische Struktur des Vertrauens.
So was hat im vergangenen Jahr jede*r fast täglich genutzt: Der elektronische COVID- Impfnachweis basiert auf klassischen, kryptographischen Zertifikaten. Das RKI bestätigt, dass eine Apotheke berechtigt ist, den Nachweis auszustellen. Die Apotheke prüft den Impfnachweis und bestätigt (technisch: signiert) ihn und druckt den Barcode für die CovPass App. Auch hier gab es anfangs Begehrlichkeiten, das mittels Blockchain zu lösen. Zum Glück hat sich das nicht durchgesetzt. Da die Blockchain in kürzester Zeit enorm groß geworden wäre, hätte nur eine Online-Prüfung stattfinden können, mit entsprechenden Nachteilen. Mit dem jetzige Verfahren ist eine Prüfung sogar offline möglich, ohne dass ein permanenter Zugriff auf eine Blockchain erforderlich wird.
Was ist nun mit der Blockchain und dem Datenschutz?
Die große Gefahr in der Blockchain liegt darin, dass alle Eintragungen lückenlos nachvollziehbar sind. Das ist die Idee hinter der Blockchain. Eine nachträgliche Korrektur oder Löschung ist technisch nicht möglich. Alle Eintragungen werden aufeinander aufbauend wie in einer Kette (daher der Name) eingetragen und kryptographisch abgesichert.
Personenbeziehbare Daten in der Blockchain zu speichern, wäre ein Totalschaden für den Datenschutz, weil sich keine Daten (auch falsche oder widerrechtlich gespeicherte) löschen lassen. Ein Recht auf Vergessen ist nicht umsetzbar, die Daten wären für immer in der Blockchain gespeichert und damit auch öffentlich sichtbar.
Bei den Schulzeugnissen speichert die Bundesdruckerei nicht den Inhalt der Zeugnisse in der Blockchain, sondern nur die Prüfsumme. Dagegen ist nichts einzuwenden.
Aber stellen wir uns vor, jemand kommt auf die Idee, Personenidentitäten in der Blockchain zu speichern. Unlöschbar, unveränderbar. Also eine Art digitaler Personalausweis in der Blockchain. Die Idee hatte natürlich schon jemand: Initiativen wie id2020 oder die künftig EU-weit gültige „elektronische ID“ auf der „Europäischen Blockchain-Services Infrastruktur“ (EBSI)3 schwärmen davon, die elektronische Identität mittels Blockchain abzusichern. Wir können nur hoffen, dass dabei keinerlei Personenbezug in der Blockchain zu finden ist.
Auch bei Kryptowährungen kann es problematisch sein, dass jede Transaktion nachvollzogen werden kann – die Blockchain als kryptographisch abgesichertes, aber offen einsehbares Kassenbuch. Zwar werden Bitcoin & Co als anonyme Zahlungsmittel gehyped, sie sind jedoch bestenfalls pseudonym. Mit etwas Aufwand lässt sich oft die pseudonyme Kennung zu einer echten Identität zuordnen.
Selbst der branchennahe Verband Bitkom schreibt in seinem „Faktenpapier Blockchain“, dass „je nach Ausgestaltung der Technologie personenbezogene Daten vorliegen, wenn auch in pseudonymisierter Form“.4
Warum einen BigBrotherAward?
Wir vergeben den Preis nicht dafür, dass die Bundesdruckerei bei der Entwicklung der digitalen Zeugnisse schwere handwerkliche Fehler gemacht hat, wie zum Beispiel eine fehlende Berechtigungsprüfung bei der Eintragung in die Blockchain. Durch einen Programmierfehler konnte jeder der Blockchain Daten hinzufügen, die allerdings nicht gültig waren. So was kann bei einer Vorabversion schon mal passieren.5
Aber die Verwendung von Blockchain-Technik für die Echtheitsprüfung von Zeugnissen ist vollkommen fehl am Platz: Anstelle von klassischen, digital signierten Dokumenten, die seit vielen Jahren technischer Standard sind und die von jeder/jedem mit einfacher Software geprüft werden können, drängt sich die Bundesdruckerei mit ihrem System als zentrale Prüfinstanz auf, die immer angefragt werden muss und an der kein Weg vorbei führt. Denn die Blockchain mit den Prüfsummen soll nicht öffentlich sein – es kann also niemand außer der Bundesdruckerei die Echtheit der Zeugnisse prüfen. Eigentlich genau das gegenteilige Konzept der Blockchain.
Die Begründung, dass solche digitale Signaturen zu kompliziert seien für die Schulen, ist Quatsch. Letztendlich könnte ja der Dienst praktisch genauso ohne Blockchain funktionieren. Und eigentlich auch ohne Bundesdruckerei. Aber das ließe sich natürlich nicht so gut als Leuchtturmprojekt verkaufen.
Liebe Bundesdruckerei, hört auf uns zu erzählen, dass die Blockchain eine Must-have-Technologie für deutsche Behörden sei. Ihr lasst in der Politik falsche Ideen erwachsen, wofür sich eine Blockchain eignet, und wo man sie besser nicht einsetzen sollte. Ihr Einsatz bedarf einer umfangreichen Diskussion und der kritischen Prüfung. Stattdessen brauchen wir mehr Technologien, die die Privatsphäre schützen und darüber hinaus auch einen besseren ökologischen Fußabdruck haben als eine Blockchain.
Liebe Bundesdruckerei, herzlichen Glückwunsch zum Big Brother Award.
Laudator.in
1 thedailybeast.com: Bitcoin Threw a Massive Party in Miami and I Crashed It (Web-Archive-Link)
2 Tweet von Lilith Wittmann (Web-Archive-Link)
3 fm4.orf.at: Digitaler EU-Ausweis kommt als Blockchain-Service (Web-Archive-Link)
4 bitkom.org: Blockchain und Datenschutz – Faktenpapier (PDF)
5 heise.de: Schlechtes Zeugnis für Zeugnisse in der Blockchain (Web-Archive-Link)
