Zum Inhalt springen
Startseite » Fachbeiträge » Wann gelten Daten wirklich als anonym?

Wann gelten Daten wirklich als anonym?

Eine rechtliche Einordnung zwischen DSGVO, Technik und Risikoabwägung

Einleitung

Ob Daten als anonym oder lediglich pseudonymisiert gelten, ist in der Praxis eine der zentralen Fragen des Datenschutzrechts. Davon hängt ab, ob die Datenschutz-Grundverordnung überhaupt noch Anwendung findet – oder nicht.

Gerade bei qualitativen Daten, etwa Interviewtranskripten, Textbeiträgen oder Sprachaufzeichnungen, ist die Abgrenzung alles andere als trivial. Technische Entwicklungen, insbesondere im Bereich künstlicher Intelligenz, werfen zusätzlich die Frage auf, ob eine Identifizierung auch über indirekte Merkmale möglich ist.

Dieser Beitrag ordnet ein, wann Daten rechtlich als anonym gelten, welche Rolle Technik, Kosten und Verfügbarkeit spielen – und warum Anonymität keine absolute, sondern stets eine risikobasierte Bewertung ist.

Anonymisierung vs. Pseudonymisierung – der zentrale Unterschied

Die DSGVO unterscheidet klar zwischen:

  • pseudonymisierten Daten und
  • anonymen Daten

Pseudonymisierte Daten bleiben personenbezogen, solange eine Zuordnung zu einer Person mit vertretbarem Aufwandmöglich ist – etwa durch Zusatzinformationen oder Schlüssel.

Anonyme Daten hingegen fallen nicht mehr unter die DSGVO. Voraussetzung ist, dass eine Identifizierung nicht oder nicht mehr möglich ist.

Entscheidend ist dabei nicht die subjektive Einschätzung des Verantwortlichen, sondern eine objektive Betrachtung der Identifizierbarkeit.

Maßgeblich: Erwägungsgrund 26 DSGVO

Zentral für die Bewertung ist Erwägungsgrund 26 DSGVO.
Er legt fest, wann eine Person als identifizierbar gilt – und wann nicht.

Dabei kommt es insbesondere darauf an,

  • ob eine Person direkt oder indirekt identifiziert werden kann
  • welche Mittel dafür eingesetzt werden könnten
  • und ob diese Mittel nach allgemeinem Ermessen wahrscheinlich genutzt werden

Die DSGVO verlangt ausdrücklich eine realistische Betrachtung, keine rein theoretische.

Die Rechtsprechung: kein absoluter Anonymitätsbegriff

Der Europäischer Gerichtshof hat in einer Entscheidung aus dem Jahr 2024 (zu einem anderen Sachverhalt, aber mit grundsätzlicher Bedeutung) klargestellt:

Maßnahmen zur Anonymisierung müssen tatsächlich geeignet sein, eine Zuordnung zu einer Person zu verhindern – auch unter Berücksichtigung weiterer Identifizierungsmöglichkeiten, etwa durch Abgleich mit anderen Datenquellen.

Gleichzeitig betont der Gerichtshof:
Bei der Prüfung der Identifizierbarkeit sind alle objektiven Faktoren zu berücksichtigen, insbesondere:

  • Kosten der Identifizierung
  • erforderlicher Zeitaufwand
  • Verfügbarkeit der Technik
  • technologische Entwicklungen zum Zeitpunkt der Verarbeitung

Es geht also nicht um eine abstrakte Möglichkeit, sondern um eine wahrscheinliche Re-Identifizierung.

Was bedeutet das für qualitative Daten und Texte?

Bei Texten, Interviews oder Transkripten stellt sich häufig die Frage, ob sprachliche Merkmale – etwa Wortwahl, Satzstruktur oder Sprachniveau – eine Identifizierung ermöglichen könnten.

Rein theoretisch ist das denkbar. Praktisch setzt eine solche Re-Identifizierung jedoch voraus, dass:

  • geeignete Vergleichstexte vorliegen
  • diese Vergleichstexte Dritten zugänglich sind
  • die erforderliche Technik verfügbar ist
  • und der Aufwand in einem realistischen Verhältnis zum Nutzen steht

Aktuell sind solche Verfahren nicht allgemein verfügbar und in der Regel nur in sehr speziellen Konstellationen relevant, etwa bei Personen des öffentlichen Lebens oder sehr kleinen, eng begrenzten Personengruppen.

Der risikobasierte Ansatz: eine Frage der Wahrscheinlichkeit

Entscheidend ist daher eine Risikoabwägung im Einzelfall. Maßgeblich sind insbesondere:

  • die Verfügbarkeit von Vergleichsdaten für Dritte
  • die Zugänglichkeit und Kosten der Re-Identifizierungstechnologie
  • der erforderliche Zeit- und Ressourcenaufwand
  • mögliche Motive für eine Re-Identifizierung

Je geringer die Wahrscheinlichkeit einer Identifizierung unter diesen Gesichtspunkten ist, desto eher können Daten als anonym eingestuft werden.

Eine „absolute“ Anonymität fordert das Datenschutzrecht nicht.

Fazit: Anonymität ist keine Technikfrage, sondern eine Bewertungsfrage

Ob Daten anonym sind, lässt sich nicht pauschal beantworten.
Es handelt sich immer um eine kontextabhängige Bewertung, die rechtliche, technische und organisatorische Faktoren zusammenführt.

Wer Anonymität beurteilt, muss sich fragen:

  • Wer könnte identifizieren?
  • Mit welchen Mitteln?
  • Mit welchem Aufwand?
  • Und mit welchem realistischen Interesse?

Erst wenn eine Identifizierung nach allgemeinem Ermessen nicht wahrscheinlich ist, sind Daten als anonym anzusehen – und fallen aus dem Anwendungsbereich der DSGVO heraus.

Projekt86 unterstützt Unternehmen bei der strukturierten Umsetzung von Anforderungen im Bereich Informationssicherheit und Compliance.