David Rosenthal hat in der soeben erschienenen Ausgabe 4/2017 der digma [Swisslex] einen Aufsatz zum Thema “Singularisierung” verfasst, d.h. zur Frage, ob es für die Bestimmbarkeit einer Person genügt, wenn diese zwar nicht identifiziert, aber durch ein ein-eindeutiges Datum von allen anderen Personen unterschieden werden kann. Diese Frage steht vor dem Hintergrund vor allen vom Art. 4 Nr. 1 DSGVO, wonach jede Information als “Personendatum” gilt, die
insbesondere mittels Zuordnung zu einer Kennung wie […] einer Kennnummer […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der […] Identität […] sind, identifiziert werden kann.
Erwägungsgrund 26 hält dazu fest, dass bei der Beurteilung des Personenbezugs
alle Mittel berücksichtigt werden [sollen], die von dem Verantwortlichen […] wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
Es stellt sich daher die Frage, ob das Aussondern – eben Singularisieren – für die Herstellung des Personenbezugs genügt. Rosenthal kommt zusammengefasst zum folgenden Ergebnis:
Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.