David Rosen­thal hat in der soeben erschie­ne­nen Aus­ga­be 4/2017 der dig­ma [Swiss­lex] einen Auf­satz zum The­ma “Sin­gu­la­ri­sie­rung” ver­fasst, d.h. zur Fra­ge, ob es für die Bestimm­bar­keit einer Per­son genügt, wenn die­se zwar nicht iden­ti­fi­ziert, aber durch ein ein-ein­deu­ti­ges Datum von allen ande­ren Per­so­nen unter­schie­den wer­den kann. Die­se Fra­ge steht vor dem Hin­ter­grund vor allen vom Art. 4 Nr. 1 DSGVO, wonach jede Infor­ma­ti­on als “Per­so­nen­da­tum” gilt, die

ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie […] einer Kenn­num­mer […] oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der […] Iden­ti­tät […] sind, iden­ti­fi­ziert wer­den kann.

Erwä­gungs­grund 26 hält dazu fest, dass bei der Beur­tei­lung des Personenbezugs

alle Mittel berücksichtigt werden [sol­len], die von dem Verantwortlichen […] wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie bei­spiels­wei­se das Aus­son­dern.

Es stellt sich daher die Fra­ge, ob das Aus­son­dern – eben Sin­gu­la­ri­sie­ren – für die Her­stel­lung des Per­so­nen­be­zugs genügt. Rosen­thal kommt zusam­men­ge­fasst zum fol­gen­den Ergebnis:

Am Begriff des Per­so­nen­da­tums hat sich auch mit der DSGVO nichts geän­dert. Es gilt nach wie vor der «rela­ti­ve» Ansatz, der dar­auf abstellt, ob der­je­ni­ge, der Zugang zu bestimm­ten Daten hat, die davon betrof­fe­nen Per­so­nen iden­ti­fi­zie­ren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit sei­nem Ent­scheid betref­fend IP-Adres­sen jüngst bestä­tigt hat. Dar­an ändert auch der Begriff der «Sin­gu­la­ri­sie­rung» nichts. Ein Daten­satz sin­gu­la­ri­siert eine Per­son, wenn er wie ein Fin­ger­ab­druck so spe­zi­ell ist, dass er sich nur auf sie bezie­hen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei gene­ti­schen Daten. Die DSGVO erwähnt die Sin­gu­la­ri­sie­rung zwar als Indiz für eine Iden­ti­fi­zier­bar­keit, aber sie allei­ne genügt eben nicht. Hier­zu stellt der Bei­trag den «Refe­renz­da­ten-Test» vor: Dem­nach lie­gen Per­so­nen­da­ten vor, wenn zwi­schen den frag­li­chen Daten und dem Bear­bei­ter bereits vor­lie­gen­den oder zugäng­li­chen Daten­sät­zen einer ein­zel­nen, rea­len Per­son eine Über­ein­stim­mung her­ge­stellt wer­den kann. Gene­ti­sche Daten und IP-Adres­sen sind daher nie per se Personendaten.

AI-generierte Takeaways können falsch sein.