Unsere KanzleiYou can add some sub-text right here to give your navigation item some context.
Mandantensegmente
FachwissenYou can add some sub-text right here to give your navigation item some context.
KI BuchhaltungYou can add some sub-text right here to give your navigation item some context.
SchnittstellenpartnerYou can add some sub-text right here to give your navigation item some context.
KontaktYou can add some sub-text right here to give your navigation item some context.
Digitalisierung

Anonymisierung nach DSGVO: neue Leitlinien für Unternehmen

Ein Artikel von der Intelligent Accounting Steuerberatungsgesellschaft Kassel

Sie wollen Mandant werden?
Kontaktieren Sie uns!

E-Mail Schreiben
Anfrage senden

Anonymisierung nach DSGVO: Was die neuen Leitlinien bedeuten

Für Unternehmen, Steuerkanzleien, Finanzinstitutionen und datengetriebene Geschäftsmodelle ist die Abgrenzung zwischen personenbezogenen und anonymen Daten von erheblicher praktischer Bedeutung. Der Europäische Datenschutzausschuss hat am 08.07.2026 Leitlinien zur Anonymisierung angenommen und damit den Maßstab präzisiert, unter welchen Voraussetzungen Daten als anonym gelten. Anonyme Daten fallen nicht mehr unter die Datenschutz-Grundverordnung. Genau dieser Punkt ist für die Praxis entscheidend, weil sich daran Dokumentationspflichten, Rechtsgrundlagen für die Verarbeitung und das Risikomanagement im Umgang mit Datenbeständen ausrichten.

Die Leitlinien stellen klar, dass es für eine wirksame Anonymisierung nicht genügt, offensichtliche Identifikatoren wie Namen oder Kundennummern zu entfernen. Maßgeblich ist vielmehr, ob eine Person unter Berücksichtigung der vernünftigerweise zu erwartenden Identifizierungsmittel identifiziert oder re-identifiziert werden kann. Re-Identifizierung bedeutet, dass aus zunächst nicht direkt zuordenbaren Daten durch zusätzliche Informationen oder technische Verfahren wieder ein Bezug zu einer bestimmten Person hergestellt wird. Genau dieses Risiko ist der Kern jeder datenschutzrechtlichen Beurteilung von Anonymisierung.

Für die betriebliche Praxis bedeutet das eine spürbar strengere inhaltliche Prüfung. Wer Daten für Auswertungen, interne Analysen, Qualitätsmanagement, Forschung, Controlling oder KI-Anwendungen weiterverwenden möchte, muss belastbar beurteilen können, ob tatsächlich anonyme Daten vorliegen oder lediglich pseudonymisierte Daten. Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Solche Daten bleiben jedoch personenbezogen und unterfallen weiterhin den Vorgaben der Datenschutz-Grundverordnung.

Besonders relevant ist das für kleine und mittelständische Unternehmen, Onlinehändler, Gesundheitsdienstleister und andere Organisationen mit umfangreichen Kunden, Patienten oder Beschäftigtendaten. Wer operative Datenbestände für Analysezwecke nutzen möchte, sollte die neue Differenzierung nicht nur juristisch, sondern auch technisch und organisatorisch ernst nehmen.

EDSA-Leitlinien zur Anonymisierung: Die rechtlichen Kriterien im Überblick

Nach den Leitlinien ist entscheidend, welche Mittel zur Identifizierung vernünftigerweise zu erwarten sind. Dabei sind insbesondere verfügbare Zusatzinformationen, Kosten, Zeitaufwand, rechtliche Zugangsmöglichkeiten sowie bestehende und absehbare technologische Entwicklungen zu berücksichtigen. Dieser Maßstab ist praxisnah, aber anspruchsvoll. Er verlangt keine rein theoretische Betrachtung, sondern eine realistische Risikobewertung aus Sicht möglicher Empfänger oder Dritter.

Die Leitlinien unterscheiden dabei zwischen einem kontextbezogenen Ansatz und einem vereinfachten Ansatz. Der kontextbezogene Ansatz berücksichtigt die tatsächlichen Fähigkeiten möglicher Empfänger. Es wird also gefragt, auf welche weiteren Daten ein Empfänger realistischerweise zugreifen kann und welche technischen Mittel ihm zur Verfügung stehen. Der vereinfachte Ansatz geht vorsorglich von einem höheren Re-Identifizierungsrisiko aus. Er ist damit strenger und eignet sich vor allem dort, wo Unsicherheiten bestehen oder Daten in breiteren Nutzungskontexten verarbeitet werden.

Für die Beurteilung, ob Daten tatsächlich anonym sind, nennt das Framework drei Prüfmaßstäbe. Erstens darf keine Aufzeichnungsisolation vorliegen. Das bedeutet, einzelne Datensätze dürfen nicht eindeutig einer Person zugeordnet werden können. Zweitens darf keine Verknüpfung möglich sein. Die Daten dürfen also nicht mit anderen verfügbaren Datensätzen so zusammengeführt werden können, dass daraus wieder Informationen über eine bestimmte Person entstehen. Drittens darf keine Schlussfolgerung auf identifizierbare Personen möglich sein. Auch mittelbare Rückschlüsse, etwa über Merkmalskombinationen, sind damit erfasst.

Erst wenn alle drei Kriterien erfüllt sind, können Daten als anonym angesehen werden. Das ist für die Praxis eine wichtige Klarstellung. Viele Unternehmen arbeiten bislang mit Datensätzen, die zwar bereinigt oder aggregiert wirken, bei näherer Betrachtung aber weiterhin Rückschlüsse auf Einzelpersonen zulassen. Gerade in kleineren Datenpopulationen oder in spezialisierten Branchen kann eine Re-Identifizierung schon über wenige Merkmale möglich sein.

Anonymisierung in der Praxis: Risiken für Mittelstand, Onlinehandel und Gesundheitswesen

Die Leitlinien heben ausdrücklich hervor, dass die Risiken einer Re-Identifizierung durch zusätzliche Datenquellen, KI-gestützte Analysen und technologische Entwicklungen kontinuierlich steigen können. Für die Unternehmenspraxis ist das ein zentraler Punkt. Eine Anonymisierung ist keine einmalige Entscheidung mit dauerhaftem Bestandsschutz. Vielmehr muss regelmäßig überprüft werden, ob die zugrunde gelegte Risikobewertung noch trägt.

Im Mittelstand betrifft das beispielsweise Vertriebsanalysen, Auswertungen aus ERP-Systemen, Buchhaltungsdaten, Personalstatistiken oder die Weitergabe von Daten an externe Dienstleister. Bei Onlinehändlern können Bestellhistorien, regionale Zuordnungen, Geräteinformationen oder Verhaltensdaten auch dann kritisch sein, wenn unmittelbare Identifikatoren entfernt wurden. In Pflegeeinrichtungen, Krankenhäusern und anderen Gesundheitseinrichtungen ist das Risiko besonders hoch, weil Gesundheitsdaten schon wegen ihrer Sensibilität und ihrer oft sehr spezifischen Struktur einen Personenbezug nahelegen können.

Unternehmen sollten deshalb nicht nur die Daten selbst betrachten, sondern auch ihr Umfeld. Dazu gehören interne Datenbestände, öffentlich verfügbare Informationen, branchenspezifische Zusatzquellen und die Frage, welche Analysewerkzeuge heute oder in absehbarer Zeit einsetzbar sind. Wenn moderne Auswertungsmethoden aus scheinbar harmlosen Daten wieder personenbezogene Muster ableiten können, ist die Schwelle zur Anonymität nicht erreicht.

Praktisch sinnvoll ist daher eine dokumentierte Prüfung vor jeder geplanten Nutzung anonymisierter Daten. Diese Prüfung sollte den Verwendungszweck, die Empfängerkreise, die verfügbaren Zusatzinformationen und die technische Entwicklung einbeziehen. Ebenso wichtig ist eine regelmäßige Neubewertung bereits anonymisierter Datensätze. Denn was heute ausreichend geschützt erscheint, kann morgen durch neue Datenquellen oder leistungsfähigere KI-Verfahren wieder identifizierbar werden.

DSGVO-konforme Datenstrategie: So sollten Unternehmen jetzt handeln

Die neuen Leitlinien schaffen keinen völlig neuen Rechtsrahmen, sie schärfen aber die Anforderungen an die praktische Umsetzung deutlich nach. Für Unternehmen ist jetzt der richtige Zeitpunkt, bestehende Datenkonzepte zu überprüfen. Wer Daten als anonym behandelt, sollte diese Einordnung belastbar begründen können. Dazu gehört vor allem die saubere Trennung zwischen echter Anonymisierung und Pseudonymisierung, weil hiervon die gesamte datenschutzrechtliche Folgebeurteilung abhängt.

Besonderes Augenmerk sollte auf Datenflüsse in Digitalisierungsprojekten gelegt werden. Das gilt etwa für Business Intelligence, Automatisierung in der Buchhaltung, Plattformmodelle, Benchmarking, Forschungsvorhaben oder KI-gestützte Auswertungen. Je stärker Daten systemübergreifend zusammengeführt werden, desto größer wird regelmäßig das Risiko einer nachträglichen Identifizierbarkeit. Datenschutzrecht und Prozessdesign müssen deshalb von Beginn an zusammen gedacht werden.

Hinzu kommt, dass die Leitlinien bis zum 30.10.2026 zur Konsultation stehen. Unternehmen sollten die weitere Entwicklung daher aufmerksam verfolgen und ihre internen Standards so ausgestalten, dass Anpassungen ohne größere Reibungsverluste möglich bleiben. Wer Anonymisierung professionell in Governance, IT und Fachprozesse integriert, reduziert nicht nur Rechtsrisiken, sondern schafft auch eine tragfähige Grundlage für datengestützte Geschäftsentscheidungen.

Im Ergebnis erhöhen die Leitlinien die Anforderungen an die Prüfung, ob Daten die Schutzsphäre der Datenschutz-Grundverordnung tatsächlich verlassen haben. Gerade kleine und mittelständische Unternehmen profitieren hier von klaren, digital unterstützten Prozessen, die Datenschutz, Dokumentation und Datenverwendung sauber verzahnen. Wir begleiten Mandanten vom kleinen Betrieb bis zum mittelständischen Unternehmen bei der Digitalisierung und der Prozessoptimierung in der Buchhaltung und schaffen dadurch praxistaugliche Strukturen mit spürbaren Kostenersparnissen und verlässlicher Compliance.

Mehr über diese
Gerichtsentscheidung lesen
zur externen Veröffentlichung

Mandant werden?
Senden Sie uns Ihr Anliegen

Unsere bestens geschulten Mitarbeiter sind bei jedem Schritt für Sie da. Wir helfen gerne. Bitte melden Sie sich, wenn künstliche Intelligenz, Cloud-Lösungen, Machine Learning und eine hochaktuelle Software auch Ihr "Business-Leben" einfacher machen sollen.

Wir haben Ihre Anfrage erhalten.
Oops! Something went wrong while submitting the form.