De-Identified Data

  • Juli 14, 2026

Definition

De-Identified Data bezeichnet Daten, aus denen direkte Identifikationsmerkmale wie Name oder Adresse entfernt wurden, sodass ein direkter Rückschluss auf eine bestimmte Person erschwert, jedoch unter Umständen nicht vollständig ausgeschlossen wird.

Erklärung / Hintergrund

De-Identified Data unterscheidet sich von vollständig anonymisierten Daten dadurch, dass unter bestimmten Umständen, etwa durch Kombination mit weiteren Informationen, ein Rückschluss auf einzelne Personen theoretisch wieder möglich bleibt. Direkte Kennzeichen wie Name, Adresse oder eindeutige Kennnummern werden dabei entfernt oder durch Platzhalter ersetzt.

Für Unternehmen ist De-Identified Data relevant, weil sie die Nutzung von Datensätzen für Analysen, Forschung oder Statistiken ermöglicht, ohne dabei den vollen Schutzstandard vollständig anonymisierter Daten zu erreichen. Datenschutzrechtlich bleiben de-identifizierte Daten daher häufig weiterhin als personenbezogen einzustufen.

Für Architektur- und Ingenieurbüros kann dies relevant werden, wenn Projektdaten oder Nutzerstatistiken, etwa aus Gebäudesensorik oder digitalen Planungswerkzeugen, für interne Auswertungen aufbereitet werden und dabei fälschlicherweise angenommen wird, entsprechende Daten seien bereits vollständig anonym und damit datenschutzrechtlich unproblematisch.

Abzugrenzen ist De-Identified Data von vollständig anonymisierten Daten, bei denen ein Rückschluss auf Personen technisch dauerhaft ausgeschlossen ist, sowie vom allgemeinen Datenschutz, der den rechtlichen Rahmen für den Umgang mit beiden Datenkategorien vorgibt. Data Breach und Datenmissbrauch können auch de-identifizierte Daten betreffen, wenn eine Re-Identifizierung gelingt.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist das Verständnis von De-Identified Data relevant, weil eine vermeintliche Anonymisierung von Projekt- oder Nutzerdaten datenschutzrechtlich häufig nicht ausreicht, um vollständig von den Anforderungen der Datenschutz-Grundverordnung befreit zu sein. Wer De-Identified Data etwa für interne Auswertungen von Gebäudesensorik oder digitalen Planungswerkzeugen nutzt, sollte weiterhin angemessene Schutzmaßnahmen und Zugriffsbeschränkungen einhalten. Für die Cyberversicherung kann relevant sein, dass ein unzureichendes Verständnis dieser Abgrenzung zu unerkannten Datenschutzrisiken führen kann, die sich im Schadenfall nachteilig auswirken. Eine sorgfältige rechtliche Einordnung vor der Nutzung solcher Daten schafft zusätzliche Sicherheit und Rechtssicherheit für Ihr Unternehmen.

Praxisbeispiel

Ein Ingenieurbüro wertet im Rahmen eines Forschungsprojekts anonymisiert wirkende Nutzungsdaten aus intelligenter Gebäudesensorik mehrerer Bürogebäude aus, um Erkenntnisse zur Energieeffizienz zu gewinnen. Bei genauerer rechtlicher Prüfung stellt sich heraus, dass die Daten lediglich de-identifiziert, nicht jedoch vollständig anonymisiert wurden, da durch Kombination mit weiteren, öffentlich verfügbaren Informationen theoretisch ein Rückschluss auf einzelne Nutzerinnen und Nutzer möglich bliebe. Die Geschäftsführung lässt daraufhin zusätzliche technische Schutzmaßnahmen implementieren und passt die interne Datenschutzdokumentation entsprechend an, um die Datennutzung datenschutzkonform fortzuführen, rechtliche Risiken zu minimieren und das laufende Forschungsprojekt ordnungsgemäß und fristgerecht gemeinsam mit allen beteiligten Projektpartnern abzuschließen. Die gewonnenen Erkenntnisse fließen anschließend in künftige Projekte ein.

FAQ

Was bedeutet De-Identified Data?

De-Identified Data bezeichnet Daten, aus denen direkte Identifikationsmerkmale entfernt wurden, wobei ein Rückschluss auf einzelne Personen unter Umständen dennoch möglich bleibt.

Wie unterscheidet sich De-Identified Data von vollständig anonymisierten Daten?

Bei vollständig anonymisierten Daten ist ein Rückschluss auf Personen technisch dauerhaft ausgeschlossen, während dies bei De-Identified Data theoretisch weiterhin möglich bleiben kann.

Gelten für De-Identified Data die Anforderungen der DSGVO?

Häufig ja, da de-identifizierte Daten datenschutzrechtlich meist weiterhin als personenbezogen einzustufen sind und entsprechend geschützt werden müssen.

Warum ist dieses Thema für Architektur- und Ingenieurbüros relevant?

Bei der Auswertung von Projekt- oder Nutzerdaten, etwa aus Gebäudesensorik, wird eine tatsächliche Anonymisierung häufig fälschlicherweise angenommen.

Wie können Unternehmen Risiken im Umgang mit De-Identified Data reduzieren?

Eine sorgfältige rechtliche Einordnung, zusätzliche technische Schutzmaßnahmen und eine klare interne Dokumentation helfen, Datenschutzrisiken angemessen zu begrenzen.

Verwandte Begriffe

Datenschutz – gibt den rechtlichen Rahmen vor, innerhalb dessen De-Identified Data weiterhin eingeordnet werden muss.

Data at rest – kann auch de-identifizierte Datenbestände betreffen, die dauerhaft gespeichert werden.

Data Breach – kann auch de-identifizierte Daten betreffen, wenn eine Re-Identifizierung durch Dritte gelingt.

Data Broker – arbeitet teilweise mit de-identifizierten Datensätzen, die durch Kombination re-identifiziert werden könnten.