Das Handelsgericht Zürich hat im Urteil HG190107‑O vom 4. Mai 2021 entschieden, dass eine Pseudonymisierung für denjenigen, der die pseudonymisierten Daten keiner bestimmten Person zuordnen kann, wie eine Anonymisierung wirkt.
Hintergrund war eine geplante Übermittlung von Personendaten durch die Beklagte, eine Genfer Bank, an das US-amerikanische DOJ auf Basis eines Non-Prosecution-Agreements. Es ging um Daten in der “II.D.2”-Liste (Leaver-Liste; eine Erläuterung findet sich z.B. im Urteil 4A_365/2017). Strittig war vor allem, ob die zu liefernden Daten Personenbezug haben. Die Bank stellte sich auf den Standpunkt, dass diese Daten anonymisiert oder pseudonymisiert und damit keine Personendaten waren.
Das HGer ging zunächst vom relativen Ansatz bei der Bestimmung des Personenbezugs aus: Massgebend ist die Optik des Inhabers eines Datums, bei einer Bekanntgabe des Empfängers. Daraus leitet es ab, dass die Pseudonymisierung von Daten für denjenigen, der sie keiner bestimmten Person zuordnen kann, als Anonymisierung wirkt (E. 3.2.3):
Für alle, die Zugang zum Schlüssel haben, bleiben pseudonymisierte Personendaten weiterhin Personendaten im Sinne des DSG. Für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können, stellen pseudonymisierte Personendaten hingegen keine Personendaten mehr dar.
Das ist richtig, aber nicht selbstverständlich, und es widerspricht einer Erwägung des BGer im Logistep-Entscheid. Dort hatte das BGer festgehalten, bei einer Bekanntgabe von unpersönlichen Daten an einen Empfänger, der sie einer Person zuordnen kann, unterstehe nicht nur der Empfänger dem DSG (im Logistep-Fall der Rechteinhaber, der von Logistep IP-Adressen aus P2P-Netzwerken bezog), sondern auch der Absender (Logistep):
3.4 Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 lit. a DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Information […]. Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag. […] Trifft dies zu […], so gelangt das Datenschutzgesetz indessen auch auf die Beschwerdegegnerin selbst zur Anwendung. Anders zu entscheiden würde bedeuten, das Datenschutzgesetz nur auf die einzelnen Empfänger anzuwenden, nicht aber auf die Person, welche die betreffenden Daten beschafft und sie verbreitet. Dies würde dem Zweck des Gesetzes zuwiderlaufen.
Diese Erwägung war offenkundig ergebnisgeleitet und falsch, weil sie dem relativen Ansatz des Personendatenbegriffs widerspricht. Das HGer ZH ist dieser Auffassung nun entgegengetreten; implizit, aber eindeutig. Denn wenn das HGer sagt, pseudonymisierte Daten seien keine Personendaten “für Personen, die keinen Zugang zum Schlüssel haben und auch nicht über andere Kenntnisse verfügen, um die Daten wieder einer bestimmten Person zuordnen zu können”, so hiesse dies für den Logistep-Entscheid, dass die IP-Adressen für Logistep selbst keine Personendaten sein konnten.
Die Erkenntnis des HGer ZH ist von grosser praktischer Bedeutung: Wenn ein Arzt eine mit einem Barcode kodierte Blutprobe an ein Labor in den USA übermittelt, handelt es sich nicht um eine Datenbekanntgabe ins Ausland; wenn eine Bank pseudonymisierte Transaktionsdaten an einen Dienstleister zur Auswertung oder Anreicherung übermittelt, handelt es sich weder um eine Datenbekanntgabe noch um eine Auftragsbearbeitung (was selbstverständlich nicht heisst, dass nicht ein analoger Vertrag geschlossen werden sollte, aber eine Unterlassung könnte z.B. nicht zu einer Strafbarkeit nach Art. 61 lit. b revDSG führen). Das HGer ZH hält denn auch ausdrücklich fest,
Wenn Personendaten vor der Bekanntgabe ins Ausland so anonymisiert oder pseudonymisiert werden, dass deren Empfänger im Ausland keinen Personenbezug mehr herstellen kann, liegt auch keine grenzüberschreitende Bekanntgabe von Personendaten im Sinne von Art. 6 DSG vor.
Wie festgehalten ist dies richtig, weil es zwingend aus dem relativen Ansatz des Personendatenbegriffs folgt, aber es ist mutig – vielleicht mutiger, als man es von einer ausländischen Datenschutzaufsichtsbehörde erwarten dürfte, obwohl das Ergebnis unter der DSGVO dasselbe sein muss.
Das HGer hält weiter fest, dass die Beweislast für die Pseudonymisierung der Daten, die grundsätzlich Personenbezug hatten, bei der Bank liegt. Das Gericht hat hier Verständnis für ein gewisses Beweisproblem der Bank (wie soll sie beweisen, dass das DOJ keine Möglichkeit hat, die Daten zuzuordnen?), nahm ihr den Beweis aber dennoch nicht ab, zumal sich die Bank nicht ausreichend mit den Vorbringen der Kläger zur möglichen Identifikation auseinandergesetzt hat, insbesondere nicht mit der Gefahr einer Identifikation über ein Amts- oder Rechtshilfeverfahren.
Am Ende verbot das HGer der Bank daher die Datenlieferung, obwohl es der Bank im materiellrechtlichen Kernpunkt recht gab.