Blockchain ist eine der wichtigsten Technologien unserer Zeit, nicht nur, weil sogenannte Krypto-Währungen wie Bitcoin darauf basieren. Da die dezentrale Struktur von Blockchain einige datenschutzrechtliche Herausforderungen mit sich bringt, gibt der Europäische Datenschutzausschuss (EDSA) dazu eigene Leitlinien heraus.
Die EDSA-Leitlinien zu Blockchain
Am 8. April 2025 veröffentlichte der EDSA seine Leitlinien 02/2025 zur Verarbeitung personenbezogener Daten mittels Blockchain-Technologien (PDF). Diese richten sich an Organisationen, die Blockchain-Lösungen einsetzen oder dies planen, und beschreiben umfassend die datenschutzrechtlichen Anforderungen im Umgang mit dieser innovativen Technologie.
Herausforderungen der Blockchain-Technologie
Blockchain-Architekturen zeichnen sich durch Dezentralisierung, Unveränderlichkeit und Transparenz aus. Diese prägenden Eigenschaften führen jedoch zu erheblichen datenschutzrechtlichen Herausforderungen:
- Die dauerhafte Verfügbarkeit von Transaktionsdaten birgt Risiken für die Rechte und Freiheiten der betroffenen Personen.
- Recht auf Löschung und Recht auf Berichtigung lassen sich technisch oft nur schwer umsetzen.
- Bei internationalen Blockchain-Netzwerken kann es leicht zu datenschutzrechtlich problematischen Drittlandtransfers kommen.
Der EDSA betont daher: Der Einsatz von Blockchain muss von Anfang an so gestaltet werden, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden, allen voran der Grundsatz von Privacy by Design and Privay by Default nach Art. 25 DSGVO.
Tipp: Lesen Sie bei unserem Partner activeMind AG mehr über das Verhältnis von Blockchain und DSGVO.
Kernelemente der EDSA-Leitlinien zur Blockchain
Keine Speicherung personenbezogener Daten on-chain
Als Grundregel empfiehlt der EDSA, personenbezogene Daten überhaupt nicht direkt in einer Blockchain zu speichern. Grund hierfür ist die Tatsache, dass sich Einträge nach dem Abschluss einer Transaktion in der Regel nicht mehr ändern lassen. Werden keine personenbezogenen Daten in der Blockchain gespeichert, ist die DSGVO nicht anwendbar. Folglich bereiten also etwa Betroffenenrechte keine Schwierigkeiten.
Statt personenbezogene Daten in der Blockchain zu speichern, sollte in der Blockchain auf die außerhalb der Blockchain in den Informationssystemen des Unternehmens gespeicherten Daten verwiesen werden.
Ist eine Speicherung personenbezogener Daten in der Blockchain unumgänglich, sollten geeignete Techniken wie Verschlüsselung, Hashing mit geheimem Salt oder kryptografische Commitments verwendet werden. Trotzdem bleiben verschlüsselte oder gehashte Daten personenbezogen und die DSGVO weiterhin anwendbar.
Präferenz für private oder permissioned Blockchains
Offene, öffentliche Blockchains bringen besondere Risiken mit sich, insbesondere wegen der weltweiten Zugänglichkeit der Daten. Der EDSA empfiehlt daher, möglichst private oder permissioned Netzwerke zu nutzen, bei denen klar geregelt ist, wer Transaktionen lesen oder schreiben darf. Dadurch lassen sich Verantwortlichkeiten klarer zuordnen und Compliance-Risiken besser kontrollieren.
Klarheit bei Rollen und Verantwortlichkeiten
Die Verteilung von Aufgaben in einem Blockchain-Netzwerk macht die Bestimmung von Verantwortlichen und Auftragsverarbeitern komplex. Organisationen müssen frühzeitig klären, wer die Zwecke und Mittel der Verarbeitung bestimmt und damit datenschutzrechtlich Verantwortlicher im Sinne der DSGVO ist.
Betroffenenrechte
Der EDSA betont, dass eine technische Unmöglichkeit keine Rechtfertigung für die Missachtung von Betroffenenrechten darstellt. Es liegt in der Verantwortung der Verantwortlichen, die technischen Mittel und Prozesse so auszugestalten, dass das Gesetz eingehalten werden kann und wird.
Wenn die Verarbeitung also auf der Grundlage einer Einwilligung durchgeführt wird, muss es möglich sein, bei einem Widerruf der Einwilligung die Daten zu löschen oder irreversibel zu anonymisieren. Einschränkungen von Betroffenenrechten sind nur in dem in Art. 23 DSGVO vorgesehenen Umfang möglich.
Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
Da Blockchain-basierte Verarbeitungen personenbezogener Daten regelmäßig hohe Risiken für Betroffene mit sich bringen, ist eine umfassende DSFA zwingend erforderlich. Diese sollte insbesondere die Unveränderbarkeit von Daten, die Risiken internationaler Übermittlungen sowie die Möglichkeiten zur Durchsetzung von Betroffenenrechten beleuchten. Der EDSA empfiehlt, die DSFA als lebenden Prozess anzulegen, da sich Blockchain-Infrastrukturen über die Zeit weiterentwickeln.
Smart Contracts und automatisierte Entscheidungen
Smart Contracts können automatisierte Entscheidungen herbeiführen. Entsprechende Verarbeitungen müssen die Anforderungen des Art. 22 DSGVO erfüllen, etwa die Einräumung eines menschlichen Eingriffs. Nutzerinnen und Nutzer müssen darüber aufgeklärt werden, wenn Entscheidungen allein durch automatisierte Prozesse erfolgen.
Technische Maßnahmen und Datenschutzprinzipien
Die EDSA-Leitlinien behandeln ausführlich, wie klassische Datenschutzprinzipien wie Zweckbindung, Datenminimierung und Speicherbegrenzung bei Blockchain-Anwendungen umgesetzt werden können. Wichtige Hinweise sind:
- Off-Chain-Speicherung bevorzugen: Wo immer möglich, sollten sensible Inhalte außerhalb der Blockchain gespeichert und nur Verweise oder kryptografische Beweise on-chain gehalten werden.
- Effektive Anonymisierung und Pseudonymisierung: Insbesondere durch die Nutzung fortgeschrittener kryptografischer Techniken kann versucht werden, personenbezogene Daten zu schützen.
- Aufbewahrungsfristen beachten: Auch für on-chain gespeicherte Identifikatoren gilt der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO.
Besondere Anforderungen an die Sicherheit in der Blockchain
Der Schutz der Integrität und Vertraulichkeit personenbezogener Daten bleibt auch bei Blockchain-Lösungen oberstes Gebot. Der EDSA empfiehlt:
- regelmäßige Sicherheitsbewertungen der gesamten Infrastruktur,
- Einsatz von aktuellen Verschlüsselungsverfahren,
- Vorhalten von Notfallplänen für den Fall von kryptografischen Schwachstellen,
- dokumentierte Governance-Prozesse, etwa für Updates.
Empfehlungen für die Praxis
Insgesamt gibt der EDSA Organisationen folgendes mit auf den Weg:
- Überdenken Sie kritisch den Einsatz von Blockchain-Technologien.
- Wählen Sie Architektur und Verfahren so, dass die Datenschutzgrundsätze jederzeit eingehalten werden.
- Dokumentieren Sie alle Entscheidungen und Bewertungen nachvollziehbar.
- Stellen Sie sicher, dass betroffene Personen klar und verständlich über die Datenverarbeitung informiert werden.
- Fördern Sie eine datenschutzfreundliche Governance innerhalb des Blockchain-Netzwerks.
Fazit
Die neuen Leitlinien des EDSA verdeutlichen: Blockchain und Datenschutz sind zwar keine unvereinbaren Gegensätze, wohl aber eine Herausforderung für Organisationen. Eine DSGVO-konforme Gestaltung verlangt sorgfältige Planung, dokumentierte Entscheidungen und den bewussten Einsatz technischer Schutzmechanismen.
Wer sich unsicher ist, sollte frühzeitig rechtliche und technische Beratung einholen. Denn Verstöße gegen die DSGVO bei Blockchain-Anwendungen können empfindliche Bußgelder und Reputationsschäden nach sich ziehen.
Es bleibt abzuwarten, wie die Praxis diese Vorgaben umsetzt. Fest steht: Wer Blockchain-Technologien einsetzen will, muss sich bewusst sein, dass Datenschutz kein nachträgliches Add-On sein kann, sondern integraler Bestandteil der technischen und organisatorischen Gestaltung sein muss.
