Der Unterschied ist rechtlich entscheidend. Unter GDPR (Erwägungsgrund 26) sind anonymisierte Daten keine Personendaten mehr und fallen komplett aus dem Anwendungsbereich der Verordnung. Keine Einwilligung, keine Betroffenenrechte, keine Bearbeitungseinschränkungen. Pseudonymisierte Daten bleiben Personendaten, weil eine Re-Identifizierung möglich ist. DSGVO- und FADP-Pflichten gelten weiterhin vollumfänglich. Die falsche Technik hat direkte Compliance-Konsequenzen.
Anonymisierungstechniken umfassen Generalisierung (Ersetzen spezifischer Werte durch Bereiche, z.B. exaktes Alter wird Altersgruppe), Unterdrückung (vollständiges Entfernen), Perturbation (Verändern von Werten unter Beibehaltung statistischer Eigenschaften) und k-Anonymität-Ansätze (Sicherstellung, dass jeder Datensatz von mindestens k-1 anderen nicht unterscheidbar ist). Ziel ist, dass keine Kombination verbleibender Datenpunkte eine Person identifizieren kann, auch bei Abgleich mit externen Datensätzen. Für Rechtsdokumente bedeutet das: nicht nur Namen entfernen, sondern auch kontextuelle Identifikatoren: fallspezifische Fakten, einzigartige Transaktionsdetails oder Kombinationen von Daten und Orten, die Parteien identifizieren könnten.
Pseudonymisierung ersetzt Identifikatoren durch Codes (z.B. "Hans Meier" wird "Patient-001"), wobei ein separater Schlüssel die Verknüpfung zwischen Codes und realen Identitäten pflegt. Dies unterstützt Anwendungsfälle, bei denen eine Re-Identifizierung nötig sein kann (klinische Studien, Nachfolgeuntersuchungen, internes Audit), birgt aber Re-Identifizierungsrisiken, besonders wenn der Schlüssel kompromittiert wird oder die pseudonymisierten Daten genug Kontext für Inferenzangriffe enthalten.
DocIQ Shield führt Anonymisierung durch, nicht Pseudonymisierung. Shield ersetzt Personendaten durch standardisierte Bezeichnungen (A.____, B.____) nach den Konventionen des Schweizerischen Bundesgerichts für publizierte BGE-Entscheide. Kein Re-Identifizierungsschlüssel wird erstellt oder gespeichert. Der Prozess ist by Design irreversibel. Nach der Anonymisierung eines Dokuments können die ursprünglichen Personendaten nicht aus dem Ergebnis rekonstruiert werden. Kombiniert mit Zero-Persistence-Verarbeitung bedeutet dies, dass Shield weder das Original noch die Zuordnung zwischen Original- und anonymisierten Identifikatoren aufbewahrt.