Anonymisierung vs. Pseudonymisierung

Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO legaldefiniert: Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technisch-organisatorischen Maßnahmen unterliegen. Typisches Beispiel: Ersetzung von Namen durch eine ID, deren Zuordnungsschlüssel in einer getrennten, besonders geschützten Datei liegt.

Anonymisierung ist in der DSGVO nicht legaldefiniert, wird aber in Erwägungsgrund 26 Satz 5 DSGVO charakterisiert: Anonyme Informationen sind solche, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder bei denen der Personenbezug in einer Weise entfernt wurde, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Anonyme Daten unterliegen nicht der DSGVO.

Der entscheidende Unterschied ist also nicht technischer, sondern rechtlicher Natur: Pseudonymisierte Daten sind weiterhin personenbezogene Daten im Sinne der DSGVO, weil der Personenbezug durch Hinzuziehung der Zusatzinformationen wiederhergestellt werden kann. Anonymisierte Daten sind es nicht, weil der Personenbezug nach objektiven Maßstäben dauerhaft aufgelöst ist.

Ob Daten personenbezogen oder anonym sind, ist nicht abstrakt, sondern kontextabhängig zu beurteilen. Maßgeblich ist, ob die betroffene Person mit Mitteln, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, identifiziert werden kann (Erwägungsgrund 26 Satz 3 DSGVO). Dabei sind alle objektiven Faktoren zu berücksichtigen: verfügbare Technologie, Zeitaufwand, Kosten, technische Entwicklungen.

Aus dieser Formulierung hat der EuGH in ständiger Rechtsprechung einen relativen Personenbezug entwickelt: Ob Daten personenbezogen sind, hängt davon ab, wer sie in welchem Kontext verarbeitet und über welches Zusatzwissen diese Stelle verfügt oder realistisch verfügen kann.

Leitentscheidungen des EuGH

• EuGH C-582/14 – Breyer (19.10.2016): Eine dynamische IP-Adresse ist für den Webseitenbetreiber personenbezogen, wenn dieser rechtliche und praktische Mittel hat, den Internetdienstanbieter einzuschalten und so die Identität festzustellen. Die Einordnung ist also nicht absolut, sondern richtet sich nach den tatsächlichen Möglichkeiten der verarbeitenden Stelle.
• EuGH C-413/23 P – EDSB/SRB (Europäischer Datenschutzbeauftragter gegen Single Resolution Board), Urteil v. 04.09.2025: Pseudonymisierte Daten sind nach dieser Linie nicht zwingend für jede beteiligte Stelle als personenbezogene Daten zu betrachten. Daten, die an einen Empfänger übermittelt werden, der den Zuordnungsschlüssel nicht kennt und ihn auch nicht mit verhältnismäßigen Mitteln erhalten kann, können für diesen Empfänger anonym sein – selbst wenn sie für den Übermittler weiterhin personenbezogen sind. Der EuGH schließt damit an die Breyer-Rechtsprechung (C-582/14, 19.10.2016) an: Die Identifizierbarkeit richtet sich nach den Umständen der Datenverarbeitung im Einzelfall. Wichtige Einschränkung: Die Informationspflicht des Verantwortlichen aus Art. 13 und 14 DSGVO über die Empfänger besteht unabhängig davon, weil sie das Rechtsverhältnis zwischen Verantwortlichem und betroffener Person betrifft – nicht das Verhältnis zum Empfänger.

Die Konsequenz dieser Rechtsprechung ist erheblich: Dieselben Datensätze können gleichzeitig beim Übermittler personenbezogen und beim Empfänger nicht personenbezogen sein – mit der Folge, dass die Daten beim Empfänger im konkreten Einzelfall außerhalb des Anwendungsbereichs der DSGVO liegen, sofern die fünf nachfolgend dargestellten Kriterien kumulativ erfüllt sind, während die Verarbeitung beim Übermittler weiterhin der DSGVO unterliegt.

Aus der SRB-Entscheidung folgt, dass pseudonyme Daten für einen konkreten Empfänger anonym sein können, wenn bestimmte Voraussetzungen kumulativ erfüllt sind. Diese Prüfung ist in der Praxis der heikelste Teil – weil sie sauber dokumentiert werden muss und nicht mit einer pauschalen Behauptung erledigt ist.

Nur wenn alle fünf Fragen mit Ja beantwortet werden können, ist die Annahme vertretbar, dass die Daten beim Empfänger anonym sind. Die Beweislast liegt beim Verantwortlichen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Dokumentieren Sie die Prüfung und ihre Prämissen nachvollziehbar.

Wichtig: Die kontextuelle Anonymität wirkt nur relativ – gegenüber dem konkreten Empfänger. Für den Übermittler, der den Schlüssel weiterhin besitzt, bleiben die Daten personenbezogen. Wird der Schlüssel später an den Empfänger weitergegeben oder werden die schützenden TOMs aufgehoben, ist die Anonymitätsannahme ab diesem Zeitpunkt neu zu bewerten; frühere Verarbeitungen, die unter den bisherigen Bedingungen rechtmäßig erfolgt sind, bleiben davon unberührt (ex-nunc-Wirkung).

Auch scheinbar anonymisierte Daten können re-identifizierbar sein. Die Risikoabschätzung sollte sich an den anerkannten Risikomodellen orientieren, die u. a. die frühere Art.-29-Datenschutzgruppe in ihrer Stellungnahme 05/2014 beschrieben hat:

Eine Anonymisierung gilt erst dann als robust, wenn alle drei Risikoformen durch geeignete Maßnahmen (Aggregation, Generalisierung, Unterdrückung, Rauschen, k-Anonymität mit ausreichend großem k, l-Diversity, Differential Privacy) hinreichend kontrolliert sind. Bei kleinen Kohorten – wie sie in universitären Forschungsprojekten typisch sind – ist das eine anspruchsvolle Anforderung.

Zu beachten: Der Vorgang der Anonymisierung selbst ist eine Verarbeitung personenbezogener Daten und benötigt seinerseits eine Rechtsgrundlage. Im Forschungskontext öffentlicher Hochschulen typischerweise Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit landesrechtlichen Forschungsnormen (etwa § 27 DSAG LSA in Sachsen-Anhalt); bei besonderen Kategorien zusätzlich Art. 9 Abs. 2 lit. j DSGVO.

Sechs Stellen, an denen Anonymisierungs- und Pseudonymisierungs-Konzepte in der Praxis kippen:

1. Verwechslung beider Begriffe: Wird „anonymisiert" verwendet, obwohl lediglich Namen entfernt wurden, dürfte der Personenbezug durch Kontext- und Kombinationsmerkmale häufig fortbestehen. Es wird empfohlen, vor jeder Annahme von Anonymität gezielt das Re-Identifizierungspotenzial zu prüfen.
2. Unterschätzte Re-Identifizierbarkeit kleiner Kohorten: Bei Kohorten unter 20 Personen ist eine robuste Anonymisierung praktisch selten möglich – insbesondere wenn Beschreibungsmerkmale erhalten bleiben. Empfohlen wird ein besonders sorgfältiges Vorgehen bei Kleingruppen.
3. Schlüsselverwaltung mit Verbesserungspotenzial: Liegt der Zuordnungsschlüssel auf demselben System wie die pseudonymisierten Daten oder wird er ungeschützt versandt, ist die Schutzwirkung erheblich eingeschränkt. Es wird empfohlen, eine technisch und organisatorisch getrennte Schlüsselverwaltung umzusetzen.
4. Fehlende Dokumentation: Wird die Entscheidung „die Daten sind jetzt anonym" ohne schriftliche Prüfung getroffen, ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO häufig nicht erfüllt. Empfohlen wird eine nachvollziehbare schriftliche Bewertung.
5. Übersehen des Übermittler-Empfänger-Kontexts: Die kontextuelle Anonymität wirkt nur relativ – nicht absolut. Beim Rückfluss der Daten oder bei Änderung der Zugriffssituation wird empfohlen, die Bewertung neu vorzunehmen.
6. Einmalige statt kontinuierliche Bewertung: Eine einmal getroffene Anonymisierungsbewertung wird den Veränderungen durch neue Datenquellen, neue Analyseverfahren und technischen Fortschritt selten lange standhalten. Empfohlen wird eine regelmäßige Wiederholung der Re-Identifizierungs-Risikoabschätzung.

Eine abschließende Bewertung, ob konkrete Verstöße vorliegen, obliegt der zuständigen Aufsichtsbehörde.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 1 (personenbezogene Daten); Art. 4 Nr. 5 (Pseudonymisierung); ErwGr 26 (relativer Personenbezug, Maßstab vernünftigerweise einzusetzender Mittel).

Rechtsprechung

• EuGH, Urteil v. 04.09.2025 – C-413/23 P (EDSB/SRB) – relativer Personenbezug bei pseudonymisierten Daten; Maßstab aus Sicht des Empfängers.
• EuGH, Urteil v. 19.10.2016 – C-582/14 (Breyer) – dynamische IP-Adressen als personenbezogene Daten; Grundlegung des relativen Personenbezugs.

Aufsichtspraxis

• EDPB, Leitlinien 01/2025 zur Pseudonymisierung (Konsultationsfassung) – Abgrenzung Pseudonymisierung/Anonymisierung; Risikomaßstab.
• Art.-29-Datenschutzgruppe, Opinion 05/2014 on Anonymisation Techniques (WP216) – Klassifikation der Anonymisierungstechniken und ihrer Restrisiken.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Forschungszweck – Anonymisierung als Privilegierungsvoraussetzung in der Forschung.
• Generative KI in Standard-Software (Schatten-KI) – Anonymisierung als Schutzstrategie vor unkontrollierter KI-Verarbeitung.
• Datenschutz-Folgenabschätzung – Re-Identifizierungsrisiken als Risikobewertungskriterium.