MiCA, DSGVO und Krypto-Wallet-Adressen
Eine Bitcoin-Adresse besteht aus 26–35 Zeichen in Base58Check-Codierung. Sie beginnt mit „1", „3" oder „bc1". Eine Ethereum-Adresse beginnt mit „0x" und enthält 40 Hexadezimalzeichen. Beide sind pseudonym. Keine nennt eine Person direkt.
Das Gesetz gilt dennoch.
Wann eine Wallet-Adresse personenbezogen wird
Pseudonyme Datensätze sind personenbezogene Datensätze, wenn sie mit einer Person verknüpft werden können. Eine Kryptobörse hält KYC-Akten. Diese Akten verbinden Adressen mit verifizierten Identitäten. Die Adresse allein benennt niemanden außerhalb der Börse. Innerhalb ihrer Systeme identifiziert sie einen Kunden. Damit ist sie ein personenbezogenes Datum.
Die Verordnung erfasst es vollständig.
MiCA fügt eine zweite Ebene hinzu
EU MiCA (Markets in Crypto-Assets) trat im Dezember 2024 in Kraft. Sie verpflichtet Krypto-Dienstleister — CASPs — zum Schutz von Kundendaten. Eine europäische Börse unterliegt nun zwei Regelwerken. MiCA setzt finanzielle Kontrollen. Die DSGVO setzt Datenschutzregeln. Beide gelten für dieselbe Adresse.
Die Erkennungslücke in Standardwerkzeugen
Standard-PII-Werkzeuge wurden für das klassische Finanzwesen entwickelt. Sie kennen IBAN. Sie kennen SWIFT/BIC. Sie kennen Bankleitzahlen. Sie kennen keine Krypto-Adressformate.
Senden Sie ein Dokument mit einer Bitcoin-Adresse, einer Ethereum-Adresse und einem SWIFT-Code durch ein Standardwerkzeug. Es findet den SWIFT-Code. Es übersieht beide Blockchain-Adressen.
Für eine CASP, die KYC-Akten verarbeitet, ist diese Lücke ernst. Diese Kennungen sind so sensibel wie Kontonummern. Fehlt ihre Erkennung, fehlen Verschlüsselung, Maskierung und Prüfpfad.
Artikel 32 und die Verschlüsselungslücke
DSGVO Artikel 32(1)(a) verlangt Pseudonymisierung und Verschlüsselung als Basismaßnahmen. 56 % der DSGVO-Bußgelder nennen unzureichende Verschlüsselung als Faktor. Eine Börse, die alle erkannten PII verschlüsselt, aber Wallet-Adressen übersieht, hat nichts Wesentliches ihres Betriebs geschützt.
Die Erkennung muss alle Bezeichner abdecken. Für eine CASP gehören diese Adressformate dazu.
Wie eine konforme Pipeline aussieht
Eine konforme Börse fügt die Entitätstypen für diese Adressen in ihren Erkennungsschritt ein. Bitcoin- und Ethereum-Formate sind enthalten. Die Adressen werden markiert, verschlüsselt und im ROPA neben IBANs und Kontonummern protokolliert. Das DPIA nennt jeden abgedeckten Bezeichnertyp. MiCA-Prüfpfade stimmen mit den Verarbeitungsaufzeichnungen überein.
Keine neue Richtlinie ist erforderlich. Die Lücke ist technischer Natur. Das Hinzufügen der richtigen Entitätstypen zum Erkennungsschritt schließt sie.
Technische Maßnahmen nach Artikel 32 erklärt DSGVO Artikel 32 und KI-Tools zur PII-Überwachung. Wie Pseudonymisierung in der Praxis funktioniert, zeigt EDPB 2025 Leitlinien zur Pseudonymisierung.