Das European Data Protection Board (EDPB) hat Richtlinien für die Verarbeitung personenbezogener Daten durch Blockchain-Technologien veröffentlicht. Bis zum 9. Juni stehen diese für öffentliche Kommentare offen.
Richtlinien sollen Unternehmen, Entwickler und Nutzer informieren
Die gestern vom European Data Protection Board (EDPB) veröffentlichten Richtlinien zur Verarbeitung personenbezogener Daten durch Blockchain-Technologien enthalten keine Neuerungen für die Regulation von Blockchain. Vielmehr stellen sie autoritative Anweisungen dar, wie bestehende Regulationen wie die DSGVO im Datenschutz auf Blockchain anzuwenden sind.
EDPBPlenary
The EDPB adopted guidelines on the processing of personal data through blockchain technologies to help organisations using blockchain to comply with the GDPR.The guidelines are open for public consultation until 09 June 2025
https://t.co/vgceIuUKGH pic.twitter.com/ufkhrSk9ae- EDPB (@EU_EDPB) April 14, 2025
Interessant ist das Dokument dadurch, dass die Prinzipien von public, permissionless (öffentlich, genehmigungsfreie) Blockchains (also Ethereum, Bitcoin etc.) direkt mit den Prinzipien des DSGVOs kollidieren. Das Dokument stellt heraus, dass dies auf private, genehmigte Blockchains, die im unternehmerischen Bereich verbreiteter sind, nicht zutrifft.
Prinzipien-Kollision zwischen Blockchains und der DSGVO
Zu diesen Prinzipien gehören zum Beispiel das Prinzip der Zweckbindung (principle of purpose limitation), der Datenminimierung (data minimisation principle) sowie das Prinzip der Speicherbegrenzung (principle of storage limitation).
Die Richtlinien machen deutlich, dass Daten auf der Blockchain grundsätzlich unveränderbar sind. Wenn sie einmal gespeichert sind, ist es auf den meisten Blockchains nicht möglich, diese im Nachhinein in irgendeiner Form zu löschen oder zu modifizieren.
Empfehlung des European Data Protection Boards
Das EDPB gibt eine Vielzahl an Empfehlungen für die Handhabung von Daten aus. Da Blockchain und Kryptografie bis heute stark den Cypherpunk-Prinzipien verschrieben sind und auch Satoshi Nakamoto hohen Wert auf Privatsphäre und Datenschutz legte, sind diese Prinzipien alle im Blockchain-Space bewährt. Die Empfehlungen sind daher relevanter für Unternehmen, Entwickler und Nutzer, die von außerhalb des Blockchain-Spaces auf die Technologie stoßen und diese nach geltenden Regulationen nutzen möchten.
Datenminimierung: Personenbezogene Daten sollten nach Möglichkeit gar nicht auf der Blockchain gespeichert werden. Stattdessen empfiehlt die EDPB, nur nicht-personenbezogene oder anonymisierte Daten on-chain zu verarbeiten.
Off-Chain-Speicherung: Sensible Daten sollten außerhalb der Blockchain (off-chain) gespeichert und nur Verweise (z. B. Hashes) auf der Blockchain abgelegt werden, um die Unveränderlichkeit nicht mit DSGVO-Rechten wie dem Recht auf Löschung in Konflikt zu bringen.
Pseudonymisierung und Verschlüsselung:
Daten, die auf der Blockchain verarbeitet werden (z. B. öffentliche Schlüssel oder Transaktionsmetadaten), sollten pseudonymisiert werden, um die Verknüpfung mit einer identifizierbaren Person zu erschweren.
Verschlüsselung wird dringend empfohlen, um die Vertraulichkeit zu gewährleisten, insbesondere bei Daten, die potenziell personenbezogen sind. Beispielsweise können verschlüsselte Daten auf der Blockchain gespeichert werden, wobei der Zugriff durch private Schlüssel kontrolliert wird.
