EN
Zurück zum Blog
#Pseudonymisierung#Anonymisierung#DSGVO#DataAnalysis

Unterschied zwischen Pseudonymisierung und Anonymisierung

23. Juli 2025Marcel Hurler

Anonymisierung oder Pseudonymisierung – was ist der richtige Weg im KI-Zeitalter? In diesem Beitrag zeigen wir, worin sich beide Methoden unterscheiden, welche rechtlichen Rahmenbedingungen gelten – und wie Sie trotz Datenschutzvorgaben wertvolle Datenanalysen durchführen können. Mit Beispielen, Use Cases und klaren Handlungsempfehlungen.

Zum ProduktMehr zu doccape
Unterschied zwischen Pseudonymisierung und Anonymisierung

Inhaltsverzeichnis

Auf Social Media teilen

Mit dem EU AI Act und der fortschreitenden Digitalisierung gewinnt der Datenschutz eine neue Dringlichkeit. Wer mit Daten arbeitet – sei es in der Forschung, der Wirtschaft oder der Verwaltung – steht vor Fragen wie:

  • „Wie kann ich personenbezogene Daten nutzen, ohne gegen die DSGVO zu verstoßen?“
  • „Darf ich meine alten Kundendaten für eine KI verwenden?“
  • „Wie schütze ich sensible Informationen in einem Analyseprojekt?“

Die Begriffe Anonymisierung und Pseudonymisierung sind zentrale Konzepte im Spannungsfeld zwischen Datenschutz und Dateninnovation. Doch obwohl beide Methoden ähnlich klingen, dienen sie unterschiedlichen Zwecken und werden unter verschiedenen Umständen eingesetzt. In diesem Beitrag erhalten Sie einen Überblick über die Unterschiede, die jeweiligen Anwendungsfälle und ihre besondere Bedeutung für die Datenanalyse.

Was ist Anonymisierung? (Und wann ist sie geglückt?)

Anonymisierung bedeutet: Der Personenbezug ist vollständig entfernt – und zwar dauerhaft. Einmal anonymisierte Daten lassen sich selbst mit Zusatzwissen oder externen Quellen keiner Person mehr zuordnen.

Das bietet höchste Sicherheit im Datenschutz, hat aber seinen Preis: Mit der Identität verschwinden oft auch wichtige Zusammenhänge im Datensatz. Für einfache Auswertungen mag das genügen – für tiefere Analysen hingegen fehlt häufig zu viel Information, und eine weitere Nutzbarkeit der Daten ist eingeschränkt.

Rechtswirkung: Anonymisierte Daten gelten nicht mehr als personenbezogen und fallen damit nicht mehr unter die DSGVO (Art. 4 Nr. 1 DSGVO).

Die in diesem Artikel erklärten Maskierungsformen stellen wir jeweils mit einem Beispielsatz dar:

Am 14. Juni 2023 hat Frau Dr. Anna Schneider aus Berlin einen Vertrag über 10.000 € abgeschlossen. Frau Schneider hat ihre Tochter Maria Schneider angewiesen, den Betrag zu überweisen.

Anonymisierung

Was kann man mit anonymisierten Daten anfangen?

Durch den Entfall der DSGVO-Beschränkungen können anonymisierte Daten frei geteilt oder veröffentlicht werden. Das macht sie besonders wertvoll für Open-Data-Initiativen, etwa in der Stadtplanung, bei der Optimierung von Verkehrsflüssen oder zur Steigerung der Energieeffizienz. So entsteht ein Datenschatz, der ohne rechtliche Hürden verantwortungsvoll genutzt werden kann.

Realbeispiel – Medizin: MIMIC-III ist eine vollständig anonymisierte Intensivstations-Datenbank mit mehr als 40.000 Aufenthalten am Beth Israel Deaconess Medical Center (2001–2012).

  • Alle direkten Identifikatoren wurden entfernt
  • Datumsangaben verschoben
  • Freitext bereinigt

Die Datensätze gelten nach HIPAA-Safe-Harbor-Standard als anonym und sind nach Registrierung öffentlich nutzbar. Forschende weltweit verwenden MIMIC-III. Die Originalveröffentlichung zählt über 8.000 Zitationen und treibt Open-Science-Initiativen an.

Quellen:

Was ist Pseudonymisierung? (Und was viele falsch verstehen)

Pseudonymisierung ersetzt Identifikationsmerkmale durch Pseudonyme, sodass die Daten ohne zusätzliche Informationen nicht mehr einer spezifischen Person zugeordnet werden können. So lassen sich Kontextinformationen wie Geschlecht, Region oder Berufsgruppe beibehalten, ohne die Identität der Person preiszugeben.

Wichtig (und oft missverstanden): Im Sinne der DSGVO liegt Pseudonymisierung nur dann vor, wenn es eine zusätzliche Information (z. B. einen Schlüssel) gibt, mit der die Person wieder identifiziert werden kann – und dieser Schlüssel getrennt und sicher gespeichert wird (Art. 4 Nr. 5 DSGVO).

Rechtswirkung: Pseudonymisierte Daten gelten weiterhin als personenbezogen, da sie mithilfe des Schlüssels rückführbar sind. Sie unterliegen daher vollständig der DSGVO. Trotzdem nennt die DSGVO Pseudonymisierung ausdrücklich als empfohlene Sicherheitsmaßnahme (Art. 32 Abs. 1 lit. a).

Rechtswirkung Pseudonymisierung

Was kann man mit pseudonymisierten Daten anfangen?

Pseudonymisierte Daten sind besonders wertvoll, wenn:

  • eine differenzierte Analyse erforderlich ist
  • aber keine Kenntnis der realen Identitäten nötig ist

Beispiele:

  • Längsschnittanalysen in der Forschung
  • Training von KI-Modellen
  • Sichere Systemtests innerhalb von Unternehmen

So lassen sich Zusammenhänge über verschiedene Datensätze hinweg erkennen, ohne die Identität der Personen preiszugeben.

Realbeispiel – Corona-Warn-App: Die App zeigt, wie sich Infektionsschutz und Datenschutz vereinen lassen:

  • Smartphones tauschen alle 10–20 Minuten kryptografisch abgeleitete, wechselnde Bluetooth-Kennungen aus
  • Daten werden nur lokal gespeichert
  • Bei positivem Test werden nur pseudonymisierte Schlüssel an den Server übertragen
  • Bewegungsprofile verlassen das Gerät nie

Der Quellcode ist öffentlich einsehbar.

Quelle:

Anonymisierung mit konsistenter Ersetzung – der Gamechanger

Ein häufiger Irrtum: Viele glauben, Pseudonymisierung bedeute, dass eine Person immer denselben Hashwert bekommt, um Zusammenhänge zu erhalten. Aber: Für die DSGVO spielt das keine Rolle. Entscheidend ist allein, ob Daten rückführbar sind.

Für die praktische Nutzbarkeit der Daten ist jedoch eine konsistente Ersetzung von Entitäten oft entscheidend.

Beispiel: Sowohl „Herr Müller“ als auch „Peter Müller“ werden durch dasselbe Pseudonym, etwa „PER-1“, ersetzt.

Wichtige Begriffe dabei:

  • Linkability – Konsistente Ersetzung derselben Person über Datensätze hinweg
  • Kontexterhalt – Semantische Konsistenz für Analysezwecke

Kontexterhalt

Wenn pseudonymisierte Inhalte einheitlich ersetzt werden und kein Schlüssel existiert, handelt es sich laut DSGVO um Anonymisierung. So bleiben Informationswert und rechtliche Sicherheit erhalten.

Hier kommt unsere Software doccape ins Spiel: Wir erkennen zusammenhängende Entitäten auch in Freitexten, ermöglichen konsistente Ersetzungen und sichern so die Nutzbarkeit anonymisierter oder pseudonymisierter Dokumente.

Entitäten in Freitexten, konsistente Ersetzung – doccape

Personenbezogene Daten einfach so anonymisieren oder pseudonymisieren – darf man das?

Die Verarbeitung ist nur zulässig, wenn eine Rechtsgrundlage besteht. Denn bevor Daten anonym sind, gelten sie als personenbezogen und fallen vollständig unter die DSGVO – unabhängig davon, ob sie automatisiert oder manuell verarbeitet werden.

Erlaubnistatbestände (Art. 6 DSGVO):

  • Einwilligung der betroffenen Person
  • Vertragserfüllung
  • Gesetzliche Verpflichtung
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Beispiel: Ein Unternehmen möchte alte Kundendaten anonymisieren, um interne Analysen zu erstellen. Liegt keine Einwilligung vor, kann das berechtigte Interesse als Grundlage dienen – sofern eine saubere Interessenabwägung dokumentiert wird.

Wichtig:

  • Verantwortung liegt bei der verarbeitenden Stelle
  • Maßnahme muss dokumentiert werden (z. B. im Verarbeitungsverzeichnis)
  • Ein Datenschutzbeauftragter ist nicht zwingend erforderlich, wird aber empfohlen

Datenschutzbeauftragter – Empfehlung

Fazit: Datenschutz ist kein Verhinderer, sondern Möglichmacher

Ob Pseudonymisierung oder Anonymisierung – beide Verfahren sind zentrale Werkzeuge für Unternehmen, die mit sensiblen Daten arbeiten. Die Entscheidung hängt ab von:

  • der erforderlichen Datenschutzstufe
  • dem geplanten Verwendungszweck

Wer den Unterschied versteht, kann verantwortungsvoll, kreativ und DSGVO-konform mit Daten arbeiten.

Anonymisierung schafft Freiräume:

  • Daten können sicher geteilt und genutzt werden
  • Konsistente Ersetzungen erhöhen den praktischen Nutzen
  • Gleichzeitig wird die Privatsphäre gewahrt

So entsteht ein wertvoller Kompromiss zwischen Datenschutz und Datenanalyse. Wer Daten auf diese Weise schützt, beweist digitale Reife, schafft Vertrauen und sichert sich einen entscheidenden Vorteil in einer datengetriebenen Welt.

Datenschutz ist kein Hemmschuh – sondern ein Qualitätssiegel.

Möchten Sie erfahren, wie Sie die Datenintegrität in Ihrem Unternehmen sicherstellen können? Kontaktieren Sie uns noch heute!

Sie wollen sensible Daten nutzen – ohne Datenschutzrisiko?

Wir unterstützen Sie dabei, passende Schutzmaßnahmen und eine realistische Datenstrategie abzuleiten – inklusive Architektur- und Umsetzungsplan.

doccape ansehen
Sie wollen sensible Daten nutzen – ohne Datenschutzrisiko?
Vorheriger Beitrag
Wie funktioniert doccape: Ein Blick hinter die Kulissen unserer Anonymisierung
doccape kombiniert regelbasierte Verfahren mit KI, um sensible Daten in Texten, Bildern und eingebetteten Inhalten zuverlässig zu erkennen. Konsistente Pseudonyme sichern den Kontext – ideal für Analysen und KI-Anwendungen. Die Lösung ist anpassbar und kann lokal oder auf EU-Servern betrieben werden – für maximale Kontrolle und Datenschutz.
Nächster Beitrag
OpenWebUI als Firmenchatbot
Der Einsatz von Sprachmodellen ist an vielen Arbeitsplätzen nicht mehr wegzudenken. Dennoch gibt es viele offene Fragen und Hürden für Unternehmen, besonders wenn es um sensible Daten geht. Firmeninterne Chatbots sind eine echte Alternative zu freien Lösungen am Markt. OpenWebUI bietet eine intuitive Benutzeroberfläche, die sich ideal für die Integration verschiedener Sprachmodelle eignet und viele Vorteile mit sich bringt. Warum wir OpenWebUI einsetzen und warum wir doccape in den Verarbeitungsprozess integrieren, erklären wir in diesem Artikel.