Datenschutz ohne IT-Abteilung: So erfüllen KMU die DSGVO
Datenschutz ohne IT-Abteilung: Welche technischen DSGVO-Pflichten aus Art. 32 auf KMU zukommen und wer sie umsetzt, wenn intern niemand für IT zuständig ist.
Weiterlesen
Zwei Begriffe, die in der DSGVO ständig auftauchen — und trotzdem regelmäßig verwechselt werden: Pseudonymisierung und Anonymisierung. Das klingt nach Haarspalterei. Ist es aber nicht. Denn ob Ihre Daten pseudonymisiert oder anonymisiert sind, entscheidet darüber, ob die DSGVO überhaupt gilt.
Wir sehen das bei unseren Mandanten regelmäßig. Da werden Kundendaten “anonymisiert”, indem der Name durch eine Nummer ersetzt wird — und alle denken, der Datenschutz sei erledigt. Tatsächlich ist das Pseudonymisierung. Und damit gelten weiterhin sämtliche DSGVO-Pflichten. Wer einen sauberen Überblick über DSGVO, Art. 5 und alle Datenschutzpflichten im Unternehmen sucht, findet ihn in unserem Datenschutz-Leitfaden für Unternehmen. Wer parallel den Wortlaut der Verordnung mit Art. 4 Nr. 5 (Pseudonymisierung), Art. 25 (Privacy by Design) und Art. 32 (Sicherheit) einsortieren will, findet die Datenschutz-Grundverordnung im Überblick in unserem DSGVO-Leitfaden.
Art. 4 Nr. 5 DSGVO definiert Pseudonymisierung klar: Personenbezogene Daten werden so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die Zusatzinformationen müssen getrennt aufbewahrt und durch technische sowie organisatorische Maßnahmen gesichert werden.
Einfach gesagt: Sie ersetzen den Namen “Max Müller” durch die Kennung “K-4711”. Die Zuordnungstabelle, die verrät, wer K-4711 ist, liegt in einem separaten, gesicherten System.
Der entscheidende Punkt: Pseudonymisierte Daten bleiben personenbezogene Daten. Alle DSGVO-Rechte der Betroffenen — Auskunft, Löschung, Berichtigung — gelten weiter. Sie brauchen weiterhin ein Verarbeitungsverzeichnis, eine Rechtsgrundlage und angemessene Schutzmaßnahmen im Datenschutzkonzept.
Anonymisierung geht einen Schritt weiter. Laut Erwägungsgrund 26 DSGVO fallen Daten nicht unter die Verordnung, wenn die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Anonymisierung muss irreversibel sein — es darf keinen Weg zurück zur Person geben.
Das klingt einfach, ist in der Praxis aber anspruchsvoll. Denn selbst ohne Namen können Kombinationen aus Alter, Wohnort, Beruf und Kaufverhalten eine Person identifizierbar machen. Aufsichtsbehörden prüfen streng, ob eine Anonymisierung tatsächlich den Personenbezug beseitigt.
Der Hamburger Datenschutzbeauftragte hat bereits Verfahren eingeleitet, wenn Pseudonymisierung fälschlich als Anonymisierung deklariert wurde. Prüfen Sie genau, welche Methode Sie tatsächlich anwenden.
| Merkmal | Pseudonymisierung | Anonymisierung |
|---|---|---|
| Personenbezug | Bleibt bestehen (mit Zusatzinfo) | Vollständig beseitigt |
| DSGVO anwendbar? | Ja | Nein |
| Betroffenenrechte | Gelten weiter | Entfallen |
| Verarbeitungsverzeichnis nötig? | Ja | Nein |
| Reversibel? | Ja (mit Schlüssel) | Nein (irreversibel) |
| Typische Methoden | Tokenisierung, Hashing, Verschlüsselung | Aggregation, k-Anonymität, Differential Privacy |
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen -- ohne dabei den Geschäftsbetrieb einzustellen.
Die häufigsten Fehler, die wir bei Mandanten sehen:
Die Faustregel: Brauchen Sie den Personenbezug noch — etwa um Kunden später wieder zuordnen zu können? Dann pseudonymisieren. Brauchen Sie nur Trends und Statistiken? Dann anonymisieren.
Die Bitkom-Leitfäden zur Anonymisierung und Pseudonymisierung empfehlen eine Risikobewertung vor der Entscheidung. Je sensibler die Daten, desto eher sollten Sie anonymisieren.
Sie möchten wissen, ob Ihre Datenverarbeitung korrekt pseudonymisiert oder anonymisiert ist? Lassen Sie Ihre Website kostenfrei mit dem Hugo Check auf DSGVO-Konformität prüfen — oder sprechen Sie direkt mit uns.
Pseudonymisierung richtig umsetzen?
Wir prüfen Ihre Datenverarbeitung und zeigen, wo Sie nachbessern sollten -- pragmatisch und verständlich.
Kostenlose Erstberatung buchenBei der Pseudonymisierung können Daten mit Zusatzinformationen wieder einer Person zugeordnet werden — sie bleiben personenbezogen. Bei der Anonymisierung ist die Identifizierung dauerhaft ausgeschlossen. Pseudonymisierte Daten fallen unter die DSGVO, anonymisierte nicht.
Die DSGVO nennt Pseudonymisierung in Art. 25 und Art. 32 als empfohlene technische Maßnahme. Eine generelle Pflicht gibt es nicht, aber Aufsichtsbehörden erwarten sie als Teil eines angemessenen Schutzniveaus — besonders bei sensiblen Daten.
Ja. Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten, weil die Zuordnung mit Zusatzinformationen möglich bleibt. Alle Pflichten wie Auskunftsrecht, Löschpflicht und Verarbeitungsverzeichnis gelten weiter.
Wenn Sie Daten für Statistiken, Forschung oder Weitergabe an Dritte nutzen und kein Personenbezug mehr nötig ist, sollten Sie anonymisieren. Bei besonders sensiblen Daten nach Art. 9 DSGVO senkt Anonymisierung das Risiko am effektivsten.
Gängige Methoden sind Tokenisierung, Hashing, symmetrische Verschlüsselung und die Trennung von Zuordnungstabellen. Entscheidend ist, dass die Zuordnungsinformationen getrennt und gesichert aufbewahrt werden.
Lesetipp: Wer das große Bild verstehen will — DSGVO, BDSG, die sieben Grundsätze, Bußgelder bis 20 Mio. €, Pflichten für KMU — findet in unserem Datenschutz-Leitfaden für Unternehmen den Überblick.
Lesetipp: Wer das Gesetz selbst verstehen will — Art. 5, Bußgelder, Pflichten — findet in unserem DSGVO-Leitfaden den Überblick.
Inhaltsverzeichnis
Datenschutz ohne IT-Abteilung: Welche technischen DSGVO-Pflichten aus Art. 32 auf KMU zukommen und wer sie umsetzt, wenn intern niemand für IT zuständig ist.
Weiterlesen
Deutsche Wohnen: LG Berlin senkt Bußgeld auf 900.000 €. NIS2-Nachfrist beim BSI bis 31. Juli. EuGH: DSGVO-Verstoß kein Beweisverbot. AI Act verschoben — KI-Schulung bleibt Pflicht.
Weiterlesen
Datenschutz-Roundup Juni 2026: 5 Mio. € CNIL-Bußgeld gegen IQVIA, das neue Data-Act-Durchführungsgesetz (DADG), die NIS2/KRITIS-Frist 17. Juli — nur 38,5 % registriert — und was der AI Act jetzt von KMU verlangt.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular