HGer ZH: Pseud­ony­mi­sie­rung wirkt für den Emp­fän­ger wie Anonymsierung

Das Han­dels­ge­richt Zürich hat im Urteil HG190107‑O vom 4. Mai 2021 ent­schie­den, dass eine Pseud­ony­mi­sie­rung für den­je­ni­gen, der die pseud­ony­mi­sier­ten Daten kei­ner bestimm­ten Per­son zuord­nen kann, wie eine Anony­mi­sie­rung wirkt. 

Hin­ter­grund war eine geplan­te Über­mitt­lung von Per­so­nen­da­ten durch die Beklag­te, eine Gen­fer Bank, an das US-ame­ri­ka­ni­sche DOJ auf Basis eines Non-Pro­se­cu­ti­on-Agree­ments. Es ging um Daten in der “II.D.2”-Liste (Lea­ver-Liste; eine Erläu­te­rung fin­det sich z.B. im Urteil 4A_365/2017). Strit­tig war vor allem, ob die zu lie­fern­den Daten Per­so­nen­be­zug haben. Die Bank stell­te sich auf den Stand­punkt, dass die­se Daten anony­mi­siert oder pseud­ony­mi­siert und damit kei­ne Per­so­nen­da­ten waren.

Das HGer ging zunächst vom rela­ti­ven Ansatz bei der Bestim­mung des Per­so­nen­be­zugs aus: Mass­ge­bend ist die Optik des Inha­bers eines Datums, bei einer Bekannt­ga­be des Emp­fän­gers. Dar­aus lei­tet es ab, dass die Pseud­ony­mi­sie­rung von Daten für den­je­ni­gen, der sie kei­ner bestimm­ten Per­son zuord­nen kann, als Anony­mi­sie­rung wirkt (E. 3.2.3):

Für alle, die Zugang zum Schlüs­sel haben, blei­ben pseud­ony­mi­sier­te Per­so­nen­da­ten wei­ter­hin Per­so­nen­da­ten im Sin­ne des DSG. Für Per­so­nen, die kei­nen Zugang zum Schlüs­sel haben und auch nicht über ande­re Kennt­nis­se ver­fü­gen, um die Daten wie­der einer bestimm­ten Per­son zuord­nen zu kön­nen, stel­len pseud­ony­mi­sier­te Per­so­nen­da­ten hin­ge­gen kei­ne Per­so­nen­da­ten mehr dar.

Das ist rich­tig, aber nicht selbst­ver­ständ­lich, und es wider­spricht einer Erwä­gung des BGer im Logi­step-Ent­scheid. Dort hat­te das BGer fest­ge­hal­ten, bei einer Bekannt­ga­be von unper­sön­li­chen Daten an einen Emp­fän­ger, der sie einer Per­son zuord­nen kann, unter­ste­he nicht nur der Emp­fän­ger dem DSG (im Logi­step-Fall der Rech­te­inha­ber, der von Logi­step IP-Adres­sen aus P2P-Netz­wer­ken bezog), son­dern auch der Absen­der (Logi­step):

3.4 Ob eine Infor­ma­ti­on auf­grund zusätz­li­cher Anga­ben mit einer Per­son in Ver­bin­dung gebracht wer­den kann, sich die Infor­ma­ti­on mit­hin auf eine bestimm­ba­re Per­son bezieht (Art. 3 lit. a DSG), beur­teilt sich aus der Sicht des jewei­li­gen Inha­bers der Infor­ma­ti­on […]. Im Fal­le der Wei­ter­ga­be von Infor­ma­tio­nen ist dabei aus­rei­chend, wenn der Emp­fän­ger die betrof­fe­ne Per­son zu iden­ti­fi­zie­ren ver­mag. […] Trifft dies zu […], so gelangt das Daten­schutz­ge­setz indes­sen auch auf die Beschwer­de­geg­ne­rin selbst zur Anwen­dung. Anders zu ent­schei­den wür­de bedeu­ten, das Daten­schutz­ge­setz nur auf die ein­zel­nen Emp­fän­ger anzu­wen­den, nicht aber auf die Per­son, wel­che die betref­fen­den Daten beschafft und sie ver­brei­tet. Dies wür­de dem Zweck des Geset­zes zuwiderlaufen.

Die­se Erwä­gung war offen­kun­dig ergeb­nis­ge­lei­tet und falsch, weil sie dem rela­ti­ven Ansatz des Per­so­nen­da­ten­be­griffs wider­spricht. Das HGer ZH ist die­ser Auf­fas­sung nun ent­ge­gen­ge­tre­ten; impli­zit, aber ein­deu­tig. Denn wenn das HGer sagt, pseud­ony­mi­sier­te Daten sei­en kei­ne Per­so­nen­da­ten “für Per­so­nen, die kei­nen Zugang zum Schlüs­sel haben und auch nicht über ande­re Kennt­nis­se ver­fü­gen, um die Daten wie­der einer bestimm­ten Per­son zuord­nen zu kön­nen”, so hie­sse dies für den Logi­step-Ent­scheid, dass die IP-Adres­sen für Logi­step selbst kei­ne Per­so­nen­da­ten sein konnten.

Die Erkennt­nis des HGer ZH ist von gro­sser prak­ti­scher Bedeu­tung: Wenn ein Arzt eine mit einem Bar­code kodier­te Blut­pro­be an ein Labor in den USA über­mit­telt, han­delt es sich nicht um eine Daten­be­kannt­ga­be ins Aus­land; wenn eine Bank pseud­ony­mi­sier­te Trans­ak­ti­ons­da­ten an einen Dienst­lei­ster zur Aus­wer­tung oder Anrei­che­rung über­mit­telt, han­delt es sich weder um eine Daten­be­kannt­ga­be noch um eine Auf­trags­be­ar­bei­tung (was selbst­ver­ständ­lich nicht heisst, dass nicht ein ana­lo­ger Ver­trag geschlos­sen wer­den soll­te, aber eine Unter­las­sung könn­te z.B. nicht zu einer Straf­bar­keit nach Art. 61 lit. b revDSG füh­ren). Das HGer ZH hält denn auch aus­drück­lich fest,

Wenn Per­so­nen­da­ten vor der Bekannt­ga­be ins Aus­land so anony­mi­siert oder pseud­ony­mi­siert wer­den, dass deren Emp­fän­ger im Aus­land kei­nen Per­so­nen­be­zug mehr her­stel­len kann, liegt auch kei­ne grenz­über­schrei­ten­de Bekannt­ga­be von Per­so­nen­da­ten im Sin­ne von Art. 6 DSG vor.

Wie fest­ge­hal­ten ist dies rich­tig, weil es zwin­gend aus dem rela­ti­ven Ansatz des Per­so­nen­da­ten­be­griffs folgt, aber es ist mutig – viel­leicht muti­ger, als man es von einer aus­län­di­schen Daten­schutz­auf­sichts­be­hör­de erwar­ten dürf­te, obwohl das Ergeb­nis unter der DSGVO das­sel­be sein muss.

Das HGer hält wei­ter fest, dass die Beweis­last für die Pseud­ony­mi­sie­rung der Daten, die grund­sätz­lich Per­so­nen­be­zug hat­ten, bei der Bank liegt. Das Gericht hat hier Ver­ständ­nis für ein gewis­ses Beweis­pro­blem der Bank (wie soll sie bewei­sen, dass das DOJ kei­ne Mög­lich­keit hat, die Daten zuzu­ord­nen?), nahm ihr den Beweis aber den­noch nicht ab, zumal sich die Bank nicht aus­rei­chend mit den Vor­brin­gen der Klä­ger zur mög­li­chen Iden­ti­fi­ka­ti­on aus­ein­an­der­ge­setzt hat, ins­be­son­de­re nicht mit der Gefahr einer Iden­ti­fi­ka­ti­on über ein Amts- oder Rechtshilfeverfahren.

Am Ende ver­bot das HGer der Bank daher die Daten­lie­fe­rung, obwohl es der Bank im mate­ri­ell­recht­li­chen Kern­punkt recht gab.