Viele Organisationen verwechseln Anonymisierung mit Pseudonymisierung. Die Unterscheidung ist außerordentlich wichtig: Anonymisierte Daten fallen vollständig außerhalb des GDPR-Anwendungsbereichs, während pseudonymisierte Daten persönliche Daten bleiben und allen GDPR-Verpflichtungen unterliegen. Die Verwendung der falschen Methode bedeutet entweder falsche Compliance-Sicherheit oder unnötige regulatorische Belastung.
Die rechtlichen Definitionen
„Anonyme Informationen, nämlich Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person oder auf Personendaten beziehen, die auf solche Weise anonym gemacht wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist."
GDPR gilt nicht für anonyme Informationen. Die betroffene Person kann nicht re-identifiziert werden. Keine Rechtsgrundlage, keine Zustimmung, keine Datenverarbeitungsvereinbarung erforderlich.
„Die Verarbeitung von Personendaten auf solche Weise, dass die Personendaten ohne Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person nicht länger zugeordnet werden können, sofern diese zusätzlichen Informationen separat aufbewahrt werden."
GDPR gilt vollständig für pseudonymisierte Daten. Eine Re-Identifikation bleibt möglich. Art. 6 Rechtsgrundlage erforderlich.
Der Re-Identifizierungstest
Die entscheidende Frage gemäß GDPR Recital 26 ist, ob eine Re-Identifikation vernünftigerweise wahrscheinlich ist, gegeben die verfügbaren Mittel, Aufwand und Technologie:
- Wenn eine Re-Identifikation unangemessene Zeit, Kosten und Anstrengung erfordert, die kein vernünftiger Akteur ausgeben würde → wahrscheinlich anonym
- Wenn eine Re-Identifikation mit Zugang zu einem Schlüssel, einer Nachschlagetabelle oder zusätzlichem Datensatz möglich ist → pseudonymisiert, nicht anonym
- Wenn die Daten statistisch einzigartig genug sind, um eine Re-Identifikation durch Verknüpfungsangriffe zu ermöglichen → nicht ausreichend anonym
Dies bedeutet: Verschlüsselung allein anonymisiert keine Daten. Ein Entschlüsselungsschlüssel existiert. Die Daten sind pseudonymisiert. Dasselbe gilt für Tokenisierung, Hashing mit bekannten Salt-Werten und k-Anonymity-Ansätze, die das Re-Identifizierungsrisiko nicht angemessen adressieren.
Praktischer Vergleich
| Methode | Reversibel? | GDPR-Status | anonym.plus Operator |
|---|---|---|---|
| Mit generischem Label ersetzen | Nein | Anonymisiert — außerhalb GDPR-Anwendungsbereich | Replace |
| Vollständig entfernen | Nein | Anonymisiert — außerhalb GDPR-Anwendungsbereich | Redact |
| SHA-256 Hash (kein Salt) | Nein (für die meisten Eingaben) | Effektiv anonym für komplexe Werte; riskant für vorhersagbare Eingaben (z.B. Telefonnummern) | Hash |
| Teilweise Maskierung (***-***-1234) | Nein | Hängt ab — kann identifizierbar sein, wenn mit anderen Daten kombiniert | Mask |
| AES-256-GCM-Verschlüsselung | Ja (mit Schlüssel) | Pseudonymisiert — GDPR gilt | Encrypt |
| Tokenisierung (Nachschlagetabelle) | Ja (mit Tabelle) | Pseudonymisiert — GDPR gilt | n/a |
Wann Sie Anonymisierung vs. Pseudonymisierung verwenden sollten
Verwenden Sie Anonymisierung (Replace / Redact / Hash) wenn:
- Externe Freigabe — mit KI-Tools, Cloud-Services, Forschungspartnern oder Dritten
- Langzeitarchivierung, bei der die ursprüngliche PII nicht mehr benötigt wird
- Erfüllung von Art. 17 Recht auf Vergessenwerden Anfragen auf Dokumentebene
- Erstellung öffentlicher Datensätze, Berichte oder Veröffentlichungen
- Compliance mit EU AI Act Art. 10 für Trainingsdaten (erfordert wirksame Anonymisierung)
Verwenden Sie Pseudonymisierung (Encrypt) wenn:
- Interne Zusammenarbeit, bei der autorisierte Parteien Originalwerte wiederherstellen müssen
- Klinische Versuche und medizinische Forschung, bei denen eine Neuverknüpfung möglicherweise erforderlich ist
- Multi-Party Dokumentbearbeitungs-Workflows (encrypt → share → edit → decrypt)
- Vorübergehende Verarbeitung für einen definierten Zweck, der dann gelöscht wird
- Erfüllung von Art. 25 (Privacy by Design) und Art. 32 (Sicherheit) als Risikominderungsmaßnahme
Was echte Anonymisierung unter GDPR wirklich freischaltet
Echte Anonymisierung bietet erhebliche praktische Compliance-Vorteile:
- Keine Rechtsgrundlage erforderlich — anonyme Daten sind keine persönlichen Daten; Art. 6 gilt nicht
- Keine Betroffenenrechte — keine Zugriffs-, Lösch- oder Portabilitätsanfragen gelten für den anonymisierten Datensatz
- Keine Datenübertragungsbeschränkungen — anonyme Daten können in jedes Land ohne SCCs, Adequacy Decisions oder andere Art. 44 Mechanismen übertragen werden
- Keine Datenverarbeitungsvereinbarung erforderlich — keine Art. 28 Datenverarbeitungsvereinbarung erforderlich für Auftragsverarbeiter, die nur anonyme Daten verarbeiten
- Keine Verletzungsmitteilung — Art. 33 Verletzungsmeldung gilt nicht für anonyme Datenverletzungen
- Forschungszwecke — Art. 89 Ausnahmen sind nicht mehr erforderlich, sobald Daten wirklich anonym sind
Bereit für echte Anonymisierung? Lesen Sie den GDPR-Anonymisierungsleitfaden →
Häufig gestellte Fragen
Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung unter GDPR?
Anonymisierung macht eine Re-Identifikation effektiv unmöglich — die Daten verlassen den GDPR-Anwendungsbereich vollständig (Recital 26). Pseudonymisierung ersetzt Identifikatoren durch Codes, aber eine Re-Identifikation bleibt mit zusätzlichen Informationen möglich — die Daten bleiben im GDPR-Anwendungsbereich (Art. 4(5)).
Sind verschlüsselte Daten unter GDPR anonymisiert?
Nein. Verschlüsselte Daten sind pseudonymisiert, weil ein Entschlüsselungsschlüssel existiert. Echte Anonymisierung erfordert, dass eine Re-Identifikation effektiv unmöglich ist. Verwenden Sie Replace, Redact oder Hash Operatoren für echte GDPR-Anonymisierung.
Welche Operatoren in anonym.plus erzeugen echte Anonymisierung?
Replace (generische Substitution), Redact (Entfernung) und Hash (SHA-256/SHA-512) erzeugen Anonymisierung. Der Encrypt Operator erzeugt Pseudonymisierung. Mask (teilweise verbergen) kann ausreichend sein oder auch nicht, abhängig vom Re-Identifizierungsrisiko der verbleibenden Daten.
Benötigen pseudonymisierte Daten weiterhin eine GDPR-Datenverarbeitungsvereinbarung?
Ja. Pseudonymisierte Daten sind weiterhin persönliche Daten. Wenn ein Auftragsverarbeiter sie in Ihrem Auftrag verarbeitet, ist eine Art. 28 Datenverarbeitungsvereinbarung erforderlich. Anonymisierte Daten erfordern keine Datenverarbeitungsvereinbarung, da sie außerhalb des GDPR-Anwendungsbereichs fallen.