Pseudonymisierung und Anonymisierung – Was die DSGVO verlangt

Inhalt in Kürze

• Pseudonymisierte Daten fallen unter die DSGVO, anonymisierte nicht -- der Unterschied hat erhebliche rechtliche Konsequenzen.
• Die DSGVO empfiehlt Pseudonymisierung in Art. 25 und Art. 32 als technische Schutzmaßnahme.
• Unternehmen, die korrekt pseudonymisieren, profitieren bei Datenpannen von milderen Bewertungen durch Aufsichtsbehörden.
• Anonymisierung befreit vollständig von DSGVO-Pflichten -- muss aber irreversibel sein.

Zwei Begriffe, die in der DSGVO ständig auftauchen -- und trotzdem regelmäßig verwechselt werden: Pseudonymisierung und Anonymisierung. Das klingt nach Haarspalterei. Ist es aber nicht. Denn ob Ihre Daten pseudonymisiert oder anonymisiert sind, entscheidet darüber, ob die DSGVO überhaupt gilt.

Wir sehen das bei unseren Mandanten regelmäßig. Da werden Kundendaten "anonymisiert", indem der Name durch eine Nummer ersetzt wird -- und alle denken, der Datenschutz sei erledigt. Tatsächlich ist das Pseudonymisierung. Und damit gelten weiterhin sämtliche DSGVO-Pflichten.

Pseudonymisierung nach DSGVO: Was genau bedeutet das?

Art. 4 Nr. 5 DSGVO definiert Pseudonymisierung klar: Personenbezogene Daten werden so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die Zusatzinformationen müssen getrennt aufbewahrt und durch technische sowie organisatorische Maßnahmen gesichert werden.

Einfach gesagt: Sie ersetzen den Namen "Max Müller" durch die Kennung "K-4711". Die Zuordnungstabelle, die verrät, wer K-4711 ist, liegt in einem separaten, gesicherten System.

Der entscheidende Punkt: Pseudonymisierte Daten bleiben personenbezogene Daten. Alle DSGVO-Rechte der Betroffenen -- Auskunft, Löschung, Berichtigung -- gelten weiter. Sie brauchen weiterhin ein Verarbeitungsverzeichnis, eine Rechtsgrundlage und angemessene technisch-organisatorische Maßnahmen.

Anonymisierung: Wann die DSGVO nicht mehr gilt

Anonymisierung geht einen Schritt weiter. Laut Erwägungsgrund 26 DSGVO fallen Daten nicht unter die Verordnung, wenn die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Anonymisierung muss irreversibel sein -- es darf keinen Weg zurück zur Person geben.

Das klingt einfach, ist in der Praxis aber anspruchsvoll. Denn selbst ohne Namen können Kombinationen aus Alter, Wohnort, Beruf und Kaufverhalten eine Person identifizierbar machen. Aufsichtsbehörden prüfen streng, ob eine Anonymisierung tatsächlich den Personenbezug beseitigt.

Die wichtigsten Unterschiede auf einen Blick

Aus der Praxis: Wo Unternehmen Fehler machen

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen -- ohne dabei den Geschäftsbetrieb einzustellen.

Nils OehmichenDatenschutzberater bei frag.hugo

Die häufigsten Fehler, die wir bei Mandanten sehen:

1. E-Mail-Adressen nur "gekürzt": [email protected] wird zu [email protected] -- das ist weder Pseudonymisierung noch Anonymisierung.
2. Zuordnungstabelle im selben System: Die Trennung der Zusatzinformationen existiert nur auf dem Papier, nicht technisch.
3. Re-Identifizierung nicht geprüft: Daten gelten als "anonymisiert", aber über Kombinationen lassen sich Personen identifizieren.

So setzen Sie Pseudonymisierung richtig um

1. Zweck definieren: Klären Sie, warum Sie pseudonymisieren. Für interne Analysen? Zur Risikominimierung? Zur Weitergabe an Dienstleister?
2. Methode wählen: Tokenisierung eignet sich für Datenbanken, Hashing für Log-Dateien, Verschlüsselung für Übertragungen. Wählen Sie die Methode passend zum Einsatzzweck.
3. Zuordnungsinformationen trennen: Speichern Sie die Zuordnungstabelle in einem separaten System mit eigenem Zugriffsschutz. Dokumentieren Sie, wer Zugriff hat.
4. Technische Maßnahmen absichern: Verschlüsseln Sie die Zuordnungstabelle. Nutzen Sie Zugriffskontrollen, Protokollierung und regelmäßige Überprüfungen.
5. Dokumentation aktualisieren: Tragen Sie die Pseudonymisierung in Ihr Verarbeitungsverzeichnis ein und passen Sie Ihre Datenschutzdokumentation an.

Wann Pseudonymisierung, wann Anonymisierung?

Die Faustregel: Brauchen Sie den Personenbezug noch -- etwa um Kunden später wieder zuordnen zu können? Dann pseudonymisieren. Brauchen Sie nur Trends und Statistiken? Dann anonymisieren.

Die Bitkom-Leitfäden zur Anonymisierung und Pseudonymisierung empfehlen eine Risikobewertung vor der Entscheidung. Je sensibler die Daten, desto eher sollten Sie anonymisieren.

Ihr nächster Schritt

Sie möchten wissen, ob Ihre Datenverarbeitung korrekt pseudonymisiert oder anonymisiert ist? Lassen Sie Ihre Website kostenfrei mit dem Hugo Check auf DSGVO-Konformität prüfen -- oder sprechen Sie direkt mit uns.

Häufige Fragen (FAQ)

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Bei der Pseudonymisierung können Daten mit Zusatzinformationen wieder einer Person zugeordnet werden -- sie bleiben personenbezogen. Bei der Anonymisierung ist die Identifizierung dauerhaft ausgeschlossen. Pseudonymisierte Daten fallen unter die DSGVO, anonymisierte nicht.

Ist Pseudonymisierung nach der DSGVO Pflicht?

Die DSGVO nennt Pseudonymisierung in Art. 25 und Art. 32 als empfohlene technische Maßnahme. Eine generelle Pflicht gibt es nicht, aber Aufsichtsbehörden erwarten sie als Teil eines angemessenen Schutzniveaus -- besonders bei sensiblen Daten.

Fallen pseudonymisierte Daten unter die DSGVO?

Ja. Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten, weil die Zuordnung mit Zusatzinformationen möglich bleibt. Alle Pflichten wie Auskunftsrecht, Löschpflicht und Verarbeitungsverzeichnis gelten weiter.

Wann reicht Pseudonymisierung nicht aus?

Wenn Sie Daten für Statistiken, Forschung oder Weitergabe an Dritte nutzen und kein Personenbezug mehr nötig ist, sollten Sie anonymisieren. Bei besonders sensiblen Daten nach Art. 9 DSGVO senkt Anonymisierung das Risiko am effektivsten.

Welche Methoden gibt es zur Pseudonymisierung?

Gängige Methoden sind Tokenisierung, Hashing, symmetrische Verschlüsselung und die Trennung von Zuordnungstabellen. Entscheidend ist, dass die Zuordnungsinformationen getrennt und gesichert aufbewahrt werden.