Zum Inhalt springen

Der EU Data Act und seine Auswirkungen auf Blockchain-Technologie

Seit Januar 2024 ist der EU Data Act in Kraft – eine Verordnung, die vordergründig das Internet der Dinge und Datenflüsse zwischen vernetzten Geräten reguliert. Doch darunter verbirgt sich eine Bestimmung, die das Fundament dezentraler Blockchain-Technologie erschüttern könnte. Was bedeutet dieser Rechtsakt konkret für Smart Contracts, DeFi-Protokolle und permissionless Blockchains wie Ethereum? Und warum löst ausgerechnet Artikel 36 des Data Act eine Welle der Besorgnis aus?

Was regelt der EU Data Act eigentlich?

Der Data Act ist Teil der europäischen Datenstrategie. Nutzer vernetzter Produkte – von Smart-Home-Geräten bis zu industriellen Maschinen – sollen die Kontrolle über „ihre“ Daten zurückgewinnen. Hersteller können nicht länger exklusiv auf die von Geräten generierten Informationen zugreifen; vielmehr müssen sie diese Daten unter bestimmten Voraussetzungen mit Nutzern und Dritten teilen.

Die Verordnung umfasst drei zentrale Säulen: erstens Datenzugangsrechte zwischen Unternehmen und Verbrauchern, zweitens Regelungen zur Interoperabilität und zum Wechsel zwischen Cloud-Anbietern, drittens – und hier wird es für Blockchain relevant – technische Anforderungen an Smart Contracts, die Datenaustauschvereinbarungen automatisiert ausführen. Ab September 2025 werden die meisten Bestimmungen anwendbar sein.

Smart Contracts im Visier

Artikel 36 des Data Act definiert Smart Contracts als „Computerprogramme, die zur automatisierten Ausführung einer Vereinbarung genutzt werden, wobei eine Abfolge elektronischer Datenaufzeichnungen verwendet wird“. Diese Definition ist bewusst technologieneutral formuliert – sie bezieht sich nicht ausschließlich auf Blockchain-basierte Implementierungen, sondern erfasst potenziell jede Form automatisierter Vertragsausführung im Kontext von Datenaustauschvereinbarungen.

Entscheidend dabei: die Einschränkung auf „Datenaustauschvereinbarungen“. Smart Contracts, die ausschließlich interne Geschäftsprozesse automatisieren, fallen theoretisch nicht darunter. Doch in der Praxis? Die Grenze verschwimmt. Nahezu alle Smart Contracts übertragen oder verarbeiten in irgendeiner Form Daten – sei es bei DeFi-Transaktionen, NFT-Übertragungen oder Supply-Chain-Prozessen.

Die fünf essenziellen Anforderungen

Wer Smart Contracts für Dritte bereitstellt oder kommerziell einsetzt, muss laut Artikel 36 fünf Kernkriterien erfüllen:

Robustheit und Zugriffskontrolle

Smart Contracts müssen so konstruiert sein, dass sie funktionale Fehler vermeiden und Manipulationen widerstehen. Zugriffskontrollmechanismen sollen gewährleisten, dass nur autorisierte Parteien auf bestimmte Funktionen zugreifen können. Klingt vernünftig – ist aber bei permissionless Blockchains, die gerade durch ihren offenen Charakter punkten, eine echte Herausforderung.

Sichere Beendigung und Unterbrechung

Hier beginnt die eigentliche Kontroverse. Der Data Act fordert, dass Smart Contracts interne Funktionen enthalten müssen, die es ermöglichen, die Vertragsausführung zu stoppen, zurückzusetzen oder zu unterbrechen. Ein sogenannter „Kill Switch“. Was nach Verbraucherschutz klingt (was, wenn ein fehlerhafter Smart Contract unkontrolliert Geld abzieht?), stellt in Wahrheit einen fundamentalen Angriff auf die Immutabilität der Blockchain dar.

Datenarchivierung und Kontinuität

Wenn ein Smart Contract beendet wird, müssen die bis dahin verarbeiteten Daten archiviert und zugänglich bleiben. Bei Blockchains ist das größtenteils gegeben, da jede Node eine redundante Kopie vorhält. Off-Chain-Speicherung könnte hier zusätzliche Compliance-Optionen bieten.

Zugriffskontrolle auf gespeicherte Daten

Zugriffsrechte müssen technisch durchsetzbar sein – wiederum problematisch für öffentliche Blockchains, bei denen per Definition jeder Zugriff auf die Daten hat (auch wenn diese verschlüsselt sein können).

Konsistenz mit der Datenaustauschvereinbarung

Der Smart Contract muss exakt das tun, was in der zugrundeliegenden Vereinbarung steht. Klingt selbstverständlich, ist es aber nicht. Smart Contracts sind in Programmiersprachen geschrieben, die nicht immer präzise das wiedergeben, was die Vertragsparteien tatsächlich beabsichtigen. Genau deshalb existiert die Smart-Contract-Audit-Branche.

Der „Kill Switch“: Fluch oder Segen?

Warum erzeugt gerade die Anforderung nach sicherer Beendigung so viel Widerstand? Weil sie dem Wesenskern dezentraler Blockchain-Technologie widerspricht. Die Immutabilität von Smart Contracts – ihre Unveränderlichkeit und automatische Ausführung ohne zentrale Kontrollinstanz – ist kein technisches Detail, sondern das zentrale Vertrauensversprechen: „Code is Law“. Niemand kann nachträglich die Regeln ändern. Kein Intermediär, keine Behörde.

Ein Kill Switch hebelt genau dieses Prinzip aus. Bei permissionless Blockchains wie Ethereum gibt es keine zentrale Autorität, die einen solchen Schalter betätigen könnte. Jeder kann ohne Genehmigung am Netzwerk teilnehmen; es existiert keine Kontrollinstanz, die für regulatorische Anforderungen verantwortlich gemacht werden kann. Selbst wenn technische Lösungen wie Multisignatur-Wallets denkbar sind – wer entscheidet, wann der Schalter umgelegt wird? Und wer haftet, wenn das nicht oder zum falschen Zeitpunkt geschieht?

Rebecca Rettig von Polygon Labs bringt es auf den Punkt: Eine Terminierungsanforderung für alle Smart Contracts erzwingt faktisch einen Zentralisierungspunkt und eliminiert die permissionless, autonome Natur dieser Technologie. Paradox: Die EU schafft mit dem Data Act eine Regulierung, die im Namen der Datenzugänglichkeit ausgerechnet jene Technologie erstickt, die Datentransparenz und -souveränität am konsequentesten umsetzt.

DeFi unter Druck: Existenzielle Bedrohung?

Für das dezentrale Finanzwesen (DeFi) ist die Lage besonders prekär. DeFi lebt von Smart Contracts, die ohne Intermediär arbeiten. Keine Bank, kein Broker, nur Code. Wenn dieser Code aber plötzlich einen Notausschalter haben muss, wer soll ihn dann bedienen?

Stimmen aus der Industrie warnen vor einer „existenziellen Bedrohung“ für permissionless Blockchains. Andere halten das für überzogen – schließlich hat die Krypto-Community bei der GDPR ähnliche Untergangsprophezeiungen gehört, und am Ende fanden sich pragmatische Lösungen. Tatsächlich sind die wenigsten kommerziellen Blockchain-Anwendungen wirklich vollständig dezentralisiert. Oftmals gibt es Governance-Token-Holder oder Multi-Sig-Wallets, die faktisch Kontrolle ausüben könnten.

Dennoch: Der Data Act setzt einen Präzedenzfall. Wenn die EU-Regulierung Smart Contracts mit Terminierungsfunktion als Standard definiert, könnten künftige Gesetzgebungen darauf aufbauen – mit weitreichenden Folgen für die gesamte Blockchain-Infrastruktur.

Permissioned vs. Permissionless

Einige Beobachter vermuten, dass der Data Act letztlich auf eine Privilegierung privater, permissioned Blockchains hinausläuft. Diese Netzwerke – etwa Konsortial-Blockchains wie Hyperledger – haben bekannte Teilnehmer, klare Governance-Strukturen und definierte Verantwortlichkeiten. Sie lassen sich deutlich einfacher regulieren.

Öffentliche, permissionless Blockchains hingegen operieren in einem rechtlichen Graubereich. Wer ist verantwortlich, wenn in einem dezentralen Netzwerk mit tausenden Nodes personenbezogene Daten verarbeitet werden? Die EDPB hat in ihren GDPR-Leitlinien bereits angedeutet, dass theoretisch jeder Node-Betreiber als Joint Controller betrachtet werden könnte – eine praktisch nicht durchsetzbare Konstellation.

Der Data Act könnte diese Spaltung verschärfen: Auf der einen Seite regulierungskonforme, kontrollierte Blockchain-Lösungen für Enterprise-Anwendungen; auf der anderen Seite eine rechtliche Grauzone für wirklich dezentrale Systeme, die faktisch aus dem europäischen Markt gedrängt werden.

Branchenreaktion

Die Blockchain-Community hat nicht tatenlos zugesehen. Organisationen wie EUCI (European Crypto Initiative), Blockchain for Europe und Polygon Labs haben bereits 2022 und 2023 offene Briefe an EU-Gesetzgeber gerichtet. Ihre Forderungen:

  • Ersatz des Begriffs „Smart Contract“ durch „Digital Contract“
  • Ausnahme für permissionless Blockchains vom Anwendungsbereich
  • Klarstellung, dass nur Smart Contracts auf privaten Blockchains den essenziellen Anforderungen unterliegen

Die Reaktion der Politik war durchwachsen. Damian Boeselager, Mitglied des Europäischen Parlaments, räumte ein, dass Smart Contracts ursprünglich nicht im Fokus des Data Act standen – die Gesetzgebung richtete sich primär an IoT-Geräte. Die breite Definition sei eher unbeabsichtigt. Dennoch: Substantielle Änderungen blieben aus. Die finale Fassung enthält zwar leichte sprachliche Anpassungen, aber keine explizite Freistellung für permissionless Blockchains.

Technische Lösungsansätze

Trotz aller Kritik: Gibt es Wege, den Data Act technisch umzusetzen, ohne die Dezentralisierung komplett aufzugeben?

Soft Termination: Der Smart Contract wird pausiert, kann aber reaktiviert werden. Beispiel: Eine Multisignatur-Wallet, bei der mehrere Parteien zustimmen müssen, um Funktionen zu stoppen oder fortzusetzen.

Hard Termination: Der Smart Contract wird dauerhaft beendet über vordefinierte Regeln (z. B. Timelock, Orakel-basierte Trigger). Problem: Bei bereits laufenden, unveränderlichen Contracts ist das nicht nachträglich einbaubar.

Frontend-Kontrolle: Statt den Smart Contract selbst zu manipulieren, wird die Schnittstelle (z. B. eine DApp-Oberfläche) kontrolliert. Hersteller könnten die Verbindung zwischen Gerät und Smart Contract kappen. Cleverer Workaround, aber rechtlich unsicher.

Layer-2-Lösungen: Ethereum bewegt sich ohnehin in Richtung Rollup-zentrierter Architekturen. Layer-2-Netzwerke wie Optimism könnten zentralisierte Kontrollmechanismen einbauen, während die Basisschicht unangetastet bleibt.

Keine dieser Lösungen ist perfekt. Jede bringt Kompromisse in Sachen Dezentralisierung, Sicherheit oder Nutzerfreundlichkeit mit sich.

Wechselwirkung mit anderen EU-Regulierungen

Der Data Act operiert nicht isoliert. Er interagiert mit weiteren EU-Verordnungen:

GDPR (Datenschutz-Grundverordnung): Personenbezogene Daten auf Blockchains sind ein Dauerkonflikt. Die EDPB hat Leitlinien veröffentlicht, die empfehlen, personenbezogene Daten möglichst nicht on-chain zu speichern. Die Unveränderlichkeit kollidiert mit dem Recht auf Löschung. Der Data Act verschärft dieses Dilemma eher, als es zu lösen.

MiCA (Markets in Crypto-Assets Regulation): Diese Verordnung reguliert Krypto-Assets und Stablecoins, lässt aber dezentrale Protokolle größtenteils außen vor. Der Data Act könnte durch seine Smart-Contract-Anforderungen eine Hintertür öffnen, um genau jene dezentralen Anwendungen zu erfassen, die MiCA bewusst ausgespart hat.

Internationale Dimension: Drittstaatenzugriff

Ein oft übersehener Aspekt: Artikel 31 regelt den Zugriff von Behörden aus Drittstaaten (z. B. USA, China) auf nicht-personenbezogene Daten, die in der EU verarbeitet werden. Das schützt europäische Unternehmen vor extraterritorialen Überwachungsansprüchen – etwa dem US CLOUD Act.

Für Blockchain-Anwendungen ist das besonders relevant, da Nodes weltweit verteilt sein können. Wie wird entschieden, ob ein Smart Contract „in der EU“ operiert, wenn die zugehörigen Validatoren auf drei Kontinenten laufen? Der Data Act gibt hierauf keine klare Antwort. Faktisch dürfte das extraterritoriale Wirkung entfalten: Wer den EU-Markt bedienen will, muss compliant sein – unabhängig vom Standort.

Übergangsfristen und Durchsetzung

Die meisten Regelungen des Data Act greifen ab September 2025. Unternehmen, die Smart Contracts bereitstellen, müssen eine EU-Konformitätserklärung abgeben – ähnlich wie bei CE-Kennzeichnungen für Produkte. Die Durchsetzung liegt bei den nationalen Behörden. Strafen orientieren sich an der GDPR: bis zu 4 % des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen.

In der Praxis dürfte die Durchsetzung zunächst zurückhaltend verlaufen – Behörden müssen sich erst mit der Materie vertraut machen. Die EU-Kommission hat angekündigt, bis September 2025 Mustervertragsklauseln zu veröffentlichen. Bis dahin bleibt vieles Auslegungssache.

Fazit: Innovation unter Regulierungsdruck

Der EU Data Act ist ein ambitionierter Versuch, die Datenökonomie fairer zu gestalten. Das Ziel – Nutzer sollen Kontrolle über ihre Daten zurückgewinnen – ist prinzipiell begrüßenswert. Doch die Art, wie die Verordnung Smart Contracts reguliert, wirft mehr Fragen auf, als sie beantwortet.

Die Anforderung nach einem Kill Switch mag bei klassischen Software-Lösungen oder IoT-Geräten sinnvoll sein. Bei permissionless Blockchains führt sie jedoch zu einem fundamentalen Widerspruch: Entweder man akzeptiert die Dezentralisierung und Immutabilität – oder man verlangt zentrale Kontrollmechanismen. Beides zusammen? Geht nicht.

Für die europäische Blockchain-Branche bedeutet das eine Gratwanderung. Einerseits bietet die EU mit MiCA ein vergleichsweise klares regulatorisches Umfeld. Andererseits droht der Data Act, genau jene innovativen, wirklich dezentralen Anwendungen zu ersticken, die das Versprechen der Blockchain-Technologie einlösen könnten.

Ob sich pragmatische Lösungen finden lassen – etwa durch enge Auslegung des Anwendungsbereichs oder technische Workarounds – wird die Zukunft zeigen. Die öffentliche Konsultation zu den EDPB-Leitlinien läuft noch bis Juni 2025, Standards müssen entwickelt werden, und die ersten Gerichtsfälle dürften nicht lange auf sich warten lassen.

Bis dahin gilt: Wachsam bleiben, Compliance-Strategien vorbereiten – und notfalls bereit sein, für die Prinzipien der Dezentralisierung einzustehen.

Quellen

  1. European Union (2023): Regulation (EU) 2023/2854 of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act). Verfügbar unter: https://eur-lex.europa.eu/eli/reg/2023/2854/oj
  2. Osborne Clarke (2023): What are the implications of the EU Data Act for smart contract operators? Verfügbar unter: https://www.osborneclarke.com/insights/what-are-implications-eu-data-act-smart-contract-operators
  3. European Crypto Initiative (2023): The Data Act – Implications for the Future of Smart Contracts in Europe (Position Paper). Verfügbar unter: https://eu.ci/data-act-position-paper-euci/
  4. Hogan Lovells (2024): EU Data Act (part 8): smart contracts. Verfügbar unter: https://www.hoganlovells.com/en/publications/eu-data-act-part-8-smart-contracts
  5. DL News (2024): EU data bill threatens to upend smart contracts in potential blow for DeFi. Verfügbar unter: https://www.dlnews.com/articles/regulation/eu-rules-on-smart-contracts-could-damage-defi-if-not-changed/
  6. European Data Protection Board (2025): Guidelines 02/2025 on processing of personal data through blockchain technologies. Verfügbar unter: https://www.edpb.europa.eu/news/news/2025/edpb-adopts-guidelines-processing-personal-data-through-blockchains-and-ready_en
  7. Biswas, Bikram (2023): Unveiling the EU Data Act: Essential Key Points for the Blockchain Industry. LinkedIn Article. Verfügbar unter: https://www.linkedin.com/pulse/unveiling-eu-data-act-essential-key-points-blockchain-bikram-biswas
  8. Finck, Michèle & Moscon, Valentina (2019): Blockchain and Data Protection in the EU. European Parliamentary Research Service (EPRS). Verfügbar unter: https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf