Kryptowährung als persönliche Daten
Eine Bitcoin-Wallet-Adresse ist eine Zeichenfolge von 26–35 alphanumerischen Zeichen in Base58Check-Codierung, die mit "1", "3" oder "bc1" beginnt. Eine Ethereum-Adresse ist "0x" gefolgt von 40 hexadezimalen Zeichen. Diese Adressen sind pseudonym — sie identifizieren keine Personen direkt — aber gemäß GDPR sind pseudonyme Daten, die durch zusätzliche Verarbeitung mit einer Person verknüpft werden können, persönliche Daten.
Eine Kryptowährungsbörse, die KYC-Daten (Verknüpfung von Wallet-Adressen mit verifizierten Kundenidentitäten) hält, enthält persönliche Daten im Rahmen der GDPR: Die Wallet-Adresse, in Kombination mit dem KYC-Dokument, identifiziert eine natürliche Person. Die Wallet-Adresse allein ist persönliche Daten innerhalb der Datenumgebung der Börse, da die Börse sie mit einer Person verknüpfen kann.
Die EU MiCA (Markets in Crypto-Assets) Verordnung, die ab Dezember 2024 in Kraft tritt, fügt eine finanzielle regulatorische Ebene hinzu: Kryptowährungs-Asset-Service-Provider (CASPs) müssen angemessene Kontrollen zum Schutz von Kundendaten implementieren. Die Schnittstelle von MiCA und GDPR bedeutet, dass eine europäische Krypto-Börse sowohl finanziellen Vorschriften (MiCAs Anforderungen an den Datenschutz für CASPs) als auch allgemeinen Datenschutzgesetzen (GDPR) für dieselben Wallet-Adressdaten gegenübersteht.
Die Erkennungslücke
Standard-PII-Erkennungstools wurden für traditionelle finanzielle Identifikatoren entwickelt: IBAN, Kontonummer, Routing-Nummer, SWIFT/BIC. Diese Tools haben kein Bewusstsein für Kryptowährungsadressformate. Ein Dokument, das eine Bitcoin-Wallet-Adresse, eine Ethereum-Adresse und einen SWIFT-Code enthält, wird den SWIFT-Code erkennen, während die beiden Kryptowährungsadressen von jedem Tool, das keine Krypto-Adressentitätstypen umfasst, übersehen werden.
Für eine europäische Krypto-Börse, die KYC-Dokumente verarbeitet: Kundenbankkonten-IBANs werden von Standard-Tools erkannt. Die Bitcoin-Wallet-Adresse des Kunden, die für die anfängliche Finanzierung verwendet wird, wird nicht erkannt. Der SWIFT-Code für die Überweisung von ihrer Bank wird erkannt. Die Ethereum-Adresse, die für Token-Käufe verwendet wird, wird nicht erkannt.
Die fehlende Erkennung ist keine geringfügige Lücke — Wallet-Adressen sind zentrale finanzielle Identifikatoren in Krypto-Kontexten, so sensibel wie Kontonummern im traditionellen Bankwesen.
Die GDPR Artikel 32(1)(a) verlangt Pseudonymisierung und Verschlüsselung als grundlegende technische Maßnahmen. 56 % der GDPR-Strafen führen unzureichende Verschlüsselung als beitragenden Faktor an. Eine Organisation, die alle erkannten PII verschlüsselt, aber versäumt, Kryptowährungs-Wallet-Adressen zu erkennen, hat nichts Relevantes für ihre Kernbetriebsabläufe verschlüsselt.
Quellen: