Von A-Z: Diese Leitlinien zur DSGVO sollten Sie kennen

Die Fokusgruppe Datenschutz hat ein neues Whitepaper zum Thema Pseudonomisierung nach der DSGVO veröffentlicht. Das Dokument entstand im Rahmen der Gipfel-Plattform 6 „Sicherheit, Schutz und Vertrauen“. Es soll rechtssichere Leitlinien für Pseudonymisierungslösungen aufzeigen und somit personenbezogene Daten im Zuge der Digitalisierung schützen, ohne Anwendungen wie Big Data zu behindern.

Was bedeutet Pseudonymisierung nach der DSGVO?

Der Begriff Pseudonymisierung bekommt durch die DSGVO eine ganz neue und wichtige Bedeutung. In Art. 25 DSGVO wird diese zum Beispiel als explizites Beispiel für technische und organisatorische Maßnahmen genannt. In Art. 6 wird die Pseudonymisierung speziell als „ausreichende Garantie“ bezeichnet, um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.

Die genaue Begriffsdefinition finden wir in Art. 4 DSGVO: „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Pseudonymisierung als zentrales Anliegen

Da die Pseudonymisierung eine zentrale Rolle der DGSVO spielt, hat sich die Fokusgruppe Datenschutz des Digital-Gipfels der Bundesregierung auf dieses Thema fokussiert. Unter Mitwirkung von interdisziplinär ausgewählten Vertretern aus Wirtschaft, Ministerialverwaltung, Wissenschaft und Aufsicht haben sie ein Whitepaper erstellt, das nicht nur wichtige Abgrenzungen zu anonymen Daten, sondern auch technische Umsetzungsmöglichkeiten einer Pseudonymisierung ebenso wie die Darstellung konkreter Anwendungsszenarien aus den Bereichen Big Data, Direktmarketing sowie der medizinischen Forschung bietet.

Das beinhaltet das Whitepaper

Das Whitepaper, das auf den Seiten der GDD heruntergeladen werden kann, geht genau auf die Rahmenbedingungen der Pseudonymisierung, Verfahren und TOMs, Transparenz und Betroffenenrecht, aber auch auf konkrete Anwendungsszenarien ein. So werden unter anderem auch Beispiele für Pseudonymisierungsverfahren zur Umsetzung der Verfügbarkeitsanforderungen gegeben. Aber auch das seltene Szenario der Offenlegung pseudonymisierter Daten an Dritte wird durch den Leitfaden abgedeckt. Hier geht’s zum Whitepaper.

Key Facts

Betroffenenrechte: Die Zahl der Auskunftsanfragen nach Art. 15 DSGVO stieg seit 2018 um über 400 Prozent.

Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Häufige Fragen

Welche Strafen drohen bei DSGVO-Verstößen?

Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadensersatzforderungen von Betroffenen.

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen. Sie ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt — etwa bei Profiling, Videoüberwachung oder der Verarbeitung besonderer Datenkategorien.

Gilt die DSGVO auch für kleine Unternehmen?

Ja, die DSGVO gilt größenunabhängig für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Kleine Unternehmen profitieren von wenigen Erleichterungen (z.B. kein Verarbeitungsverzeichnis unter 250 Mitarbeitern bei nicht-risikobehafteter Verarbeitung), müssen aber alle Grundprinzipien einhalten.

Verwandte Artikel

• secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
• DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung

Mehr aus dem MBF Media Netzwerk

• Cloud als Enabler der Digitalisierung
• IT-Strategien für die digitale Transformation

Quelle Titelbild: ArtemSam / iStock

Fakt: Cyber-Versicherungsprämien stiegen laut Munich Re 2024 um durchschnittlich 15 Prozent.

Fakt: Die durchschnittlichen Kosten eines Datenverlusts lagen 2025 laut IBM bei 4,88 Millionen Dollar.

Das Wichtigste in Kürze

• 25 DSGVO wird diese zum Beispiel als explizites Beispiel für technische und organisatorische Maßnahmen genannt.
• 6 wird die Pseudonymisierung speziell als „ausreichende Garantie“ bezeichnet, um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprün…
• 4 DSGVO : „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zu…
• Das Dokument entstand im Rahmen der Gipfel-Plattform 6 „Sicherheit, Schutz und Vertrauen“.

Hier schreibt Klaus Hauptfleisch für Sie

Mehr Artikel vom Autor Klaus Hauptfleisch