10 min Zuletzt auktualisiert: 27.02.2026

DSGVO: Anonymisierung und Pseudonymisierung

Nahezu alle Unternehmensprozesse beinhalten die Verarbeitung personenbezogener Daten. Nicht nur im Bereich der Personalverwaltung, sondern auch bereits beim Verfassen einer E-Mail, bei der Durchführung einer Videokonferenz, oder in der Kundenkommunikation kommen die unterschiedlichsten Personen innerhalb eines Unternehmens zwangsläufig mit dieser Art von Daten in Kontakt. Die Datenschutz-Grundverordnung gibt hierfür genaue Anweisungen, wie mit den Daten umgegangen werden muss.

Ziel der Verordnung ist es, die Daten so zu verschlüsseln, dass der Schutz der betroffenen Personen gewährleistet ist und keine Informationen unerwünscht nach außen dringen. Zentrale Maßnahmen zum Schutz personenbezogener Daten sind insbesondere die Anonymisierung und die Pseudonymisierung. Mit diesen Methoden fällt es viel schwerer, einzelne Personen zu erkennen. Unternehmen und Ämter halten so leichter die Regeln zum Datenschutz ein.

Gleichzeitig sind die Vorgaben zum Thema Zweckbindung und Datenminimierung zu beachten. Neben der DSGVO spielt hierbei auch das BDSG eine Rolle, weil das BDSG die Datenschutzregeln in Deutschland ergänzt. Generell trägt der Auftragsverarbeiter die Verantwortung genauso wie die verantwortliche Organisation. Die Position des Datenschutzbeauftragten sollte übergreifend sicherstellen, dass die DSGVO stringent eingehalten und zweckmäßig im Unternehmen umgesetzt wird.Datenschutz funktioniert am besten, wenn die verwendete Technik, die Organisation und die aufgestellten Regeln gut zusammenpassen. Nur dann lassen sich Fehler beim Datenschutz vermeiden und die Inhalte aus der DSGVO einhalten und umsetzen.

Was sind anonyme Daten?

Anonyme Daten liegen vor, wenn kein Personenbezug mehr besteht und eine Re-Identifizierung nur mit unverhältnismäßigem Aufwand oder hohem Aufwand möglich wäre. Neben den klaren Angaben wie Name oder Adresse, können auch die Standortdaten oder die Postleitzahl auf eine bestimmte Person hinweisen. Auch wenn man verschiedene Merkmale zusammen betrachtet, kann man damit auf eine Person schließen.Anonymisierte Daten zählen nicht zur DSGVO, wenn diese Daten wirklich ganz anonym bleiben. In der Datenschutz-Grundverordnung steht bei Erwägungsgrund 26, dass anonyme Daten keine personenbezogenen Daten sind. Im Unternehmensalltag ist es meistens nicht leicht, alles ganz anonym und datenschutzkonform zu halten. Die technischen Möglichkeiten entwickeln sich stetig weiter. So kann es sein, dass eine re-Identifikation, die gestern noch unmöglich war, morgen schon technisch machbar wird. Der Europäische Gerichtshof (EuGH) nimmt hierzu in einigen Urteilen Stellung, dass der Stand der Technik für DSGVO-konforme Bearbeitung der Daten zu berücksichtigen und bei der Beurteilung mit einzubeziehen ist.

Was sind anonyme Daten?

Sind pseudeonymisierte Daten datenbezogene Daten?

Pseudonymisierte Daten bleiben personenbezogene Daten im Sinne der DSGVO. Nach Artikel 5 DSGVO passiert eine Pseudonymisierung dann, wenn jemand persönliche Daten so verändert, dass man daraus nicht sofort erkennt, um wen es geht, jedoch keine vollständige Anonymisierung erfolgt. Das funktioniert allerdings nur, solange keiner noch mehr Informationen hat, mit denen man die Person am Ende doch wieder zuordnen kann. Man soll die zusätzlichen Informationen extra speichern und passende organisatorische Maßnahmen bei der Verarbeitung von Daten anwenden.Pseudonymisierte Daten verringern das Risiko, die betroffenen Personen zu identifizieren. Allerdings gibt es trotzdem noch einen gewissen Zusammenhang zu dieser Person. Eine Re-Identifikation ist möglich, wenn die Zuordnungsschlüssel da sind. Auch für pseudonymisierte Daten braucht man alle Regeln der DSGVO. Dazu gehört zum Beispiel der richtige Umgang mit den personenbezogenen Daten, der Schutz der Daten, die genaue Zweckbestimmung und die Einhaltung des Datenschutzes durch die, die für die Daten zuständig sind.

Ein Beispiel für anonyme und pseudonymisierte Daten

Ein Datensatz mit Kundenaufträgen enthält Namen, Adressen und Bestelldaten. Werden alle Identifikationsmerkmale entfernt und verbleiben nur noch aggregierte oder stark verallgemeinerte Informationen ohne Personenbezug, handelt es sich um anonymisierte Daten. Ein Rückschluss auf eine bestimmte Person ist dann nicht mehr möglich.Man kann die echten Namen durch neue Namen ersetzen. Diese neuen Namen nennt man dann “Pseudonyme”. Die Verbindung zwischen den echten Namen und den Pseudonymen schreibt man extra in eine Tabelle. So kann man von einer Pseudonymisierung der Daten sprechen. Für Leute, die die extra Informationen nicht sehen, sehen die Daten anonym aus. Für das verantwortliche Unternehmen bleiben sie jedoch pseudonymisierte Daten, da eine Re-Identifikation möglich ist.

Ein Datensatz mit Kundenaufträgen enthält Namen, Adressen und Bestelldaten. Werden alle Identifikationsmerkmale entfernt und verbleiben nur noch aggregierte oder stark verallgemeinerte Informationen ohne Personenbezug, handelt es sich um anonymisierte Daten. Ein Rückschluss auf eine bestimmte Person ist dann nicht mehr möglich.

Man kann die echten Namen durch neue Namen ersetzen. Diese neuen Namen nennt man dann “Pseudonyme”. Die Verbindung zwischen den echten Namen und den Pseudonymen schreibt man extra in eine Tabelle. So kann man von einer Pseudonymisierung der Daten sprechen. Für Leute, die die extra Informationen nicht sehen, sehen die Daten anonym aus. Für das verantwortliche Unternehmen bleiben sie jedoch pseudonymisierte Daten, da eine Re-Identifikation möglich ist.

Was bedeutet Anonymisierung von Daten im Sinne der DSGVO?

Die DSGVO gibt nicht genau an, was Anonymisierung bedeutet. In der DSGVO steht aber, dass anonymisierte Daten nicht mehr unter die DSGVO fallen. Heute ist es wichtig, dass niemand die Daten einer Person zuordnen kann. Zur Bewertung wird hierzu, wie oben beschrieben, der aktuelle Stand der Technik herangezogen. Das betrifft vor allem die sensiblen Daten, wie die Gesundheitsdaten, die Standortdaten oder andere Daten, die besonders schützenswert sind. Auch für Forschungszwecke werden oft anonymisierte Daten verwendet. So können Daten von großen Personengruppen zum Erkenntnisgewinn genutzt werden, ohne die Rechte des Einzelnen zu tangieren.

Was bedeutet Pseudonymisierung im Sinne der DSGVO?

Die Pseudonymisierung von Daten ist eine anerkannte Datenschutzmaßnahme nach der Datenschutz-Grundverordnung. Für einzelne Personen oder Personengruppen werden „Pseudonyme“ als Arbeitstitel verwendet, um ihrem Schutzbedürfnis nachzukommen, aber gleichzeitig die Daten bis zu einem gewissen Grad verarbeiten und nutzen zu können.

Unternehmen sollten beachten, dass pseudonymisierte Daten im Laufe der Zeit wieder einen stärkeren Personenbezug erhalten können, wenn neue zusätzliche Informationen hinzukommen. Man sollte immer wieder die Datensicherheit und die Abläufe in der Organisation prüfen und validieren.

Methoden der Anonymisierung

Welche Methode am besten ist, um Daten zu anonymisieren, hängt davon ab, was man mit den Daten machen möchte, welche Merkmale die Daten enthalten, was die Technik hergibt und wie stark die Daten geschützt werden sollen. Im Alltag gibt es meistens mehr als einen Weg. Das Thema “Künstliche Intelligenz” stellt hier sowohl Chancen, als auch Risiken dar. Die Modelle für Machine-Learning lernen am besten, wenn sie viele passende Daten erhalten.Besonders bei sensiblen Daten und bei der Arbeit mit KI-Systemen braucht man oft mehrere Methoden zusammen, damit niemand die Daten wieder zurückverfolgen kann. Das schützt die Informationen besser. Unternehmen sollten genau schauen, ob die Daten wirklich anonym sind. Gerade im Umgang mit KI müssen die Mitarbeiter hinsichtlich des Datenschutzes genau geschult werden, sodass sie wissen, wofür sie KI nutzen dürfen und mit welchen Informationen sie die Modelle speisen können.

Fazit

Anonymisierung und Pseudonymisierung helfen einem Unternehmen dabei, die Regeln der DSGVO zu befolgen, wenn das Unternehmen persönliche Daten verarbeitet. Wenn eine Person die Daten so verändert, dass niemand mehr weiß, von wem die Daten kommen, dann gilt die Datenschutz-Grundverordnung nicht mehr. Bei den pseudonymisierten Daten ist das aber anders. Solche Daten sind immer noch personenbezogen und für diese Daten müssen alle Vorschriften weiter beachtet werden. Als Firma sollte man darauf achten, dass die DSGVO und das BDSG eingehalten werden. Hierfür sollten intern einfache Regeln und Abläufe erstellt werden, damit die Mitarbeiter genau wissen, was sie dürfen und was nicht und was im Umgang mit personenbezogenen Daten zu beachten ist. Nur so lassen sich Begriffe wie Datensicherheit, Zweckbindung, Datenminimierung und der Schutz der betroffenen Person im Unternehmensalltag wirklich umsetzen.

Quellen:

Inhaltsangabe

Unsere Auszeichnungen

Unsere Partner

lawpilots GmbH
c/o Indy by Industrious
Eichhornstraße 3
10785 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.4260774269252 von 5 Sternen 2719 Bewertungen auf ProvenExpert.com

Schulungen

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497