ai-finden.de
Startseite Artikel Was ist der Unterschied zwischen Anonymisierung und Pseudony…
DSGVO 17. Juni 2026

Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung nach DSGVO?

Klare Definitionen, rechtliche Unterschiede und praktische Handlungsschritte für KMU und Kanzleien

A. Blick Redaktion: A. Blick  ·  Stand: 17. Juni 2026  ·  Lesezeit: 11 Min.

Kurze Antwort

Anonymisierung und Pseudonymisierung sind zwei unterschiedliche Datenschutzmaßnahmen, die beide in der DSGVO erwähnt werden – aber völlig verschiedene Rechtsfolgen haben. Anonymisierung bedeutet, dass Daten irreversibel so verändert werden, dass kein Bezug zu einer Person mehr hergestellt werden kann. Dann gilt die DSGVO gar nicht. Pseudonymisierung hingegen bedeutet, dass der Bezug zur Person zunächst verborgen wird, aber durch Zusatzinformationen (z. B. einen Schlüssel) wieder hergestellt werden kann. Die DSGVO findet hier weiterhin Anwendung – mit allen Rechten und Pflichten.

Die genannten Scores sind Risikoeinschätzungen nach unserer Methodik, keine rechtlichen Gutachten.

Wichtig: Ein hoher DSGVO-Score bedeutet nicht automatisch, dass ein Tool in jeder Kanzlei/jedem Unternehmen rechtskonform eingesetzt werden kann. Entscheidend sind auch die konkrete Nutzung, der Abschluss eines AVV und die internen Datenschutzprozesse.

Sind die Daten auf eine Person beziehbar? Nein – irreversibel Ja – nur über Schlüssel ANONYMISIERUNG PSEUDONYMISIERUNG DSGVO gilt nicht DSGVO gilt weiter Freie Nutzung – jedes Tool, sofern keine Re-Identifizierung mit vernünftigen Mitteln möglich AVV abschließen, TOMs, ggf. DSFA prüfen (Art. 28, 32, 35 DSGVO) ai-finden.de

Was ist Anonymisierung nach DSGVO?

Laut Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”. Anonymisierung ist das Gegenteil: Laut Erwägungsgrund 26 DSGVO liegt Anonymisierung vor, wenn die Daten sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen – weder durch den Verantwortlichen noch durch irgendjemand anderes unter Einsatz „aller vernünftigerweise” einzusetzenden Mittel.

Entscheidend ist das Wort „irreversibel”: Wenn ein Datensatz wirklich anonymisiert wurde, kann er nicht wieder einer Person zugeordnet werden. Das macht Anonymisierung zur maximalen Freiheit – die DSGVO findet keine Anwendung mehr. Es gibt dann keine Benachrichtigungspflichten, keine Aufbewahrungsfristen und keine Löschansprüche mehr.

Beispiel aus der Praxis: Ein Steuerberater führt Buchhaltungs-Daten von 50 Mandanten. Er erstellt einen Bericht: „Durchschnittlicher Jahresumsatz aller Mandanten: 520.000 €. Durchschnittliche Gemeinkosten: 85.000 €.” Wenn dieser Bericht nur Durchschnittswerte ohne Einzeldaten enthält und aus ausreichend vielen Datensätzen berechnet wurde (Aggregationsminimum), sind die zugrunde liegenden Daten in der Regel anonymisiert. Der Bericht kann dann ohne DSGVO-Compliance weitergegeben werden – Voraussetzung ist allerdings, dass keine Re-Identifizierung mit vernünftigen Mitteln möglich ist. Bei kleinen oder ungleich verteilten Gruppen (z. B. „der eine Mandant mit 4 Mio. € Umsatz”) können einzelne Werte trotz Aggregation Rückschlüsse erlauben – dann ist der Bericht nicht anonym.

Was ist Pseudonymisierung nach DSGVO?

Laut Art. 4 Nr. 5 DSGVO ist Pseudonymisierung die „Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung gesondert aufbewahrter Zusatzinformationen (eines Schlüssels) nicht einer spezifischen Person zugeordnet werden können”.

Das Entscheidende: Der Schlüssel existiert noch irgendwo – und damit bleibt die potenzielle Identifizierung möglich. Deshalb bleibt die DSGVO vollständig anwendbar. Pseudonymisierung ist keine Befreiung von Datenschutz, sondern eine technische Maßnahme zum Schutz der Daten.

Laut Art. 32 DSGVO ist Pseudonymisierung sogar eine der empfohlenen technisch-organisatorischen Maßnahmen zur Sicherung personenbezogener Daten. Sie reduziert das Risiko eines Datenlecks, hebt die Datenschutzpflichten aber nicht auf.

Praktisches Beispiel: Dieselbe Steuerberatung pseudonymisiert ihre Mandantendaten so: Alle Namen werden durch Nummern ersetzt („Mandant 0471”, „Mandant 0472” usw.). Der Schlüssel (0471 = Max Mustermann, Straße 123) wird verschlüsselt in einer separaten Datei gelagert. Nur der Berater mit Zugriff auf den Schlüssel kann die Originaldaten zuordnen. Die pseudonymisierten Daten selbst können an einen Steuer-Softwareanbieter übermittelt werden – allerdings nur mit einem AVV, da der Anbieter Dienstleister ist und die Daten trotz Pseudonymisierung personenbezogen bleiben.

Der praktische Unterschied für KMU und Kanzleien

MerkmalAnonymisierungPseudonymisierung
DSGVO-AnwendungNein – DSGVO gilt nichtJa – DSGVO bleibt vollständig anwendbar
RückverfolgungIrreversibel unmöglichUnter bestimmten Bedingungen möglich (über Schlüssel)
AVV erforderlich?NeinJa (wenn Daten an Dienstleister)
KI-Tool-NutzungErlaubt mit jedem Tool – auch US-ToolsNur mit Dienstleistern, die einen AVV anbieten
Löschung erforderlich?NeinJa (nach Zweckerfüllung)

Das ist der Kern der Verwirrung: Viele denken, Pseudonymisierung sei „fast so gut wie anonym”. Das ist falsch. Pseudonymisierte Daten sind weiterhin personenbezogen – nur eben mit erhöhter Sicherheit durch den Schlüssel-Schutz.

Praxisregel-Box: 5 Schritte zur sicheren KI-Nutzung

Wenn Sie Mandanten- oder Kundendaten in KI-Tools eingeben möchten, folgen Sie diesem Entscheidungsbaum:

  1. Schritt 1: Sind die Daten identifizierbar?
    Ja → weiter zu Schritt 2.
    Nein (z. B. nur Aggregatzahlen) → in der Regel anonym, Sie können fortfahren.

  2. Schritt 2: Können Sie die Daten so ändern, dass sie irreversibel unidentifizierbar werden?
    Ja → Anonymisieren. Danach können Sie jedes Tool nutzen.
    Nein → zu Schritt 3.

  3. Schritt 3: Haben Sie einen technischen Schlüssel, der die Daten wieder identifizierbar macht?
    Ja → Pseudonymisieren. Weiter zu Schritt 4.
    Nein → Benutzen Sie die Rohdaten (nicht pseudonymisiert). Beachten Sie Schritt 4.

  4. Schritt 4: Prüfen Sie den KI-Tool-Anbieter
    EU-Anbieter (z. B. Mistral) → Abschluss eines AVV erleichtert den datenschutzkonformen Einsatz erheblich, sofern die internen Richtlinien eingehalten werden.
    US-Anbieter (z. B. OpenAI, Anthropic) → AVV erforderlich. Prüfung nötig, ob aufgrund sensibler Daten eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist.
    China-/Russland-Anbieter → NICHT empfohlen ohne explizite Compliance-Prüfung.

  5. Schritt 5: Dokumentieren Sie Ihre Entscheidung
    Führen Sie ein einfaches Verarbeitungsverzeichnis: Tool → Datentyp → Sicherheitsmaßnahme → AVV ja/nein → DSFA-Pflicht ja/nein. Das schützt Sie im Audit und zeigt Ihre Sorgfalt.

Können anonymisierte Daten wieder personenbezogen werden?

Im Idealfall nicht – echte Anonymisierung ist per Definition irreversibel. In der Praxis liegt die Tücke aber genau hier: Was heute anonym wirkt, kann durch zusätzliche Informationen wieder personenbeziehbar werden. Laut Erwägungsgrund 26 DSGVO ist der Maßstab, ob eine Re-Identifizierung mit „allen vernünftigerweise einzusetzenden Mitteln” möglich ist – und das schließt künftige technische Entwicklungen und verfügbare Zusatzdaten ein.

Typische Stolperfallen:

  • Kleine Datenmengen: Aggregierte Werte aus wenigen Datensätzen lassen Rückschlüsse zu (siehe Steuerberater-Beispiel oben).
  • Verknüpfung mit öffentlichen Daten: Ein vermeintlich anonymer Datensatz wird durch Abgleich mit frei verfügbaren Quellen (Register, soziale Netzwerke) wieder zuordenbar.
  • KI-Modelle und „Memorization”: Wenn ein Modell mit nur unzureichend anonymisierten Daten trainiert wurde, kann es im Betrieb Rückschlüsse auf die ursprünglichen Datensätze zulassen – dann waren die Daten nie wirklich anonym, sondern allenfalls pseudonym.

Die Konsequenz: Anonymisierung ist kein einmaliger Haken, sondern eine Aussage über das Re-Identifizierungsrisiko zum jeweiligen Zeitpunkt. Wer auf Nummer sicher gehen will, prüft regelmäßig, ob die Annahme noch trägt.

Ist Hashing Anonymisierung oder Pseudonymisierung?

Eine der häufigsten Fehlannahmen: „Wir hashen die Namen, dann sind die Daten anonym.” Das stimmt in der Regel nicht. Hashing und Tokenisierung ersetzen einen Wert durch einen Platzhalter – aber solange ein Bezug rekonstruierbar bleibt (etwa über eine Zuordnungstabelle, identische Hashes für identische Eingaben oder Verknüpfung mit anderen Daten), handelt es sich um Pseudonymisierung, nicht um Anonymisierung.

Maßgeblich ist die Sicht des jeweiligen Empfängers (relativer Personenbezug). Das EuG hat in der Rechtssache T‑557/20 (SRB ./. EDSB, Urteil vom 26.04.2023) entschieden, dass pseudonymisierte Daten für einen Empfänger dann keine personenbezogenen Daten sind, wenn dieser sie nicht mit vernünftigen Mitteln re-identifizieren kann – beurteilt aus seiner Perspektive, ohne den separat verwahrten Schlüssel. Ob Hashing also „ausreicht”, hängt davon ab, ob für die konkrete Stelle eine Re-Identifizierung praktisch möglich bleibt. Für den ursprünglichen Verantwortlichen, der den Schlüssel besitzt, bleiben die Daten personenbezogen.

Praxisfazit: Hashing/Tokenisierung allein macht Daten nicht automatisch anonym. Sicher anonym sind sie erst, wenn niemand mit vernünftigem Aufwand den Bezug wiederherstellen kann.

Warum dieser Unterschied für KI-Tools wichtig ist

Die Verunsicherung durch neue KI-Tools (ChatGPT, DeepSeek, Claude) hat einen guten Grund: Jeder möchte Kundendaten in KI füttern – darf aber nicht einfach so. Laut Erwägungsgrund 26 DSGVO ist der entscheidende Test, ob „alle vernünftigerweise einzusetzenden Mittel” einsetzbar wären, um eine Rückverfolgung vorzunehmen.

Bei US-Anbietern kommt ein zusätzlicher Faktor hinzu – nicht weil die Tools „schlecht” sind, sondern weil der Cloud Act US-Behörden grundsätzlich erlaubt, von US-Unternehmen die Herausgabe von Daten zu verlangen, auch wenn diese außerhalb der USA gespeichert sind. Wichtig ist, hier zwei Rechtsfragen sauber zu trennen:

  • Zulässigkeit des Datentransfers: SCCs (Standardvertragsklauseln) und das EU-US Data Privacy Framework (DPF) schaffen eine Rechtsgrundlage dafür, Daten überhaupt in die USA übermitteln zu dürfen.
  • Zugriffsrisiko: Diese Mechanismen beseitigen aber nicht die Möglichkeit eines behördlichen Zugriffs nach dem Cloud Act. Technische Maßnahmen wie starke Verschlüsselung mit eigener Schlüsselhoheit reduzieren das praktische Risiko, ein EU-Rechenzentrum allein (etwa Azure EU) tut das bei einer US-Muttergesellschaft nicht.

Daraus folgt für die Praxis:

  • Anonymisierung: Sie können jedes Tool nutzen – auch cloudbasierte Lösungen mit unsicheren geografischen Verarbeitungsorten.
  • Pseudonymisierung: Sie brauchen einen AVV. Mit EU-Anbietern wie Mistral lässt sich das in der Regel direkt über standardmäßig angebotene DSGVO-konforme Verträge umsetzen. Bei US-Anbietern wie OpenAI bleibt – trotz SCCs/DPF und EU-Rechenzentrum – ein Restrisiko durch die US-Muttergesellschaft. Unternehmen müssen dieses Restrisiko bewerten und explizit akzeptieren; je nach Datentyp (besonders sensible Kategorien wie Gesundheits- oder Finanzdaten) kann eine DSFA erforderlich sein.

Ist ChatGPT mit pseudonymisierten Daten DSGVO-konform?

Kurz: nicht automatisch. Pseudonymisierte Daten bleiben personenbezogen – also gelten die vollen DSGVO-Pflichten. Für den DSGVO-konformen Einsatz von ChatGPT (oder vergleichbaren US-Tools) mit pseudonymisierten Personendaten braucht es im Regelfall:

  1. einen AVV mit dem Anbieter (bei OpenAI über die API-/Business-Angebote, nicht über das kostenlose ChatGPT),
  2. eine Rechtsgrundlage für den US-Transfer (SCCs / DPF),
  3. eine Bewertung des Cloud-Act-Restrisikos – und bei sensiblen Daten ggf. eine DSFA,
  4. das Deaktivieren des Trainings mit den eingegebenen Daten (in den Business-/API-Produkten dokumentiert, im kostenlosen Chat nicht zuverlässig).

Anders gesagt: Der kostenlose ChatGPT-Chat ist für echte Mandanten-/Kundendaten in der Regel ungeeignet; die Business-/Team-/API-Varianten lassen sich mit den richtigen Verträgen datenschutzfreundlicher einsetzen. Wer maximale Sicherheit braucht, prüft EU-Alternativen oder lokale Modelle. Welche Anbieter AVV, EU-Hosting und ein Trainings-Opt-out tatsächlich bieten, zeigen unsere Tool-Analysen.

Häufige Fehler vermeiden

  • „Wir pseudonymisieren einfach, dann können wir jeden Cloud-Dienst nutzen” → Falsch. Pseudonymisierte Daten unterliegen weiterhin der DSGVO und brauchen einen AVV.
  • „Hashing ist Anonymisierung” → Falsch. Gehashte Daten können je nach Empfänger und Zusatzwissen Rückschlüsse ermöglichen – das ist Pseudonymisierung.
  • „Anonymisierung ist billiger” → Manchmal, aber oft unmöglich. Es ist häufig leichter, Daten zu pseudonymisieren und einen AVV zu schließen.
  • „Wir prüfen für jeden KI-Tool-Einsatz einzeln: Sind es Rohdaten, Pseudonyme oder anonyme Daten?” → Richtig. Das ist echte Compliance.

Fazit & Empfehlung

Anonymisierung und Pseudonymisierung sind keine Synonyme – es sind zwei völlig unterschiedliche Daten-Zustände mit unterschiedlichen Rechtsfolgen. Für Steuerberater, Freelancer und KMU gilt: Wenn Sie Daten in KI-Tools eingeben möchten, entscheiden Sie bewusst: Können wir es anonymisieren? Falls nein – pseudonymisieren und einen AVV schließen.

Mit dieser systematischen Abgrenzung können Unternehmen ihre Risiken erheblich minimieren. Die verbleibenden Restrisiken – etwa bei US-Anbietern – müssen eigenständig bewertet und explizit akzeptiert werden. Das ist der sichere, nachvollziehbare Weg zur DSGVO-Compliance im KI-Zeitalter.

Ihr nächster Schritt: Prüfen Sie vor dem Einsatz eines KI-Tools, ob Ihre Daten anonym, pseudonym oder personenbezogen sind. Unsere Tool-Analysen zeigen für jedes Tool, ob AVV, EU-Hosting und ein Trainings-Opt-out angeboten werden – damit Sie die Entscheidung aus Schritt 4 in Sekunden treffen können.

Häufige Fragen

Kann ich pseudonymisierte Daten in jedem KI-Tool nutzen?

Nein. Pseudonymisierte Daten bleiben personenbezogen und unterliegen der DSGVO. Sie brauchen einen AVV mit dem Tool-Anbieter. EU-Tools wie Mistral erleichtern das; bei US-Tools muss geprüft werden, ob aufgrund der Datentypen eine Datenschutzfolgeabschätzung erforderlich ist und ob die mit dem Cloud Act verbundenen Restrisiken akzeptabel sind.

Ist Hashing das Gleiche wie Anonymisierung?

Nein. Gehashte Daten können je nach Empfänger und Zusatzwissen Rückschlüsse ermöglichen – das ist Pseudonymisierung, nicht Anonymisierung. Das EuG hat in der Rechtssache T-557/20 (SRB/EDSB, 2023) klargestellt, dass es auf die Re-Identifizierbarkeit aus Sicht des jeweiligen Empfängers ankommt (relativer Personenbezug).

Muss ich einen AVV haben, wenn meine Daten anonym sind?

Nein. Anonyme Daten unterliegen nicht der DSGVO – es gibt keine Datenschutzpflichten. Voraussetzung ist allerdings, dass die Anonymisierung wirklich irreversibel ist (laut Erwägungsgrund 26 DSGVO: keine Re-Identifizierung unter Einsatz aller vernünftigerweise einzusetzenden Mittel).

Wo bewahre ich den Pseudonymisierungs-Schlüssel auf?

Der Schlüssel muss getrennt von den pseudonymisierten Daten gespeichert werden (laut Art. 4 Nr. 5 DSGVO: 'gesondert aufbewahrte Zusatzinformationen'). Verschlüsseln Sie ihn und beschränken Sie Zugriffsrechte auf notwendige Personen – das ist eine technisch-organisatorische Maßnahme nach Art. 32 DSGVO.

Ist ChatGPT mit pseudonymisierten Daten DSGVO-konform?

Nicht automatisch. Pseudonymisierte Daten bleiben personenbezogen. Nötig sind in der Regel ein AVV, eine Transfer-Rechtsgrundlage (SCCs/DPF), eine Bewertung des Cloud-Act-Restrisikos sowie ein deaktiviertes Training. Der kostenlose ChatGPT-Chat ist dafür meist ungeeignet; Business-/API-Varianten lassen sich vertraglich datenschutzfreundlicher einsetzen.

War dieser Artikel hilfreich?

Welches Tool passt zu dir?

Unser KI-Finder empfiehlt das optimale Tool für deine Situation — in 2 Minuten.

KI-Finder starten →