Die Legaldefinition der "Pseudonymisierung" bzw. von "pseudonyme Daten" findet sich in Art. 4 Abs. 5 DS-GVO. Hiernach sind Daten dann als pseudonyme anzusehen, wenn sie
"ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person" zuordenbar und
diese zusätzlichen Informationen gesondert aufbewahrt werden und
technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Gemäß Erwägungsgrund 26 sollen, um festzustellen, ob eine natürliche Person identifizierbar ist, "alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren", Erwägungsgrund 26 führt diesbezüglich weiter aus, dass bei der Feststellung, "ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden", alle "objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden" sollen. Dabei ist die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen, d. h. bei Entwicklungen, die Einfluss auf die Re-Identifizierung nehmen können, wie beispielsweise höhere Rechenleistungen, ist zu überprüfen, ob die Daten noch als pseudonym anzusehen sind oder als re-identifizierbar bewertet werden müssen.
Erwägungsgrund 28 führt aus, dass die ausdrückliche Einführung der "Pseudonymisierung" in der DS-GVO nicht bedeutet, dass keine weiteren Datenschutzmaßnahmen getroffen werden müssen. Die Pseudonymisierung ist deshalb für sich gesehen eine Maßnahme um die "Risiken für die betroffenen Personen zu senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen".
Dabei bedingt eine Pseudonymisierung nicht notwendigerweise die Nutzung eines sog. "Daten-Treuhänders". Erwägungsgrund 29 betont vielmehr, dass Pseudonymisierungsmaßnahmen auch bei demselben Verantwortlichen durchaus möglich sind. Daraus folgt wiederum, dass die vorhandenen Daten, einem entsprechend "legalen" Zweck vorausgesetzt, pseudonymisiert z.B. für allgemeine Analysen genutzt werden können, sofern dabei die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Umsetzung der Anforderungen der DS-GVO getroffen wurden. Insbesondere muss der Verantwortliche dabei sicherstellen, dass die "zusätzlichen Informationen, mit denen die pseudonymen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden".
Aufgrund der Tatsache, dass es sich bei der Pseudonymisierung auch um eine Verarbeitungshandlung handelt, muss auch bei einer Pseudonymisierung aufgrund der Risikogeneigtheit dieser Verarbeitung, eine Datenschutzfolgenabschätzung erfolgen. So stellt Erwägungsgrund 75 klar heraus, dass auch die "unbefugte Aufhebung der Pseudonymisierung" zu den Risiken für die Rechte und Freiheiten natürlicher Personen gehört und somit in einer Datenschutzfolgenabschätzung evaluiert werden muss.
Darüber hinaus gehört gemäß Erwägungsgrund 85 schon das Risiko der unbefugten Aufhebung der Pseudonymisierung auch zu den Gründen, die zu einer Meldung gemäß Artt. 33, 34 DS-GVO führen können.
