---
name: anonymisierung-pseudonymisierung
description: "Anonymisierung und Pseudonymisierung von Mandatsdaten vor KI-Eingabe: Anwendungsfall Anwalt will Mandatsdokument in KI-System eingeben und muss Namen Adressen Aktenzeichen und Identifikatoren schützen. Art. 4 Nr. 5 DSGVO Pseudonymisierung, Art. 2 Abs. 1 DSGVO Anwendungsbereich, § 43a BRAO Verschw..."
---

# Anonymisierung und Pseudonymisierung

## Arbeitsbereich

Anonymisierung und Pseudonymisierung von Mandatsdaten vor KI-Eingabe: Anwendungsfall Anwalt will Mandatsdokument in KI-System eingeben und muss Namen Adressen Aktenzeichen und Identifikatoren schützen. Art. 4 Nr. 5 DSGVO Pseudonymisierung, Art. 2 Abs. 1 DSGVO Anwendungsbereich, § 43a BRAO Verschwiegenheit. Prüfraster Stufenmodell Anonymisierung vs. Pseudonymisierung, Re-Identifikationsrisiko prüfen, Platzhalter-Konsistenz bei Mehrfachverwendung. Output anonymisiertes Dokument mit Ersetzte-Felder-Protokoll und Risikobewertung. Abgrenzung zu DSGVO-Compliance-Bausteine und zu Berufsrecht-Bausteine. Arbeite entlang dieser konkreten Prüfungslinie und trenne Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: BRAO, BORA, FAO, BNotO, StBerG, WPO, PAO; DSGVO — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Spezialwissen

Die Anonymisierung von Mandatsdaten vor der Eingabe in KI-Systeme ist eine der wichtigsten praktischen Schutzmaßnahmen in der Kanzlei. Echte Anonymisierung — bei der ein Personenbezug nicht mehr herstellbar ist — schließt die Anwendbarkeit der DSGVO aus und reduziert das Berufsrechtsrisiko erheblich. Pseudonymisierung mindert das Risiko, schließt die DSGVO aber nicht aus. Dieser Skill beschreibt ein praxistaugliches Stufenmodell.

## Rechtlicher Hintergrund

Erwägungsgrund 26 DSGVO: Anonymisierte Daten fallen nicht unter die DSGVO — aber die Anonymisierung muss irreversibel sein. Art. 4 Nr. 5 DSGVO: Pseudonymisierung als Verarbeitungstechnik, die den Personenbezug ohne Zusatzinformationen nicht mehr herstellen lässt. Art. 5 Abs. 1 lit. c DSGVO: Datenminimierungsgrundsatz. Art. 25 DSGVO: Datenschutz durch Technikgestaltung (Privacy by Design). § 43a Abs. 2 BRAO: Die Anonymisierung reduziert das Risiko eines Geheimnisverrats, da der Chatbot ohne Personenbezug keine Mandanteninformationen identifizieren kann. Erwägungsgrund 28 DSGVO: Pseudonymisierung als geeignete Schutzmaßnahme.

## Vorlagentext / Bausteine

**Baustein Anonymisierungspflicht:**
Vor der Eingabe mandatsbezogener Informationen in KI-Systeme sind alle personenbezogenen Daten zu anonymisieren. Die Anonymisierung hat so vollständig zu sein, dass aus dem anonymisierten Text keine Rückschlüsse auf die betroffene Person möglich sind. Zu anonymisierende Informationen umfassen mindestens: vollständige Namen aller Beteiligten, Adressen und Kontaktdaten, Aktenzeichen und Verfahrensnummern, Kontonummern und Finanzdaten, Geburtsdaten sowie alle Angaben, die in Kombination zur Identifizierung führen könnten.

**Baustein Platzhalter-Schema:**
Beim Ersetzen personenbezogener Daten durch Platzhalter wird folgendes Schema verwendet:
- Mandantinnen und Mandanten: "[Mandant-1]", "[Mandant-2]" etc.
- Gegner: "[Gegner-1]", "[Gegner-2]" etc.
- Zeuginnen und Zeugen: "[Zeuge-1]", "[Zeuge-2]" etc.
- Unternehmen: "[Unternehmen-A]", "[Unternehmen-B]" etc.
- Aktenzeichen: "[Az-1]", "[Az-2]" etc.
- Adressen: "[Adresse-1]" etc.

**Baustein Re-Identifikationscheck:**
Nach abgeschlossener Anonymisierung ist das Dokument von einer zweiten Person auf verbliebene Re-Identifikationsrisiken zu überprüfen (Vier-Augen-Prinzip). Besonders kritisch zu prüfen sind seltene Kombinationen von Merkmalen (z.B. spezifische Branche + bestimmter Regionalmarkt + besonderes Schadensgeschehen), die auch ohne Namen zur Identifizierung führen können.

## Hinweise zur Aktualisierung

Automatisierungs-Tools für die Anonymisierung entwickeln sich rasch weiter. Die Kanzlei sollte halbjährlich prüfen, ob neue oder verbesserte Tools zur Verfügung stehen. Ebenso sind neue Datenschutzbehörden-Empfehlungen zur Anonymisierung zu beachten.

## Aktuelle Rechtsprechung (v14.2)
- Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

## Zentrale Normen (Paragrafenkette)
- Art. 4 Nr. 1 DSGVO — Begriff personenbezogene Daten
- Art. 4 Nr. 5 DSGVO — Pseudonymisierung
- Erwaegungsgrund 26 DSGVO — Anonymisierung und Re-Identifikationsrisiko
- § 43a Abs. 2 BRAO — Verschwiegenheitspflicht
- § 203 StGB — Berufsgeheimnis

## Triage zu Beginn
1. Handelt es sich um echte Anonymisierung oder nur Pseudonymisierung — besteht ein Zuordnungsschluessel?
2. Welche Datenkategorien sind betroffen — besondere Kategorien nach Art. 9 DSGVO?
3. Ist ein Re-Identifikationsrisiko durch Kombination verbleibender Merkmale (Branche, Ort, Umstaende) moeglich?
4. Wird das Dokument in einem KI-System mit Training verarbeitet — besteht Risiko des Modell-Memorizings?
5. Ist der Anonymisierungsprozess dokumentiert und vieraugengeprueft?

## Output-Template — Anonymisierungsprotokoll
**Adressat:** Kanzlei intern (Akte) — Tonfall: knapp, dokumentierend
```
ANONYMISIERUNGSPROTOKOLL
[DATUM] — [AKTENZEICHEN] — Dokument: [BEZEICHNUNG]

Anonymisiert von: [NAME]
Datum: [DATUM]
Verfahren: Platzhalter-Schema (M1/G1/Z1/Az-1)

Ersetzte Kategorien:
☑ Namen
☑ Adressen
☑ Aktenzeichen
☑ Geburtsdaten
☑ Kontonummern
☐ Gesundheitsdaten (falls betroffen)
☐ Sonstige: [BESCHREIBUNG]

Re-Identifikationsrisiko-Check:
Vier-Augen-Pruefung durch: [NAME]
Ergebnis: [KEIN RISIKO / RISIKO — WEITERE SCHWAERZUNG: BESCHREIBUNG]

Anonymisierungsgrad: [ANONYMISIERT / PSEUDONYMISIERT]
DSGVO anwendbar: [JA / NEIN]
```

## Normen und Rechtsprechung

### Kuratierte Normen-Bibliothek

- Art. 28 DSGVO
- § 203 StGB
- Art. 22 DSGVO
- Art. 9 DSGVO
- Art. 6 DSGVO
- § 2 UrhG
- Art. 30 DSGVO
- Art. 46 DSGVO
- Art. 13 DSGVO
- § 44b UrhG
- Art. 35 DSGVO
- § 5 UrhG

### Leitentscheidungen

- BGH VI ZR 273/16