Anonymisierung vs. Pseudonymisierung: Der DSGVO-Leitfaden
Anonymisierung und Pseudonymisierung unter der DSGVO klar erklärt: rechtliche Definitionen, Umkehrbarkeit, Geltungsbereich, Vergleichstabelle und häufige Irrtümer. Ca. 155 Zeichen.
In Meetings, Anbieterpräsentationen und internen Richtlinien werden „Anonymisierung" und „Pseudonymisierung" häufig als Synonyme verwendet. Das sind sie nicht – und die DSGVO behandelt sie grundlegend verschieden. Die eine Technik kann Daten vollständig aus dem Anwendungsbereich der Verordnung herausnehmen; die andere tut das nie, egal wie sicher sie auf den ersten Blick wirkt.
Dieser Leitfaden schafft Klarheit. Er erläutert die rechtlichen Definitionen nach der DSGVO, die Bedeutung der Umkehrbarkeit, genau wann welche Technik Daten aus dem Anwendungsbereich herausnimmt, eine Vergleichstabelle sowie die Missverständnisse, über die selbst sorgfältige Organisationen stolpern. Das Ziel ist ein Text, auf den Sie sich berufen können – beim Entwurf eines Prozesses oder bei der Erklärung gegenüber einer Aufsichtsbehörde.
Kurz zusammengefasst
- Pseudonymisierung ersetzt Identifikatoren durch umkehrbare Token. Die Daten bleiben personenbezogene Daten und fallen vollständig in den Anwendungsbereich der DSGVO (Art. 4 Nr. 5, Erwägungsgrund 26).
- Anonymisierung beseitigt den Personenbezug so, dass eine Re-Identifizierung nicht mehr mit verhältnismäßigem Aufwand möglich ist. Wirklich anonyme Daten liegen außerhalb des Anwendungsbereichs der DSGVO (Erwägungsgrund 26).
- Die entscheidende Trennlinie ist die Umkehrbarkeit: Wenn ein Schlüssel, eine Zuordnungstabelle oder zusätzliche Informationen die Identität wiederherstellen können, handelt es sich um Pseudonymisierung – nicht um Anonymisierung.
- Sie können irreversibel anonymisierte Dateien direkt jetzt erstellen: Sensible Daten werden lokalisiert und anschließend deterministisch gelöscht, ohne dass ein Schlüssel zurückbleibt.
Die zwei Definitionen – direkt aus der DSGVO
Diese Begriffe sind keine Marketingsprache – sie sind Rechtskategorien mit konkreten Konsequenzen für die geltenden Pflichten.
Pseudonymisierung (Art. 4 Nr. 5 DSGVO)
Die DSGVO definiert Pseudonymisierung als die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden. Das klassische Beispiel: Ein Kundenname wird durch USR_48213 ersetzt, während eine sichere Lookup-Tabelle den Token der betreffenden Person zuordnet.
Das entscheidende Merkmal ist: Die Verbindung besteht noch. Sie wurde getrennt und geschützt, kann aber wiederhergestellt werden. Deshalb ist Pseudonymisierung eine Sicherheits- und Datenschutzmaßnahme, die durch Art. 32 DSGVO ausdrücklich empfohlen wird – aber niemals ein Ausstieg aus der Verordnung.
Anonymisierung (Erwägungsgrund 26 DSGVO)
Anonyme Informationen werden darüber definiert, was sie nicht sind: Daten, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die so anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann. Die Datenschutzgrundsätze der DSGVO „gelten nicht für anonyme Informationen".
Der entscheidende Maßstab in Erwägungsgrund 26 ist der „vernünftigerweise einzusetzenden Mittel"-Test: Zur Beurteilung der Identifizierbarkeit müssen alle Mittel berücksichtigt werden, die vernünftigerweise vom Verantwortlichen oder einem Dritten eingesetzt werden könnten – unter Berücksichtigung von Kosten, Zeitaufwand und verfügbarer Technologie. Anonymisierung ist daher keine einzelne Technik, sondern ein Ergebnis: Eine Re-Identifizierung ist nicht mehr mit verhältnismäßigem Aufwand möglich.
Umkehrbarkeit ist der entscheidende Faktor
Wenn Sie sich eines merken, dann dies: Die Umkehrbarkeit bestimmt die Rechtskategorie.
- Gibt es einen Schlüssel, ein Mapping, einen Salt, eine Lookup-Tabelle oder sonstige „zusätzliche Informationen", die die Daten einer Person zuordnen könnten → handelt es sich um Pseudonymisierung, und die Daten sind personenbezogen.
- Wurde der ursprüngliche identifizierende Inhalt vernichtet und kann mit verhältnismäßigem Aufwand nicht wiederhergestellt werden → handelt es sich um Anonymisierung, und das Ergebnis kann außerhalb des Anwendungsbereichs liegen.
Deshalb ist Verschlüsselung keine Anonymisierung. Verschlüsselte personenbezogene Daten sind das Paradebeispiel für Pseudonymisierung: Der Chiffretext ist ohne den Schlüssel bedeutungslos, aber der Schlüssel existiert und der Klartext kann wiederhergestellt werden. Starke Verschlüsselung ist hervorragende Sicherheit. Sie ist kein Ausstieg aus der DSGVO.
Dieselbe Logik gilt für Mediendateien. Das Verwischen eines Gesichts mit einem umkehrbaren Filter oder das Stummschalten von Audio mit einer entfernbaren Schicht ist bestenfalls Pseudonymisierung. Die vollständige Vernichtung dieser Pixel oder Audiosamples hingegen ist Anonymisierung. Der Maßstab ist immer: Kann jemand mit verhältnismäßigem Aufwand das Original wiederherstellen?
Wann fallen Daten durch welche Technik aus dem Anwendungsbereich heraus?
Das ist die Frage, auf die es bei der Compliance-Planung wirklich ankommt.
| Aspekt | Pseudonymisierung | Anonymisierung |
|---|---|---|
| DSGVO-Rechtsgrundlage | Art. 4 Nr. 5, Art. 32 | Erwägungsgrund 26 |
| Noch personenbezogene Daten? | Ja | Nein (bei echter Anonymität) |
| Im Anwendungsbereich der DSGVO? | Immer | Außerhalb des Anwendungsbereichs |
| Umkehrbar? | Ja – durch Design, mit dem Schlüssel | Nein – Verbindung ist vernichtet |
| Schlüssel / Mapping vorhanden? | Ja, getrennt gespeichert | Nicht vorhanden |
| Hauptzweck | Risikominderung, sichere Nutzung ermöglichen | Daten aus dem Regelungsbereich herausnehmen |
| Re-Identifizierungsrisiko | Vorhanden (kontrolliert) | Vernachlässigbar / mit verhältnismäßigem Aufwand nicht möglich |
| Typische Techniken | Tokenisierung, Verschlüsselung, codierte IDs | Vernichtung, Aggregation, k-Anonymität, Generalisierung |
Pseudonymisierung nimmt Daten niemals aus dem Anwendungsbereich heraus. Sie reduziert Risiken, unterstützt die Schadensbegrenzung bei Datenpannen und kann bestimmte Pflichten erleichtern – aber jede DSGVO-Anforderung, von der Rechtsgrundlage über Aufbewahrungsfristen bis zu Betroffenenrechten, bleibt vollumfänglich anwendbar.
Anonymisierung nimmt Daten nur dann aus dem Anwendungsbereich heraus, wenn die Hürde aus Erwägungsgrund 26 tatsächlich erfüllt ist. Das ist eine hohe Hürde. Sie wird an allen Mitteln gemessen, die irgendjemand vernünftigerweise einsetzen könnte – nicht nur Sie selbst – und muss auch dann Stand halten, wenn Re-Identifizierungstechniken sich weiterentwickeln. Ein heute „anonymer" Datensatz kann in persönliche Daten zurückfallen, wenn neue Zusatzdaten eine Re-Identifizierung ermöglichen.
Praktische Entscheidungshilfe
- Existiert ein Schlüssel, Salt, Mapping oder eine Sicherungskopie, die Identitäten wiederherstellen könnte? → Pseudonymisierung.
- Könnte ein motivierter Dritter Datensätze mithilfe anderer verfügbarer Datensätze re-identifizieren? → noch nicht anonym.
- Sind Quasi-Identifikatoren (Postleitzahl + Geburtsdatum + Geschlecht, seltene Berufsbezeichnungen, genaue Zeitstempel) noch vorhanden und eindeutig? → Re-Identifizierungsrisiko besteht weiterhin.
- Wurde der ursprüngliche identifizierende Inhalt vernichtet, ohne dass etwas zurückbleibt, das eine Umkehrung ermöglicht? → Kandidat für echte Anonymisierung.
Häufige Irrtümer
„Wir haben die Namen entfernt, also sind die Daten anonym"
Der teuerste Fehler überhaupt. Das Entfernen direkter Identifikatoren hinterlässt Quasi-Identifikatoren, die in Kombination häufig einzelne Personen eindeutig identifizieren. Bekannte Re-Identifizierungsstudien haben gezeigt, dass eine kleine Anzahl von Merkmalen – etwa Postleitzahl, Geburtsdatum und Geschlecht – einen Großteil einer Bevölkerung eindeutig identifizieren kann. Namen zu streichen ist ein Anfang, kein Abschluss.
„Verschlüsselung ist gleichbedeutend mit Anonymisierung"
Nein. Verschlüsselte Daten sind pseudonymisierte Daten: Der Schlüssel stellt das Original wieder her. Verschlüsselung schützt Daten; sie nimmt sie nicht aus dem Anwendungsbereich heraus.
„Hashing macht Daten anonym"
Das Hashing von Identifikatoren (E-Mail-Adressen, Telefonnummern) ist Pseudonymisierung, keine Anonymisierung. Der Eingaberaum ist oft klein genug für Brute-Force- oder Wörterbuchangriffe, und ein Hash ist ein stabiler Token, der Datensätze weiterhin derselben Person zuordnet. Solange der Hash nicht gesaltet, verworfen und unwiederbringlich ist, bleibt die Verbindung bestehen.
„Pseudonymisierte Daten unterliegen weniger Regeln"
Sie genießen an manchen Stellen Erleichterungen, sind aber weiterhin personenbezogene Daten mit dem vollen Gewicht der DSGVO dahinter. Pseudonymisierte Exporte wie von Pflichten befreite Daten zu behandeln, ist ein häufiger Prüfungsbefund.
„Anonymisierung ist dauerhaft und endgültig"
Anonymität ist relativ zu den Mitteln, die vernünftigerweise eingesetzt werden könnten – und diese entwickeln sich weiter. Was heute anonym ist, muss es in fünf Jahren nicht mehr sein. Die robuste Antwort ist die Vernichtung der identifizierenden Daten statt ihrer bloßen Verschleierung, sodass es unabhängig von künftigen Möglichkeiten nichts mehr zu re-identifizieren gibt.
Wie echte irreversible Anonymisierung gelingt
Das zuverlässige Vorgehen trennt zwei Aufgaben, die leicht verwechselt werden:
- Lokalisieren sensibler Daten – herausfinden, wo sich die personenbezogenen Informationen befinden.
- Entfernen – diese Daten so vernichten, dass sie nicht wiederhergestellt werden können.
KI ist für die erste Aufgabe tatsächlich sehr gut geeignet: Speech-to-Text und Named-Entity-Recognition finden Namen in Audio, Objekterkennung findet Gesichter in Videos, OCR und Musterregeln finden personenbezogene Daten in Dokumenten. Die zweite Aufgabe darf jedoch niemals einem Modell überlassen werden, da generative Bearbeitung nicht deterministisch und nicht prüfbar ist.
Genau das ist die Kernidee hinter dem Ansatz, den Medianonymizer für jeden Medientyp verfolgt: KI LOKALISIERT nur die sensiblen Daten; deterministischer Code ENTFERNT sie. Pixel werden mit Kästchen überdeckt, Regex-plus-Prüfsumme erkennt strukturierte Identifikatoren, Pieptöne oder Stille ersetzen Audiosamples, und Metadaten werden auf Byte-Ebene entfernt. Da die Entfernung aus schlichtem, testbarem Code besteht, der auf exakten Koordinaten und Zeitstempeln operiert, ist das Ergebnis jedes Mal identisch, irreversibel und auditierbar – genau die Eigenschaften, die Erwägungsgrund 26 verlangt.
Dieses Prinzip lässt sich quer durch alle Medientypen beobachten:
- Audioaufnahmen anonymisieren – gesprochene personenbezogene Daten lokalisieren und mit Pieptons oder Stille auf der Wellenform vernichten.
- Gesichter in Videos unkenntlich machen – Gesichter erkennen und irreversible Kästchen in die Frames einbrennen.
- Bilder und Metadaten anonymisieren – Pixel schwärzen und EXIF-Daten entfernen, sodass nichts Umkehrbares zurückbleibt.
- Personenbezogene Daten in Dokumenten schwärzen – Schwärzungen einebnen, sodass der zugrunde liegende Text verschwunden ist, nicht nur verborgen.
Den operativen Standard dahinter beschreibt irreversible, auditierbare Anonymisierung: Best Practices.
Das Fazit für Compliance-Teams
- Setzen Sie Pseudonymisierung ein, wenn die Daten nutzbar und unter kontrollierten Bedingungen re-linkbar bleiben sollen – Analysen auf codierten IDs, sichere Verarbeitung, Risikominderung bei Datenpannen. Akzeptieren Sie, dass die Daten im Anwendungsbereich bleiben.
- Setzen Sie Anonymisierung ein, wenn Daten dauerhaft aus dem Anwendungsbereich herausfallen sollen – veröffentlichte Datensätze, Langzeitarchive, freigegebene Medien. Akzeptieren Sie, dass sie wirklich irreversibel sein und gegen vernünftige Re-Identifizierungsversuche standhalten muss.
- Verwechseln Sie beide Konzepte niemals in Richtlinien oder bei Anbieterversprechen. Das Etikett zählt nicht; ob ein Schlüssel oder eine Verbindung fortbesteht zählt.
Dateien irreversibel anonymisieren
Wenn Ihr Ziel Daten sind, die wirklich außerhalb des DSGVO-Anwendungsbereichs liegen, muss die Technik die Verbindung vernichten – nicht verstecken. Laden Sie Ihre Audio-, Video-, Bild- oder Dokumentdateien hoch, sagen Sie dem Assistenten, was entfernt werden soll, und laden Sie eine Kopie herunter, aus der die sensiblen Daten dauerhaft verschwunden sind – mit einem auditierbarren Protokoll der vorgenommenen Schwärzungen.
Häufig gestellte Fragen
- Gelten pseudonymisierte Daten unter der DSGVO noch als personenbezogene Daten?
- Ja. Pseudonymisierte Daten sind ausdrücklich personenbezogene Daten im Sinne von Art. 4 Nr. 5 und Erwägungsgrund 26 DSGVO, da ein Schlüssel oder zusätzliche Informationen die Verbindung zur betroffenen Person wiederherstellen können. Sie fallen vollständig in den Anwendungsbereich der DSGVO, auch wenn das Risiko geringer ist.
- Wann fallen Daten durch Anonymisierung aus dem DSGVO-Anwendungsbereich heraus?
- Nur dann, wenn eine Re-Identifizierung für niemanden mehr mit verhältnismäßigem Aufwand möglich ist – unter Berücksichtigung aller wahrscheinlich eingesetzten Mittel sowie des damit verbundenen Zeit- und Kostenaufwands. Wirklich anonyme Daten fallen gemäß Erwägungsgrund 26 vollständig aus dem Anwendungsbereich der DSGVO heraus.
- Reicht es, Namen zu löschen, um Daten zu anonymisieren?
- Nein. Das Entfernen direkter Identifikatoren führt selten zu wirklich anonymen Daten – Kombinationen verbleibender Felder (Postleitzahl, Geburtsdatum, seltene Merkmale) ermöglichen häufig eine Re-Identifizierung. Eine echte Anonymisierung muss dieses Restrisiko beseitigen, nicht nur offensichtliche Namen streichen.