Die 20 Millionen Euro Unterscheidung
Artikel 83 der GDPR legt die Höchststrafen auf 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes fest, je nachdem, welcher Betrag höher ist, für die schwerwiegendsten Verstöße. Der Unterschied zwischen Anonymisierung und Pseudonymisierung bestimmt, ob die GDPR überhaupt auf einen Datensatz anwendbar ist – und ob die maximale Geldbuße gilt.
Die Erwägungsgrund 26 der GDPR definiert die Anonymisierungsgrenze: "Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, nämlich Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder auf personenbezogene Daten, die so anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist." Der Schlüsselbegriff: "nicht oder nicht mehr identifizierbar" – durch Mittel, die vernünftigerweise verwendet werden können, durch den Datenverantwortlichen, jeden Auftragsverarbeiter oder Dritte.
Artikel 4(5) der GDPR definiert Pseudonymisierung: "die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr einer bestimmten betroffenen Person ohne die Verwendung zusätzlicher Informationen zugeordnet werden können, vorausgesetzt, dass solche zusätzlichen Informationen getrennt aufbewahrt werden." Pseudonymisierte Daten sind ausdrücklich nicht anonym – sie "können nicht mehr zugeordnet werden... ohne die Verwendung zusätzlicher Informationen." Pseudonymisierte Daten bleiben personenbezogene Daten im Sinne der GDPR.
Die praktische Implikation: Eine Organisation, die glaubt, ihr Analysedatensatz sei "anonymisiert" (außerhalb der GDPR), wenn er tatsächlich "pseudonymisiert" (innerhalb der GDPR) ist, hat falsche Einträge gemäß Artikel 30 ROPA, unzureichende Verfahren für die Rechte der betroffenen Personen, unzureichende Aufbewahrungsfristen, fehlende Datenschutzmaßnahmen für grenzüberschreitende Analysen und keinen Mechanismus zur Beantwortung von Anfragen zum Recht auf Löschung. Jede dieser Mängel stellt einen unabhängigen Verstoß gegen die GDPR dar.
Das CEF Durchsetzungszeichen
Der 2025 koordinierte Durchsetzungsrahmen der EDPB hat spezifisch "ineffiziente Anonymisierungstechniken, die als Alternative zur Löschung verwendet werden" als wiederkehrendes Compliance-Problem identifiziert. Dieses Ergebnis signalisiert, dass die DPAs die Qualität der Anonymisierung bewerten, nicht nur das Vorhandensein oder Fehlen eines Anonymisierungsschrittes.
Der Anwendungsfall des niederländischen Datenanalyseunternehmens veranschaulicht den richtigen Ansatz: Ein Unternehmen, das "anonymisierte" Kundendatensätze an Drittforscher anbietet, verwendet die Redact-Methode (dauerhafte Entfernung von PII ohne Token-Zuordnung). Der resultierende Datensatz hat keinen Weg zur Re-Identifizierung – kein Schlüssel, keine Token-Tabelle, kein Hash-Preimage – und erfüllt die Schwelle des Erwägungsgrundes 26 der GDPR. Der DPO dokumentiert diese Feststellung in der DPIA: verwendete Methode, abgedeckte Identifikatortypen, Grundlage der Irreversibilität, Bewertung des verbleibenden Re-Identifizierungsrisikos. Der Datensatz liegt außerhalb des Geltungsbereichs der GDPR. Die Verpflichtungen der GDPR (einschließlich der Rechte der betroffenen Personen, Aufbewahrungsfristen und Übertragungsmaßnahmen) gelten nicht für die Kopien der Drittforschung.
Methodenauswahl nach Compliance-Ziel
Außerhalb des Geltungsbereichs der GDPR (echte Anonymisierung): Verwenden Sie Redact (dauerhafte Entfernung) oder Hash (von hoch-Entropie, nicht erratbaren Werten). Dokumentieren Sie die Anonymisierungsgrundlage. Keine GDPR-Verpflichtungen gelten für das Ergebnis.
Innerhalb des Geltungsbereichs der GDPR mit reduziertem Risiko (Pseudonymisierung): Verwenden Sie Replace, Mask oder Encrypt. Alle GDPR-Verpflichtungen gelten weiterhin. Die Pseudonymisierung reduziert das Risiko von Schäden durch unbefugten Zugriff, entfernt jedoch nicht den Geltungsbereich der GDPR.
Kontrollierte Umkehrbarkeit (Forschung, Prüfung, Entdeckung): Verwenden Sie Encrypt mit clientgehaltenen Schlüsseln. Die GDPR gilt. Die Schlüsselverwahrungsvereinbarungen müssen die Anforderungen zur Schlüsseltrennung gemäß den EDPB-Leitlinien 05/2022 erfüllen. Dokumentieren Sie den Pseudonymisierungsbereich.
Quellen: