Anonymisierung ist die irreversible Entfernung oder Veränderung personenbezogener Merkmale in einem Datensatz, sodass eine Identifizierung der betroffenen Person auch mit zusätzlichem Wissen nicht mehr möglich ist. Anonymisierte Daten unterliegen nicht mehr der DSGVO.
Im ISMS-Kontext ist Anonymisierung relevant für ISO 27001 Annex A Control A.8.11 (Datenmaskierung) und spielt eine Rolle beim Schutz personenbezogener Daten in Testumgebungen, Analysen und bei der Weitergabe an Dritte. Entscheidend ist die Abgrenzung zur Pseudonymisierung: Bei der Pseudonymisierung bleibt eine Rückführung grundsätzlich möglich, bei der Anonymisierung per Definition nicht. Techniken umfassen k-Anonymity, Differential Privacy und das Entfernen indirekter Identifikatoren (Quasi-Identifiers).