Magazin
Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?

Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?

Letztes Update:
27
.
03
.
2023
Lesezeit:
0
Min
Pseudonymisierung und Anonymisierung können die Datenschutz-Compliance für Unternehmen vereinfachen. Dennoch steht hinter den beiden Begriffen oft noch ein großes Fragezeichen. Wir klären auf.
Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?
Die wichtigsten Erkenntnisse
  • Pseudonymisierung: Datenbezug zu Personen nur mit zusätzlicher Information möglich (Art. 4 DSGVO).
  • Anonymisierung: Keine Re-Identifikation möglich, Daten sind nicht mehr personenbezogen (DSGVO).
  • Pseudonymisierte Daten: Identifizierung durch Zusammenführen möglich, DSGVO-Vorschriften gelten weiterhin.
  • Anonymisierte Daten: Keine Datenschutzvorschriften mehr, da keine Personenbezüge mehr bestehen.
  • Beide Verfahren: Senken Risiken für Betroffene, aber Anonymisierung oft unterschätzt in ihrem Wert.

Wer personenbezogene Daten pseudonymisiert oder sogar anonymisiert, senkt die Risiken für die Betroffenen und erleichtert sich in datenschutzrechtlicher Hinsicht das weitere Arbeiten mit diesen Daten. Doch was ist der Unterschied zwischen diesen beiden Verfahren? Die beiden Begriffe müssen in jedem Fall klar voneinander abgegrenzt werden.

Was ist Pseudonymisierung?

Pseudonymisierung bedeutet nach Art. 4 der DSGVO, dass die Verarbeitung von personenbezogenen Daten so gestaltet wird, dass ein Bezug zu einer natürlichen Person nur unter Zuhilfenahme zusätzlicher Informationen möglich ist. Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden und sind durch technische und organisatorische Maßnahmen (TOM) vor dem Zugriff Unbefugter zu schützen. Wichtig ist hier also festzuhalten, dass die Identifizierung einer natürlichen Person durch das Zusammenführen von Daten noch möglich ist. Darum finden manche Vorschriften der DSGVO auch weiter Anwendung. Wenn beispielsweise die gesetzliche Aufbewahrungspflicht ausläuft und andere Aufbewahrungsgründe fehlen, sind auch pseudonymisierte Daten zu löschen.

Eine Pseudonymisierung personenbezogener Daten kann auf drei verschiedene Arten erfolgen:

  1. Zuweisung des Pseudonyms durch die betroffene Person selbst, etwa indem sie unter einem frei gewählten Usernamen auftritt
  2. Zuweisung des Pseudonyms durch Dritte, etwa einer Zertifizierungsstelle
  3. Zuweisung des Pseudonyms durch den Verantwortlichen, dem die Identität der betroffenen Person bekannt ist, beispielsweise mit Hilfe von Kundennummern.

Was ist Anonymisierung?

Anders als im BDSG (alte Fassung) bedeutet Anonymisierung in der DSGVO, dass keine Möglichkeit zur Re-Identifikation des Betroffenen besteht. Eine Einschränkung wie in § 3 Ziff. 6 BDSG a.F. „[...] oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft [...]“ wird von der DSGVO nicht vorgenommen. Wenn also eine Möglichkeit der Zuordnung der Daten zu einer identifizierten oder identifizierbaren natürlichen Person besteht, sind die Daten keine anonymen Daten. Darum müssen für eine erfolgreiche Anonymisierung alle Informationen, die das möglich machen würden, gelöscht oder z.B. durch Ziffern o.Ä. ersetzt werden.

Eine Re-Identifizierung findet übrigens auch dann statt, wenn dem Betroffenen nicht der bürgerliche Name zugeordnet werden kann, aber eine Individualisierung einer Person und Aussagen über ihre persönlichen Verhältnisse anhand der Daten möglich sind.

Was sind die Vorteile von Pseudonymisierung bzw. Anonymisierung?

Als erstes ist wichtig, sich bewusst zu machen, dass auch für personenbezogene Daten, die pseudonymisiert oder anonymisiert werden sollen, ein Erlaubnistatbestand für die Verarbeitung vorliegen muss, d.h. es muss ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des Betroffenen vorliegen. Wurden personenbezogene Daten allerdings erfolgreich anonymisiert – eine Re-Identifikation ist also unter keinen Umständen mehr möglich –, muss der Verantwortliche in diesem Fall die Vorschriften des Datenschutzes nicht weiter beachten, da es sich nicht mehr um personenbezogene Daten handelt.

Aber auch eine korrekte Pseudonymisierung unterstützt aut Erwägungsgrund 28 der DSGVO den Verantwortlichen oder Auftragsverarbeiter bei der Umsetzung seiner Datenschutzpflichten, da er aktiv die Risiken für Betroffene senkt. Außerdem ist der technisch-organisatorische Schutzbedarf bei pseudonymisierten Daten geringer. Eine Pseudonymisierung ersetzt also andere Datenschutzmaßnahmen nicht, sondern ist als begleitende Maßnahme zu verstehen.

Trotz der vorhandenen Vorteile erfreuen sich Pseudonymisierung und Anonymisierung von Daten keiner besonderen Beliebtheit, denn viele sind immer noch der Meinung, dass pseudonyme bzw. anonyme Daten wertlos für Unternehmen sind. Dies ist jedoch ein Irrglaube, denn tatsächlich können viele Analysen und Statistiken ohne jeden konkreten Personenbezug nützlich sein, darum sollten auch Datenschutzbeauftragte mehr für diese Praxis werben.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datensparsamkeit
Personenbezogene Daten
Technisch organisatorische Maßnahmen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!