Aggregierte Daten sind solche, bei denen zum Beispiel Daten verschiedener Personen zusammengeführt wurden, und somit eine "Datengruppe" entstanden ist. Dies führt jedoch nicht zwingend schon zu einer Anonymisierung.

Es kann zwar passieren, dass durch eine Aggregation tatsächlich ein Personenbezug nicht mehr herstellbar ist, sodass die Daten dann zeitgleich auch anonymisiert sind und daher nicht mehr unter den Schutz des datenschutzrechtlichen Regelungen fallen.

Dies ist jedoch nicht zwangsläufig bei jeder Aggregation der Fall. Hier bleibt es eine Frage des Einzelfalls, ob die Aggregation zu einer Anonymisierung führt, oder weiterhin pseudonymisierte/personenbezogene Daten vorliegen.

Anonyme bzw. Anonymisierte Daten fallen nicht unter die Regelungen der DSGVO.

Anders, als es das Wort vermuten lässt, liegt eine Anonymität nicht bereits dann vor, wenn keine Namen erhoben oder Namen nachträglich gelöscht werden. Vielmehr soll nach der ideellen Vorstellung des Gesetzgebers bei anonymisierten Daten keinerlei Personenbezug der Daten vorhanden sein. Das wäre bei der bloßen Löschung des Namens der betroffenen Person nicht unbedingt der Fall, wenn sie anhand der weiteren Daten trotzdem noch identifizierbar bleibt.

Die DSGVO spricht ihren Regelungen nicht von "anonymisierten Daten". Allerdings findet dieser Begriff Eingang im Erwägungsgrund 26 zur DSGVO.

Danach heißt es im Satz 5 u. 6: "Die Grundsätze des Datenschutzes sollten [...] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke."

Die DSGVO geht demnach von einem Begriff der Anonymisierung aus, nach dem keinerlei Personenbezug mehr vorhanden sein darf.

In Zeiten vor der DSGVO, war das BDSG aF anwendbar. Hier war noch vorgesehen, dass auch dann noch von einer Anonymisierung gesprochen werden kann, wenn die Daten nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet (faktische Anonymität) werden können. Dieses Merkmal ist nun (wohl) nicht mehr ausschlaggebend. Oder jedenfalls ist und sollte der Aufwand, um eine Zuordnung zur Person herzustellen nicht das primäre Merkmal sein, um zu entscheiden, ob von einer Anonymisierung gesprochen werden kann, oder nicht. Letztlich wird auch hier eine einzelfallbezogene Prüfung notwendig sein. Einschlägige Rechtsprechung hierzu lässt auf sich warten.

Von einer vollständigen (absoluten) Anonymisierung kann also in bestimmten Fällen nicht auszugehen sein. Das auch in Fällen, in denen die datenverarbeitende Stelle selbst eigentlich keinen Personenbezug mehr herstellen kann. Denn immerhin kann oftmals nicht ausgeschlossen werden, dass die betroffene Person nicht selbst noch einen Personenbezug zu sich selbst herstellen kann. Ebenso wenig kann oftmals nicht ausgeschlossen werden, dass ein Personenbezug mit aufwändiger Recherchearbeit nicht doch irgendwie vollzogen werden kann. Umso wichtiger wird es, konkret zu benennen, wie im Detail eine Anonymisierung erzielt werden soll, um zu eruieren, ob dadurch tatsächlich kein Personenbezug mehr hergestellt werden kann. Eine Formel dazu gibt es leider (noch) nicht.