Anonymisieren bedeutet, personenbezogene Daten so zu verändern, dass der Personenbezug aufgehoben wird. Nach der Definition in § 3 Abs. 6 BDSG genügt es, wenn die Zuordnung zu einer natürlichen Person zwar nicht völlig ausgeschlossen, aber zumindest so erschwert ist, dass sie einen unverhältnismäßig großen Aufwand erfordert; im letzten Fall spricht man von „faktisch anonymen Daten“. Die Anonymisierung ist ein wichtiges Mittel, um in der Praxis datenschutzgerecht arbeiten zu können. Denn da durch die Verarbeitung anonymisierter Daten grundsätzlich niemand in seinem Persönlichkeitsrecht beeinträchtigt werden kann, fallen sie nicht in den Anwendungsbereich des BDSG. Sie dürfen grundsätzlich beliebig verarbeitet und auch weitergegeben werden.
Typischerweise werden bei der Anonymisierung Informationen, die eine unmittelbare Identifikation zulassen (z.B. Namen) oder Rückschlusse auf die Person erlauben (z.B. Kfz-Kennzeichen oder IBAN-Nummern), aus den Datensätzen entfernt. Häufig werden die identifizierenden Informationen aber nicht ganz gelöscht, sondern nur gekürzt (z.B. Namen durch Initialien ersetzt, Geburtstag durch Geburtsjahr ersetzt oder Nummern maskiert). Dann ist darauf zu achten, dass das Herstellen eines Personenbezuges hinreichend erschwert ist, um noch die Anforderungen des § 3 Abs. 6 BDSG zu erfüllen. Dies muss im Einzelfall beurteilt werden. Je sensibler die Daten, mit desto höherer Sicherheit sollte eine De-Anonymisierung ausgeschlossen werden. Um das Ableiten von personenbezogenen Informationen weiter zu erschweren, können auch die nicht-identifizierenden Datenfelder verändert werden. Hierzu werden etwa konkrete quantitative Angaben (z.B. Alter, Anzahl der Kinder) mittels Größenklassen unscharf gemacht (z.B. 5-10 Jahre, >2 Kinder).
Das BDSG kennt bei der Anonymisierung nur „Entweder-Oder“. Technisch gesehen gibt es jedoch unterschiedliche Grade der Anonymisierung, je nachdem, wie stark die Personenbeziehbarkeit erschwert ist. Die Wissenschaft hat hierfür verschiedene Maße entwickelt, z.B. die k-Anonymität und die l-Diversität.
Von der Anonymisierung ist die Pseudonymisierung zu unterscheiden. Diese ist darauf angelegt, rückgängig gemacht zu werden, um bei Bedarf wieder mit den Daten in ihrer ursprünglichen personenbezogenen Form arbeiten zu können. Bei der Pseudonymisierung ist der Personenbezug allenfalls für diejenigen aufgehoben, die das Verfahren zur De-Pseudonymisierung nicht kennen.