Wissen

Pseudonymisierung vs. Anonymisierung: der Unterschied, auf dem eure KI-Projekte stehen

Zwei Begriffe, die ständig synonym gebraucht werden, mit rechtlich völlig verschiedener Wirkung. Warum echte Anonymisierung bei Freitext kaum erreichbar ist, wie moderne Pseudonymisierung arbeitet und weshalb kein seriöser Anbieter 100 Prozent verspricht.

Aktualisiert: Juli 2026 · 9 Min. Lesezeit

Sobald ein KI-Projekt personenbezogene Daten berührt, fallen im Gespräch mit dem Datenschutzbeauftragten zwei Begriffe: Pseudonymisierung und Anonymisierung. Sie werden im Alltag fast synonym gebraucht, meinen aber rechtlich und technisch grundverschiedene Dinge, und die Verwechslung ist einer der häufigsten Gründe, warum KI-Vorhaben in der Datenschutz-Abstimmung stecken bleiben oder auf falschen Zusicherungen aufgebaut werden.

Diese Einordnung trennt die Begriffe sauber, erklärt, was das EuGH-Urteil von 2025 für pseudonymisierte Daten geändert hat, zeigt, wie moderne mehrschichtige Pseudonymisierung arbeitet, und endet bei der unbequemsten und wichtigsten Zahl der ganzen Debatte: warum 100 Prozent niemand garantieren kann und was ihr stattdessen von jedem Anbieter verlangen solltet.

Pseudonymisierung und Anonymisierung im Vergleich

Definition
Pseudonymisierung:identifizierende Merkmale werden durch Platzhalter ersetzt; ein getrennt verwahrter Schlüssel kann die Zuordnung wiederherstellen (Art. 4 Nr. 5 DSGVO)
Anonymisierung:der Personenbezug wird unumkehrbar entfernt; niemand kann die Person mit vernünftigen Mitteln identifizieren (Erwägungsgrund 26)
Rechtsstatus
Pseudonymisierung:Daten bleiben personenbezogen, DSGVO gilt weiter; anerkannte Schutzmaßnahme
Anonymisierung:anonyme Daten fallen ganz aus dem Anwendungsbereich der DSGVO
Umkehrbarkeit
Pseudonymisierung:mit dem Schlüssel umkehrbar; der Kontext bleibt für befugte Stellen nutzbar
Anonymisierung:per Definition nicht umkehrbar
Nutzwert für KI
Pseudonymisierung:hoch: Zusammenhänge, Rollen und Abläufe bleiben im Text erhalten
Anonymisierung:bei Freitext meist gering: was Identifikation verhindert, zerstört oft die Aussage
Erreichbarkeit in der Praxis
Pseudonymisierung:technisch gut umsetzbar und messbar; 100 Prozent verspricht seriös niemand
Anonymisierung:bei Freitext kaum belastbar erreichbar; Restrisiko der Re-Identifikation bleibt strittig
Typischer Einsatz
Pseudonymisierung:KI-Verarbeitung, Modellaufrufe, Auswertung mit Rückbezug
Anonymisierung:Statistik, Forschung, Veröffentlichung aggregierter Daten

Zwei Begriffe, zwei Rechtslagen

Anonymisierung entfernt den Personenbezug unumkehrbar: Nach Erwägungsgrund 26 der DSGVO liegen anonyme Daten erst vor, wenn eine Person mit vernünftigerweise verfügbaren Mitteln nicht mehr identifizierbar ist, von niemandem. Dann gilt die DSGVO schlicht nicht mehr. Pseudonymisierung (Art. 4 Nr. 5 DSGVO) ersetzt identifizierende Merkmale durch Platzhalter, während ein getrennt und gesichert verwahrter Schlüssel die Zuordnung wiederherstellen kann. Pseudonymisierte Daten bleiben personenbezogen, die DSGVO gilt weiter, aber die Pseudonymisierung zählt als anerkannte technische Schutzmaßnahme.

In der Praxis ist die Anonymisierung von Freitext das deutlich schwächere Werkzeug, als der Begriff suggeriert. Ein Name lässt sich schwärzen; die Kombination aus Wohnort, Berufsbezeichnung, Arbeitgeber und einem Datum identifiziert eine Person trotzdem. Wer Freitext so weit reduziert, dass wirklich niemand mehr re-identifizieren kann, hat meist auch die fachliche Aussage zerstört, an der das KI-System arbeiten soll. Deshalb behandeln Aufsichtsbehörden pauschale Anonymisierungs-Behauptungen skeptisch, und deshalb ist für KI-Verarbeitung die messbar gute Pseudonymisierung in den meisten Fällen der belastbarere Weg.

Was das EuGH-Urteil von 2025 geändert hat

Im September 2025 hat der Europäische Gerichtshof (Rechtssache C-413/23 P, EDPS gegen SRB) eine Frage entschieden, die für KI-Architekturen zentral ist: Ob pseudonymisierte Daten personenbezogen sind, ist aus der Perspektive des jeweiligen Empfängers zu beurteilen. Hat der Empfänger keine vernünftigerweise nutzbaren Mittel, die Daten einer Person zuzuordnen, sind sie für ihn keine personenbezogenen Daten, auch wenn die übermittelnde Stelle den Schlüssel besitzt. Die Guidelines 01/2025 des Europäischen Datenschutzausschusses ordnen die Pseudonymisierung auf derselben Linie als Schutz- und Ermöglichungsinstrument ein.

Für die Praxis heißt das: Die Qualität der Pseudonymisierung und die strikte Trennung der Schlüssel sind nicht Kür, sondern das tragende Konstrukt. Wenn Re-Identifikations-Schlüssel ausschließlich auf EU-Infrastruktur liegen und das empfangende System, etwa ein Sprachmodell-Endpunkt außerhalb der EU, nachweislich keinen Zugriff darauf hat, steht der Modellaufruf auf einer fundamental anderen rechtlichen Grundlage als die Übermittlung von Klartext. Genau diese Architektur ist der Grund, warum sich auch Modelle amerikanischer Hersteller in DSGVO-konforme Workflows einbinden lassen.

Wie moderne Pseudonymisierung arbeitet: mehrschichtig, fail-closed

Eine einzelne Technik reicht nicht, weil personenbezogene Daten in zwei sehr verschiedenen Formen auftreten. Strukturierte Angaben wie IBAN, Kreditkartennummer, Steuer-ID, E-Mail oder Telefonnummer sind über Muster mit Prüfziffern-Validierung (IBAN per Mod-97, Kreditkarten per Luhn, Steuer-IDs per ISO 7064) deterministisch erkennbar: vollständig und ohne Fehlalarme auf Zahlenkolonnen, die nur so aussehen. Namen, Orte und Organisationen im Fließtext dagegen sind ein statistisches Problem. Der Stand der Technik ist deshalb eine Schichtung: erst ein Wörterbuch bereits bekannter Namen und Organisationen (deterministisch), dann die geprüften Muster, dann eine statistische Namenserkennung, die bewusst lieber zu viel als zu wenig ersetzt, und zum Schluss ein zweiter Kontrollpass durch ein Sprachmodell auf EU-Infrastruktur, das die Reste findet, die Statistik typischerweise übersieht: Namen in Grußformeln, Signaturen, Genitiven.

Zwei Eigenschaften entscheiden dabei über die Belastbarkeit des Gesamtsystems. Erstens fail-closed: Wenn eine Schicht ausfällt oder sich das System unsicher ist, wird der Vorgang abgebrochen oder auf EU-Verarbeitung umgeleitet, statt im Zweifel Klartext durchzulassen. Zweitens die Schlüsselverwahrung: Jede Ersetzung wird verschlüsselt in einer EU-Datenbank abgelegt, und die Wiederherstellung des Klartexts passiert ausschließlich serverseitig in der EU, nie im angeschlossenen KI-System. So bauen wir bei ai-train jede Verarbeitung, die personenbezogene Daten berührt.

Die ehrliche Zahl: 100 Prozent gibt es nicht

Hier kommt der Punkt, den ihr offen mit eurem Datenschutzbeauftragten besprechen solltet, und an dem sich seriöse von unseriösen Anbietern trennen: Eine hundertprozentige Erkennung von Namen in freiem Text kann niemand garantieren, weil statistische Erkennung prinzipbedingt Fälle übersehen kann. Die Branche weiß das. Die großen Werkzeuge von Microsoft, AWS und Google rahmen ihre Erkennung ausdrücklich als Wahrscheinlichkeit, nicht als Garantie, und die beste uns bekannte publizierte Studie auf deutschem Freitext, an 250 Arztbriefen, erreichte 99,24 Prozent der personenbezogenen Zeichen. Wer euch dennoch 100 Prozent zusichert, hat entweder nicht gemessen oder verkauft das Messergebnis eines leichten Testfalls als Garantie.

Der richtige Anspruch lautet deshalb: messen, offenlegen, absichern. Wir messen unsere Pseudonymisierung intern reproduzierbar gegen einen eigens gebauten Gold-Standard-Korpus aus 197 deutschen Geschäftsdokumenten mit 1.245 annotierten personenbezogenen Fundstellen, inklusive gezielt schwieriger Fälle wie Genitiven, Signaturen und zusammengesetzten Firmennamen, ausgeführt gegen den unveränderten Produktionscode. Aktuelles Ergebnis: 100 Prozent auf allen zehn deterministisch erkennbaren Klassen, rund 99,7 Prozent bei Personennamen, der schwierigsten Klasse. Die Ergebnisse legen wir im Gespräch offen, samt der Fälle, die durchgerutscht sind. Drei Fragen entlarven jeden Anbieter in fünf Minuten: Messt ihr, und gegen welchen Korpus? Wo liegen die Re-Identifikations-Schlüssel? Und was passiert im Fehlerfall, fail open oder fail closed?

Dieser Beitrag ordnet die technischen und rechtlichen Zusammenhänge ein und ist keine Rechtsberatung. Für die verbindliche Bewertung eures konkreten Falls zieht euren Datenschutzbeauftragten oder eine fachkundige Kanzlei hinzu.

Aus dem Thema einen Agenten machen?

Im Erstgespräch prüfen wir, wo daraus ein konkreter, gemanagter Agent für euch wird, von der Analyse bis zum Betrieb.