EDSA zu Blockchain und Datenschutz
Blockchain-Technologien, die oft auch im Zusammenhang mit Kryptowährungen verwendet werden, gelten vielen als Synonym für Unveränderlichkeit und Sicherheit. Doch gerade diese Eigenschaften stehen in einem Spannungsfeld zur Datenschutzgrundverordnung (DSGVO). Vor allem die Unveränderbarkeit sind mit zentralen Grundsätzen des europäischen Datenschutzrechts, insbesondere dem Recht auf Löschung und dem Prinzip der Speicherbegrenzung, nur schwer in Einklang zu bringen. Der Europäische Datenschutzausschuss (EDSA) hat am 14.04.2025 nun erstmals konkrete Leitlinien zu Blockchain und Datenschutz veröffentlicht.
Was sind Blockchains?
Blockchains sind digitale, dezentrale Datenbanken, in denen Informationen in chronologisch verknüpften Datenblöcken gespeichert werden. Jeder Block enthält Transaktionsdaten und einen kryptografischen Verweis auf den vorherigen Block, wodurch eine fälschungssichere Kette entsteht. Da alle Teilnehmer eines Blockchain-Netzwerks eine identische Kopie dieser Kette speichern und neue Einträge nur durch Konsens hinzugefügt werden können, gelten Blockchains als besonders transparent und manipulationsresistent. Ihre technische Struktur macht es allerdings nahezu unmöglich, einmal gespeicherte Daten nachträglich zu ändern oder zu löschen.
Der Zweck von Blockchains besteht darin, Vertrauen in digitale Prozesse zu schaffen, ohne das Erfordernis einer zentralen Instanz. Die fälschungssichere und nachvollziehbare Dokumentation von Transaktionen wird besonders im Zusammenhang mit Kryptowährungen wie Bitcoin eingesetzt. Darüber hinaus kommen Blockchains zunehmend in anderen Bereichen zum Einsatz, etwa zur Absicherung von Lieferketten, beim digitalen Identitätsmanagement oder in der Verwaltung von Eigentumsnachweisen.
Datenschutzrechtliche Problematik
In den auf der letzten Plenarsitzung beschlossenen Leitlinien stellt der EDSA klar, dass die Speicherung personenbezogener Daten auf einer Blockchain aus datenschutzrechtlicher Sicht problematisch ist. Grund dafür sei die zentrale Eigenschaft der Technologie. Einmal gespeicherte Informationen lassen sich nicht ohne Weiteres löschen oder korrigieren. Dieser Designgrundsatz stünde im Widerspruch zu einer ganzen Reihe von DSGVO-Vorgaben. Hierzu gehöre etwa das Recht auf Berichtigung, das Recht auf Vergessenwerden oder das Gebot der Speicherbegrenzung. Zwar bieten Blockchains hohe Datensicherheit und Rückverfolgbarkeit, doch genau diese Vorteile seien ein Risiko, wenn personenbezogene Daten betroffen sind.
Datenschutz von Anfang an
Der EDSA fordert daher laut seiner Pressemitteilung bereits in der Konzeptionsphase einer Blockchain-Anwendung eine genaue Analyse der datenschutzrechtlichen Risiken. Dazu gehöre insbesondere die Festlegung der Verantwortlichkeiten im Sinne der DSGVO.
Daneben müsse auch im Rahmen des Prinzips Privacy by Design Datenschutz von Beginn an integraler Bestandteil der technischen Architektur sein. Dazu gehört auch, personenbezogene Daten soweit wie möglich zu minimieren oder gänzlich zu vermeiden. Wo dies nicht möglich ist, sei zumindest sicherzustellen, dass die gespeicherten Daten keine Rückschlüsse auf identifizierbare Personen zulassen.
Besonders brisant sei der Einsatz, wenn besonders schützenswerte Daten verarbeitet werden oder ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. In solchen Fällen verlangt der EDSA eine verpflichtende Datenschutzfolgenabschätzung (DSFA) bereits vor dem Start eines Projekts. Diese müsse sämtliche technischen und organisatorischen Maßnahmen berücksichtigen, mit denen die datenschutzrechtlichen Anforderungen umgesetzt werden sollen
Recht auf Vergessenwerden als unüberwindbares Hindernis?
Zur Einschätzung der Risiken gehört auch die Problematik bezüglich des Rechts auf Vergessenwerden gemäß Art. 17 DSGVO. Dieses garantiert betroffenen Personen unter bestimmten Voraussetzungen die Löschung ihrer Daten – ein Anspruch, der sich mit der Unveränderbarkeit der Blockchain fundamental beißt. Der EDSA bleibt in dieser Frage zurückhaltend, macht aber deutlich, dass Unternehmen im Rahmen der Systemkonzeption sicherstellen müssen, dass entweder keine personenbezogenen Daten in der Blockchain gespeichert werden oder diese Daten effektiv anonymisiert werden können. Insofern ist es ratsam Daten direkt anonymisiert in der Blockchain zu speichern.
Grenzen der Technik
Angesichts dieser Gegebenheiten rät der EDSA ausdrücklich dazu, den Einsatz von Blockchain-Technologie kritisch zu hinterfragen. Wer personenbezogene Daten verarbeitet, sollte andere, konventionellere Technologien bevorzugen, sofern diese mit geringeren Risiken für die Betroffenen verbunden sind. Man solle die Speicherung personenbezogener Daten in einer Blockchain vermieden, wenn die Einhaltung der Datenschutzgrundsätze nicht gesichert ist, so der EDSA in seinen Leitlinien (abrufbar hier). Das gelte insbesondere in Bezug auf das Recht auf Vergessenwerden.
Fazit
Mit den Leitlinien zu Blockchain und Datenschutz erklärt der EDSA, dass der Einsatz der Technologie im datenschutzrelevanten Kontext zwar nicht grundsätzlich ausgeschlossen ist, aber ein hohes Maß an technischer, organisatorischer und rechtlicher Sorgfalt erfordert. Insbesondere das Spannungsverhältnis zwischen der Unveränderbarkeit von Blockchain-Daten und dem Recht auf Löschung bleibt ein ungelöstes Grundproblem. Bis zum 09.06.2025 haben Vertreter von Interessensgruppen nun die Möglichkeit im Rahmen eines öffentlichen Konsulationsverfahrens Stellung zu beziehen. Im Übrigen stehen wir Ihnen als Externe Datenschutzbeauftragte beim DSGVO-konformen Einsatz solcher Technologien gerne zur Seite.
