Was ist DSGVO (Datenschutz)?
Warum der europäische Datenschutzrahmen auch im Krypto- und Finanzbereich konkret relevant ist
Definition
Die DSGVO ist die Datenschutz-Grundverordnung der EU und regelt, wie personenbezogene Daten verarbeitet, geschützt und genutzt werden dürfen.
Die Datenschutz-Grundverordnung (DSGVO) ist die EU-Verordnung zum Schutz personenbezogener Daten, in Kraft seit dem 25. Mai 2018. Bußgelder reichen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes. Für den Krypto-Bereich ist die DSGVO besonders relevant, weil sie direkt mit der Unveränderlichkeit der Blockchain kollidiert: Art. 17 DSGVO (Recht auf Löschung) verlangt, dass personenbezogene Daten gelöscht werden können, aber Blockchain-Einträge sind per Design permanent. 63 % der dezentralen Plattformen erfüllten 2024 das Recht auf Löschung nicht.
DSGVO vs. Blockchain: Der Kernkonflikt
Das Recht auf Löschung (Art. 17) und das Recht auf Berichtigung (Art. 16) sind auf der Blockchain technisch nicht umsetzbar. Die Blockchain speichert Daten dauerhaft und unveränderlich. Das EDPB (European Data Protection Board) stellte im April 2025 klar: "Technische Unmöglichkeit kann nicht als Rechtfertigung für Nicht-Einhaltung der DSGVO angeführt werden." Die EDPB-Guidelines 02/2025 empfehlen: Keine personenbezogenen Daten direkt on-chain speichern, stattdessen Off-Chain-Speicherung mit On-Chain-Referenzen (Hashes). Bei Löschanträgen werden die Off-Chain-Daten gelöscht, die On-Chain-Hashes ermöglichen keine direkte Identifizierung mehr. Permissioned Chains werden gegenüber öffentlichen Blockchains bevorzugt, weil sie kontrollierbare Compliance ermöglichen.
KYC-Daten und DAC8
Zentralisierte Krypto-Börsen sammeln durch KYC-Pflichten umfangreiche personenbezogene Daten: Ausweis, Adresse, Selfies, Transaktionshistorie. Die EU-Richtlinie DAC8 verschärft die Lage: Seit dem 1. Januar 2026 müssen Krypto-Dienstleister in 52 Ländern Nutzer- und Transaktionsdaten automatisch an Steuerbehörden melden. In Deutschland wurde DAC8 als Kryptowerte-Steuertransparenzgesetz (KStTG) umgesetzt. Meldepflichtig sind: Identität, steuerlicher Wohnsitz, alle Fiat-Krypto-Umwandlungen und Wallet-Transfers. Verstöße kosten bis zu 50.000 EUR und können zu Tätigkeitsverboten in der EU führen. Die DSGVO begrenzt, wie lange diese Daten gespeichert werden dürfen, und gibt Nutzern das Recht auf Auskunft und Löschung nach Ende der Aufbewahrungsfrist.
Größte DSGVO-Bußgelder
| Unternehmen | Bußgeld | Jahr | Grund |
|---|---|---|---|
| Meta | 1,2 Mrd. EUR | 2023 | Datentransfer EU→USA |
| Amazon | 746 Mio. EUR | 2021 | Datenschutzverletzungen |
| TikTok | 530 Mio. EUR | 2025 | EWR-Nutzerdaten in China |
| 310 Mio. EUR | 2024 | Verhaltensanalyse | |
| Uber | 290 Mio. EUR | 2024 | Fahrerdaten-Transfer |
Insgesamt wurden seit Mai 2018 über 2.245 DSGVO-Bußgelder in Höhe von über 7,1 Mrd. EUR verhängt. DSGVO-Bußgelder gegen Krypto-Firmen stiegen 2024 um 28 %, mit Strafen von insgesamt 820 Mio. USD in Europa. In Deutschland verhängte der BfDI (Bundesbeauftragte für den Datenschutz) 2025 insgesamt 249 Bußgelder über 46,9 Mio. EUR, darunter 45 Mio. EUR allein gegen Vodafone.
DSGVO und NFTs
NFT-Metadaten können personenbezogene Daten enthalten: Creator-Adressen, Owner-History, verknüpfte Profilnamen. Jeder Eigentumswechsel schreibt neue Daten auf die Blockchain. Wallet-Adressen sind pseudonymisiert, nicht anonym, und unterliegen der DSGVO. Sobald ein NFT mit einer realen Identität verknüpft wird, wird das gesamte Wallet-Aktivitätsprofil offengelegt. Das OpenSea-E-Mail-Datenleck im Juli 2022 betraf Millionen Nutzer und zeigte, wie schnell Pseudonymität verloren geht. Im Token-Bereich verschärft sich die Problematik: Soulbound Tokens (nicht übertragbare NFTs für Identitäts- und Zertifikatszwecke) speichern personenbezogene Attribute direkt on-chain, was einen permanenten DSGVO-Verstoß darstellen kann.
Privacy by Design und DeFi
Die EDPB fordert Privacy by Design ab der frühesten Entwicklungsphase. Für DeFi-Protokolle bedeutet das: personenbezogene Daten off-chain speichern, nur kryptografische Hashes on-chain ablegen. Zero-Knowledge-Proofs ermöglichen Identitätsnachweise ohne Datenweitergabe. Krypto-Websites unterliegen zusätzlich der ePrivacy-Richtlinie: Tracking-Cookies (Analytics, Affiliate-Tracking) erfordern explizite Opt-in-Einwilligung. Wallet-Connect-Daten können als personenbezogene Daten gelten. Das Recht auf Datenportabilität (Art. 20) verpflichtet Börsen, Transaktionshistorie und Kontoinformationen in maschinenlesbarem Format herauszugeben. Smart Contracts, die personenbezogene Daten verarbeiten, müssen DSGVO-konform gestaltet sein, was bei unveränderlichen On-Chain-Contracts eine besondere Herausforderung darstellt. Mit MiCA wächst der regulatorische Druck zusätzlich: Lizenzierte Krypto-Dienstleister müssen sowohl MiCA-Anforderungen als auch DSGVO-Vorgaben parallel erfüllen, was die Compliance-Kosten für kleinere Anbieter erheblich steigert. Stablecoin-Emittenten wie Tether und Circle stehen besonders im Fokus, weil sie umfangreiche Nutzerdaten verarbeiten und gleichzeitig Reservenachweise (Proof of Reserves) veröffentlichen müssen, ohne dabei personenbezogene Daten offenzulegen.
Die DSGVO gilt vollständig für Krypto, keine Ausnahme für Blockchain-Immutabilität. Die Lösung: Personenbezogene Daten off-chain, nur Hashes on-chain. Bei KYC-Daten auf Börsen hast du das Recht auf Auskunft, Berichtigung und Löschung nach Ende der Aufbewahrungsfrist. Nutze dieses Recht aktiv.
Häufige Fragen zur DSGVO
Gilt die DSGVO auch für Blockchain und Krypto?
Ja, uneingeschränkt. Das EDPB bestätigte im April 2025: Technische Unmöglichkeit (Blockchain-Immutabilität) rechtfertigt keine Nicht-Einhaltung. Wallet-Adressen gelten als pseudonymisierte personenbezogene Daten und unterliegen der DSGVO.
Kann ich meine KYC-Daten bei einer Börse löschen lassen?
Nach Ende der gesetzlichen Aufbewahrungsfrist (typisch 5 bis 10 Jahre je nach Geldwäschegesetz) ja. Die DSGVO gibt dir das Recht auf Löschung (Art. 17). Fordere die Börse schriftlich auf. Während der Aufbewahrungspflicht können KYC-Daten nicht gelöscht werden.
Wie hoch sind DSGVO-Bußgelder?
Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (der höhere Betrag). Seit 2018 wurden über 7,1 Mrd. EUR an Bußgeldern verhängt. DSGVO-Strafen gegen Krypto-Firmen stiegen 2024 um 28 %. In Deutschland vergab der BfDI 2025 allein 46,9 Mio. EUR in 249 Verfahren.
Verwandte Begriffe
Compliance
Compliance bedeutet die systematische Einhaltung aller gesetzlichen und regulatorischen Vorschriften...
KYC
KYC (Know Your Customer) ist die Identitätsprüfung, die Krypto-Börsen und Finanzdienstleister gesetz...
Decentralized Identity
Decentralized Identity beschreibt digitale Identitätsmodelle, bei denen Nutzer Identitätsdaten stärk...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️