Der Europäische Datenschutzausschuss (EDSA) hat neue Leitlinien veröffentlicht, die Organisationen dabei unterstützen sollen, die Datenschutz-Grundverordnung (DSGVO) bei der Nutzung von Blockchain-Technologien einzuhalten. Eine Blockchain ist ein digitales, dezentrales System, das Transaktionen oder Daten sicher, transparent und unveränderbar speichert. Sie wurde vor allem bekannt durch Kryptowährungen wie Bitcoin, hat aber noch viele weitere Einsatzmöglichkeiten. Im Kern geht es darum, Informationen – meist Transaktionen – so zu speichern, dass sie dauerhaft, nachvollziehbar und vor allem manipulationssicher sind.
In einer Blockchain werden Transaktionen nicht einzeln gespeichert, sondern in sog. Blöcken gesammelt. Wenn ein Block voll ist, wird er fest an den vorherigen Block angehängt – ähnlich wie bei einer Kette aus Gliedern. Daher stammt auch der Name „Blockchain“, also Block-Kette.
Eine Herausforderung stellt sich bei der Speicherung personenbezogener Daten auf der Blockchain. Denn genau die Funktionalität einer Blockchain, die eine unveränderbare und sichere Aufbewahrung von Daten ermöglicht, steht im Konflikt mit zentralen Datenschutzrechten wie dem Recht auf Berichtigung oder Löschung.
Der EDSA betont, dass personenbezogene Daten grundsätzlich nicht auf der Blockchain gespeichert werden sollten, insbesondere nicht in öffentlich zugänglichen Blockchains. Sollten dennoch personenbezogene Daten verarbeitet werden, sind technische Maßnahmen wie Verschlüsselung, Datenminimierung oder sog. „Zero-Knowledge“-Verfahren zu implementieren. Diese Maßnahmen zielen darauf ab, die Speicherung von personenbezogenen Informationen auf ein Minimum zu beschränken, während gleichzeitig die Betroffenen ihre Rechte wahrnehmen können.
Organisationen, die eine Blockchain verwenden wollen, müssen außerdem im Vorfeld eine Datenschutz-Folgenabschätzung (DSFA) durchführen, sofern hohe Risiken für die Rechte und Freiheiten von Personen bestehen. Im Rahmen der Prüfung sollte sorgfältig evaluiert werden, ob der Einsatz einer Blockchain tatsächlich erforderlich ist oder ob alternative, datenschutzfreundlichere Technologien eine adäquate Lösung darstellen. Es ist von entscheidender Bedeutung, dass die Rollen und Verantwortlichkeiten der verschiedenen Beteiligten (z. B. Betreiber von Blockchain-Knoten) klar definiert werden. In vielen Fällen tragen mehrere Akteure gemeinsam Verantwortung für die Datenverarbeitung.
Die Leitlinien des EDSA betonen zudem die Notwendigkeit, Datenschutz durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) von Beginn an zu berücksichtigen. Dadurch wird impliziert, dass Systeme so konzipiert werden müssen, dass der Schutz personenbezogener Daten bereits technisch berücksichtigt wird, bevor die Verarbeitung dieser Daten erfolgt. Auch bei der Speicherung von Daten auf sog. „off-chain“-Systemen, also außerhalb der Blockchain, gelten alle datenschutzrechtlichen Anforderungen.
Der EDSA betont abschließend, dass den Betroffenenrechten wie Auskunft, Berichtigung, Löschung und Widerspruch auch in Blockchain-basierten Anwendungen uneingeschränkt Geltung zukommt. Die eingesetzte Technik darf also nicht dazu führen, dass diese Rechte faktisch nicht mehr ausgeübt werden können. Entwickler und Betreiber von Blockchain-Lösungen werden daher bereits bei der Konzeption dazu angehalten, die technischen und organisatorischen Möglichkeiten der Umsetzung dieser Anforderungen zu berücksichtigen. Die Leitlinien stehen noch bis zum 9. Juni 2025 zur öffentlichen Konsultation offen zur Verfügung, um die Meinungen und Anliegen aller interessierten Interessengruppen und Bürger zu sammeln. Der EDSA prüft alle Einsendungen und kann die Leitlinien noch entsprechend anpassen. Nach Abschluss dieser Phase werden die Leitlinien finalisiert und verabschiedet.
In unserem Blog werden wir Sie über die weiteren Entwicklungen auf dem Laufenden halten.