Anonymisierung und Pseudonymisierung sind Maßnahmen der Datenvermeidung und der Datensparsamkeit im Sinne des Art. 5 Abs. 1 lit. a), c), f) DSGVO. Personenbezogene Daten zu anonymisieren und pseudonymisieren, ist notwendig sofern dies nach dem Verwendungszweck der Daten möglich ist und keinen im Verhältnis zum angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Pseudonymisiert (Begriffsbestimmung: Art. 4 Nr. 5 DSGVO) sind Daten dann, wenn sie die natürliche Person, zu welcher sie einen Bezug aufweisen, nicht mehr erkennen lassen. Pseudonymisierte Daten sind jedoch, meist durch das gezielte Zusammenführen mehrerer Datensätze wieder repersonifizierbar. Deshalb gilt insbesondere dafür Sorge zu tragen, dass es zu keiner unbefugten Repersonifizierung kommt, z. B. durch Einrichtung differenzierter Zugriffsberechtigungen, die das Zusammenwirken mehrerer Beteiligter erfordern, um eine Repersonifizierung erreichen zu können (Vier-Augen-Prinzip).
Beispiele für die Pseudonymisierung sind die Nutzung von Nicknames, Kunden- oder Personalnummern, etc..
Anonymisiert sind Daten dann, wenn keinerlei Zuordnung zu einer natürlichen Person mehr möglich ist. Sind personenbezogene Daten anonymisiert, unterliegen sie aus diesem Grunde nicht mehr dem Datenschutz. Wichtig ist, dass eine Repersonifizierung unter allen Umständen ausgeschlossen werden kann. Anonymisiertes Datenmaterial kommt meist für statistische Zwecke zur Anwendung.