So international sie auch konzipiert sind und nationaler Einengung zu entkommen trachten: Blockchains stoßen mehr und mehr auf staatliche Rechtsschranken, mit denen sie klarkommen müssen – und, richtig angelegt, auch können.Im Wertpapierrecht hat sich jüngst die US-Börsenaufsicht kritisch zu Wort gemeldet, was die Ausgabe von Blockchain Tokens als verdeckte Wertpapieremission betraf. Die Behörden Singapurs, Kanadas und der Schweiz folgten, während China und Südkorea Initial Coin Offerings gänzlich verbieten wollen. Zudem schließen chinesische Handelsplätze in Kryptowährungen auf behördlichen Druck. Und die erstmals nach europäischen Datenschutzmaßstäben vorgenommene Beurteilung einer ungarischen Behörde stellt Entwickler internationaler Blockchains vor neue Herausforderungen.Und in Deutschland? Die BaFin-Ausführungen zu den vom Ausland aus in Deutschland via Internet angebotenen lizenzpflichtigen Geschäften geben erste Hinweise, wen man dort unter wertpapier- und bankaufsichtsrechtlichen Gesichtspunkten für zuständig hält: Ein Angebot gilt bei einem inhaltlichen Zuschnitt der Website auf den deutschen Markt als im Inland erfolgt. Für eine solche Ausrichtung könnte eine de-Domain, die deutsche Sprache oder ein deutscher Ansprechpartner für Rückfragen sprechen. Selbstverständlich kann auch ein Absatz von Bank- oder Finanzdienstleistungen an inländische Kunden aus behördlicher Sicht eine Ausrichtung des Angebots auf den deutschen Markt nahelegen. Mit behördlichem Interesse ist zusätzlich in Drittländern zu rechnen, wenn lizenzpflichtige Geschäfte in erheblichem Umfang mit dort inländischen Kunden gemacht werden.Zur Vermeidung bestimmten nationalen Aufsichtsrechts kann dann auch ein ausdrücklicher Ausschluss bestimmter Nutzer erforderlich werden – eigentlich das Gegenteil dessen, wofür Blockchain steht, aber in der Zukunft wohl ebenso nötig wie Reichweitenbeschränkungen in Emissionsprospekten beim klassischen IPO.Ungemach droht ferner durch den Datenschutz, derzeit in Europa noch mitgliedstaatlich, ab Mai 2018 zentral durch europäische Normen geregelt. Unter datenschutzrechtlichen Gesichtspunkten erweist sich nämlich gerade das Charakteristikum der Blockchain-Technologie als misslich, für jede Transaktion sämtliche vorangehenden Blocks samt den darin enthaltenen Daten auf einer dezentralen Datenbank auf mehreren Rechnern unabänderlich und für alle Nutzer einheitlich einsehbar fortzuschreiben.Der Datenschutz erstreckt sich nicht nur auf personenbezogene Daten in der klassischen Form wie Name, Adresse etc. Er tut dies auch auf bei der Blockchain nicht selten anzutreffende pseudonymisierte Information, sofern sich unter zulässiger Heranziehung von Zusatzinformation ein Personenbezug herstellen lässt. Weil der weite datenschutzrechtliche Verarbeitungsbegriff obendrein jede Datennutzung auf der Blockchain erfasst, findet er auch auf alle Beteiligten Anwendung. Nur erscheint die Bestimmung des datenschutzrechtlich Verantwortlichen dann schon schwieriger: Bezugspunkt datenschutzrechtlicher Pflichten ist bei der zulassungsfreien, also für jedermann zugänglichen Blockchain dann auch jeder Nutzer, weil er Daten für eigene Zwecke verarbeitet. Immerhin können in einer zulassungsbeschränkten, organisierten Blockchain gute Gründe dafür sprechen, lediglich deren Organisator als Verantwortlichen, die anderen Nutzer hingegen als seine Auftragsdatenverarbeiter zu qualifizieren.In einer internationalen Blockchain kann ein Verantwortlicher verschiedenen Datenschutzregimes unterstehen: Ein US-Nutzer hat deutsches (und künftig europäisches Datenschutzrecht) jedenfalls dann zu beachten, wenn er personenbezogene Daten in Deutschland verarbeitet. Verarbeitet er hingegen in den USA, unterliegt er nicht nur amerikanischem Recht, sondern hat bei Anbieten von Dienstleistungen in Deutschland weiter europäisches Recht samt seinen Drittstaatentransferregeln zu beachten. Jede weitere Jurisdiktion in der Kette kann die datenschutzrechtliche Komplexität für den Nutzer erhöhen. DatenschutzbedenkenAbhängig vom anwendbaren Recht kann der Verantwortliche dem datenschutzrechtlich Betroffenen zur Information, Auskunft, Berichtigung oder Löschung von Daten verpflichtet sein. Ein besonderes Spannungsverhältnis besteht dann auch noch zwischen der technologisch geforderten Unabänderlichkeit der gespeicherten Daten und dem künftig europäisch regulierten Recht auf Vergessenwerden.Aufsichtsbehördliche Stellungnahmen sind leider noch rar und sachlich dringend erwünscht: Im Oktober 2016 informierte der Europäische Datenschutzbeauftragte über eine beginnende Auseinandersetzung mit der Technologie und forderte deren datenschutzfreundliche Ausgestaltung; die ungarische Datenschutzbehörde hat sich im August 2017 insbesondere zu Fragen der internationalen Blockchain geäußert und den jeweiligen Verarbeitungsort als für die Bestimmung des anwendbaren Datenschutzrechts maßgeblich erklärt. Eine EU-weit abgestimmte Position wäre sehr willkommen, um datenschutzgerechter Technikgestaltung regulatorisch entgegenkommen zu können.—-Klaudius Heda, Rechtsanwalt, Debevoise & Plimpton LLP —-Friedrich Popp, Rechtsanwalt, Debevoise & Plimpton LLP