Pseudonymisierung (Art. 4 Nr. 5 DSGVO)
Pseudonymisierung als technische und organisatorische Maßnahme: Trennung der Zuordnungsinformationen, Abgrenzung zur Anonymisierung, fortbestehender Personenbezug und Sonderformen wie Verschlüsselung und Depersonalisierung.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie sich ohne Hinzuziehung gesondert aufbewahrter Zusatzinformationen nicht mehr einer bestimmten Person zuordnen lassen (Art. 4 Nr. 5 DSGVO). Sie ist kein eigener Datentyp, sondern eine Schutzmaßnahme, die das Risiko senkt, einen Datensatz mit einer Identität zu verknüpfen. Pseudonymisierte Daten bleiben personenbezogene Daten.
- Pseudonymisierung trennt den Datensatz von den Zuordnungsinformationen, die gesondert und durch technische und organisatorische Maßnahmen geschützt aufbewahrt werden (Art. 4 Nr. 5 DSGVO).
- Pseudonymisierte Daten bleiben personenbezogene Daten und unterliegen weiterhin vollständig der DSGVO.
- Sie ist von der Anonymisierung abzugrenzen: nur diese führt aus dem Anwendungsbereich der DSGVO heraus.
- Die DSGVO bewertet die Pseudonymisierung als risikomindernde Maßnahme, etwa bei Datenschutz durch Technikgestaltung (Art. 25 DSGVO) und Datensicherheit (Art. 32 Abs. 1 lit. a DSGVO).
- Auch Verschlüsselung ist der Sache nach eine Pseudonymisierung, solange ein Schlüssel die Wiederlesbarkeit erlaubt.
1. Überblick
1.1 Legaldefinition und Funktion
Art. 4 Nr. 5 DSGVO definiert die Pseudonymisierung als Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Voraussetzung ist, dass diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die die fehlende Zuordnung gewährleisten.
Das Wort „Pseudonym" steht für einen erfundenen Namen oder Decknamen. In der Sache wird der Klarname oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt, sodass die Bestimmung der Person ausgeschlossen oder wesentlich erschwert wird. Bereits das frühere Datenschutzrecht kannte diesen Gedanken; § 3a BDSG a.F. forderte die Pseudonymisierung vorrangig als datenschutzfreundliche Gestaltung.
1.2 Rechtsnatur: Maßnahme, nicht Datentyp
Die Pseudonymisierung ist kein Tatbestandsmerkmal des Begriffs der personenbezogenen Daten, sondern eine technische und organisatorische Maßnahme. Sie verringert das Risiko, einen Datensatz mit der Identität einer Person zu verbinden, ändert aber nichts daran, dass der Personenbezug fortbestehen kann (EuGH, Urt. v. 04.09.2025, C-413/23 P, EDPS/SRB).
Erwägungsgrund 28 DSGVO ordnet die Pseudonymisierung dieser Funktion zu: Sie kann die Risiken für die betroffenen Personen senken und den Verantwortlichen wie den Auftragsverarbeiter bei der Einhaltung ihrer Pflichten unterstützen, schließt andere Datenschutzmaßnahmen aber ausdrücklich nicht aus. Als Anreiz lässt Erwägungsgrund 29 DSGVO eine allgemeine Analyse bei demselben Verantwortlichen zu, sofern dieser die erforderlichen Maßnahmen getroffen hat und die Zuordnungsinformationen gesondert aufbewahrt.
2. Abgrenzung zur Anonymisierung
Pseudonymisierung und Anonymisierung werden in der Praxis häufig verwechselt, haben aber gegensätzliche Rechtsfolgen. Die DSGVO definiert die Anonymisierung nicht ausdrücklich. Anonyme Informationen sind solche, die sich nicht auf eine identifizierte oder identifizierbare Person beziehen, oder Daten, die so anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Erwägungsgrund 26 DSGVO). Liegen anonyme Daten vor, handelt es sich um nicht-personenbezogene Daten, auf die die DSGVO nicht anwendbar ist.
Der entscheidende Unterschied liegt in der Umkehrbarkeit. Bei der Pseudonymisierung existiert eine Zuordnungsmöglichkeit fort, sie wird nur ausgelagert und geschützt. Bei echter Anonymisierung entfällt die Möglichkeit der Zuordnung dauerhaft. Die Verschlüsselung lässt sich in dieselbe Reihe einordnen: Solange ein Schlüssel die Daten wieder lesbar macht, bleibt der Personenbezug erhalten.
| Merkmal | Pseudonymisierung | Anonymisierung | Verschlüsselung |
|---|---|---|---|
| Zuordnung zur Person | über getrennt gehaltene Zusatzinformation möglich | dauerhaft ausgeschlossen | über Schlüssel oder Passwort möglich |
| Rechtsfolge | bleibt personenbezogenes Datum | nicht-personenbezogenes Datum | bleibt personenbezogenes Datum |
| DSGVO anwendbar | ja | nein | ja |
| Einordnung in der DSGVO | eigenständig definiert (Art. 4 Nr. 5 DSGVO) | nicht definiert (Erwägungsgrund 26 DSGVO) | Sonderform der Pseudonymisierung |
3. Arten der Pseudonymisierung
Wer über die Zuordnungsregel verfügt, entscheidet darüber, für wen die Daten pseudonym und für wen sie zuordenbar sind. Die Zuordnungsregel kann eine fortlaufende oder eine zufällige Nummerierung sein. Nach dem Inhaber der Regel lassen sich drei Konstellationen unterscheiden.
3.1 Vom Betroffenen selbst vergeben
Die betroffene Person vergibt das Pseudonym selbst, etwa eine frei gewählte Benutzer-ID. Solange nur sie selbst die Verbindung zu ihrer Identität herstellen kann, fehlt dem datenverarbeitenden Anbieter regelmäßig der Personenbezug.
3.2 Von einem vertrauenswürdigen Dritten vergeben
Ein vertrauenswürdiger Dritter vergibt das Pseudonym und verfügt allein über die Zuordnungsregel. Hier besteht eine organisatorische Trennung zwischen dem Inhaber der Zuordnungsregel und der Stelle, die mit den Daten arbeitet. Diese Trennung ist der Kern der gesetzlichen Definition.
3.3 Von der verantwortlichen Stelle selbst vergeben
Die verantwortliche Stelle vergibt das Pseudonym selbst und behält die Zuordnungsregel. Ein Beispiel ist die dynamische IP-Adresse: Gegenüber Dritten wirkt sie wie ein Pseudonym, doch der Access-Provider kann die Zuordnung zur Person herstellen. Dass sich Pseudonyme so vergleichsweise leicht wieder aufheben lassen, zeigt, wie eng Pseudonymisierung und fortbestehender Personenbezug zusammenhängen.
Fallbeispiel: Ein Arzt versieht Blutproben mit einer fortlaufenden Nummer und übergibt sie an ein Labor. Für das Labor sind die Proben pseudonym, weil nur der Arzt über die Zuordnung verfügt. Muss das Labor jedoch unmittelbar mit dem Patienten abrechnen, wird die Pseudonymisierung durchbrochen und der Personenbezug für das Labor hergestellt. Wer die Zuordnungsinformation kennt, muss die Daten als personenbezogen behandeln.
4. Fortbestehender Personenbezug und Rechtsfolgen
Pseudonymisierte Daten bleiben personenbezogene Daten und dürfen nur nach den Vorgaben der DSGVO verarbeitet werden. Die Pseudonymisierung befreit weder von der Wahl einer Rechtsgrundlage noch von den Informations-, Betroffenen- und Dokumentationspflichten. Ob die Daten für eine bestimmte Stelle personenbezogen sind, hängt davon ab, ob diese Stelle eine realistische Möglichkeit der Re-Identifizierung hat: Für einen Empfänger ohne solche Möglichkeit können die Daten faktisch anonym sein, für die Stelle mit Zugriff auf die Zuordnung bleiben sie personenbezogen (EuGH, Urt. v. 04.09.2025, C-413/23 P, EDPS/SRB).
Zugleich ist die Pseudonymisierung eine der zentralen Schutzmaßnahmen der DSGVO. Sie gehört zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, der sie ausdrücklich als Beispiel nennt (Art. 25 Abs. 1 DSGVO). In der Datensicherheit zählt Art. 32 Abs. 1 lit. a DSGVO die Pseudonymisierung neben der Verschlüsselung als geeignete Maßnahme zur Gewährleistung eines angemessenen Schutzniveaus auf.
5. Sonderformen
5.1 Verschlüsselte Daten
Verschlüsselte Daten sind ebenfalls pseudonymisierte Daten. Mit dem passenden Schlüssel oder Passwort werden sie wieder lesbar, sodass der Personenbezug erhalten bleibt. Auch verschlüsselt in der Cloud abgelegte Daten sind daher personenbezogen. Damit die Verschlüsselung ihren Schutzzweck erfüllt, muss sie dem Stand der Technik entsprechen. Die DSGVO nennt die Verschlüsselung neben der Pseudonymisierung ausdrücklich als Maßnahme zur Gewährleistung eines angemessenen Schutzniveaus (Art. 32 Abs. 1 lit. a DSGVO).
5.2 Depersonalisierung von Fluggastdaten
Eine besondere Form der Pseudonymisierung ist die Depersonalisierung im Recht der Fluggastdaten. § 5 FlugDaG setzt Art. 12 der Richtlinie (EU) 2016/681 um und verlangt, dass bestimmte Datenelemente, mit denen sich die Identität des Fluggastes feststellen ließe, nach sechs Monaten unkenntlich gemacht werden (Art. 12 Abs. 2 RL (EU) 2016/681). Eine Wiederzugänglichmachung der Daten ist nur unter bestimmten Voraussetzungen zulässig. Weil dieser Vorgang umkehrbar bleibt, handelt es sich der Sache nach um eine Pseudonymisierung und nicht um eine Anonymisierung.
6. Einordnung in die Datenschutzgrundsätze
Die Pseudonymisierung verzahnt sich mit mehreren Grundsätzen der Verarbeitung. Sie ist ein praktisches Instrument der Datenminimierung, weil sie den unmittelbaren Personenbezug der verarbeiteten Datensätze reduziert. Zugleich dient sie der Integrität und Vertraulichkeit, indem sie das Risiko unbefugter Zuordnung senkt. Sie ersetzt jedoch keine dieser Pflichten, sondern flankiert sie als eine von mehreren Schutzmaßnahmen.
Personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Identifizierbarkeit und Abgrenzung zur Anonymisierung.
Datenminimierung
Art. 5 Abs. 1 lit. c DSGVO: Pseudonymisierung als Mittel der Reduktion.
Integrität und Vertraulichkeit
Art. 5 Abs. 1 lit. f DSGVO: Schutz durch technische und organisatorische Maßnahmen.
Art. 4 DSGVO
Begriffsbestimmungen, Nr. 5: Pseudonymisierung.
Art. 32 DSGVO
Sicherheit der Verarbeitung, Abs. 1 lit. a.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Profiling (Art. 4 Nr. 4 DSGVO)
Profiling bezeichnet jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Prognose von Verhalten, wirtschaftlicher Lage oder Gesundheit.
Dateisystem (Art. 4 Nr. 6 DSGVO)
Art. 4 Nr. 6 DSGVO definiert das Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Bei manueller Verarbeitung ist der Begriff die entscheidende Schwelle für den Anwendungsbereich der DSGVO.