Smart Contracts – Funktion, Regulierungen & Audit
Smart Contracts sind das Ausführungsmedium der Zukunft mit beträchtlichen Auswirkungen auf die digitale Arbeitswelt – insbesondere im Internet of Things. Sie bergen ein riesiges disruptives Potential, dessen Nutzung erst am Anfang steht. Mit einer umfassender Beratung sind Sie rechtlich auf der sicheren Seite
Was ist ein Smart Contract?
Unter einem Smart Contract versteht man eine Software, die Rechtsbeziehungen bzw. Teile davon – etwa bestimmte Pflichten im Rahmen einer Vertragsbeziehung – nach bestimmten Paradigmen automatisiert ausführt („self enforcing“). Streng genommen handelt es sich also nicht um einen Vertrag, sondern um eine Software, welche eine vertragliche Vereinbarung abbildet und vollzieht. Typisch sind Codes, welche die vertraglichen Pflichten und die Folgen von Pflichtverletzungen als binäre „Wenn-Dann-Regeln“ anwenden: Wenn eine vertragliche Bedingung eintritt, dann wird eine vorher bestimmte Folge herbeigeführt.
Wie funktionieren Smart Contracts
Bei einer traditionellen Client-Server-Architektur steht der Serverbetreiber als ein vom konkreten Vertragsverhältnis unabhängiger Dritter für die Ausführung des Smart Contracts ein. Die Vertragsparteien müssen ihm vertrauen. Anders verhält es sich bei der Implementierung eines Smart Contracts in die Blockchain. Sie ist eine dezentrale Datenbank, in der Blöcke chronologisch aneinandergebunden werden. Die Blockchain wird auf vielen Computern („Nodes“) innerhalb des Netzes verteilt und als Kopie gespeichert („Distributed Ledgers“). Kommt ein neuer Block hinzu, so muss auch dieser in jeder Kopie im Netzwerk akzeptiert werden. Der Smart Contract wird von den „Nodes“ im Netzwerk autonom ausgeführt.
Da weder eine der beteiligten Parteien noch eine dritte Partei die Blockchain nachträglich verändern kann, besteht Fälschungssicherheit. Hierdurch wird das Vertrauen zwischen den Vertragspartnern gestärkt. Die dezentrale Blockchain-Architektur macht Intermediäre obsolet. Damit wird auch natürlichen Personen, die sich nicht kennen, die Möglichkeit gegeben, Vereinbarungen über das Internet zu treffen und Token (digitale Werteinheiten) zu verwenden.
Beispiel: PKW-Leasing
Als Beispiel lässt sich der Leasingvertrag über einen Pkw anführen, dessen Schloss durch einen Smart Contract nur freigeschaltet wird, wenn die Leasingrate zuvor beglichen worden ist (Smart Lock). Im Fall einer nachprüfbaren, eindeutig feststellbaren Pflichtverletzung wird der weitere Zugriff verwehrt. Bewerkstelligt wird dies im sog. Internet der Dinge („IoT“) unter Nutzung miteinander über das Internet vernetzter Gegenstände. Smart Contracts fungieren auch als „Quasi-Treuhänder“, indem sie z. B. Kryptoassets schon bei Vertragsschluss einziehen, diese aber erst nach Ablauf einer Widerrufsfrist transferieren. Erwirbt ein Anleger ein Wertpapier, das in einem Token verkörpert ist, so ist es etwa auch möglich, Rechte des Anlegers (z. B. Verbraucherwiderrufs- oder Kündigungsrechte) in den dem Token zugrundeliegenden Smart Contract einzuprogrammieren. Ein weiteres Anwendungsszenario, ist die automatisierte Zahlung bei Eintritt eines Versicherungsfalls.
Die Beispiele zeigen, dass sich Smart Contracts insbesondere dort als sinnvoll erweisen, wo Leistungen rein digital erbracht werden oder deren Erbringung zumindest digital kontrolliert und gesteuert werden soll.
Ethereum-chain für Smart Contracts
Eine verbreitete Blockchain-Solution für Smart Contracts bildet die sog. Ethereum-chain. Sie zeichnet sich dadurch aus, dass eine kostensparende Infrastruktur bereitgestellt wird, in der mit schlankem Code jede Art von Smart Contract für jede Art von Werteaustausch erstellt werden kann. Die eigens für die sog. „Ether-Smart-Contracts“ entwickelte Programmiersprache heißt „Solidity“. Nach dem Baukastenprinzip lassen sich Vertragsklauseln konzipieren und in unterschiedlicher Form technisch kombinieren. Mit Datenschnittstellen, sogenannten Oracles, lassen sich zudem weitere für die Ausführung erforderliche Informationen bereitstellen, beispielsweise zu Zahlungs- und Versandstatus, Umweltbedingungen, Wertpapierkursen und Ähnlichem. Ein Gefüge mehrerer Smart Contracts, die ineinander verschachtelt sind, sodass sie komplexe Strukturen abbilden, wird als DAO („Decentralized Autonomous Organization“) bezeichnet.
Smart Contracts funktionieren auch ohne Blockchain
Auch wenn der Prototyp eines Smart Contracts idealerweise auf einer Blockchain programmiert werden kann, hat das Konzept von Smart Contracts nicht zwingend etwas mit der Blockchain-Technologie zu tun. Das oben dargestellte Anwendungsbeispiel einer Pkw-Zugangskontrolle kann etwa auch ohne die Blockchain-Technologie im IoT umgesetzt werden. Dann würde der Smart Contract auf einem zentralen Server oder Cloud-System überwacht und ausgeführt werden.
Unverbindliches Erstgespräch zu Smart Contracts
- Potenziale von Smart Contracts für Ihr Unternehmen optimal nutzen
- Rechtlich & technisch einwandfreie Implementierung sicherstellen
- Smart Contract Audits durchführen
Welche Regulierungen und gesetzlichen Bestimmungen gibt es für Smart Contracts?
Aus vertragsrechtlicher Perspektive ist eine Differenzierung zwischen dem rechtlichen Vertragsschluss und dem technischen Vollzug desselben durch einen Smart Contract erforderlich. In der Praxis können diese Vorgänge faktisch zusammenfallen. Der Vertragsabschluss gemäß §§ 145 ff. Bürgerliches Gesetzbuch (BGB) wird durch die technische Implementierung des Smart Contracts vorbereitet. Spätestens mit dessen Ausführung, etwa durch die Auszahlung einer Versicherungsprämie, erfolgt der Vertragsschluss zumindest stillschweigend (konkludent). Jeder Smart Contract basiert daher auf einem (konkludenten) Vertrag, der die rechtliche Grundlage für die erbrachte Leistung bildet.
Data Act
Die Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, kurz Data Act, ist am 11.01.2024 in Kraft getreten. Im Zentrum der Regelung stehen Ansprüche auf Datenzugang und Datenweitergabe (data sharing) zugunsten der Nutzer von IoT-Geräten. Dies bedeutet, dass alle Hersteller von vernetzten Produkten vom Data Act erfasst sind. Darunter fallen etwa autonome Fahrzeuge und deren Bestandteile, virtuelle Assistenten, Industrieanlagen, Haushaltsgeräte, medizinische Geräte sowie Anbieter von damit verbundenen Diensten, welche beispielsweise einzelne Funktionen des vernetzten Produkts ermöglichen.
Um den betroffenen Teilnehmern, die in den Anwendungsbereich des Data Act fallen, ausreichend Zeit zu geben, sich an die neuen Vorschriften anzupassen und die erforderlichen Maßnahmen zu ergreifen, sollen die Regelungen aber erst ab dem 12. September 2025 gelten (Art. 50 Abs. 2 Data Act).
Erstmals werden in dieser Verordnung auch Smart Contracts bzw. „Intelligente Verträge“ legaldefiniert (Art. 2 Nr. 39 Data Act) und reguliert (Art. 36 Data Act).
Nach dem Willen des EU-Verordnungsgebers sollen Smart Contracts zur automatisierten Durchführung von Vereinbarungen über die Datenweitergabe oder -bereitstellung gefördert werden (Erwägungsgrund 104 Data Act). Bei der Regulierung differenziert der Data Act nicht zwischen blockchain-basierten und zentral-gesteuerten Smart Contracts; beide technischen Varianten unterliegen einer einheitlichen Regulierung.
In der IoT-Praxis können Smart Contracts den Datenaustausch durch gecodete Zugriffsregeln erleichtern. Durch eine entsprechende Programmierung kann sichergestellt werden, dass bestimmte Daten nur berechtigten Empfängern und in einem festgelegten Umfang zugänglich gemacht werden (technisches Rollen- und Berechtigungskonzept für Datenportabilität mittels Smart Contracts). Zudem können sämtliche Datenzugriffe (blockchainbasiert fälschungssicher) protokolliert werden.
Gemäß Art. 2 Nr. 39 Data Act handelt es sich bei Smart Contracts um Computerprogramme, die zur automatisierten Ausführung einer Vereinbarung oder eines Teils davon verwendet werden. Dabei kommt eine Abfolge elektronischer Datensätze zum Einsatz, deren Integrität sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet wird.
Die „Vereinbarung“ wird regelmäßig ein Vertrag zum Datenaustausch sein, bei dem bspw. die Verfügbarkeit von Daten und Schutzmaßnahmen iSd Data Act technisch durch einen Smart Contract gesteuert werden.
Art. 36 Data Act regelt die wesentlichen Anforderungen an Smart Contracts für die Ausführung von Datenweitergabevereinbarungen. Die Norm hat zum Ziel, den Datenaustausch zu vereinfachen, indem sie einheitliche Anforderungen definiert und ein hohes Sicherheitsniveau für Smart Contracts gewährleistet.
Die Anwendung der Vorschriften des Zivil-, Vertrags- und Verbraucherschutzrechts auf Verträge zur Datenweitergabe bleibt durch den Einsatz von Smart Contracts im Übrigen unberührt (Erwägungsgrund 104 aE Data Act). So findet das deutsche BGB beispielsweise nach wie vor Anwendung bei Leistungsstörungen, wenn die Umsetzung des Inhalts einer Datenweitergabevereinbarung durch einen Smart Contract fehlerhaft erfolgt.
EU-Produkthaftungsrichtlinie und DSGVO
Des Weiteren fallen fehlerhafte Smart Contracts unter die Novelle der EU-Produkthaftungsrichtlinie. Diese nimmt Software ausdrücklich in ihren Anwendungsbereich auf. Bei der Verarbeitung personenbezogener Daten durch einen Smart Contract gelten die Anforderungen der DSGVO.
Ferner sind sektorspezifische regulatorische Anforderungen an die IT-Sicherheit zu berücksichtigen, die neben den Vorgaben des Art. 36 Abs. 1 Data Act treten (z.B. NIS-2-Richtlinie etc.).
Was sind Risiken bei der Nutzung von Smart Contracts?
Die gesetzliche Definition von Smart Contracts ist sehr weit gefasst, was zu einer gewissen Konturlosigkeit und Unschärfe führt. Dies birgt das Risiko, dass Art. 36 Data Act, der die wesentlichen Anforderungen an Smart Contracts für Datenweitergabevereinbarungen festlegt, eine Vielzahl konventioneller IT-Systeme und Programme, insbesondere im Automobil- und Finanzsektor, erfasst. Derzeit besteht also die Gefahr, dass Art. 36 Data Act einen bürokratischen Mehraufwand für zahlreiche Softwareprodukte ohne spezifische Gefahrenpotenziale einführt, der in keinem angemessenen Verhältnis zum Nutzen der intendierten interoperablen Datenportabilität steht. Dadurch besteht die Gefahr innovationshemmender Fehlanreize.
Der Data Act stellt klar, dass ein Smart Contract im rechtlichen Sinne kein Vertrag ist, sondern vielmehr ein technischer Ausführungsmechanismus. Allerdings wird nicht eindeutig festgelegt, ob das entsprechende Computerprogramm auch eine eigenständige Softwareanwendung sein muss oder ob es genügt, (nur) Teil einer vermarkteten Software zu sein. In Anbetracht der weitreichenden Pflichten und Konsequenzen von Art. 36 des Data Act, wie beispielsweise die Konformitätserklärung und -bewertung, kann dies wirtschaftlich unterschiedliche Konsequenzen nach sich ziehen:
Wenn einzelne Smart Contracts stets als eigenständige Softwareprodukte betrachtet würden, wären alle Anbieter verpflichtet, unter anderem eine Konformitätsbewertung durchzuführen. Dies wäre ein aufwendiger, kosten- und zeitintensiver Prozess. Ein einzelner Smart Contract der etwa die technische Kontrolle des Umfangs eines Datenzugangs regelt, rechtfertigt kaum die Konformitätsbewertung für die entsprechende Software.
Würden Smart Contracts hingegen als Bestandteil einer größeren vermarkteten Softwareanwendung angesehen, würden sich die gesetzlichen Verpflichtungen lediglich auf das Gesamtprodukt erstrecken. Dies wäre sowohl praktisch als auch ressourcenschonend.
Was ist ein Smart Contract Audit?
Ein Smart Contract Audit dient der Überprüfung, ob ein Smart Contract den relevanten gesetzlichen Anforderungen entspricht und rechtskonform genutzt werden kann. Wie bereits dargelegt, werden im Data Act spezifische rechtliche und technische Design-Anforderungen für Smart Contracts geregelt. Die Einhaltung dieser Anforderungen wird bei dem Audit sichergestellt. Ein wesentlicher Aspekt des Audits ist dabei auch die Anpassung der an den Smart Contract gekoppelten Datenweitergabevereinbarungen. Nur so kann sichergestellt werden, dass der Vollzug des Smart Contracts in der Praxis reibungslos und regelkonform erfolgt.
Sofern bislang noch keine Smart Contracts entwickelt wurden, jedoch deren Entwicklung in Aussicht steht, ist ebenfalls die Durchführung eines Pre-Audits zu empfehlen. Hier wird evaluiert, ob ein Smart Contract für den geplanten Use Case überhaupt geeignet ist. Sofern dies der Fall ist, wird anschließend untersucht, ob die gewünschte vertragliche Vereinbarung rechtlich und technisch sinnvoll durch einen Smart Contract abgebildet werden kann. Das Pre-Audit hilft dabei, potenzielle rechtliche Hürden und technische Herausforderungen bereits im Vorfeld zu identifizieren, sodass von Beginn an sichergestellt wird, dass der Einsatz eines Smart Contracts nicht nur technisch umsetzbar, sondern auch rechtlich zulässig und sinnvoll ist. So wird sichergestellt, dass keine wesentlichen Ressourcen in die Entwicklung eines Smart Contracts investiert werden, der letztlich nicht den rechtlichen Anforderungen entspricht oder im vorgesehenen Kontext nicht eingesetzt werden kann.
Wie läuft ein Smart Contract Audit ab?
Prüfung der Datenweitergabevereinbarung
In Bezugnahme auf den Data Act erfolgt eine Orientierung des Audits an den Vorgaben des Art. 36 Data Act. So ist der gesetzliche Anwendungsbereich eröffnet, wenn Smart Contracts zur Ausführung einer Datenbereitstellungsvereinbarung (Data Sharing Agreement) genutzt werden. Der Anwendungsbereich wird somit auf solche Smart Contracts begrenzt, die einen automatisierten Datenaustausch, Datenzugang bzw. Datennutzung im Sinne des Data Acts zum Gegenstand haben.
Technische und rechtliche Synchronisierung
Die Implementierung von Smart Contracts erfordert einen direkten technischen Zusammenhang mit der vollständigen oder teilweisen Ausführung der betreffenden Vereinbarungen. Dies kann sowohl die technische Umsetzung der Hauptleistungspflichten, wie beispielsweise den Umfang des Datenzugangs, als auch die Umsetzung sonstiger Schutzpflichten, wie etwa technische Maßnahmen gegen unbefugten Zugriff oder unzulässige Verwertung im Einklang mit der jeweiligen Vereinbarung, umfassen. Es müssen aber nicht alle Pflichten einer Datenbereitstellungsvereinbarung vollständig durch Smart Contracts umgesetzt werden. Der gesetzliche Passus einer "teilweisen" Ausführung verdeutlicht dies.
IT-sicherheitsrechtliche Prüfung
Die primäre Rechtsfolge des Art. 36 Data Act besteht in der individuellen Verpflichtung, für Smart Contracts bestimmte technische Anforderungen einzuhalten. Diese Anforderungen sind durch IT-sicherheitsrechtliche Aspekte geprägt. Smart Contracts müssen so gestaltet sein, dass sie über ausreichende Robustheit und wirksame Zugangskontrollmechanismen verfügen, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte standzuhalten. Diese Anforderung bezieht sich jedoch nicht auf die von den Smart Contracts verarbeiteten Daten, die als Austauschgegenstand dienen, oder auf Oracles.
Kill-Switch
Da Smart Contracts die Ausführung einer Datenbereitstellungsvereinbarung umsetzen, muss ihre Beendigung möglich sein, sofern dies durch den zugrunde liegenden Vertrag erforderlich wird. Dieser sog. "Kill-Switch" war im Gesetzgebungsprozess Gegenstand kontroverser Diskussionen. Die Kryptoszene erachtete die Kill-Switch-Klausel als eine Gefährdung blockchainbasierter Smart Contracts, da dieses Erfordernis im diametralen Widerspruch zur Dezentralität und Unveränderlichkeit (Immutability) der Blockchain steht. Die technische Umsetzbarkeit dieser Anforderung bei Smart Contracts auf öffentlichen Blockchains ist tatsächlich problematisch, da diese nicht von außen beendet werden können. In der Praxis ist jedoch davon auszugehen, dass das Spannungsfeld zwischen Blockchain und Art. 36 Data Act geringer ausfällt als gemeinhin angenommen. Dies liegt darin begründet, dass Smart Contracts zur Verwaltung von Kryptowährungen grundsätzlich keine Datenaustauschvereinbarungen im Sinne von Art. 36 Data Act darstellen. Ihr primärer Zweck besteht in der Abwicklung von Finanztransaktionen, nicht jedoch im Austausch von Daten im Internet der Dinge (IoT).
Datenarchivierung und Datenkontinuität
Des Weiteren werden im Gesetz Anforderungen an die Datenarchivierung und Datenkontinuität geregelt. Sofern die betreffenden Daten auch personenbezogene Daten umfassen, sind bei ihrer Archivierung die Löschungsfristen der DSGVO zu berücksichtigen.
Konformitätsbewertung
Der Anbieter oder Verwender von Smart Contracts für Datenbereitstellungsvereinbarungen ist dazu verpflichtet, eine Konformitätsbewertung durchzuführen, um die in Art. 36 Abs. 1 Data Act festgelegten wesentlichen Anforderungen zu erfüllen. Im Anschluss ist eine EU-Konformitätserklärung auszustellen. Die Konformitätsbewertung sowie die Ausstellung der Konformitätserklärung erfolgen durch den Anbieter selbst (interne Konformitätsbewertung). Inhaltlich muss sich die Konformitätsbewertung auf die in Abs. 1 genannten Voraussetzungen beziehen. Die Ausstellung der EU-Konformitätserklärung impliziert die Verantwortung des Anbieters, die Erfüllung der wesentlichen Anforderungen gemäß Art. 36 Abs. 1 Data Act zu gewährleisten. Die zivilrechtlichen Konsequenzen einer fehlenden oder unrichtigen Konformitätserklärung sind nach dem BGB zu beurteilen. So kann beispielsweise das Fehlen einer Konformitätserklärung als Mangel gewertet werden.
Unverbindliches Erstgespräch zu Smart Contracts
Wer sollte einen Smart Contract Audit durchführen lassen?
Adressat und durch Art. 36 Data Act verpflichtet ist einerseits der Anbieter einer Anwendung, in der Smart Contracts verwendet werden (Finanz-, Automobilindustrie, Stromkonzerne etc.), und andererseits aber auch die Person, deren gewerbliche, geschäftliche oder berufliche Tätigkeit den Einsatz von Smart Contracts für Dritte umfasst (Developer, Softwareuntenrehmen). Aufgrund des weiten Anwendungsbereichs der gesetzlichen Definition fallen auch konventionelle Computerprogramme unter die Regulierung. Unternehmen, die Smart Contracts für den Datenaustausch und den Datenzugang bzw. die Datennutzung einsetzen, sollten deshalb unbedingt eine Prüfung ihrer Smart Contracts veranlassen. Die Akteure müssen sicherstellen, dass ihre Verträge den neuen regulatorischen Anforderungen entsprechen und die Programme keine IT-Sicherheitslücken aufweisen. Ein Audit stellt sicher, dass die Implementierung sowohl technisch korrekt als auch rechtskonform ist, und bietet Schutz vor potenziellen rechtlichen und finanziellen Risiken.
Was beinhaltet die Beratung durch SRD Rechtsanwälte zu Smart Contracts?
Smart Contracts wurden gezielt zum Regelungsgegenstand des Data Act gemacht, da sie das Potenzial besitzen, sowohl Dateninhabern als auch Datenempfängern im IoT Sicherheiten zu bieten, dass die Bedingungen für die gemeinsame Datennutzung zuverlässig eingehalten werden. Die Vorteile von Smart Contracts können genutzt werden, sofern die Compliance-Anforderungen konsequent eingehalten werden. Hierfür bedarf es spezialisierter Berater mit sowohl rechtlichem als auch technischem Sachverstand.
Im Rahmen eines Smart-Contract-Audits erstellen oder überprüfen wir Ihre Datenbereitstellungsvereinbarung und synchronisieren diese rechtssicher mit dem Smart Contract als technischem Ausführungsmedium. Wie die Ausführungen gezeigt haben, reicht es nicht aus, dass Daten lediglich bei der Vertragsausführung ausgetauscht werden. Vielmehr muss der Hauptgegenstand des Vertrages explizit auf die Bereitstellung, die Weitergabe oder das Teilen von Daten ausgerichtet sein. Zudem muss dringend die Frage aufgenommen werden, wer und unter welchen Umständen den "Kill Switch" auslösen können soll.
Infolgedessen müssen die individuellen vertraglichen Regelungen zur Beendigung des Datenaustausches abgebildet werden. Eine unberechtigte Ausübung des "Kill Switch" kann eine vertragliche Leistungsstörung darstellen. Im Rahmen des weitergehenden Smart-Contract-Audits stellen wir sicher, dass alle Anforderungen des Art. 36 Data Act sowie die übrigen rechtlichen Vorgaben vollständig erfüllt werden. Auf dieser Basis können Sie dann Ihre Konformitätserklärung ausstellen.
Unverbindliches Erstgespräch zu Smart Contracts
Ihre Ansprechpartner:innen