Die Verarbeitung personenbezogener Daten löst hohe regulatorische Anforderungen und damit verbundenen Risiken für betroffene Organisationen aus. Das Management dieser Datenschutz-Risiken kostet Geld und personelle Ressourcen. Welcher Unternehmer würde sich keine Superkraft wünschen, um dieses Problem „Datenschutz“ einfach verschwinden zu lassen? Die gute Nachricht: Diese Superkraft gibt es. Sie heißt Anonymisierung. Wann sie wirkt, wie du sie einsetzt und was es dabei zu beachten gilt, erfährst du in diesem Beitrag.
Wann brauche ich die Superkraft?
Um zu verstehen, wann Anonymisierung beim Management datenschutzrechtlicher Risiken helfen kann, müssen wir zunächst verstehen, wann das Datenschutzrecht Anwendung findet. Das ist immer dann der Fall, wenn Verantwortliche, also Unternehmen oder Behörden, personenbezogene Daten verarbeiten. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese werden verarbeitet, wenn man sie erfasst, speichert, abgefragt, verändert oder irgendetwas anderes damit macht. Wenn es gelingt, den Bezug der Information zu einer natürlichen Person zu entfernen, so dass es nur noch Daten ohne Personenbezug sind, hat man das Problem Datenschutz sprichwörtlich bei der Wurzel gepackt und gelöst. Dann gilt das Datenschutzrecht nämlich nicht mehr. Das macht Anonymisierung zum ultimativen Werkzeug des Datenschutz-Managements.
Die Gretchenfrage: Wann ist eine Person identifizierbar?
Der Knackpunkt für die Wirksamkeit deiner Superkraft ist die Identifizierbarkeit betroffener Personen. Hier stritten Juristen praktisch schon, solange es das Datenschutzrecht gibt. Jetzt könnte dieses Problem aber gelöst sein. Bei dem Streit geht es darum, ob es reicht, dass es aus Sicht des Verantwortlichen nicht mehr möglich ist ein Datum einer natürlichen Person zuzuordnen (relativer Ansatz) oder ob es für jeden auf der Welt unmöglich sein muss, den Personenbezug herzustellen (absoluter Ansatz). Das wird relevant, wenn Daten ohne die identifizierende Information an Dritte übermittelt werden. Ein Beispiel ist die Weitergabe einer Liste mit Messwerten, die konkret benannten Personen zugeordnet sind, ohne die Benennung dieser Personen, weil die Namensspalte zuvor entfernt wurde. Nach der absoluten Theorie wären die Messwerte auch für den Empfänger personenbezogen, weil der weitergehende Verantwortliche den Personenbezug herstellen könnte. Nach der relativen Theorie nicht, weil der Empfänger das nicht kann.
Ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 4. September 2025 (Rechtssache „SRB“, C-413/23 P) hat hier für Klarheit gesorgt und den relativen Ansatz bestätigt. Es kommt also für den Personenbezug auf die Sicht des individuellen Verantwortlichen an. Der EuGH stellte klar: Übermittelt ein Unternehmen pseudonymisierte Daten an einen Dritten, der nicht über die Mittel verfügt (und auch kein rechtliches Zugriffsrecht auf Zusatzwissen beim Absender hat), um die Personen hinter den Daten zu identifizieren, dann sind diese Daten für den Empfänger anonym. Das bedeutet, dass der Empfänger die Daten nutzen kann, ohne dass für ihn die strikten Regeln der DSGVO gelten und stärkt die Superkraft Anonymisierung.
Die Pseudonymisierungsfalle
Vorsicht! Die Superkraft Anonymisierung wird leicht mit ihrem „kleinen Bruder“, der Pseudonymisierung, verwechselt. Das das ist eine gefährliche Falle. Bei der Pseudonymisierung werden Identifikatoren (wie Namen) nämlich lediglich durch Codes oder IDs ersetzt. Der entscheidende Unterschied zur Anonymisierung ist, dass der Verantwortliche den Schlüssel weiter besitzt und die Information auch wieder der natürlichen Person zuordnen kann. Druckt z.B. einen Personalabteilung Arbeitspläne nur mit der Mitarbeiternummer und ohne die Namen aus, mag es nicht jedem Kollegen klar sein, um welche Personen es sich auf der Liste handelt. Das Unternehmen kann das durch einen Blick in die Personalverwaltungssoftware jedoch leicht herausfinden. Die Daten auf der Liste sind dann für das Unternehmen nicht anonym, sondern nur pseudonym. Das Datenschutzrecht gilt daher mit allen Rechten und Pflichten weiter. Pseudonymisierung hat also nicht die Superkraft seiner großen Schwester. Nur wenn der Personenbezug so gründlich entfernt wird, dass eine Re-Identifizierung mit normalem Aufwand nicht mehr möglich ist, sprechen wir von einer echten Anonymisierung.
Das Paradoxon: Anonymisierung als Datenverarbeitung
Klingt komisch, ist aber so. Den Personenbezug von Daten entfernen und diese zu anonymisieren ist eine Verarbeitung personenbezogener Daten und muss nach allen Regeln des Datenschutzrechts behandelt und vor allem gerechtfertigt werden. Man benötigt dafür also vor allem eine Rechtsgrundlage nach Art. 6 DSGVO, um Daten so zu bearbeiten, dass sie später nicht mehr unter die DSGVO fallen. In der Praxis lässt sich dies oft wie folgt rechtfertigen:
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Das Interesse des Unternehmens an der Datennutzung für Analysen überwiegt oft die Interessen der Betroffenen, da die Anonymisierung deren Privatsphäre gerade schützt.
- Zweckvereinbarkeit (Art. 6 Abs. 4 DSGVO): Die Anonymisierung wird als „Weiterverarbeitung“ eingestuft, die mit dem ursprünglichen Erhebungszweck vereinbar sein muss.
- Erfüllung der Löschpflicht (Art. 17 DSGVO): Anstatt Daten physisch zu vernichten, kann die Anonymisierung als Mittel zur Erfüllung der Löschpflicht genutzt werden, da der Personenbezug aufgehoben wird.
Anonymisierung im Praxistest
Es gibt eine Vielzahl von Konstellationen, in denen Verantwortliche Daten nutzen können, ohne wissen zu müssen, auf welche natürliche Person sich diese Daten ursprünglich bezogen haben. So kann die Anonymisierung wissenschaftliche Forschung ermöglichen und damit unmittelbar zur Wertschöpfung eines Unternehmens oder der Gesellschaft insgesamt beitragen. Darüber hinaus gibt es aber auch Fälle, in denen die vollständige oder teilweise Entfernung des Personenbezugs gesetzliche Anforderung ist. Das ist vor allem der Fall, wenn es Ansprüche auf Zugang zu Informationen gibt, der Verantwortliche aber verpflichtet ist bei der Erfüllung die Interessen Dritter zu schützen, indem der (Personen)bezug zu ihnen entfernt wird.
Betroffenenanfragen nach Art. 15 DSGVO
Besonders dringend wird die Superkraft bei Auskunfts- und Datenkopieverlangen. Betroffene haben Anspruch auf eine „Datenkopie“ (Art. 15 Abs. 3 DSGVO). Das erfordert die Herausgabe einer originalgetreuen und verständliche Reproduktion der Daten, was in der Praxis oft die Herausgabe umfangreicher Datenbestände mit unzähligen E-Mails und anderen Unterlagen bedeuten kann. Doch Vorsicht: Das Recht auf eine Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen (Art. 15 Abs. 4 DSGVO). Das bedeutet, Daten der Antragsteller müssen zunächst innerhalb der kurzen Monatsfrist gemäß Art. 12 Abs. 3 DSGVO gefunden werden. Damit Rechte Dritter durch die Bereitstellung nicht verletzt werden, müssen sie zudem so aufbereitet werden, dass Informationen zu diese Dritten nicht mehr erkennbar sind. Konkret bedeutet das gezieltes Schwärzen z.B. der Namen von Kollegen, Telefonnummern etc. so dass kein Bezug zu Daten Dritter verbleibt. Gleichzeitig muss natürlich der der Kontext gewahrt werden. Die Kopie muss nämlich trotz der Schwärzungen so viele Informationen enthalten, dass der Betroffene seine eigenen Daten noch sinnvoll einordnen kann.
Anfragen an Behörden nach Informationsfreiheitsrecht (IFG)
Auch für Behörden kann gezieltes Schwärzen bzw. Anonymisierung kritisch für ihren Auftrag sein. Bei Anfragen nach dem Informationsfreiheitsgesetz (IFG) etwa haben Bürger einen Anspruch auf Zugang zu amtlichen Informationen. Behörden müssen daher Akten zugänglich machen. Der Anspruch stößt aber dort an seine Grenzen, wo personenbezogene Daten Dritter oder Betriebs- und Geschäftsgeheimnisse betroffen sind. Diese Informationen müssen entfernt werden, bevor der Anspruch erfüllt werden kann. Das Mittel der Wahl ist die Anonymisierung. Durch das Schwärzen von Namen oder Adressen wird der Zugang zu amtlichen Informationen ermöglicht und die Grundrechte Dritter bleiben gewahrt.
Akteneinsicht im Straf- oder Verwaltungsverfahren
Ob im Bußgeldverfahren oder im klassischen Verwaltungsverfahren – wer Akteneinsicht nimmt, erhält Dokumente, in denen die Daten enthalten sind. Deren Kenntnis ist in vielen Fällen nicht erforderlich, so dass auch hier Akteninhalte geschwärzt und Bezüge zu Personen durch Anonymisierung entfernt werden müssen, bevor Akteneinsicht gewährt werden darf. Nur so kann die Behörde sicherstellen, dass nur die für das Verfahren relevanten Daten des Antragstellers sichtbar bleiben, während Drittinformationen geschützt sind.
Umsetzung in der Unternehmenspraxis
Selbst wenn man erkennt, dass man sein Ziel nur mit einer Anonymisierung erreichen kann oder zur Anonymisierung gesetzlich verpflichtet ist, kann bei der Umsetzung noch viel schief gehen. In der digitalen Welt reicht es nämlich nicht, einfach einen schwarzen Balken über den Text zu legen. Viele Programme decken beim Schwärzen den Text nämlich nur optisch ab, entfernen ihn aber nicht technisch. Das Ergebnis sind peinliche und teure Datenpannen: Mit wenigen Klicks lässt sich der vermeintlich geschwärzte Text oft wieder sichtbar machen. Zudem werden oft die Metadaten vergessen – Informationen in den Dateieigenschaften, die verraten können, wer das Dokument wann erstellt hat oder was in früheren Versionen stand.
Damit die Superkraft Anonymisierung wirken kann, muss sie an den richtigen Stellen und mit der richtigen Technologie eingesetzt werden. Das bedeutet zum einen die sinnvolle Integration in Unternehmens- oder Behördenprozesse. Schnittstellen liefern Daten und Dokumente, intelligente Software identifiziert schwärzungsrelevante Stellen, der Human in the loop kontrolliert den Prozess und hilft bei Edge-Cases. Das Ergebnis ist ein intelligenter Datenschutz-Workflow der Rechtssicherheit schafft und Synergien hebt. Win-Win für Datenschutz und Verantwortlichen. So wird Anonymisierung zum Schlüssel für rechtssichere und wertschöpfenden Datennutzung und schafft die Voraussetzungen für rechtsssichere Datenschutzprozesse.
