Der Europäische Datenschutzausschuss (EDSA) hat auf seiner Plenartagung im April 2025 Leitlinien für die Verarbeitung personenbezogener Daten durch Blockchain-Technologien verabschiedet. Eine Blockchain ist ein verteiltes digitales Hauptbuchsystem, das Transaktionen bestätigen und feststellen kann, wer zu einem bestimmten Zeitpunkt einen digitalen Vermögenswert (z. B. eine Kryptowährung) besessen hat. Blockchains können auch den sicheren Umgang und die Übertragung von Daten unterstützen und so deren Integrität und Rückverfolgbarkeit gewährleisten.
Da der Einsatz von Blockchain-Technologien zunimmt, hält es der Vorstand für wichtig, Organisationen, die diese Technologien nutzen, bei der Einhaltung der DSGVO zu unterstützen.
In seinen Leitlinien erläutert der EDSA, wie Blockchains funktionieren, und bewertet die verschiedenen möglichen Architekturen und ihre Auswirkungen auf die Verarbeitung personenbezogener Daten.
In den Leitlinien wird hervorgehoben, wie wichtig es ist, technische und organisatorische Maßnahmen bereits in den frühesten Phasen der Gestaltung der Verarbeitung zu ergreifen. Der EDSA stellt auch klar, dass die Rollen und Zuständigkeiten der verschiedenen Akteure bei einer Blockchain-bezogenen Verarbeitung personenbezogener Daten bei der Gestaltung der Verarbeitung bewertet werden sollten.
Darüber hinaus sollten Organisationen vor der Verarbeitung personenbezogener Daten über Blockchain-Technologien eine Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.
Nach Ansicht des Gremiums sollten Organisationen auch den größtmöglichen Schutz der personenbezogenen Daten von Einzelpersonen während der Verarbeitung gewährleisten, damit sie nicht standardmäßig einer unbestimmten Anzahl von Personen zugänglich gemacht werden.
Der Leitfaden enthält Beispiele für verschiedene Techniken zur Datenminimierung sowie zum Umgang und zur Speicherung personenbezogener Daten. Grundsätzlich sollte die Speicherung personenbezogener Daten in einer Blockchain vermieden werden, wenn dies im Widerspruch zu datenschutzrechtlichen Grundsätzen steht.
Schließlich unterstreicht der Ausschuss die Bedeutung der Rechte des Einzelnen, insbesondere in Bezug auf Transparenz, Berichtigung und Löschung personenbezogener Daten.
Die Leitlinien werden bis zum 9. Juni 2025 Gegenstand einer öffentlichen Konsultation sein, um den Interessenträgern Gelegenheit zur Stellungnahme zu geben.
Auf seiner letzten Plenartagung beschloss der EDSA auch, bei der Ausarbeitung der Leitlinien zum Zusammenspiel zwischen dem KI-Gesetz und den EU-Datenschutzvorschriften eng mit dem KI-Büro zusammenzuarbeiten.