Blockchain DSGVO Leitlinien: Was die EDPB 2025 fordert

Von

Die neuen Blockchain DSGVO Leitlinien (EDPB 02/2025) bieten klare Empfehlungen für Unternehmen, die Blockchain-Systeme datenschutzkonform einsetzen wollen. Sie befassen sich mit der Verarbeitung personenbezogener Daten im Kontext von Blockchain-Technologien – einem zunehmend relevanten Thema für Unternehmen, die innovative IT-Lösungen mit rechtlicher Sicherheit verbinden möchten.

Diese Leitlinien sollen Organisationen dabei unterstützen, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) bei der Nutzung von Blockchain-Systemen sicherzustellen. Mit den Blockchain DSGVO Leitlinien definiert die EDPB systematisch, wie sich dezentrale Technologien und europäischer Datenschutz miteinander verbinden lassen.

Hier können Sie die Leitlinien als PDF einsehen (EDPB, April 2025)

Die Blockchain gilt als Synonym für Integrität und Transparenz. Doch gerade ihre Unveränderbarkeit und Dezentralität kollidieren auf den ersten Blick mit zentralen Grundsätzen der DSGVO: Speicherbegrenzung, Datenminimierung, Recht auf Löschung.

Dieser Artikel zeigt, was Organisationen beim Einsatz von Blockchain-Systemen beachten müssen, welche Risiken bestehen – und wie sich Datenschutz durch Technikgestaltung auch in verteilten Architekturen realisieren lässt.

Die Herausforderung: Blockchain vs. DSGVO-Grundsätze

Die technische Grundstruktur vieler Blockchains widerspricht gleich mehreren Anforderungen der DSGVO:

  • Unveränderlichkeit: Einmal gespeicherte Daten können weder verändert noch gelöscht werden.
  • Dezentralität: Verantwortung und Kontrolle sind verteilt – die Definition von Verantwortlichen ist unklar.
  • Pseudonymität: Die Daten sind nicht anonym, sondern oft nur indirekt identifizierend – und damit personenbezogen.

Diese Eigenschaften erschweren es, Anforderungen wie das Recht auf Löschung, die Zweckbindung oder die Datenminimierung umzusetzen.

Praktische Empfehlungen aus den Blockchain DSGVO Leitlinien

Die EDPB zeigt, dass datenschutzkonformer Einsatz von Blockchain-Systemen möglich ist – unter bestimmten Voraussetzungen:

1. Vermeidung von On-Chain-Daten

  • Empfehlung: Personenbezogene Daten sollten nicht direkt on-chain gespeichert werden.
  • Stattdessen: Verarbeiten Sie solche Daten off-chain – also außerhalb der eigentlichen Blockchain – und speichern Sie nur Referenzen, z. B. kryptografische Hashes oder Pseudonyme, innerhalb der Blockchain.

Was bedeutet „Off-Chain“-Speicherung – und wie bleibt Blockchain dann überprüfbar?

Off-Chain bedeutet, dass sensible Informationen in einem separaten System (z. B. Cloud, Datenbank, Fileserver) abgelegt werden. Die Blockchain enthält lediglich eine Art Fingerabdruck (z. B. einen Hash), der beweist, dass die Daten zu einem bestimmten Zeitpunkt existierten und seither nicht verändert wurden.

So bleibt die Integrität der Transaktionen überprüfbar, ohne dass personenbezogene Inhalte öffentlich gemacht oder dauerhaft im Netzwerk gespeichert werden.

Beispiel:

Ein Unternehmen speichert Verträge in einem sicheren Cloudsystem und schreibt den kryptografischen Hash auf die Blockchain. Jeder, der Zugriff auf das Originaldokument hat, kann anhand des Hashes prüfen, ob das Dokument seit dem Eintrag verändert wurde.

2. Datenschutz durch Technikgestaltung (Privacy by Design)

Bereits in der Planungsphase eines Blockchain-Projekts müssen Sicherheits- und Datenschutzaspekte berücksichtigt werden. Die DSGVO fordert, dass technische und organisatorische Maßnahmen von Anfang an eingebaut werden – ein Grundprinzip des Privacy by Design.

Das bedeutet konkret:

  • Pseudonymisierung oder Hashing sensibler Inhalte, bevor diese mit der Blockchain interagieren.
  • Konzeptionelle Trennung zwischen Identität und Nutzungsdaten.
  • Einsatz von Technologien wie Zero-Knowledge-Proofs oder Private Smart Contracts, um Informationen nur selektiv offenzulegen.

Weiterführend:

Eine konsequente Umsetzung dieses Prinzips ist nicht nur auf Blockchain beschränkt. Lesen Sie hierzu unseren Artikel über [Security by Design: https://mabunta.de/security-by-design-cloud-sicherer-start-neuer-services/].

Der Schlüssel ist, dass Datenschutz kein Add-on ist, sondern eine architektonische Grundentscheidung – insbesondere bei dezentralen Systemen.

Checkliste zur Umsetzung der Blockchain DSGVO Leitlinien nach EDPB 02/2025: 8 konkrete Schritte für eine datenschutzkonforme Blockchain-Nutzung.

3. Datenschutz-Folgenabschätzung (DSFA) verpflichtend

Wenn personenbezogene Daten in der Blockchain verarbeitet werden, ist eine DSFA nach Art. 35 DSGVO durchzuführen. Sie hilft dabei:

  • Risiken für betroffene Personen zu erkennen und zu bewerten.
  • Geeignete technische und organisatorische Schutzmaßnahmen abzuleiten.
  • Rechenschaftspflichten gegenüber Aufsichtsbehörden zu erfüllen.

Die DSFA ist dabei nicht nur ein formaler Schritt – sondern der entscheidende Hebel, um Datenschutzrisiken strukturiert und vorab zu erkennen.

4. Klare Rollenverteilung im Netzwerk

Auch in dezentralen Blockchain-Systemen gelten die DSGVO-Rollenmodelle:

  • Wer bestimmt Zweck und Mittel der Datenverarbeitung? → Verantwortlicher
  • Wer verarbeitet im Auftrag? → Auftragsverarbeiter

Die EDPB fordert, dass auch bei Smart Contracts, DAO-ähnlichen Modellen oder Konsortialblockchains klare Governance-Strukturen und Verträge geschaffen werden, um Verantwortlichkeiten rechtssicher zu regeln.

5. Betroffenenrechte ermöglichen – trotz technischer Barrieren

Unternehmen müssen Mechanismen schaffen, die es betroffenen Personen ermöglichen, ihre Rechte wahrzunehmen – trotz Blockchain-Architektur.

Empfohlene Ansätze:

  • Trennung von Identität und Transaktionsdaten
  • Löschbarkeit durch Entkopplung von Referenzdaten (z. B. Verknüpfung löschen, nicht Hash)
  • Einsatz von Technologien wie Zero-Knowledge-Proofs oder Selective Disclosure

TOMs für DSGVO-konforme Blockchain-Systeme

Die EDPB empfiehlt eine Reihe konkreter Maßnahmen:

  • Zugriffskontrollen: Nur autorisierte Netzwerkteilnehmer dürfen auf personenbezogene Daten zugreifen.
  • Verschlüsselung: Daten sowohl „at rest“ als auch „in transit“ sollten verschlüsselt werden.
  • Schlüsselmanagement: Kryptografische Schlüssel müssen geschützt, versioniert und nachvollziehbar verwaltet werden.
  • Privacy-Enhancing Technologies (PETs): Technologien wie Homomorphe Verschlüsselung oder Secure Multiparty Computation sollten dort genutzt werden, wo sie praktikabel sind.

Anhang A: 16 praxisnahe Empfehlungen

Im Anhang der Leitlinien finden sich 16 konkrete Hinweise für Organisationen, u. a.:

  • Auswahl geeigneter Blockchain-Architekturen (öffentlich, konsortial, privat)
  • Prüfung der Speicherorte personenbezogener Daten (z. B. EU-only)
  • Durchführung regelmäßiger Audits und Sicherheitsreviews

Diese Empfehlungen dienen als Leitfaden für Governance und Implementierung in Projekten, die Blockchain-Technologien mit personenbezogenen Daten kombinieren.

Fazit: Blockchain DSGVO Anforderungen richtig umsetzen

Die EDPB-Leitlinien 02/2025 zeigen: DSGVO und Blockchain können sich vertragen – wenn Sicherheit, Datenminimierung und Governance von Beginn an mitgedacht werden. Off-Chain-Konzepte, klare Rollenzuordnungen und Privacy by Design sind die Schlüssel zu einem rechtskonformen Einsatz.

Für Unternehmen gilt: Jetzt ist der richtige Zeitpunkt, Blockchain nicht nur als Technologietrend, sondern als Teil einer verantwortungsvollen Datenstrategie zu verstehen – mit rechtlichem Fundament und technischer Weitsicht.

Beratung vereinbaren
Beratung vereinbaren
Nach oben scrollen