Was unterscheidet Anonymisierung von Pseudonymisierung?

Pseudonymisierung ersetzt deinen Namen durch eine ID; mit einem Schlüssel lässt sich der Bezug wiederherstellen. Anonymisierung ist irreversibel — deine Identität kann nicht mehr ermittelt werden, auch nicht mit Zusatzinformationen. Pseudonymisierte Daten unterstehen weiterhin dem DSG, anonymisierte nicht.

Was ist k-Anonymität?

K-Anonymität bedeutet, dass jeder Datensatz von mindestens k weiteren identischen Datensätzen ununterscheidbar ist. Bei k=10 sind also mindestens 10 Personen mit den gleichen Quasi-Identifikatoren verbunden — eine Einzelperson kann nicht mehr eindeutig herausgefiltert werden.

Warum reichen drei Datenpunkte oft zur Re-Identifikation?

Studien zeigen: Postleitzahl, Geburtsdatum und Geschlecht reichen aus, um in Industrienationen 80 % bis 87 % der Bevölkerung eindeutig zu identifizieren. Selbst wenn der Name fehlt, sind diese 'Quasi-Identifikatoren' kombinatorisch oft eindeutig — weshalb echte Anonymisierung mehr braucht als nur das Löschen von Namen.

Wenn eine Plattform sagt 'wir geben anonymisierte Daten an Dritte' — ist das sicher?

Nicht automatisch. Frag nach: Welche Methodik? K-Anonymität mit welchem k? Aggregation auf welcher Ebene? Wenn die Antwort vage bleibt, ist es höchstwahrscheinlich nur Pseudonymisierung — und du hast weiterhin DSG-Rechte.

Sind anonymisierte Daten datenschutzrechtlich sicher?

Echt anonymisierte Daten unterliegen dem DSG nicht mehr (sie sind keine Personendaten). ABER: Re-Identifikation kann durch Verknüpfung mit anderen Datensätzen wieder möglich werden. Deshalb empfiehlt der EDÖB Differential-Privacy-Ansätze und regelmässige Re-Identifikations-Tests.

Anonymisiertes Profil: was es wirklich bedeutet

Eine Plattform sagt: «Wir geben nur anonymisierte Daten an Werbekunden weiter.» Klingt beruhigend. Aber was steckt wirklich hinter dem Wort «anonymisiert»? Und wann ist es nur ein Marketing-Etikett auf etwas, das eigentlich nicht anonym ist? Dieser Artikel macht den Unterschied klar — und gibt dir die Werkzeuge, um nachzufragen.

Hinweis Dieser Artikel ist eine Orientierungshilfe und ersetzt keine Rechtsberatung. Bei konkreten Datenschutz-Konflikten: EDÖB oder Schweizer Datenschutzanwalt. Stand: April 2026.

Inhalt

Anonymisierung vs. Pseudonymisierung
K-Anonymität und l-Diversität einfach erklärt
Re-Identifikations-Risiko: warum 3 Datenpunkte reichen
Praxis-Beispiele aus dem Schweizer Markt
Was du eine Plattform fragen solltest
Wie wir das bei Videte handhaben

1. Anonymisierung vs. Pseudonymisierung — der zentrale Unterschied

Direkte Antwort: Pseudonymisierung verbirgt deine Identität nur oberflächlich — sie lässt sich mit Zusatzwissen wiederherstellen. Anonymisierung ist der saubere Schnitt: deine Identität ist nicht mehr ermittelbar, auch mit Aufwand.

Pseudonymisierung Reversibel

Was passiert: Name → ID (z. B. user_4f3a9e7c)

Schlüssel: ja, getrennt aufbewahrt

Bezug herstellbar: ja, mit Zugriff auf den Schlüssel

DSG-Schutz: ja, weil immer noch Personendaten

Beispiel: «Anwender 4f3a9e7c hat heute 12 Werbungen angesehen.»

Anonymisierung Irreversibel

Was passiert: Aggregation, k-Anonymität, statistische Verzerrung

Schlüssel: nein, gelöscht oder nie existiert

Bezug herstellbar: nein, auch nicht mit Aufwand

DSG-Schutz: nein — keine Personendaten mehr

Beispiel: «743 User aus Zürich, 25-34 Jahre, haben dieses Werbevideo gesehen.»

Praktisch wichtig: Wenn die Plattform sagt, deine Daten seien «anonymisiert», aber sie kann auf Anfrage trotzdem deine Werbeansichten zeigen, war es nur Pseudonymisierung. Echt anonymisierte Daten lassen sich nicht zurückverfolgen — auch nicht von der Plattform selbst.

Quelle: DSG Art. 5 (Begriffe), EDÖB-Hinweise zur Anonymisierung.

2. K-Anonymität und l-Diversität — die wichtigsten Konzepte

Direkte Antwort: K-Anonymität bedeutet, dass jeder Datensatz von mindestens (k-1) anderen Datensätzen ununterscheidbar ist. Du bist also Teil einer Gruppe, in der mehrere Personen identische sichtbare Merkmale haben.

K-Anonymität in der Praxis

Stell dir eine Tabelle vor mit den Spalten Geschlecht, Alter, Postleitzahl, Werbe-Klick-Profil. Bei k=10 musst du mindestens 10 Personen finden, die in den ersten drei Spalten exakt übereinstimmen. So kann ein Aussenstehender nicht entscheiden, welche Klick-Daten zu welcher Person gehören.

Konkrete Werte:

k=2: nur 2 Personen pro Gruppe — in der Praxis fast nie sicher
k=10: gängiger Mindeststandard
k=50: robust für öffentlich freigegebene Statistiken
k=100+: wenn auch sensible Attribute beteiligt sind

L-Diversität als Ergänzung

K-Anonymität allein genügt nicht, wenn alle 10 Personen einer Gruppe das gleiche sensible Attribut haben (z. B. alle haben dieselbe Krankheit). Dann kann man auf das Attribut schliessen ohne die Person identifizieren zu müssen. L-Diversität verlangt, dass jede k-Gruppe mindestens l verschiedene sensible Werte enthält.

Differential Privacy — der mathematische Ansatz

Differential Privacy ist die strengste Methode. Sie fügt statistische Verzerrung zu Auswertungen hinzu, sodass das Ergebnis sich praktisch nicht ändert, ob deine Daten dabei sind oder nicht. Apple, Google und das US Census Bureau nutzen diesen Ansatz für öffentliche Statistiken.

3. Re-Identifikations-Risiko — warum drei Datenpunkte oft reichen

Direkte Antwort: Forschung von Latanya Sweeney (Harvard) und später de Montjoye (Imperial College) hat wiederholt gezeigt: 80 % bis 87 % einer Bevölkerung sind durch nur drei Quasi-Identifikatoren eindeutig zu identifizieren — Postleitzahl, Geburtsdatum, Geschlecht.

Für dich heisst das: Wenn eine Plattform sagt «wir geben nur deine PLZ, dein Alter und dein Geschlecht weiter, ohne Namen» — dann sind das technisch betrachtet weiterhin Personendaten. Die Re-Identifikation ist mit einer zweiten Datenquelle (Telefonbuch, Wahlregister, Social Media) oft trivial.

Schweizer Kontext

Die Schweiz hat 2'132 Gemeinden und gut 8.9 Mio. Einwohner. Eine Person mit Wohnsitz im Kanton Glarus, Geburtsjahr 1957, weiblich, ist bereits oft eindeutig oder fast eindeutig — weil die Bevölkerung in jeder Sub-Kategorie klein ist. Für ein robustes «anonymisiertes» Profil im Schweizer Markt brauchst du PLZ-Aggregation auf Kanton-Ebene oder gröbere Altersbinnen.

Faustregel: Je seltener das Merkmal in der Gesamtpopulation, desto schneller wirst du re-identifizierbar. Eine 90-Jährige im Kanton Uri ist mit zwei Datenpunkten oft schon eindeutig.

4. Praxis-Beispiele aus dem Schweizer Markt

Beispiel 1: Werbe-Plattform sagt «wir teilen anonymisierte Demografie»

Plattform meldet ihrem Werbekunden: «5'342 User der Werbe-Kategorie 'Outdoor-Fans' im Kanton Zürich, durchschnittliches Alter 34, überwiegend Frauen (62 %).» Das ist sauber aggregiert — k ist hoch, kein Einzelnachvollzug möglich.

Beispiel 2: Plattform sagt «anonymisiert», gibt aber Detail-Profil weiter

Plattform meldet: «User-ID 8273, 34, weiblich, Zürich Wiedikon, Outdoor-Fan, hat heute Werbungen X, Y, Z gesehen.» Trotz fehlendem Namen ist das mit hoher Wahrscheinlichkeit re-identifizierbar — es ist Pseudonymisierung mit dem Etikett «anonym».

Beispiel 3: Echte Anonymisierung mit Differential Privacy

Plattform meldet: «Im Zeitfenster A wurden Werbung X von ungefähr 743 (±15) Personen gesehen, mit Verteilung Y.» Die statistische Unschärfe macht es selbst dann anonym, wenn ein Werbekunde versucht, andere Datenquellen abzugleichen.

5. Was du eine Plattform fragen solltest

Wenn dir eine Plattform «anonymisierte Datenweitergabe» verspricht, hast du Anrecht auf konkrete Antworten (z. B. via Auskunftsbegehren). Diese Fragen sind ein guter Startpunkt:

Welche Methodik wird verwendet? (k-Anonymität, Differential Privacy, einfache Aggregation)
Bei k-Anonymität: welcher k-Wert? (sollte mindestens 10, besser 50+ sein)
Welche Quasi-Identifikatoren werden geschwacht oder entfernt? (PLZ wie genau, Geburtsdatum wie genau)
Wer prüft die Anonymisierung? (intern, extern, EDÖB-Audit)
Gibt es einen Re-Identifikations-Test? (z. B. mit öffentlichen Datensätzen)
Wer kann den Schlüssel rekonstruieren? (bei echter Anonymisierung: niemand)

Eine Plattform, die diese Fragen klar und konkret beantwortet, hat ein durchdachtes Datenkonzept. Eine, die ausweicht oder nur die Datenschutzerklärung wiederholt, hat es höchstwahrscheinlich nicht.

6. Wie wir das bei Videte handhaben

Wir betreiben mit Videte eine Schweizer Werbe-Plattform mit Sitz Bern, bei der Nutzer fürs Anschauen von Werbung in CHF entlöhnt werden. Hier konkret unser Anonymisierungs-Ansatz:

Was Werbekunden bei Videte sehen Aggregiert

Reichweite: «X User haben deine Werbung gesehen» — Gruppen ab 50 Usern

Demografie: Sprachregion (DE/FR/IT) + Altersgruppe (5er-Schritte) + Geschlecht

Zeit: Tag/Stunde aggregiert, keine Einzel-Timestamps

Niemals: User-ID, IP, Pseudonym, individuelles Klick-Profil

Du als User siehst dein eigenes Profil im Dashboard und kannst es jederzeit per Auskunftsbegehren als JSON-Export erhalten. Was wir an Werbekunden geben, ist immer aggregiert und lässt keinen Rückschluss auf Einzelpersonen zu.

Das ist nicht Werbung — das ist Pflicht. Und es ist der Test, an dem du jede Plattform messen solltest, der du deine Daten anvertraust.

Was bedeutet «anonymisiertes Profil» wirklich?