Das European Data Protection Board (EDPB) hat mit seinen im April 2025 veröffentlichten Leitlinien die Debatte darüber neu entfacht, wie Datenschutz–Technologien die nächste Generation von Blockchains gestalten können. Die Vorgaben betonen Privacy-by-Design, raten vom direkten Speichern personenbezogener Daten on-chain ab und fordern klare Rollenverteilungen innerhalb dezentraler Netzwerke.
Die Entscheidung stellt Unternehmen und Entwickler vor technische wie rechtliche Herausforderungen: Wie vereint man die Unveränderbarkeit von Ledgern mit dem Recht auf Löschung der DSGVO?
EDPB-Leitlinien zur DSGVO-konformen Nutzung von Datenschutz-Technologien in Blockchains
Die Leitlinien des EDPB vom 14. April 2025 empfehlen, personenbezogene Daten möglichst nicht direkt in der Blockchain zu speichern und Datenschutz als Ausgangspunkt jeder Architektur zu behandeln. Behörden wie die französische Datenschutzbehörde CNIL werden in den Dokumenten als Beispiele genannt, wenn es um technische Interpretationen des Löschrechts geht.
Wie die Leitlinien Rollen, Risiken und Prüfpflichten beschreiben
Der EDPB fordert eine präzise Bestimmung, wer innerhalb eines Netzwerks als Verantwortlicher oder Auftragsverarbeiter gilt. Die DSGVO-Pflichten wie die Durchführung einer Datenschutz-Folgenabschätzung (DPIA) werden für viele Blockchain-Anwendungen zur Pflicht erklärt, insbesondere bei digitalen Identitäten und Smart Contracts.
Für Projekte bedeutet das: Dokumentation, Off-Chain-Strategien und technische Zugriffsbeschränkungen sind keine Option mehr, sondern Teil der Compliance. Dieser Ansatz dürfte die Entwicklung von Unternehmensfällen beeinflussen und Investitionsentscheidungen prägen.
Welche Kryptographie und Technologien die nächste Generation von Blockchains ermöglichen
Technische Bausteine wie Zero-Knowledge-Proofs (ZKPs), homomorphe Verschlüsselung und Secure Multi-Party Computation (MPC) bieten konkrete Wege, Sicherheit und Anonymität zu stärken, ohne personenbezogene Daten offen zu legen. Projekte wie Zcash und verschiedene zk-Rollups demonstrieren praktischen Einsatz von ZKPs.
Praktische Beispiele und Auswirkungen auf Anwendungsszenarien
In der Lieferkette oder Finanzindustrie ermöglichen ZKPs, die Echtheit von Transaktionen oder Compliance nachzuweisen, ohne Kundendaten preiszugeben. Off-Chain-Speicher kombiniert mit Hash-Verweisen auf der Kette bleibt eine verbreitete Lösung, um Datenintegrität zu sichern und zugleich die Anforderungen der DSGVO zu beachten.
Die Idee der Schlüsselvernichtung zur Erreichung von Anonymisierung—wie sie von der CNIL diskutiert wurde—bleibt umstritten, schafft aber eine technische Option, Löschanfragen zu adressieren. Insgesamt führen diese Technologien zu einer stärkeren Differenzierung zwischen öffentlichen und permissioned Netzwerken.
Rechtliche Unsicherheiten, operative Konsequenzen und Marktfolgen für Unternehmen
Die Kombination aus Dezentralisierung und den zentralen Annahmen der DSGVO führt zu offenen Fragen: Wer ist der Verantwortliche, wenn Transaktionen über viele Teilnehmer repliziert werden? Der EDPB gibt Orientierung, aber Gerichtsentscheidungen und nationale Behörden werden weitere Klarheit liefern müssen.
Wie Unternehmen jetzt handeln und welche nächsten Schritte zu erwarten sind
Empfehlungen für Betreiber sind klar: personenbezogene Daten off-chain speichern, Privacy-by-Design implementieren, DPIAs durchführen und technische Schutzmaßnahmen wie ZKPs evaluieren. Für den digitalen Identitätsbereich und Smart Contracts bedeutet das, dass rechtliche Beratung und enge Abstimmung mit Aufsichtsbehörden Teil des Entwicklungsprozesses werden müssen.
Die nächste Phase dürfte ein stärkerer Einsatz von Kryptographie-basierten Lösungen und eine Zunahme von Pilotprojekten in permissioned Netzwerken sein. Die zentrale Einsicht bleibt: technologische Innovation und Datenschutz müssen Hand in Hand gehen, sonst bleibt die breite Adoption der nächsten Generation von Blockchains riskant.
Kurzfristig ist mit weiteren Leitentscheidungen nationaler Aufsichtsbehörden und vereinzelten Gerichtsverfahren zu rechnen, die klären werden, wie weit technische Maßnahmen wie Anonymisierung durch Schlüssellöschung rechtlich reichen.
