Anonymisierung und Pseudonymisierung: Datenschutz wirksam umsetzen und Daten sinnvoll nutzen

Was ist Anonymisierung im Datenschutz?

Anonymisierung bedeutet, Daten so zu verarbeiten, dass sie anschließend nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Laut Erwägungsgrund 26 der DSGVO gilt ein Datensatz nur dann als anonymisiert, wenn keine Identifizierung der Person mehr möglich ist oder nur mit unverhältnismäßig hohem Aufwand.

Das bedeutet: Weder der Verantwortliche noch ein Dritter darf in der Lage sein, eine Person direkt oder indirekt zu identifizieren. Anonyme Daten sind grds. keine personenbezogenen Daten.

Wann wird Anonymisierung eingesetzt?

Anonymisierung ist besonders relevant in Kontexten, in denen Daten für statistische, wissenschaftliche oder analytische Zwecke genutzt werden sollen, ohne einen Personenbezug zu behalten. Typische Anwendungsfälle sind:

• wissenschaftliche Studien
• Entwicklung von KI-Modellen
• Analyse und Marktforschung
• Weitergabe an externe Partner (z. B. für Benchmarking oder Öffentlichkeitsarbeit)

Techniken der Anonymisierung

Um personenbezogene Daten wirksam zu anonymisieren, stehen verschiedene technische Ansätze zur Verfügung. Die folgenden Methoden zählen zu den gebräuchlichsten und lassen sich je nach Anwendungsfall kombinieren oder anpassen.

Generalisierung

Bei der Generalisierung werden spezifische Datenwerte in allgemeinere Kategorien überführt. Beispiel: Ein exaktes Alter (z. B. 42 Jahre) wird in eine Altersgruppe (z. B. 40–50 Jahre) umgewandelt. Dies reduziert die Möglichkeit einer Re-Identifikation durch Dritte.

Randomisierung

Randomisierung bedeutet das Einfügen von Zufallsrauschen in sensible Daten. Dadurch bleiben statistische Trends erhalten, während individuelle Aussagen entwertet werden. Techniken wie „Differential Privacy“ nutzen diese Methode systematisch.

Weitere Verfahren

Neben den etablierten Methoden wie Generalisierung und Randomisierung gibt es weitere bewährte Verfahren zur Anonymisierung, die je nach Einsatzzweck sinnvoll kombiniert werden können.

• k-Anonymität: Jeder Datensatz ist von mindestens k-1 weiteren Datensätzen nicht unterscheidbar. (Je größer hierbei k gewählt wird, desto wahrscheinlicher ist eine echte Anonymität.)
• Suppression: Vollständiges Entfernen bestimmter Datenfelder.
• Aggregation: Zusammenfassung mehrerer Datensätze zu Mittelwerten oder Häufigkeiten.

Voraussetzungen für eine wirksame Anonymisierung

Eine Anonymisierung gilt nur dann als ausreichend, wenn eine Re-Identifikation selbst durch Abgleich mit anderen Datenbeständen nur mit unverhältnismäßigem Aufwand möglich ist. Eine entscheidende Rolle hierbei spielt der Stand der Technik. Neue technische Verfahren können unter Umständen Daten wieder personenbeziehbar machen, auch wenn diese zuvor als anonym gelten konnten.

Auch daher sind angemessene Schutzmechanismen zu treffen, die eine Re-Identifizierung wirksam und nachhaltig verhindern. Bei der Bewertung der Anonymisierung ist darüber hinaus der Kontext der Datennutzung zu berücksichtigen, wozu auch die Möglichkeit gehört, dass potenzielle Angreifer Zugriff auf die Daten erhalten könnten.

Gilt Anonymisierung als Löschen im Sinne der DSGVO?

Eine Anonymisierung kann unter Umständen die Pflicht zur Löschung von Daten erfüllen, sofern sie irreversibel und dauerhaft ist und der Personenbezug entsprechend nachhaltig entfällt.

Ist eine DSFA vor der Anonymisierung erforderlich?

In vielen Fällen ja: Insbesondere wenn sensible Daten verwendet oder neue Technologien in großem Umfang verarbeitet werden, empfiehlt sich eine Datenschutz-Folgenabschätzung (DSFA). Diese Bewertung hilft, Risiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen zu planen. Darüber hinaus kann eine DSFA dabei helfen, die Wirksamkeit der Anonymisierung zu prüfen.

Typische Herausforderungen bei der Anonymisierung

Trotz ihrer Vorteile bringt die Anonymisierung zahlreiche praktische und strategische Herausforderungen mit sich. Im Folgenden sind die wichtigsten Problemfelder aufgeführt:

• Re-Identifikation durch externe Datenquellen
• Verlust von Datenqualität bei starker Anonymisierung
• Technische Komplexität und fehlende Standards
• Dynamischer Charakter: Was heute anonym ist, kann morgen re-identifizierbar sein

Was ist Pseudonymisierung im Datenschutz?

Die Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO definiert. Dabei werden Identifikatoren (z. B. Name, E-Mail) durch ein Pseudonym (z. B. eine zufällige ID) ersetzt. Der Bezug zur Person bleibt über eine gesondert gespeicherte Zuordnung erhalten. Wichtig: Pseudonymisierte Daten gelten weiterhin als personenbezogen, ihre Verarbeitung bedarf bspw. weiterhin einer datenschutzrechtlichen Rechtsgrundlage. Die Pseudonymisierung stellt daher primär eine Sicherheitsmaßnahme dar.

Wie funktioniert Pseudonymisierung?

Typische Verfahren sind:

• Tokenisierung: Ersetzung durch zufällige, für Dritte nicht rückführbare Zeichenfolgen
• Hashing (mit Salt): Einweg-Umwandlung von Daten in verschlüsselte Daten mit einer Zufallskomponente für zusätzliche Sicherheit

Die Zuordnungsinformationen zwischen Pseudonym und Originalwert muss technisch-organisatorisch abgesichert werden (z. B. Verschlüsselung, Zugriffsbeschränkung, getrennte Aufbewahrung).

Anwendungsbeispiele der Pseudonymisierung

Pseudonymisierung wird in der Praxis in vielen Branchen eingesetzt, um einen effektiven Schutz personenbezogener Daten sicherzustellen, ohne die Nutzbarkeit der Daten einzuschränken. Die folgenden Beispiele zeigen typische Einsatzfelder:

• Gesundheitsstudien mit kontrolliertem Zugang zu Identitätsdaten
• Interne Datenanalysen bei gleichzeitigem Schutz der Privatsphäre
• Auftragsverarbeitung durch externe Dienstleister

Pseudonymisierung als technische Schutzmaßnahme

Die DSGVO erkennt die Pseudonymisierung als effektive technisch-organisatorische Maßnahme (TOM) gemäß Art. 32 an. Sie reduziert Risiken für Betroffene, ohne Daten für legitime Zwecke unbrauchbar zu machen.

Grenzen und Risiken der Pseudonymisierung

Ein aktueller Beschluss zeigt, wie stark die Bewertung von Pseudonymisierung vom Nutzungskontext abhängen kann: Im Beschluss des LG Hannover vom 26.02.2025 (Az.: 128 OWiLG 1/24) geht dieses davon aus, dass pseudonymisierte Daten für bspw. Auftragsverarbeiter faktisch quasi anonym sein können, wenn der Empfänger keine Möglichkeit oder Veranlassung zur Identifizierung der betroffenen Personen hat.

Im konkreten Fall hatte ein Automobilkonzern pseudonymisierte Beschäftigtendaten an einen US-Monitor übermittelt. Die Datenschutzbehörde sah hierin einen DSGVO-Verstoß. Das Gericht wies diesen Vorwurf jedoch zurück: Da der Monitor im Ausland keinen Zugang zu den Klaridentitäten hatte und auch keine Re-Identifikation beabsichtigt war, sei die Pseudonymisierung in ihrer Wirkung einer Anonymisierung sehr nahegekommen. Die Frage, ob tatsächlich eine vollständige Anonymisierung vorlag, ließ das Gericht offen, hob aber die behördliche Entscheidung auf.

Bei einer Pseudonymisierung bleibt der Personenbezug erhalten, was bedeutet, dass die Daten weiterhin unter die Vorschriften der DSGVO fallen. Entscheidend ist deshalb, dass das Management der Zuordnungsdaten besonders sicher umgesetzt wird, um unbefugte Re-Identifikationen zu verhindern. Denn: Die Verknüpfung mit zusätzlichen Informationen oder externen Datenquellen kann im schlimmsten Fall eine nachträgliche Identifizierung der betroffenen Person ermöglichen.

Anonymisierung vs. Pseudonymisierung: Gegenüberstellung

Wann eignet sich welches Verfahren?

• Anonymisierung: Wenn Daten dauerhaft ohne Personenbezug und für Dritte oder die Öffentlichkeit verwendet werden sollen.
• Pseudonymisierung: Wenn Daten intern verarbeitet werden sollen, aber der Personenbezug nicht entfernt werden kann.
• Kombination beider Methoden ist u. U. möglich: z. B. Pseudonymisierung in der Datennutzung, Anonymisierung in weiteren Schritten/zur endgültigen Löschung.

Fazit: Datenschutzkonform und datennutzungsfreundlich

Anonymisierung und Pseudonymisierung sind keine rein technischen Detailfragen, sondern strategische Werkzeuge zur Umsetzung von Datenschutz „by Design“. Wer beide Verfahren richtig einsetzt, reduziert Risiken, stärkt das Vertrauen von Kunden und erfüllt regulatorische Anforderungen – ohne auf datenbasierte Innovation verzichten zu müssen.

Unternehmen sollten sich mit den Verfahren vertraut machen, ihre Einsatzmöglichkeiten analysieren und die technische wie organisatorische Umsetzung dokumentieren. Dabei unterstützen wir Sie gerne.

Unsere Leistungen rund um Anonymisierung und Pseudonymisierung

Als spezialisierte Unternehmensberatung für Datenschutz unterstützen wir Sie umfassend bei der Umsetzung datenschutzkonformer Anonymisierungs- und Pseudonymisierungslösungen. Unsere Leistungen umfassen u. a.:

• Beratung und Projektbegleitung bei der Auswahl und Einführung geeigneter Verfahren und Werkzeuge
• Erstellung oder Prüfung von Richtlinien zur datenschutzkonformen Anonymisierung und Pseudonymisierung
• Durchführung von Risikoanalysen und Schwellenwertprüfungen, insbesondere zur Entscheidung über eine notwendige Datenschutz-Folgenabschätzung (DSFA)
• Technische und organisatorische Umsetzungsempfehlungen zur sicheren Trennung und Speicherung von Pseudonymisierungsschlüsseln
• Schulungen für Fachabteilungen, Datenschutzbeauftragte und IT-Teams zur Sensibilisierung für typische Fallstricke und Praxisfragen
• Audit und Qualitätskontrolle bestehender Anonymisierungsprozesse

Sprechen Sie uns an, wenn Sie Ihre Datenverarbeitung sowohl rechtssicher als auch wirtschaftlich gestalten möchten.