Diese Unterscheidung ist entscheidend dafür, ob die DSGVO überhaupt anwendbar ist.
Pseudonymisierte Daten
Pseudonymisierung bedeutet, dass personenbezogene Daten so verarbeitet werden, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). Die zusätzlichen Informationen werden getrennt aufbewahrt. Beispiel: Ersetzen des Namens durch eine ID-Nummer, wobei die Zuordnungstabelle getrennt gespeichert wird.
Wichtig: Pseudonymisierte Daten sind und bleiben personenbezogene Daten (EG 26 DSGVO). Die DSGVO gilt vollumfänglich. Pseudonymisierung senkt aber das Risiko und wird als Schutzmassnahme anerkannt und gefördert (EG 28-29 DSGVO, Art. 25, 32 DSGVO).
Anonymisierte Daten
Anonymisierte Daten sind Daten, bei denen ein Personenbezug nach allgemeinem Ermessen NICHT mehr hergestellt werden kann. Anonymisierte Daten fallen NICHT unter die DSGVO (EG 26 DSGVO). Beispiel: Aggregierte Statistiken, bei denen einzelne Personen nicht mehr identifizierbar sind.
Vorsicht: Echte Anonymisierung ist technisch schwierig. IP-Adressen, Cookies und Online-Kennungen können personenbezogene Daten sein (EG 30 DSGVO). Im Zweifel gelten Daten als personenbezogen.