Mann mit Papiertüte auf dem Kopf

Pseudonymisierung vs. Anonymisierung: Was ist der Unterschied?

Pseudonymisierung und Anonymisierung können die Datenschutz-Compliance für Unternehmen vereinfachen. Dennoch steht hinter den beiden Begriffen oft noch ein großes Fragezeichen. Wir klären auf.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2020-02-13

Logo
  • Autorin: Maike Weiss | Datenschutzexperte
    Maike hat einen interdisziplinären medialen Background. Als Trainee bei datenschutzexperte.de nimmt sie sich leidenschaftlich den Themen rund um Datenschutz & Digitalisierung an.
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Wer personenbezogene Daten pseudonymisiert oder sogar anonymisiert, senkt die Risiken für die Betroffenen und erleichtert sich in datenschutzrechtlicher Hinsicht das weitere Arbeiten mit diesen Daten. Doch was ist der Unterschied zwischen diesen beiden Verfahren? Die beiden Begriffe müssen in jedem Fall klar voneinander abgegrenzt werden.

 

Was ist Pseudonymisierung?

Pseudonymisierung bedeutet nach Art. 4 der DSGVO, dass die Verarbeitung von personenbezogenen Daten so gestaltet wird, dass ein Bezug zu einer natürlichen Person nur unter Zuhilfenahme zusätzlicher Informationen möglich ist. Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden und sind durch technische und organisatorische Maßnahmen (TOM) vor dem Zugriff Unbefugter zu schützen. Wichtig ist hier also festzuhalten, dass die Identifizierung einer natürlichen Person durch das Zusammenführen von Daten noch möglich ist. Darum finden manche Vorschriften der DSGVO auch weiter Anwendung. Wenn beispielsweise die gesetzliche Aufbewahrungspflicht ausläuft und andere Aufbewahrungsgründe fehlen, sind auch pseudonymisierte Daten zu löschen.

Eine Pseudonymisierung personenbezogener Daten kann auf drei verschiedene Arten erfolgen:

  1. Zuweisung des Pseudonyms durch die betroffene Person selbst, etwa indem sie unter einem frei gewählten Usernamen auftritt

  2. Zuweisung des Pseudonyms durch Dritte, etwa einer Zertifizierungsstelle

  3. Zuweisung des Pseudonyms durch den Verantwortlichen, dem die Identität der betroffenen Person bekannt ist, beispielsweise mit Hilfe von Kundennummern.

 

Was ist Anonymisierung?

Anders als im BDSG (alte Fassung) bedeutet Anonymisierung in der DSGVO, dass keine Möglichkeit zur Re-Identifikation des Betroffenen besteht. Eine Einschränkung wie in § 3 Ziff. 6 BDSG a.F. „[...] oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft [...]“ wird von der DSGVO nicht vorgenommen. Wenn also eine Möglichkeit der Zuordnung der Daten zu einer identifizierten oder identifizierbaren natürlichen Person besteht, sind die Daten keine anonymen Daten. Darum müssen für eine erfolgreiche Anonymisierung alle Informationen, die das möglich machen würden, gelöscht oder z.B. durch Ziffern o.Ä. ersetzt werden.

Eine Re-Identifizierung findet übrigens auch dann statt, wenn dem Betroffenen nicht der bürgerliche Name zugeordnet werden kann, aber eine Individualisierung einer Person und Aussagen über ihre persönlichen Verhältnisse anhand der Daten möglich sind.

 

Was sind die Vorteile von Pseudonymisierung bzw. Anonymisierung?

Als erstes ist wichtig, sich bewusst zu machen, dass auch für personenbezogene Daten, die pseudonymisiert oder anonymisiert werden sollen, ein Erlaubnistatbestand für die Verarbeitung vorliegen muss, d.h. es muss ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des Betroffenen vorliegen. Wurden personenbezogene Daten allerdings erfolgreich anonymisiert – eine Re-Identifikation ist also unter keinen Umständen mehr möglich –, muss der Verantwortliche in diesem Fall die Vorschriften des Datenschutzes nicht weiter beachten, da es sich nicht mehr um personenbezogene Daten handelt.

Aber auch eine korrekte Pseudonymisierung unterstützt aut Erwägungsgrund 28 der DSGVO den Verantwortlichen oder Auftragsverarbeiter bei der Umsetzung seiner Datenschutzpflichten, da er aktiv die Risiken für Betroffene senkt. Außerdem ist der technisch-organisatorische Schutzbedarf bei pseudonymisierten Daten geringer. Eine Pseudonymisierung ersetzt also andere Datenschutzmaßnahmen nicht, sondern ist als begleitende Maßnahme zu verstehen.

Trotz der vorhandenen Vorteile erfreuen sich Pseudonymisierung und Anonymisierung von Daten keiner besonderen Beliebtheit, denn viele sind immer noch der Meinung, dass pseudonyme bzw. anonyme Daten wertlos für Unternehmen sind. Dies ist jedoch ein Irrglaube, denn tatsächlich können viele Analysen und Statistiken ohne jeden konkreten Personenbezug nützlich sein, darum sollten auch Datenschutzbeauftragte mehr für diese Praxis werben.

Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 13. Februar 2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr