Personenbezogene, pseudonyme und anonyme Daten

Personenbezogene Daten sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen" (Art. 4 Nr. 1 DSGVO). Dabei ist unerheblich, ob die betroffene Person direkt (bspw. über Name, Foto, Adresse) oder indirekt (bspw. über eine Kombination mehrere Merkmale oder eine pseudonyme Kennung) identifiziert werden kann. 

Im Vergleich zu anonymen Daten bleibt bei pseudonymisierten Daten aufgrund gesondert aufbewahrter Zusatzinformationen die Zuordnungsm?glichkeit von Daten und Person erhalten; es ist also ein Personenbezug herstellbar. Dementsprechend handelt es sich bei pseudonymisierten Daten um personenbezogene Daten nach der DSGVO. Dies gilt jedoch nur, wenn der jeweilige Datenverarbeiter (Verantwortliche, Auftragsverarbeiter) Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen hat; verfügt er über keine Mittel zur Re-Identifizierung und kann entsprechend keinen Personenbezug herstellen, oder ist das Risiko einer Identifizierung faktisch unbedeutend, bspw. weil sie gesetzlich verboten ist oder einen unverh?ltnism??igen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde, handelt es sich aus seiner Perspektive um anonyme Daten (vgl. EuGH, Urteil vom 04.09.2025 - Rechtssache C-413/23 P).

Für weitere Erl?uterungen und Handlungsbeispiele sei auf die Leitlinien zur Pseudonymsierung des Europ?ischen Datenschutzausschusses (EDSA) verwiesen.

Anonyme Daten sind das Gegenteil von personenbezogenen Daten: Anonyme Daten enthalten zwar Angaben (zu) einer bestimmten Person, aber mit ihnen kann kein Bezug zu einer identifizierten oder identifizierbaren natürlichen Person hergestellt werden. Anonyme Daten k?nnen entweder von Anfang an anonym erhoben worden sein oder es kann sich bei ihnen um ursprünglich personenbezogene Daten handeln, aus denen diejenigen Informationen entfernt worden sind, welche eine Identifikation konkreter Personen erm?glichen würden. In letzterem Fall spricht man von anonymisierten Daten, also Daten, bei denen der Personenbezug aufgehoben worden ist. 

Anonyme Daten fallen - anders als personenbezogene Daten - nicht in den Anwendungsbereich des Datenschutzrechts, sodass für ihre Verarbeitung keine Rechtsgrundlage erforderlich ist und bei ihrer Verarbeitung nicht die sonstigen Vorschriften, die bei der Verarbeitung personenbezogener Daten zu beachten sind - wie Informationspflichten, Auskunftspflichten, L?schpflichten etc. - eingehalten werden müssen (wobei sie in Ermangelung des Personenbezugs teilweise auch überhaupt nicht umgesetzt werden k?nnten). Allerdings bedarf die Durchführung einer Anonymisierung einer Rechtsgrundlage!

Anonymit?t erscheint damit als etwas durchaus Erstrebenswertes! Allerdings gibt es unterschiedliche Ans?tze bzw. Vorstellungen, wann eine Anonymit?t von Daten erreicht ist:

• Absolute Anonymisierung: Der Verlust des Personenbezugs ist umfassend; auch bei gr??tm?glichem Aufwand und unter Einsatz aller denkbaren Techniken sowie Nutzung von Zusatzwissen ist eine Re-Identifizierung der Daten allgemein ausgeschlossen.
• Relative bzw. faktische Anonymisierung: Nur mit unverh?ltnism??ig hohem Aufwand, bspw. hinsichtlich Kosten und Zeit, ist - unter Einsatz von Mitteln nach dem aktuellen Stand der Technik - eine Re-Identifizierung, d. h. die Zuordnung der Daten zu einer bestimmten oder bestimmbaren Person, m?glich.
• formale Anonymisierung: Hierbei werden direkte Identifikatoren wie Namen oder Adressen entfernt. Dieses Vorgehen bleibt jedoch im Regelfall unter den Anforderungen der faktischen oder gar absoluten Anonymisierung zurück, sodass hier grunds?tzlich von keiner wirksamen Anonymisierung ausgegangen werden kann.

Da nach allgemeiner Auffassung das Re-Identifikationsrisiko stets immer nur unter einen gewissen Schwellenwert gedrückt und eine absolute Anonymisierung mithin realistischerweise nicht erreicht werden kann, genügt, um die Anforderungen der DSGVO zu erfüllen, eine relative bzw. faktische Anonymisierung (vgl. ErwGr. 26 DSGVO und EuGH, Urteil vom 04.09.2025 - Rechtssache C-413/23 P).

Bei den Anonymisierungstechniken bzw. -methoden wird im Wesentlichen zwischen Randomisierung und Generalisierung unterschieden:

• Randomisierung bedeutet eine zuf?llige Ver?nderung der Daten, um die Verbindungen zwischen den einzelnen Merkmalen und damit die M?glichkeit der Herstellung eines Bezugs zwischen den Daten und konkreten Personen aufzuheben. Beispiele für Randomisierungstechniken:
  • Das Data Swapping, also die Vertauschung von Merkmalsauspr?gungen zwischen den Datens?tzen unterschiedlicher Personen, um einerseits die Merkmalsverteilung zu erhalten und andererseits die Personenbeziehbarkeit durch Kombination der Merkmale zu verunm?glichen. Allerdings k?nnen dabei die statistischen Eigenschaften der Daten ver?ndert werden, sodass Merkmale, deren Zusammenhang erhalten bleiben soll, zwischen den gleichen Datens?tzen getauscht werden müssen.
  • Bei rein numerischen Daten ist eine stochastische ?berlagerung mittels St?rgr??en, welche die Merkmalsauspr?gungen modifizieren, m?glich. Dabei wird die statistische Verteilung der ursprünglichen Werte nicht ver?ndert; es kommt jedoch zu einem Informationsverlust, der zur Anonymit?t führen soll.
• Unter Generalisierung versteht man eine “Vergr?berung” der Merkmalsauspr?gungen, wobei durch diese Pr?zisionsreduktion eine Personenidentifikation verhindert werden soll. Um die statistischen Eigenschaften der Daten zu erhalten, findet das “Vergr?bern” regelhaft statt. Beispiele für Generalisierungsverfahren:
  • Im Rahmen der Mikroaggregierung werden Merkmalsauspr?gungen zu Gruppen mit jeweils einheitlichem Merkmalswert zusammengefasst. Bei numerischen Daten kann dies bspw. durch die Zusammenführung detaillierterer Angaben in Intervallen erfolgen. Um die Herstellung eines Personenbezugs zu verhindern, sind s?mtliche Merkmale, die - ggf. auch in ihrer Kombination - zur Identifikation geeignet sein k?nnten (mittelbare Identifikatoren), in die Gruppenbildung einzubeziehen.
  • Bei der k-Anonymit?t wird zus?tzlich darauf geachtet, dass in jeder dieser Gruppen mindestens k Datens?tze von Einzelpersonen enthalten sind. Hier ist zu bedenken, dass k einerseits ausreichend gro? sein muss, um Anonymit?t zu gew?hrleisten, andererseits aber mit zunehmendem k der Informationsgehalt der Daten abnimmt.
  • l-Diversit?t stellt eine Weiterentwicklung der k-Anonymit?t dar, die als zus?tzliche Anforderung formuliert, dass in jeder Gruppe s?mtliche Merkmale (Variablen) des Datensatzes in mindestens l verschiedenen Werten (Auspr?gungen) vorkommen. Damit soll verhindert werden, dass eine (gesuchte) Merkmalsauspr?gung einer Person auch ohne Kenntnis ihres konkreten Datensatzes zugeordnet werden kann, weil der Merkmalswert für alle Personen in der Gruppe identisch ist ("Homogenit?tsattacke"). Die Umsetzung der l-Diversit?t  ist jedoch nur m?glich, wenn in den fraglichen Daten ausreichend viele Datens?tze in den Merkmalen die gleichen Werte einnehmen.

Nicht zuletzt kann eine Anonymisierung auch durch die Entfernung von identifizierenden Merkmalen, sei es mittels L?schung oder Maskierung, erreicht werden. Dabei k?nnen sowohl einzelne pseudonymisierende Merkmale über alle Personen hinweg (wie beispielsweise Matrikelnummer, Personalnummer oder Versuchspersonencode) oder Werte bei einzelnen Personen (insbesondere Ausrei?er, Extremwerte oder seltene und damit identifikationskritische Merkmalskombinationen) entfernt werden. Das Maskieren unterscheidet sich vom L?schen dahingehend, dass die entfernten Daten durch Platzhalter ersetzt werden. Eine Maskierung kann auch in Bildern und Videos, bspw. durch Verpixelung und damit Unkenntlichmachung von Personen, stattfinden. Auch bei der Datenentfernung muss darauf geachtet werden, dass auf Basis der in den Datens?tzen enthaltenen Merkmale kein Rückschluss auf einzelne Personen m?glich ist, wofür die Ma?st?be der k-Anonymit?t und l-Diversit?t herangezogen werden k?nnen.

Weiterreichende Informationen zur Anonymisierung, inkl. Beispielen und Anleitungen, k?nnen bspw. folgenden Dokumenten entnommen werden: 

• Die Stiftung Datenschutz stellt einen Praxisleitfaden zum Anonymisieren personenbezogener Daten zur Verfügung.
• Vom Kompetenzteam Datenschutz des IT-Planungsrats wurde eine Handreichung Anonymisierung ver?ffentlicht.
• Der Europ?ische Datenschutzbeauftragte (EDSB) hat gemeinsam mit der spanischen Datenschutz-Aufsichtsbeh?rde Agencia Espa?ola de Protección de Datos (AEPD) 10 Missverst?ndnisse zur Anonymisierung zusammengetragen (in englischer Sprache).

Es ist festzuhalten, dass eine Anonymisierung immer einen sehr einzelfallbezogenen Prozess darstellt, der einer individuellen Prüfung und vorgehensweise bedarf. So ist auch stets für den Einzelfall festzustellen, welche Anonymisierungstechniken in Abh?ngigkeit von den Ausgangsdaten und den Nutzungsszenarien der anonymisierten Daten anwendbar sind, wobei auch eine Kombination mehrerer Techniken angezeigt sein kann. 

Zu beachten ist au?erdem, dass eine Anonymisierung nicht immer m?glich ist! Dies ist dann der Fall, wenn das Re-Identifikationsrisiko nicht unter den erforderlichen Schwellenwert der relativen bzw. faktischen Anonymisierung gesenkt werden kann, beispielsweise weil die Daten eine sehr kleine bzw. spezifische Grundgesamtheit betreffen.

Insbesondere aufgrund des technischen Fortschritts kann nicht davon ausgegangen werden, dass einmal anonymisierte Daten für alle Zeiten anonym bleiben. Faktoren wie Informationszugang und Rechengeschwindigkeit k?nnen dazu führen, dass die Wahrscheinlichkeit der Re-Identifizierung zunimmt. Dementsprechend müssen die Anonymisierungsverfahren regelm??ig auf ihre Validit?t überprüft werden und dem Stand der Technik entsprechen, da sich auch die Mittel, die zur Herstellung eines Personenbezugs eingesetzt werden k?nnen, kontinuierlich entwickeln (vgl. auch ErwGr. 26 DSGVO).