Anonymisieren oder pseudonymisieren? Der Unterschied in der Forschung
Im Forschungsalltag werden „anonymisiert" und „pseudonymisiert" oft synonym verwendet — datenschutzrechtlich sind das aber zwei sehr unterschiedliche Konzepte mit ganz unterschiedlichen Konsequenzen für DSGVO-Pflichten, Speicherung und Wiederverwendung. Wer den Unterschied im Ethikantrag oder im Verarbeitungsverzeichnis falsch verwendet, riskiert Rückfragen oder rechtliche Probleme bei der späteren Datenfreigabe. Dieser Beitrag erklärt beide Begriffe und zeigt, wann welche Variante in der qualitativen Forschung sinnvoll ist.
Die DSGVO-Definitionen — kurz
Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO definiert: die Verarbeitung personenbezogener Daten so, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können — sofern diese Zusatzinformationen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden. Anonymisierung definiert die DSGVO nicht ausdrücklich; Erwägungsgrund 26 stellt aber klar, dass anonyme Daten nicht (mehr) personenbezogen sind und damit außerhalb des Anwendungsbereichs der DSGVO liegen — sofern eine Re-Identifizierung mit verhältnismäßigem Aufwand nicht mehr möglich ist.
Vier Unterscheidungs-Merkmale in der Praxis
1. Wiederherstellbarkeit
Pseudonymisierte Daten sind technisch re-identifizierbar — ein „Schlüssel" (Mapping-Tabelle) existiert. Anonymisierte Daten dürfen mit zumutbarem Aufwand nicht mehr re-identifizierbar sein; auch das Forschungsteam selbst darf den Bezug nicht mehr herstellen können.
2. DSGVO-Anwendbarkeit
Pseudonymisierte Daten bleiben personenbezogen — die DSGVO gilt vollständig. Echt anonymisierte Daten fallen aus der DSGVO heraus; es gelten dann nur noch Berufsethik und ggf. Vertraulichkeits-Zusagen aus der Einwilligung.
3. Aufwand und Reversibilität
Pseudonymisierung ist eine Maßnahme nach Art. 32 DSGVO — relativ leicht umsetzbar, jederzeit re-identifizierbar wenn der Schlüssel verfügbar ist. Anonymisierung ist eine harte Einbahnstraße — irreversibel, in qualitativer Forschung mit Sprache oft schwer wirklich erreichbar.
4. Konsequenzen für Wiederverwendung
Pseudonymisierte Forschungsdaten dürfen Sie nur im Rahmen der ursprünglichen Einwilligung wiederverwenden (oder mit erneuter Einwilligung / einer Forschungsklausel wie § 27 BDSG). Anonyme Daten dürfen Sie grundsätzlich beliebig wiederverwenden, archivieren oder offen zugänglich machen.
Warum „echte" Anonymisierung in qualitativer Forschung schwer ist
Eine Pflegekraft erzählt im Interview von einem konkreten Vorfall auf ihrer Station. Selbst wenn Sie alle Namen, Orte und Daten ersetzen — bleibt die Schilderung eindeutig genug, dass eine Person aus dem Team sie der Sprecherin zuordnen kann? Häufig ja. Das ist das Grundproblem: qualitative Daten enthalten oft narrative Identifikatoren, die durch Kontext-Wissen Re-Identifikation ermöglichen. Was als „anonymisiert" gekennzeichnet wird, ist datenschutzrechtlich oft nur pseudonymisiert — mit der Folge, dass die DSGVO weiter greift.
Quasi-Identifikatoren beachten
Berufsbezeichnung + Standort + Lebensphase + besonderer Vorfall = oft schon ausreichend für Re-Identifikation in kleinen Organisationen. Vor Veröffentlichung kritisch prüfen: Würde jemand mit Insider-Wissen die Person erkennen?
Inferenz-Risiken
Mehrere Transkript-Stellen in Kombination können Personen identifizieren, auch wenn jede Stelle isoliert harmlos wirkt. Bei sensitiven Inhalten (Art. 9 DSGVO) ist Vorsicht geboten — etwa bei Krankheitsverlauf, Religion, sexueller Orientierung.
Drei pragmatische Lifecycle-Modi für das PII-Mapping
Verwerfen (discard)
Mapping-Schlüssel wird sofort nach Anonymisierung verworfen; ursprüngliche Felder werden überschrieben. Anschließend ist Re-Identifikation technisch nicht mehr möglich. Geeignet für rein quantitative Auswertung oder kurzfristige Recherche, wenn keine spätere Nachfrage zu erwarten ist.
Behalten (keep)
Mapping-Schlüssel wird verschlüsselt gespeichert (z. B. AES-256), nur die Studienleitung hat Zugriff. Geeignet für Längsschnitt-Studien, Nachbefragungen und Auswertungen, die Pseudonymität rückgängig machen müssen — z. B. um Teilnehmenden ihre eigenen Aussagen zur Validierung vorzulegen.
Automatische Löschung nach Frist
Mapping-Schlüssel wird verschlüsselt gespeichert und nach einer definierten Frist (z. B. 30 Tage, 6 Monate, bis Projektabschluss) automatisch gelöscht. Praktikabler Mittelweg zwischen „discard" und „keep" — und gut argumentierbar im Ethikantrag.
Praktische Empfehlung für qualitative Forschungsprojekte
Im Antrag genau benennen
Schreiben Sie konkret, was Sie tun — „pseudonymisiert nach Art. 4 Nr. 5 DSGVO; Mapping-Schlüssel verschlüsselt am Lehrstuhl, Aufbewahrung bis Projektende plus zwei Jahre, anschließend automatische Löschung". Vermeiden Sie das Wort „anonymisiert", wenn ein Schlüssel erhalten bleibt — datenschutzrechtlich falsch.
In der Publikation klar trennen
Im Methodenteil: „Die Interviews wurden pseudonymisiert; identifizierende Stellen wurden in den zitierten Auszügen zusätzlich anonymisiert" — falls Sie wirklich anonyme Zitate verwenden. Das spiegelt den Zwei-Stufen-Prozess der Praxis wider.
Tool-seitig den Lifecycle abbilden
Transkriptionstools mit Auto-Anonymisierung sollten die drei Modi (discard / keep / Frist) explizit anbieten — und beim Speichern die Wahl protokollieren. Damit lässt sich später nachweisen, welche Lifecycle-Variante für welches Transkript gewählt wurde.
Weiterführend
Quellen & Hinweise
DSGVO Art. 4 Nr. 5 (Definition Pseudonymisierung) · DSGVO Erwägungsgrund 26 (Anonymität) · DSGVO Art. 32 (technische Maßnahmen) · § 27 BDSG (Forschungsklausel) · WP29 Opinion 05/2014 on Anonymisation Techniques (auch heute noch ein verbreiteter Referenzrahmen) · ENISA „Pseudonymisation Techniques and Best Practices" (2019). Dieser Beitrag ist allgemeine Information und ersetzt keine Rechts- oder Datenschutzberatung; bei konkreten Studiendesigns die Datenschutzbeauftragte Ihrer Einrichtung einbeziehen.
Transkribr für qualitative Forschung
Auto-Anonymisierung mit drei Lifecycle-Modi (verwerfen / behalten / nach Frist löschen). Mapping-Schlüssel pro Nutzerkonto verschlüsselt (AES-256-GCM, HKDF-abgeleitet). Verarbeitung in Deutschland, sofortige Audio-Löschung. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern; Forschungsdaten verlassen Deutschland nicht). 15 Minuten kostenlos testen.
Kostenlos testen