Bestimmung des Verantwortlichen
Den Verantwortlichen trifft gem. Art. 5 Abs. 2 DSGVO die Rechenschaftspflicht (sog. Accountability-Prinzip) für die Einhaltung der in Art. 5 Abs. 1 DSGVO geregelten Grundsätze des Datenschutzrechts. Definiert ist der Verantwortliche in Art. 4 Nr. 7 DSGVO als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Anders als bei einer klassischen Datenbank fehlt in einer Blockchain, also einem dezentralen Netzwerk, eine zentrale Instanz, die über die Verarbeitung entscheidet. Stattdessen ist eine Vielzahl von Stellen beteiligt, die sowohl Daten einbringen, als auch speichern und damit verarbeiten. Es besteht somit die Frage nach dem Verantwortlichen in der dezentralisierten Blockchain.
Absender
Grundsätzlich gilt der Absender einer Information als Verantwortlicher. Dies ist folgerichtig, da ihm die Entscheidung obliegt, ob, warum und wofür ein Datum verarbeitet wird. Damit entscheidet er über die Zwecke und, indem er sich des der Blockchain zugrundeliegenden Algorithmus bedient, über die Mittel der Verarbeitung.
Gemeinsame Verantwortlichkeit
Meist beruht ein Blockchain-Netzwerk und die einzelnen Verarbeitungsvorgänge auf der Mitwirkung einer Vielzahl von Personen. Neben demjenigen, der eine Information einbringt, müssen zunächst weitere Teilnehmer die Information verarbeiten. Erst anschließend wird sie den Verzeichnissen der Blockchain hinzugefügt. Wegen der Vielzahl der Beteiligten könnte deshalb auch eine gemeinsame Verantwortlichkeit (sog. „joint controllership“, Art. 26 DSGVO) angenommen werden. Eine solche wird aber zum Teil mit dem Hinweis auf regelmäßig fehlende Absprachen und mangelnden Einfluss auf die Verarbeitung anderer Beteiligter in der Blockchain grundsätzlich abgelehnt. Lediglich, wenn „gezielte, gemeinsam[e] Entscheidungen über die Verwendung der Blockchain zu einem konkreten Datenverarbeitungszweck“ getroffen werden, soll eine gemeinsame Verantwortlichkeit gegeben sein.
Teilweise wird vertreten, dass die bloße „Mitursächlichkeit für einen Datenstrom“ nicht genüge, und das Ziel der Datenverarbeitung sowie die dafür eingesetzten Mittel einheitlich bestimmt werden müssten. In Ermangelung dessen fehle es demnach bei den Teilnehmern einer Blockchain regelmäßig an einer gemeinsamen Verantwortlichkeit. Dagegen wird angeführt, dass nicht ein einzelner Teilnehmer über die Verarbeitung entscheide, sondern jeder Teilnehmer zu gleichen Teilen an der Verarbeitung der Daten beteiligt sei, weshalb grundsätzlich die gemeinsame Verantwortlichkeit aller Beteiligten anzunehmen sei. Aufgrund des Wortlauts des Art. 26 Abs. 1 S. 1 DSGVO, der eine gemeinsame Zweck- und Mittelfestlegung voraussetzt, um eine gemeinsame Verantwortlichkeit zu begründen, ist richtigerweise der Ansicht zu folgen, welche vertritt, dass nicht grundsätzlich jede Hilfeleistung der anderen Beteiligten bei der Verarbeitung eine gemeinsame Verantwortlichkeit begründen kann.
Eine Besonderheit der Nutzung einer Blockchain im Lebensmittelsektor ergibt sich daraus, dass ihre Anwendung nicht allein der Durchsetzung einzelner Individualinteressen verhelfen soll. Die Verarbeitung dient vorliegend vielmehr dem gemeinsamen Zweck der Absicherung der gesamten Versorgungskette. Hierzu bedienen sich die Beteiligten des Netzwerks, indem sie selbst Daten einbringen, aber auch indem sie solche der anderen Teilnehmer weiterverarbeiten. Die Bestimmung hinsichtlich der Zwecke der Verarbeitung erfolgt durch Beitritt deshalb zumindest konkludent. Wegen den qualifizierten gemeinsamen Zwecken, zu deren Erreichung sich die Teilnehmer der Blockchain bedienen, begründet das Zusammenwirken eine gemeinsame Verantwortlichkeit. Zum Schutze der Betroffenenrechte ist es erforderlich, dass die Verantwortlichen im Rahmen einer transparenten und nachvollziehbaren Vereinbarung ihre Verantwortlichkeiten bestimmen.