IT-Recht & Datenschutz

Neue EDSA-Leitlinien zur Anonymisierung – Was Unternehmen jetzt wissen müssen

Veröffentlicht am 15th Juli 2026

Die Leitlinien schaffen mehr Rechtssicherheit und neue Handlungsspielräume – legen aber teils zu strenge Maßstäbe an.

Abstract timelapse of Tokyo at night

Die Frage, wann Daten als anonym gelten und damit nicht mehr dem Datenschutzrecht unterliegen, ist eine der praktisch bedeutsamsten – und in vielen Einzelheiten noch immer ungeklärten – Fragen im Zusammenhang mit datengetriebenen Geschäftsmodellen. Der Europäische Datenschutzausschuss („EDSA") hat nun seine seit Langem erwarteten Leitlinien 02/2026 zur Anonymisierung in einer Version 1.0 zur Konsultation veröffentlicht und damit die Erwartungen an die Anonymisierungspraxis konkretisiert.

Die Leitlinien aktualisieren die Stellungnahme 05/2014 der Art. 29-Datenschutzgruppe, tragen der jüngeren EuGH-Rechtsprechung Rechnung und adressieren erstmals explizit neuere Entwicklungen wie EU-Datenräume, KI-Systeme und synthetische Daten. Für Unternehmen ist die aktuelle Veröffentlichung in der Gesamtschau zu begrüßen, da sie zur Rechtssicherheit beiträgt und konkrete neue Handlungsspielräume eröffnet:

  • Klarere Planungsgrundlage: Die Leitlinien geben Unternehmen ein handhabbares Instrument an die Hand, um Entscheidungen im Kontext der Anonymisierung fundiert zu treffen, zu dokumentieren und gegenüber Behörden zu verteidigen.
  • Datenmonetarisierung und Datenweitergabe: Unternehmen können Datensätze in bestimmten Konstellationen teilen oder kommerziell verwerten, wenn die Anonymität aus der Perspektive der Empfänger gewährleistet ist. Die Leitlinien liefern insofern auch Argumentationsansätze.

Teilweise legt der EDSA unseres Erachtens dabei aber einen zu strengen Maßstab an und geht damit über die vom EuGH bislang zum Personenbezug von Daten ergangene Rechtsprechung hinaus. Es bleibt daher zu hoffen, dass diese zu strengen Maßstäbe im Rahmen des nun beginnenden Konsultationsprozesses noch durch pragmatischere Auffassungen ersetzt werden.

Relative Anonymität und Perspektivenfestlegung

Nach Auffassung des EDSA ist Anonymität kein absoluter Zustand, sondern perspektivenabhängig: Dieselbe Information kann für ein Unternehmen anonym, für ein anderes personenbezogen sein. Dieses Konzept steht im Einklang mit der EuGH-Rechtsprechung, insbesondere in Sachen SRB und Scania (sowie bereits Breyer). Dabei geht der EDSA in seinen Leitlinien zunächst auf eine Vorfrage ein, die beantwortet werden müsse, bevor die „eigentliche“ Prüfung der rechtlichen Anforderungen an eine Anonymisierung durchgeführt werden kann.

Vorfrage – Perspektivenfestlegung: Bevor inhaltlich geprüft wird, ob Daten anonym sind, sei festzulegen, aus wessen Perspektive dies zu beurteilen ist. Dies hänge von den Umständen der Verarbeitung im Einzelfall ab. Nach Auffassung des EDSA gilt Folgendes:

  • Interne Nutzung der anonymisierten Daten: Die eigene Perspektive des verarbeitenden Unternehmens ist maßgeblich.
  • Weitergabe oder Veröffentlichung der anonymisierten Daten: Es kommt auf die Gesamtkonstellation des konkreten Transfers an; sowohl die Perspektive des Versenders als auch die des Empfängers können relevant sein. Hier referenzieren die Leitlinien die EuGH-Rechtsprechung in Sachen SRB und Scania.
  • Auftragsverarbeitung: Da Auftragsverarbeiter Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeiten, ist für sie grundsätzlich die Perspektive des Verantwortlichen maßgeblich. Sind die Daten für den Verantwortlichen personenbezogen, sind sie es auch für den Auftragsverarbeiter. Den umgekehrten Fall – der Auftragsverarbeiter könnte aus eigener Perspektive identifizieren, der Verantwortliche jedoch nicht – behandeln die Leitlinien nicht.

Prüfung der rechtlichen Anforderungen an die Anonymisierung: Steht die maßgebliche Perspektive fest, stellen sich zwei inhaltliche Kernfragen. Kann auch nur eine davon mit „Nein" beantwortet werden, seien die Daten als anonym zu betrachten:

  • Kernfrage 1: Bezieht sich die Information auf eine natürliche Person?
  • Kernfrage 2: Ist diese Person identifiziert oder identifizierbar?

Wie diese beiden Fragen im Detail zu beurteilen sind und welche technischen Kriterien der EDSA hierfür vorgibt, erläutern wir in den folgenden Abschnitten.

Chancen für Unternehmen: Das Konzept der relativen Anonymität ist nicht nur ein rechtlicher Prüfrahmen, sondern bietet auch einen gewissen Gestaltungsspielraum. Unternehmen können Datenweitergaben und Datenräume gezielt so strukturieren, dass Daten aus der Perspektive der Empfänger anonym sind. Ein durchdachtes Empfänger-Design – etwa durch gezielte Zugangsbeschränkungen, technische Schutzmaßnahmen und vertragliche Vorgaben – kann den Personenbezug für Empfänger wirksam ausschließen und damit die DSGVO-Compliance auf Empfängerseite erheblich vereinfachen. Der Teufel liegt hier aber im Detail, insbesondere bezüglich der Frage, wann ein Unternehmen ggf. Informationen des anderen Unternehmens z.B. im Kontext von Haftungsprozessen erhalten könnte.

Kernfrage 1: Bezieht sich die Information auf eine natürliche Person?

Anonyme Daten dürfen sich nicht (mehr) auf eine natürliche Person beziehen. Sie dürfen also weder anhand ihres Inhalts noch anhand ihres Zwecks oder ihrer Wirkung mit einer natürlichen Person verknüpft sein. Dies ist für jedes Merkmal gesondert zu bestimmen:

  • Inhalt: Eine Information ist aufgrund ihres Inhalts personenbezogen, wenn sie Merkmale oder Verhaltensweisen einer natürlichen Person beschreibt (z.B. Gesundheitsdaten, Beschäftigungsdaten).
  • Zweck: Eine Information ist aufgrund ihres Zwecks personenbezogen, wenn sie zur Beurteilung oder Beeinflussung einer Person verwendet wird. Das gilt auch dann, wenn sie primär einen anderen Bezugspunkt hat, z.B. weil sie ein Objekt betrifft (z.B. Fahrzeugdiagnosedaten zur Beurteilung des Fahrverhaltens).
  • Wirkung: Eine Information ist aufgrund ihrer Wirkung personenbezogen, wenn sich die Verarbeitung auf Rechte und Interessen einer bestimmten Person auswirken kann (z.B. Standortdaten von Fahrzeugen, die ein Fahrermonitoring ermöglichen, Maschinenlaufzeitdaten in einer Produktionshalle, die zur Optimierung der Produktionsplanung erhoben werden, aber Rückschlüsse auf die Arbeitsleistung oder Pausenzeiten des jeweiligen Maschinenbedieners ermöglichen).

Auch aggregierte Daten können sich nach Auffassung des EDSA unter bestimmten Voraussetzungen auf eine natürliche Person beziehen. Erforderlich ist insoweit nur, dass sich Informationen zu einzelnen Personen aus dem aggregierten Datensatz extrahieren lassen.

Diese weite Auslegung hat erhebliche praktische Konsequenzen und ist unseres Erachtens überzogen: Zu viele Daten, die prima facie sachbezogen sind, wären nach dieser Lesart als personenbezogen einzustufen (insbesondere, wenn ihre Verarbeitung indirekte Auswirkungen auf Personen haben könnte). Der Anwendungsbereich des Datenschutzrechts wäre vielfach auch dann eröffnet, wenn keine realistischen Gefahren für die Rechte und Interessen betroffenen Personen bestehen. Ob der EuGH diesen weiten Ansatz uneingeschränkt teilt, bleibt abzuwarten. Zutreffend scheint dabei vielmehr zu sein, dass lediglich dann von einem Personenbezug solcher Sachdaten auszugehen ist, wenn sie im konkreten Zusammenhang mit bzw. mit einem konkreten Bezug zu einer natürlichen Person verarbeitet werden (vgl. auch nachfolgend unter Abschnitt III.).

Kernfrage 2: Ist die natürliche Person identifiziert oder identifizierbar?

Nur wenn eine Information überhaupt einen Personenbezug aufweist, stellt sich die Folgefrage, ob anhand dieser Information auch eine konkrete Person identifiziert oder zumindest identifizierbar ist. Nach Auffassung des EDSA erfordert Anonymität dabei nicht, dass die Identifikationswahrscheinlichkeit bei null liegt; sie muss lediglich als vernachlässigbar eingestuft werden können. Ob dies der Fall ist, hängt von sämtlichen Umständen des Einzelfalls ab. Zwar nennt der EDSA hierfür keinen ausdrücklichen Maßstab, nach unserem Verständnis setzt er im Ergebnis jedoch ein qualitatives und ein quantitatives Element voraus; nur wenn beide Elemente erfüllt sind, ist eine Person identifizierbar.

Qualitativ gilt eine Person als identifizierbar, wenn sie entweder über direkte Identifikatoren wie Name, IP-Adresse oder Kennnummer oder über Merkmalskombinationen bestimmt werden kann, die in ihrer Gesamtheit einzigartig sind. Es ist also nicht notwendig, dass jedes einzelne Merkmal für sich genommen zur Identifikation ausreicht. 

Maßgeblich ist nach Auffassung des EDSA ein „Singling-out“-Ansatz: Es genügt, eine Person aus einer Gruppe herauszufiltern und sie anders zu behandeln, auch ohne dass ein Name oder ein klassischer Identifikator bekannt ist. Dieses Verständnis verdient eine kritische Einordnung. Der EDSA illustriert es insbesondere am Beispiel von Cookie-IDs: Bereits die Möglichkeit, eine bestimmte Browser-Instanz über Zeit und über verschiedene Websites hinweg zu verfolgen und ihr Verhalten zu aggregieren, soll einen Personenbezug begründen. Der EDSA scheint es daher nicht für erforderlich zu halten, dass die Daten tatsächlich mit einer konkret bestimmbaren (etwa namentlich bekannten) Person verknüpft werden können. Dieser Maßstab ist aus unserer Sicht unvereinbar mit Art. 4 Nr. 1 DSGVO und der bisherigen EuGH-Rechtsprechung, da eine solche Sichtweise lediglich zu einer Individualisierbarkeit, nicht jedoch zu einer Identifizierbarkeit führt.

Quantitativ setzt Identifizierbarkeit voraus, dass der Einsatz der zur Identifikation erforderlichen Mittel in der Realität auch mit hinreichender Wahrscheinlichkeit zu erwarten ist. Dies ist in der Praxis in zwei Schritten zu prüfen:

Zunächst ist zu klären, welche Mittel theoretisch überhaupt geeignet wären, eine Identifikation herbeizuführen, also welche (Zusatz-)Informationen, Techniken oder Merkmalskombinationen einen bestimmten Datensatz einer natürlichen Person zuordnen könnten. 

Sodann ist zu beurteilen, ob diese Mittel den konkret in Betracht kommenden Stellen realistischerweise zur Verfügung stehen, unter Berücksichtigung aller tatsächlichen Umstände wie Kosten, Aufwand, rechtliche Möglichkeiten und technische Kapazitäten. Nur wenn solche Mittel für die relevanten Akteure praktisch einsetzbar sind und zugleich das qualitative Element vorliegt, gilt die natürliche Person im Sinne von Art. 4 Nr. 1 DSGVO als identifizierbar.

Der Begriff der „Mittel“ ist nach Auffassung des EDSA dabei weit zu verstehen. Umfasst sind die Fähigkeiten, Möglichkeiten und Kenntnisse der datenverarbeitenden Stelle selbst sowie derjenigen, die Zugriff auf die Daten erhalten. Sind zur Identifikation Mittel verschiedener Stellen erforderlich, ist die Wahrscheinlichkeit zu bewerten, mit der diese gesamte „Mittelkette“ („chains of means“) tatsächlich zusammenkommt. Dabei sind gesetzliche Zugriffsrechte nach Auffassung des EDSA stets als realistisch nutzbare Mittel zu berücksichtigen. Vertragliche Verbote sind demgegenüber nicht mit gesetzlichen Verboten gleichzusetzen; sie schließen die Nutzung bestimmter Mittel nicht automatisch aus, können aber ergänzend wirken, sofern sie zuverlässig, nachprüfbar und durchsetzbar sind. 

Chancen für Unternehmen: Kernfrage 2 bietet erhebliche Gestaltungspotenziale. Da es für die Frage der Identifizierbarkeit nach Auffassung des EDSA auf eine vernachlässigbare Wahrscheinlichkeit ankommt, können Unternehmen durch gezielte technische und organisatorische Maßnahmen – etwa Zugangsbeschränkungen, Zwischenschalten Dritter, Aggregation, Rauschen oder strenge Zugriffskontrollen – die (Re-)Identifikationswahrscheinlichkeit auf ein vernachlässigbares Niveau senken. Entscheidend ist dann aus unserer Sicht aber eine sorgfältige Dokumentation, warum das verbleibende Restrisiko unter den konkreten Umständen als vernachlässigbar anzusehen ist. Es ist eine große Schwäche der Leitlinien, dass der EDSA hier keine konkreten Maßstäbe definiert und auch nicht hinreichend konkrete Beispiele liefert.

Verfahren zur Prüfung der Anonymität von Daten

Um Unternehmen eine Hilfestellung an die Hand zu geben, hat der EDSA diese rechtlichen Erwägungen sodann in ein Testschema überführt, mit dessen Hilfe Unternehmen prüfen können, ob Daten als anonym qualifiziert werden können.

Dafür sieht der EDSA zwei Ansätze vor: Der kontextbezogene Ansatz berücksichtigt die unterschiedlichen Fähigkeiten der relevanten Stellen und bilde den rechtlichen Maßstab präzise ab, ist aber aufwendiger. 

Der alternative vereinfachte Ansatz klammert diese Unterschiede aus, kann aber dazu führen, dass tatsächlich anonyme Daten vorsichtshalber als personenbezogen behandelt werden. In der Praxis könne nach Auffassung des EDSA eine Kombination beider Ansätze sinnvoll sein, etwa indem zunächst der vereinfachte Ansatz angewendet und anschließend auf den kontextbezogenen Ansatz gewechselt wird, um festgestellte (Re-)Identifikationsmethoden auf ihre realistische Einsetzbarkeit hin zu überprüfen.

Die drei Kriterien lauten nach Auffassung des EDSA:

KriteriumInhalt
No Record IsolationNach Auffassung des EDSA dürften die Daten keine einzigartige Merkmalskombination enthalten, die auf eine einzelne Person hinweise. Je mehr Attribute ein Datensatz enthalte, desto höher sei die Gefahr einzigartiger Einträge.
No LinkageDer Datensatz dürfe nach Auffassung des EDSA keinen Eintrag enthalten, der mit einem Eintrag aus einem anderen Datensatz verknüpft werden könne, der mit hoher Wahrscheinlichkeit dieselbe Person betreffe.
No InferenceAus den Daten dürften nach Auffassung des EDSA keine spezifischen und bedeutsamen Schlussfolgerungen über einzelne Personen gezogen werden können. Spezifisch sei eine Schlussfolgerung, wenn sie sich auf eine identifizierte oder identifizierbare Person beziehe; bedeutsam, wenn ihre Verarbeitung die Rechte und Interessen der betroffenen Person beeinflussen könne und sie nicht aus allgemeinem Wissen gewinnbar wäre. Besondere Relevanz hat dieses Merkmal für die Nutzung von KI-Modellen, mit deren Hilfe personenbezogene Daten durch gezieltes Prompting generiert werden können. 

Sind alle drei Kriterien erfüllt, können die Daten als anonym gelten. Ist eines dieser Kriterien nicht erfüllt, bedeutet dies nach Auffassung des EDSA jedoch nicht zwingend, dass die Daten personenbezogen sind. Es müsse vielmehr eine weitergehende Analyse folgen, in der zu prüfen ist, ob die betroffenen Personen im Ergebnis tatsächlich identifizierbar sind.

Anonymisierung als Verarbeitung personenbezogener Daten

Werden personenbezogene Daten anonymisiert, stellt dieser Vorgang nach Auffassung des EDSA eine Datenverarbeitung dar, die einer Rechtsgrundlage nach Art. 6 DSGVO bedarf. Bei besonderen Datenkategorien müsse zudem ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegen. Bedauerlich ist, dass der EDSA dabei die Gelegenheit ungenutzt lässt, sich näher mit den Voraussetzungen des Art. 9 Abs. 2 DSGVO auseinanderzusetzen. Er beschränkt sich vielmehr auf die Aussage, dass Anonymisierungen auf dieselbe Ausnahme nach Art. 9 Abs. 2 DSGVO gestützt werden können, wenn die Anonymisierung zu demselben Zweck erfolgt wie die ursprüngliche Datenverarbeitung.

Die Praxis ist aber deutlich vielfältiger: Oftmals erfolgen Anonymisierungen auch nicht zu demselben Zweck wie die ursprüngliche Datenverarbeitung und häufig geht es eigentlich gerade um den Schutz dieser besonderen Kategorien personenbezogener Daten. Daneben verbleibt offen, ob der Zweck, zu dem die anonymisierten Daten anschließend verarbeitet werden sollen, überhaupt von Relevanz ist. So handelt es sich dann gerade mangels Personenbezug um keine Informationen mehr, auf welche die DSGVO überhaupt Anwendung finden würde. Gerade aus praktischer Sicht wäre es wünschenswert gewesen, wenn der EDSA hier pragmatische Vorgehensweisen aufgezeigt hätte, wie Unternehmen diese „Hürde“ auch ohne die Einwilligung der betroffenen Person überspringen können (z.B. durch eine teleologische Auslegung der Norm etc.).

Im Übrigen könne die Anonymisierung zudem eine Zweckänderung darstellen, sodass auch die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllt sein müssen. Jedenfalls sei der Anonymisierungsvorgang einschließlich der durchgeführten Tests vollständig zu dokumentieren und dauerhaft aufzubewahren.

Handlungsempfehlungen

Die vorstehende Analyse zeigt: Der EDSA gibt mit seinen Leitlinien einen strukturierten Rahmen vor, vertritt aber teilweise auch zu restriktive Positionen, die über die seitens des EuGH aufgestellten Anforderungen an den Personenbezug von Daten hinausgehen. Für Unternehmen, deren Geschäftsmodell hiervon stark betroffen ist, empfehlen wir eine Teilnahme am nun folgenden Konsultationsprozess.

Die Leitlinien bieten für Unternehmen aber auch Chancen, ihre Verarbeitungspraxis so auszugestalten, dass sie nur noch mit anonymen Daten umgehen oder nur solche Daten an Dritte übermitteln. Hieraus ergeben sich vielfältige Möglichkeiten, Daten noch besser nutzbar zu machen.

Möchten Unternehmen personenbezogene Daten rechtssicher anonymisieren und anschließend monetarisieren, empfiehlt es sich stets, ein robustes Anonymisierungskonzept zu erstellen. Bestandteile eines solchen Konzepts können z.B. sein:

  1. Empfänger- und Perspektivenmatrix erstellen:  Es sollte dokumentiert werden, welche Stellen Daten empfangen, für welche dieser Stellen die Daten anonym sein sollen oder können und welche Perspektiven daher relevant sind. Bei Datenweitergaben sind stets sowohl die Übermittler- als auch die Empfängerperspektive zu berücksichtigen.
  1. Übermittlungsrisiken erfassen:  Für jede relevante Stelle ist die realistische Verfügbarkeit von Identifikationsmitteln zu beurteilen. In der Praxis bietet es sich regelmäßig an, nach Gruppen von Datenempfängern zu clustern (z.B. interne Stellen, Dienstleister, Geschäftspartner).
  1. Anonymisierungsverfahren und -prüfung dokumentieren:  Es ist zu dokumentieren, welche technischen und organisatorischen Verfahren zur Anonymisierung eingesetzt wurden. Zudem sollte die rechtliche Bewertung – z.B. anhand des oben dargestellten Anonymisierungstests – durchgeführt und nachvollziehbar festgehalten werden. Dies gilt entsprechend für vertragliche Abreden zwischen den Beteiligten.
  1. Periodische Neubewertung verankern: Da die Re-Identifikationswahrscheinlichkeit mit technologischen Entwicklungen typischerweise steigt, sollten die Anonymitätsbewertungen regelmäßig – insbesondere bei technologischen Entwicklungen oder Sicherheitsvorfällen – überprüft werden.

Für Rückfragen und Unterstützung bei der Implementierung eines praxistauglichen Anonymisierungskonzepts stehen wir Ihnen jederzeit gerne zur Verfügung.

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.