Anonymisieren vs. Pseudonymisieren: €20 Mio. auf dem Spiel
Artikel 83 DSGVO setzt Höchstbußgelder bei 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Eine rechtliche Frage bestimmt dieses Risiko: Gilt die Verordnung für Ihren Datensatz?
Anonymisierung entfernt den Anwendungsbereich. Pseudonymisierung nicht. Diese Lücke ist groß.
Die zwei Definitionen im Klartext
Erwägungsgrund 26 legt die Schwelle für Anonymisierung fest. Eine Person muss „nicht oder nicht mehr identifizierbar" sein. Der Test ist weit gefasst. Er erfasst jedes Mittel, das „vernünftigerweise eingesetzt werden könnte." Das gilt für den Verantwortlichen, jeden Auftragsverarbeiter und jeden Dritten.
Artikel 4 Nr. 5 DSGVO definiert Pseudonymisierung. Datensätze gelten als pseudonymisiert, wenn ein Schlüssel sie rückführen kann. Entfernen Sie den Schlüssel, bleiben die Daten erhalten. Diese Zusatzinformationen müssen getrennt aufbewahrt werden. Es ist keine Anonymisierung.
Pseudonymisierte Daten sind weiterhin personenbezogene Daten. Das Gesetz gilt vollumfänglich. Es gibt keine Ausnahme vom Anwendungsbereich. Ende der Diskussion.
Was eine falsche Einstufung kostet
Die Behandlung eines pseudonymisierten Datensatzes als anonym erzeugt fünf Probleme auf einmal:
- Falsche ROPA-Einträge gemäß Artikel 30
- Kein Verfahren für Betroffenenrechte für Auskunft, Löschung oder Portabilität
- Kein Aufbewahrungsplan — kein Löschauslöser vorhanden
- Keine Übermittlungsschutzmaßnahmen für grenzüberschreitende Arbeit
- Kein Löschpfad für Löschanträge
Jede Lücke ist ein eigenständiger Verstoß. Alle fünf können in einer einzigen Pipeline auftreten.
Das Durchsetzungssignal 2025
2025 führte der EDSA eine gemeinsame Durchsetzungsmaßnahme durch. Der Bericht nannte als wiederkehrendes Versagen: „ineffiziente Anonymisierungstechniken, die als Alternative zur Löschung eingesetzt werden." Datenschutzbehörden prüfen jetzt die Qualität der Anonymisierung — nicht nur ob ein Schritt existiert.
Ein tokenisierter Datensatz mit einer Lookup-Tabelle ist pseudonymisiert. Er ist nicht anonym. Er hat einen Schlüssel. Der Schlüssel kann ihn rückführen. Ihn als anonym zu bezeichnen ist genau das Versagen, das der Bericht 2025 benennt.
Die richtige Methode wählen
Echte Anonymisierung — außerhalb des Anwendungsbereichs. Verwenden Sie Schwärzen. PII ist ohne Rückverbindung entfernt. Sie können auch hochentropische Werte hashen, ohne Preimage-Pfad. Dokumentieren Sie die Grundlage. Keine rechtlichen Pflichten haften am Ergebnis.
Pseudonymisierung — innerhalb des Anwendungsbereichs. Verwenden Sie Ersetzen, Maskieren oder Verschlüsseln. Das Gesetz gilt vollumfänglich. Pseudonymisierung verringert Schäden bei einem Verstoß. Sie verringert keine rechtlichen Pflichten.
Kontrollierte Umkehrbarkeit — Forschung oder Audit. Verwenden Sie Verschlüsselung mit clientseitig verwalteten Schlüsseln. Schlüsselverwaltung muss den EDSA-Leitlinien 05/2022 zur Schlüsseltrennung entsprechen. Vermerken Sie die Domäne in der DSFA.
Ein konkretes Fallbeispiel
Ein Unternehmen verkauft „anonymisierte" Kundendaten an Forscher. Es wendet die Schwärzen-Methode an. PII ist weg. Keine Token-Tabelle. Kein Hash-Preimage. Re-Identifizierung hat keinen Pfad.
Der DSB dokumentiert dies in der DSFA. Verwendete Methode. Betroffene Identifikatortypen. Warum es nicht rückführbar ist. Niveau des Restrisikos. Das Ergebnis liegt außerhalb des Anwendungsbereichs. Betroffenenrechte, Aufbewahrungsfristen und Übermittlungsregeln gelten nicht für die Forschungskopien.
Die Methode stimmt mit der Behauptung überein. Das ist der richtige Prozess. Er besteht eine Prüfung.
Warum die Dokumentation der Grundlage zählt
Ein Unternehmen kann Anonymisierung nicht einfach behaupten. Die Behauptung muss belegt sein. Die DSFA muss vier Punkte zeigen. Welche Identifikatoren erfasst wurden. Welche Methode verwendet wurde. Warum Re-Identifizierung keinen Pfad hat. Welches Restniveau des Risikos besteht.
Ohne diesen Beleg behandelt eine Prüfung den Datensatz als im Anwendungsbereich. Alle Pflichten gelten. Der ROPA-Eintrag muss vorhanden sein. Die Übermittlungsschutzmaßnahmen müssen vorhanden sein. Der Löschpfad muss vorhanden sein. Keine Pflichten entfallen ohne Nachweis.
Wie Löschrechte mit anonymisierten Daten interagieren, erläutert DSGVO Recht auf Löschung und EDSA-Leitlinien 2025. Übermittlungsregeln bei grenzüberschreitender Datenweitergabe erklärt Datenübermittlungs-Compliance und die TikTok-Geldbuße.