Schweiz. Das Handelsgericht Zürich erwägt in seinem Urteil vom 4. Mai 2021 (HG190107-O), dass die Bestimmbarkeit von Personendaten bereits gegeben ist, wenn diese mittels der konkreten Möglichkeit eines Amts- oder Rechtshilfeverfahrens identifiziert werden könnten. Zudem sei hierbei nicht nur die Aufwendigkeit der Identifikation und dem Interesse des Datenbearbeiters an dieser, sondern insbesondere auch die Möglichkeiten der Technik, zu beurteilen. Warum hierbei auch künftige technologische Möglichkeiten zu berücksichtigen sind, erfahren Sie hier.

Worum geht es

Das Handelsgericht Zürich hatte im vorliegenden Fall zu entscheiden, ob die beklagte Bank Personendaten ihrer Kunden bzw. der Kläger in die USA übermitteln darf. Die Beklagte plante dabei, gestützt auf das von ihr im Rahmen ihrer Teilnahme am vom US Department of Justice (DoJ) eingerichteten „Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks“ (nachfolgend: DoJ-Programm), mit dem DoJ abgeschlossenen „Non-Prosecution Agreement“ (nachfolgend: NPA), Daten in die USA zu übermitteln.

Die Kläger machten geltend, die zu übermittelnden Informationen seien als Personendaten zu qualifizieren, weil sie nicht anonym, sondern – wenn überhaupt – pseudonymisiert seien und noch immer eine Identifizierung der Kläger durch das DoJ erlaubten bzw. sie für das DoJ bestimmbar machten. Die Kläger bringen in dieser Hinsicht verschiedene dem DoJ zur Verfügung stehende Identifikationsmechanismen vor, wie z.B. Abgleich Transaktionsdaten des SWIFT- oder CHIPS-Zahlungsverkehrs,

Big Data Analysis, Analyse des sozialen Netzwerkes und das Amts- und Rechtshilfeverfahren (E. 3.1.).

Die Beklagte stellt sich demgegenüber auf den Standpunkt, dass die zur Übermittlung bestimmten Dokumente keine Personendaten der Kläger enthielten, weil sie die darin verzeichneten Informationen ausreichend anonymisiert bzw. pseudonymisiert habe. Es sei aufgrund der von der Beklagten getroffenen Massnahmen für das DoJ auch nicht mehr möglich, einzelne Zahlungen zurückzuverfolgen. Sodann bestritt sie – abgesehen vom Amts- und Rechtshilfeverfahren – die von den Klägern geltend gemachten Identifikationsmechanismen des DoJ.

 

Gegen die geplante Datenübermittlung setzten sich die Kläger zur Wehr und machten geltend, dass ihnen hierbei eine widerrechtliche Persönlichkeitsverletzung i.S.v. Art. 28 f. ZGB drohe. Das Gericht gelangt zur Erkenntnis, dass im vorliegenden Fall keine Daten transferiert werden können, ohne dass eine widerrechtliche Persönlichkeitsverletzung im Sinne von Art. 28 ff. ZGB droht und verbietet konsequenterweise die Datenübermittlung.

Bestimmbarkeit von Personendaten

Strittig waren in diesem Fall folglich vorrangig die Qualifikation der zu übermittelnden Informationen als Personendaten gemäss Art. 3 lit. a DSG. So ist eine Person dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich genau um diese Person handelt. Bestimmbar ist die Person hingegen, wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Hierbei genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Es liegt keine Bestimmbarkeit vor, wenn der Aufwand derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen Aufwand auf sich nehmen wird (E. 3.2.3.a).

Weiter führt das Handelsgericht an, dass auch die Wirksamkeit von Anonymisierungs- bzw. Pseudonymisierungsmassnahmen nach dem Gesagten nicht losgelöst von den technischen Möglichkeiten und den Zusatzinformationen des Empfängers sowie dessen Interesse an der Identifizierung der betroffenen Personen beurteilt werden kann. Denn nur, wenn nach den allgemeinen Lebenserfahrungen nicht damit gerechnet werden muss, dass der Empfänger der Daten die betroffene Person identifiziert, ist eine Anonymisierung bzw. Pseudonymisierung als wirksam einzustufen (E. 3.2.3.b).

Alsdann erwägte das Handelsgericht, dass die Tatsache, dass ein rechtsstaatliches Verfahren zur Identifikation bemüht werden muss, die Bestimmbarkeit nicht ausschliesst, solange davon ausgegangen werden muss, dass ein solcher Weg möglicherweise beschritten würde. Vor dem Hintergrund vorstehender Ausführungen war vorliegend nicht davon auszugehen, dass das DoJ kein Amts- oder Rechtshilfeverfahren zwecks Identifizierung der Kläger anstrengen würde. So ist auch das Handelsgericht der Auffassung, dass das DoJ-Programm bzw. das NPA letztlich auch der Identifikation von Bankkunden dient, was ebenfalls für eine Identifizierbarkeit der Kläger via Amts-oder Rechtshilfeverfahren spricht. Ein entsprechendes Gesuch erfordert indessen ein Minimum an Angaben, was wiederum bedeutet, dass die Angaben in den streitgegenständlichen Dokumenten der Beklagten dem DoJ letztlich dazu verhelfen, ein Amts- oder Rechtshilfegesuch zu stellen, und die Kläger dadurch identifizierbar werden – und folglich für die Frage der Personendatenqualität und die Zulässigkeit der Weitergabe der Daten ins Ausland entscheidend ist (E. 3.3.1.).

Somit gelangt das Handelsgericht zum Schluss, dass pseudonymisierte Daten, die erst mittels der konkreten Möglichkeit eines Amts- oder Rechtshilfeverfahrens identifiziert werden könnten, genügend bestimmbar i.S.v. Art. 3 lit. a DSG sind.

 

 

Das Handelsgericht tönt zudem an, dass bei der Frage der Bestimmbarkeit von Personendaten auch die Möglichkeiten der Technik zu berücksichtigen sind (E. 3.2.3). Dabei verweist es unter anderem auch auf das sog. Logistep-Urteil des Bundesgerichts, in welchem es erstmals die technischen Möglichkeiten in die Beurteilung der Bestimmbarkeit miteinbezog (E. 3.2). Jedoch wurde bis dato heute nicht festgelegt, ob bei der besagten Beurteilung nur der Stand der Technik zum jenen Zeitpunkt zu würdigen ist oder auch (mehr oder minder) absehbare Technologien betrachtet werden müssen.

Es wird jedoch je länger je mehr deutlich, dass für die Beurteilung der Bestimmbarkeit von Personendaten auch künftige Möglichkeiten zu bedenken sind. Angesichts der rasanten Entwicklungen betreffend Artificial Intelligence (AI) und Quantum Computing dürften Entschlüsselungstechnologien innerhalb weniger Jahren auch in der Privatwirtschaft geläufig werden und Personendaten, die zum jetzigen Zeitpunkt noch als genügend anonymisierter bzw. pseudonymisiert gelten, problemlos entschlüsselt werden. Unternehmen ist daher zu empfehlen, ihre bearbeiteten anonymisierten und pseudonymisierten Daten als Personendaten zu qualifizieren und die entsprechenden Datenschutzgrundsätze anzuwenden. Eine solch vorsichtige und nachhaltige Vorgehensweise erlaubt es Unternehmen auch, den Wert ihrer Daten langfristig zu erhalten, um so ein Asset zu generieren.

 

Quellen:

https://www.gerichte-zh.ch/fileadmin/user_upload/entscheide/oeffentlich/HG190107-O12.pdf