10.07.2026
Gernot Fritz, Tanja Pfleger
Eine wirksame Anonymisierung bringt erhebliche Vorteile. Sobald Informationen erfolgreich anonymisiert wurden, handelt es sich nicht mehr um personenbezogene Daten; sie fallen damit aus dem Anwendungsbereich der DSGVO. Sie können daher deutlich freier genutzt, weitergegeben und analysiert werden.
Doch wann sind Daten tatsächlich anonym? Namen und andere direkte Identifikatoren zu entfernen, reicht in vielen Fällen nicht aus. Personen können weiterhin durch die Kombination einzelner Merkmale, die Verknüpfung mit anderen Datensätzen oder Schlussfolgerungen aus aggregierten Informationen erkennbar werden. Fortschritte bei künstlicher Intelligenz und Datenanalyse machen diese Beurteilung zusätzlich komplex.
Am 7. Juli 2026 hat der Europäische Datenschutzausschuss (EDSA) seine neuen Guidelines 02/2026 on Anonymisation zur öffentlichen Konsultation gestellt. Diese ersetzen weder den rechtlichen Maßstab der DSGVO (insbesondere Erwägungsgrund 26) noch die erforderliche Einzelfallprüfung. Sie entwickeln jedoch den Ansatz der Stellungnahme der Artikel-29-Datenschutzgruppe aus dem Jahr 2014 wesentlich weiter und schaffen einen detaillierten rechtlichen und technischen Rahmen für die Beurteilung, ob Informationen erfolgreich anonymisiert wurden.
Die zentrale Aussage ist klar: Anonymität ist keine abstrakte Eigenschaft eines Datensatzes. Sie ist im konkreten Kontext zu beurteilen – aus der Perspektive jener Stellen, die Zugang zu den Daten haben könnten, und unter Berücksichtigung der Mittel, die sie vernünftigerweise einsetzen dürften.
Anonyme Daten als Gegenstück zu personenbezogenen Daten
Ausgangspunkt der Guidelines ist der in Erwägungsgrund 26 ZUR DSGVO verankerte rechtliche Maßstab: Informationen sind anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die Prüfung umfasst daher zwei Fragen:
- Beziehen sich die Informationen auf eine natürliche Person?
- Ist diese Person identifiziert oder identifizierbar?
Wird auch nur eine dieser Fragen verneint, sind die Informationen aus der jeweils maßgeblichen Perspektive anonym.
Der erste Teil der Prüfung ist weiter, als es zunächst erscheinen mag. Informationen können sich aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung auf eine Person beziehen. Sie können unmittelbar etwas über eine Person aussagen, dazu verwendet werden, sie zu bewerten oder zu beeinflussen, oder sich auf ihre Rechte und Interessen auswirken.
Das gilt auch für Informationen, die auf den ersten Blick nur einen Gegenstand, eine Organisation oder eine Gruppe betreffen. Fahrzeugdaten können sich etwa auf den Fahrer beziehen, Informationen über ein Haus auf dessen Eigentümer. Auch aggregierte Informationen können sich auf einzelne Gruppenmitglieder beziehen, wenn sich durch weitere Verarbeitung Rückschlüsse auf diese Personen ziehen lassen.
Im zweiten Schritt ist zu prüfen, ob sich die Person in einem bestimmten Kontext von anderen unterscheiden und dadurch unterschiedlich behandeln lässt. Eine Identifizierung setzt weder die Kenntnis des Namens noch der bürgerlichen Identität voraus. Eine Person kann bereits identifiziert sein, wenn sie dauerhaft wiedererkannt, profiliert oder herausgegriffen werden kann, obwohl ihre reale Identität unbekannt bleibt.
Besonders relevant ist dies bei Online-Kennungen, Geräte-Fingerprints und pseudonymen Nutzer-IDs. Kann ein Anbieter für digitale Werbung denselben Nutzer websiteübergreifend erkennen und gezielt Werbung für ihn auswählen, verarbeitet er Informationen über eine identifizierte oder identifizierbare Person – auch wenn er deren Namen nicht kennt. Solche Daten sind daher pseudonymisiert, nicht anonym.
Anonymität hängt von der Perspektive ab
Die wohl wichtigste Aussage der Guidelines lautet: Dieselben Informationen können für eine Stelle personenbezogene Daten und für eine andere Stelle anonym sein.
Die entscheidende Frage ist daher nicht nur, ob Daten anonym sind, sondern: anonym für wen?
Maßgeblich sind grundsätzlich die Perspektiven jener Stellen, für die die Informationen anonym sein sollen. Möchte ein Unternehmen anonymisierte Daten intern verwenden, sind seine eigenen Möglichkeiten zur Identifizierung zu berücksichtigen. Sollen die Daten an eine unabhängige Forschungseinrichtung übermittelt werden, ist auch deren Perspektive relevant. Werden Daten öffentlich zugänglich gemacht, kann der Kreis der zu berücksichtigenden Stellen erheblich größer sein. Ist eine Identifizierung durch den Empfänger realistisch wahrscheinlich, können die Daten nicht nur für den Empfänger, sondern mittelbar auch für den übermittelnden Verantwortlichen personenbezogen sein.
Der EDSA stützt diesen relativen Ansatz vor allem auf die jüngere Rechtsprechung des EuGH, insbesondere auf die Entscheidung EDPS/SRB. Informationen, die für den übermittelnden Verantwortlichen identifizierbar bleiben, können für einen unabhängigen Empfänger dennoch anonym sein, wenn dieser keine vernünftigerweise einsetzbaren Mittel zur Identifizierung der betroffenen Personen hat.
Das bedeutet allerdings nicht, dass jede DSGVO-Pflicht ausschließlich aus Sicht des Empfängers beurteilt werden kann. In EDPS/SRB hielt der EuGH fest, dass die Transparenzpflichten aus der Perspektive des Verantwortlichen zum Zeitpunkt der Datenerhebung zu beurteilen waren. Da es sich für den Verantwortlichen damals um personenbezogene Daten handelte, musste er die betroffenen Personen über die Empfänger informieren – unabhängig davon, ob die Daten für diese Empfänger später anonym sein konnten.
Welche Perspektive maßgeblich ist, hängt daher nicht nur von den beteiligten Stellen, sondern auch von der jeweils zu prüfenden DSGVO-Pflicht ab.
Keine eigene Perspektive für Auftragsverarbeiter
Für Auftragsverarbeiter enthalten die Guidelines eine wichtige Einschränkung.
Verarbeitet eine Stelle Informationen im Auftrag eines Verantwortlichen, ist die Personenbezogenheit aus der Perspektive des Verantwortlichen zu beurteilen. Ein Auftragsverarbeiter kann sich nicht darauf berufen, dass die Daten für ihn anonym seien, nur weil ihm die zusätzlichen Informationen zur Identifizierung fehlen.
Übermittelt etwa ein Händler verschlüsselte Auszüge aus seiner Kundendatenbank an einen Analysedienstleister, der nach seinen Weisungen handelt, bleiben die Daten für den Dienstleister personenbezogen, wenn der Händler die Kunden identifizieren kann. Der Dienstleister ist daher als Auftragsverarbeiter zu behandeln und muss die entsprechenden DSGVO-Pflichten erfüllen.
Anders kann die Situation bei einem unabhängigen Empfänger sein, der als eigener Verantwortlicher seine Zwecke und Mittel selbst festlegt. Übermittelt ein Krankenhaus Daten an ein unabhängiges Forschungsinstitut und verfügt dieses über keine vernünftigerweise einsetzbaren Mittel zur Identifizierung der Patienten, können die Daten für das Institut anonym sein, obwohl das Krankenhaus weiterhin über identifizierende Informationen verfügt.
Die Abgrenzung zwischen Auftragsverarbeiter und unabhängigem Empfänger ist damit nicht bloß eine Frage der vertraglichen Einordnung. Sie kann bestimmen, aus welcher Perspektive die Identifizierbarkeit zu beurteilen ist und ob der Empfänger letztlich personenbezogene oder anonyme Daten verarbeitet.
„Vernünftigerweise einzusetzende Mittel“ – ein weiter und dynamischer Maßstab
Damit Daten als anonym gelten, muss eine Identifizierung nicht absolut ausgeschlossen sein. Nach Ansicht des EuGH und des EDSA muss die Wahrscheinlichkeit einer Identifizierung vielmehr in der Praxis unerheblich sein.
Dazu sind sämtliche Mittel zu berücksichtigen, deren Einsatz vernünftigerweise wahrscheinlich ist. Der Begriff der „Mittel“ wird weit verstanden. Dazu können insbesondere gehören:
- die Nutzung öffentlich zugänglicher Informationen;
- die Verknüpfung mit einem anderen Datensatz;
- die Verwendung von Suchmaschinen oder sozialen Medien;
- statistische oder technische Analysen;
- die Entschlüsselung geschützter Informationen;
- der Erwerb zusätzlicher Daten von Dritten;
- die Beauftragung eines spezialisierten Dritten mit der Re-Identifizierung; oder
- die Weitergabe an eine andere Stelle, die über entsprechende Identifizierungsmöglichkeiten verfügt.
Der Verantwortliche muss daher nicht nur berücksichtigen, was ein Empfänger selbst tun kann, sondern auch mögliche Ketten von Mitteln, an denen mehrere Stellen beteiligt sind.
Relevante Faktoren sind insbesondere Art und Detailtiefe der Daten, die Verfügbarkeit zusätzlicher Informationen, Zugangsbeschränkungen, Zeit- und Kostenaufwand, die aktuell verfügbare Technologie sowie vernünftigerweise vorhersehbare technologische Entwicklungen.
Auch der Kreis möglicher Akteure ist weit. Je nach Einzelfall können neben den vorgesehenen Empfängern auch illoyale Mitarbeiter, investigative Journalisten, Strafverfolgungsbehörden, Nachrichtendienste, unseriöse Unternehmen oder Cyberkriminelle relevant sein.
Nicht jeder theoretisch denkbare Angreifer muss in jeder Prüfung berücksichtigt werden. Der EDSA lehnt jedoch eine Analyse ab, die sich ausschließlich auf den vorgesehenen, rechtstreuen Empfänger beschränkt, wenn unbefugter Zugriff oder eine Weitergabe ein konkretes und realistisches Szenario darstellen.
Veröffentlicht ein Unternehmen beispielsweise einen Datensatz im Internet, muss es möglicherweise nicht die Möglichkeiten ausländischer Nachrichtendienste berücksichtigen. Cyberkriminelle oder unseriöse Wettbewerber können hingegen relevant sein, wenn sie die Daten realistisch erlangen und auswerten könnten.
Fehlende Motivation ist kein verlässlicher Schutz
Verantwortliche sollten sich nicht darauf verlassen, dass niemand Interesse an der Identifizierung der betroffenen Personen haben werde.
Nach Ansicht des EDSA lässt sich Motivation nur schwer objektiv beurteilen und kann sich mit der Zeit ändern. Eine Identifizierung kann zudem aus Nachlässigkeit, versehentlich, aufgrund äußeren Drucks oder zu Zwecken erfolgen, die bei der Veröffentlichung der Daten noch nicht absehbar waren.
Der mögliche Wert re-identifizierter Informationen ist dabei nicht auf einen finanziellen Nutzen beschränkt. Daten können für Profiling, Gerichtsverfahren, Überwachung, journalistische Recherchen, Diskriminierung oder andere Formen der Einflussnahme relevant sein.
Entscheidend ist daher nicht nur, ob der vorgesehene Empfänger aktuell eine Identifizierung beabsichtigt, sondern auch, ob eine Identifizierung mit den verfügbaren Mitteln im konkreten Kontext realistisch wahrscheinlich ist.
Gesetzliche und vertragliche Beschränkungen
Ein gesetzliches Verbot kann die Wahrscheinlichkeit verringern, dass bestimmte Mittel eingesetzt werden. Grundsätzlich darf davon ausgegangen werden, dass sich Stellen an das Gesetz halten.
Der EDSA betrachtet die Rechtswidrigkeit eines Vorgehens jedoch nicht als absoluten Schutz. Die Annahme der Rechtstreue kann widerlegt werden, wenn konkrete Anhaltspunkte dafür bestehen, dass ein Verbot wirkungslos ist, unzureichend durchgesetzt oder regelmäßig umgangen wird. Das kann etwa relevant sein, wenn Daten für Akteure außerhalb der effektiven Reichweite des Unionsrechts zugänglich sind oder vergleichbare Systeme bereits kompromittiert wurden.
Vertraglichen Beschränkungen misst der EDSA noch weniger Gewicht bei. Ein vertragliches Verbot der Re-Identifizierung kann ein Anonymisierungskonzept unterstützen, macht die Daten für sich genommen aber nicht anonym. Verträge können geändert, missachtet oder verletzt werden und binden grundsätzlich nur die Vertragsparteien. Sie können wirksame technische und organisatorische Maßnahmen unterstützen, diese aber nicht ersetzen.
Zwei Ansätze: kontextbezogen oder vereinfacht
Für die praktische Anwendung des rechtlichen Maßstabs sehen die Guidelines zwei Ansätze vor.
Beim kontextbezogenen Ansatz identifiziert der Verantwortliche die relevanten Stellen und prüft für jede von ihnen, welche Mittel vernünftigerweise eingesetzt werden könnten. Dieser Ansatz bildet den rechtlichen Maßstab vollständig ab und ermöglicht eine unterschiedliche Einordnung der Daten je nach den tatsächlichen Fähigkeiten des Empfängers.
Sein Vorteil liegt in der Präzision, sein Nachteil in der Komplexität. Der Verantwortliche muss das Datenumfeld, die relevanten Akteure, deren Zugang zu zusätzlichen Informationen sowie mögliche Kooperations- und Weitergabeketten verstehen. Wird eine relevante Fähigkeit übersehen, kann dies zu der falschen Annahme führen, die Daten seien anonym.
Der vereinfachte Ansatz blendet Unterschiede zwischen den beteiligten Stellen aus. Der Verantwortliche prüft im Ergebnis, ob eine Re-Identifizierung möglich ist, ohne die Analyse auf die Fähigkeiten eines bestimmten Empfängers zu beschränken.
Der EDSA empfiehlt auch eine Kombination beider Ansätze. Ein Verantwortlicher kann zunächst vereinfacht prüfen. Besteht selbst theoretisch keine realistische Identifizierungsmöglichkeit, können die Daten als anonym behandelt werden. Werden potenzielle Techniken festgestellt, kann anschließend im Rahmen des kontextbezogenen Ansatzes geprüft werden, ob deren Einsatz aus Sicht der relevanten Stellen vernünftigerweise wahrscheinlich ist.
Die drei technischen Kriterien
Unabhängig vom gewählten Ansatz stehen drei Kriterien im Mittelpunkt:
- keine Isolierung einzelner Datensätze;
- keine Verknüpfung; und
- keine Schlussfolgerungen.
Sind alle drei Kriterien erfüllt, können die Daten nach beiden Prüfungsansätzen als anonym angesehen werden. Wird eines oder werden mehrere Kriterien nicht erfüllt, bedeutet dies nicht automatisch, dass die Daten personenbezogen sind. Vielmehr ist weiter zu prüfen, ob die festgestellte Schwachstelle tatsächlich ermöglicht, eine Person mit ausreichender Genauigkeit und Verlässlichkeit herauszugreifen oder anderweitig zu identifizieren.
Keine Isolierung einzelner Datensätze
Dieses Kriterium ist erfüllt, wenn der Datensatz keine einzigartige Kombination von Merkmalen enthält, die sich auf eine einzelne Person bezieht.
Ein Name oder eindeutiger Identifikator ist dafür nicht erforderlich. Bereits eine hinreichend detaillierte Kombination aus Alter, Wohnort, Beruf oder Gesundheitszustand kann genügen, um einen Datensatz von allen anderen abzugrenzen.
Die Einzigartigkeit eines Datensatzes legt die Identität der Person nicht automatisch offen, ermöglicht aber, sie herauszugreifen und anders zu behandeln. Die Guidelines veranschaulichen dies anhand eines Patientendatensatzes, der Geschlecht, Geburtsdatum, Postleitzahl und Diagnose enthält: Ist jeder Datensatz einzigartig, ist das Kriterium nicht erfüllt.
Keine Verknüpfung
Das Kriterium ist nicht erfüllt, wenn sich Datensätze derselben Person über verschiedene Datenbestände oder Kontexte hinweg miteinander verbinden lassen – auch ohne exakte Übereinstimmungen. Bereits eine Kombination annähernder Merkmale wie Standort, Alter oder Transaktionsmuster kann genügen.
Ein Brettspielhändler entfernt etwa die direkten Kundenkennungen aus seinen Kaufdaten. Lassen sich die Kaufkombinationen dennoch mit einer öffentlich zugänglichen Website abgleichen, auf der Nutzer ihre Spielesammlungen angeben, können beide Datensätze verknüpft und die Personen identifiziert werden.
Keine Schlussfolgerungen
Dieses Kriterium ist erfüllt, wenn sich aus den Daten keine spezifischen und bedeutsamen Schlussfolgerungen über eine identifizierbare Person ziehen lassen. Eine Schlussfolgerung ist spezifisch, wenn sie sich auf eine einzelne Person bezieht. Bedeutsam ist sie, wenn sie deren Rechte oder Interessen berühren kann und sich nicht bloß aus allgemeinem Wissen oder allgemeinen statistischen Informationen über eine Bevölkerung ableiten lässt.
Nicht jede Vorhersage über eine Person verletzt dieses Kriterium. Sagt ein Modell anhand historischer Muster das Ausfallrisiko eines neuen Kreditantragstellers voraus, wird der zugrunde liegende Datensatz dadurch nicht personenbezogen, wenn der Antragsteller nie Teil des Datensatzes war.
Anders ist es, wenn die Schlussfolgerung Informationen über eine Person offenlegt, deren Daten in den Datensatz eingeflossen sind. Veröffentlicht ein Unternehmen etwa aggregierte Gehaltsdaten für sechs Ingenieure (fünf Mitglieder eines Teams erhalten zusammen EUR 480.000, die Gesamtgehaltssumme beträgt EUR 550.000), wird damit faktisch offengelegt, dass der sechste Ingenieur EUR 70.000 verdient, obwohl ausschließlich aggregierte Zahlen veröffentlicht wurden.
Daten werden daher nicht allein dadurch anonym, dass Einzelinformationen in Statistiken, Modellparameter oder synthetische Ausgaben überführt werden.
Ein nicht erfülltes Kriterium beendet die Prüfung nicht
Die drei Kriterien sind bewusst anspruchsvoll. Der EDSA betont jedoch, dass das Nichterfüllen eines Kriteriums nicht automatisch bedeutet, dass personenbezogene Daten vorliegen.
Entscheidend bleibt, ob die jeweilige Technik ermöglicht, eine Person mit ausreichender Genauigkeit und Verlässlichkeit von anderen zu unterscheiden und unterschiedlich zu behandeln.
Ein isolierter Datensatz kann etwa einzigartig sein, ohne Merkmale zu enthalten, die einer externen Person zugeordnet werden können. Ebenso kann eine Verknüpfungstechnik mehrere mögliche Treffer erzeugen, ohne dass sich eine bestimmte Person mit ausreichender Sicherheit identifizieren lässt.
Der Verantwortliche muss daher falsch positive und falsch negative Ergebnisse sowie die Genauigkeit der Methode berücksichtigen. Eine bloß spekulative oder unzuverlässige Vermutung wird in der Regel nicht ausreichen. Umgekehrt ist keine mathematische Gewissheit erforderlich, wenn das Ergebnis verlässlich genug ist, um die Person unterschiedlich zu behandeln.
Auch die Anonymisierung unterliegt der DSGVO
Die Anonymisierung ist selbst ein Verarbeitungsvorgang. Bis erfolgreich anonyme Daten erzeugt wurden, findet die DSGVO weiterhin Anwendung.
Der Verantwortliche benötigt daher eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO und bei besonderen Kategorien personenbezogener Daten zusätzlich eine Ausnahme nach Art 9 Abs 2 DSGVO. Ist die Anonymisierung Teil desselben Verarbeitungsvorgangs und dient sie demselben Zweck wie die vorausgehende Verarbeitung, geht der EDSA davon aus, dass grundsätzlich dieselbe Rechtsgrundlage herangezogen werden kann.
Eine unmittelbare Anonymisierung in Verbindung mit der Löschung der Ausgangsdaten kann zudem die Auswirkungen auf betroffene Personen reduzieren und die Berufung auf berechtigte Interessen unterstützen. Eine Anonymisierung heilt jedoch nicht automatisch eine rechtswidrige Datenerhebung oder eine unzulässige Zweckänderung.
Auch die Transparenzpflichten sind zu erfüllen. Datenschutzhinweise sollten erläutern, dass personenbezogene Daten verarbeitet werden, um anonyme Informationen zu erzeugen, die anschließend nicht mehr der DSGVO unterliegen.
Begriffe wie „anonym“, „de-identifiziert“ oder „entpersonalisiert“ sollten nicht verwendet werden, solange Personen identifizierbar bleiben. In vielen Fällen ist „pseudonymisiert“ die rechtlich zutreffende Bezeichnung.
Dokumentation und regelmäßige Neubewertung
Die Annahme, Daten seien anonym, muss nachweisbar sein.
Verantwortliche sollten insbesondere die Ausgangsdaten, die angewandten Anonymisierungstechniken, die relevanten Stellen und Perspektiven, berücksichtigte Zusatzinformationen, mögliche Identifizierungstechniken, die Prüfung anhand der drei Kriterien sowie die Gründe dokumentieren, weshalb die verbleibende Identifizierungswahrscheinlichkeit als unerheblich angesehen wird.
Diese Dokumentation sollte auch nach Abschluss der Anonymisierung aufbewahrt werden.
Anonymität ist zudem nicht zwingend dauerhaft. Neue Datenquellen, höhere Rechenleistung, bessere Verknüpfungsmethoden oder veränderte Zugriffsrechte können dazu führen, dass zuvor anonyme Informationen wieder personenbezogen werden.
Der EDSA empfiehlt daher, die Beurteilung gegebenenfalls regelmäßig zu überprüfen. Häufigkeit und Umfang dieser Neubewertung hängen insbesondere von der Sensibilität und Struktur der Daten, ihrer Nutzung und Weitergabe sowie der Geschwindigkeit technischer Entwicklungen und der Entstehung neuer externer Datenquellen ab.
Sicherheitsvorfälle können eine sofortige Neubewertung erforderlich machen. Beruhte die Anonymität darauf, dass Zusatzinformationen vertraulich bleiben, und werden diese kompromittiert, können zuvor anonyme Daten identifizierbar werden. Die betroffene Stelle muss dann gegebenenfalls ihre Rolle nach der DSGVO bestimmen und prüfen, ob Melde- oder Benachrichtigungspflichten nach Art 33 und 34 DSGVO bestehen.
Gemischte Datensätze bleiben im Anwendungsbereich der DSGVO
Eine Anonymisierung kann für die meisten, aber nicht für alle Personen eines Datensatzes wirksam sein. Ausreißer, seltene Merkmalskombinationen oder besonders detaillierte Datensätze können weiterhin identifizierbar bleiben, obwohl die Mehrheit der Datensätze ausreichend geschützt ist.
Nach den Guidelines ist ein gesamter Datensatz nur dann als anonym anzusehen, wenn die Wahrscheinlichkeit einer Re-Identifizierung für jede darin enthaltene Person unerheblich ist.
Können anonyme und personenbezogene Teile nicht getrennt verarbeitet werden, ist der Datensatz insgesamt als personenbezogen zu behandeln und bleibt im Anwendungsbereich der DSGVO. Ein im Durchschnitt geringes Re-Identifizierungsrisiko reicht daher nicht aus, wenn einzelne Datensätze weiterhin offenliegen.
Fazit
Die neuen Guidelines zeichnen ein differenzierteres Bild der Anonymisierung als die häufig anzutreffende Vorstellung, Daten seien entweder für alle personenbezogen oder für alle anonym.
Der stellenbezogene Ansatz eröffnet Chancen. Informationen können unter bestimmten Voraussetzungen für den ursprünglichen Verantwortlichen weiterhin personenbezogen, für einen unabhängigen Empfänger aber anonym sein. Dies kann Forschung, Datenaustausch und andere Formen der Sekundärnutzung erleichtern, ohne dass die anschließende eigenständige Verarbeitung des Empfängers der DSGVO unterliegt.
Wer sich auf diesen Ansatz stützt, muss jedoch Rollen, Zugriffsrechte, verfügbare Zusatzinformationen und realistische Identifizierungsketten sorgfältig analysieren. Daten bleiben für einen Auftragsverarbeiter personenbezogen, wenn der Verantwortliche die betroffenen Personen identifizieren kann. Auch ein unabhängiger Empfänger kann personenbezogene Daten verarbeiten, wenn er über Dritte auf die erforderlichen Identifizierungsmöglichkeiten zugreifen kann. Vertragliche Zusagen, keine Re-Identifizierung vorzunehmen, werden für sich allein nur selten genügen.
Die drei Kriterien – keine Isolierung, keine Verknüpfung und keine Schlussfolgerungen – schaffen einen hilfreichen Rahmen für die technische Prüfung. Sie machen die Anonymisierung aber nicht zu einer bloßen Checklistenübung. Verantwortliche müssen tatsächliche Identifizierungstechniken, die Qualität und Verlässlichkeit ihrer Ergebnisse sowie den jeweiligen Nutzungskontext bewerten.
Unternehmen sollten Anonymisierung daher als laufenden Governance-Prozess und nicht als einmalige technische Maßnahme verstehen. Er erfordert die Zusammenarbeit von Recht, Datenschutz, IT-Sicherheit und technischen Fachbereichen, eine nachvollziehbare Dokumentation und regelmäßige Neubewertungen.
Der Nutzen ist erheblich: Wirksam anonymisierte Informationen können außerhalb der Vorgaben der DSGVO verwendet werden. Die Anforderungen bleiben hoch. Daten werden nicht allein dadurch anonym, dass man sie als solche bezeichnet.
Wir unterstützen Unternehmen bei der Entwicklung von Anonymisierungsstrategien, der Bewertung von Re-Identifizierungsrisiken und dem Aufbau von Governance-Strukturen für die rechtskonforme Nutzung und Weitergabe von Daten.

