(C) All-in-Media GmbH

Urteil in der Schweiz: Sind pseudonymisierte und anonymisierte Daten Personendaten?

Ein Blick in die Schweiz lohnt vom Datenschutz immer. Erst einmal ist die Schweiz aus Sicht der DSGVO ein sicherer Drittstaat und lebt auch den Datenschutz. Ein Urteil des Handelsgerichts Zürich betrachtet den Fall, ob pseudonymisierte und anonymisierte Daten personenbezogene Daten im Sinne der Datenschutzgesetze sind.

Eine schweizerische Bank wurde von US-Behörden aufgefordert, dass sie bitte Daten von ihren Bankkunden in die USA senden möge. Dies könne auch als pseudonymisierte und/oder anonymisierte Daten erfolgen. 

Das bedeutet, dass kein direkter Bezug zu den tatsächlichen natürlichen Personen mehr bestehen muss.

Die Kläger – eine betroffene Gesellschaft aus Panama und eine natürliche Person aus Israel – vermuteten aber, dass selbst diese Art der Daten von den US-Behörden mit Ihren Möglichkeiten so angereichert werden können, dass sehr wohl eine Identifizierung möglich sei.

Klage gegen die Bank 

Und klagten gegen die Bank, die Herausgabe zu unterlassen.
Das ganze hat natürlich eine echte Brisanz für die Bank, die sich mit den US-Behörden zu verschiedenen Teilnahmen an der Weitergabe solcher Daten verpflichteten hatte.

Vorweg zur Erklärung der Abkürzungen:

  • DoJ = US Department of Justice
  • DoJ-Programm = Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks

Das Handelsgericht Zürich urteilte nun im Urteil vom 04. Mai 2021 – HG 190107 O (PDF) so, dass die US-Behörden mit Ihren Möglichkeiten durchaus gelingen könnte, die Personendaten sichtbar zu machen und führt auf Seite 22 des Urteils aus:

Besteht vorliegend somit die konkrete Möglichkeit einer Identifizierung der Kläger mittels Amts- oder Rechtshilfeverfahren, sind die streitgegenständlichen Informationen (act. 3/11/1-2) als Personendaten im Sinne von Art. 3 lit. a DSG (Anmerkung: Schweizer Datenschutzgesetz) zu qualifizieren. Damit erübrigt sich die Prüfung der weiteren von den Klägern vorgebrachten Identifikationsmöglichkeiten des DoJ. Auch kann bei diesem Ergebnis offen bleiben, ob die Beklagte tatsächlich beabsichtigt, zusätzliche Informationen an das DoJ zu liefern.

USA hat keine angemessene Datenschutzgesetzgebung

Und wieder wird als Grund gegen die Datenübermittlung die in den USA nicht angemessene Datenschutzgesetzgebung hervorgehoben.

Die USA verfügen nicht über eine Gesetzgebung, die einen angemessenen Datenschutz im Sinne von Art. 6 Abs. 1 DSG gewährleistet, wie dies das Handelsgericht Zürich und das Bundesgericht bereits (mehrfach) festgehalten haben (Urteil des Bundesgerichts 4A_83/2016 vom 22. September 2016 E. 3.1; statt vieler: Urteil des Handelsgerichts HG150018 vom 1. September 2017 E. 2.3.4.3. und HG180066 vom 14. Juni 2019 E. 4.2.3. m.w.H.).

Datenschutzniveau in den USA

Interessant ist, dass laut Gericht selbst die Beklagte – also die Bank – dieses nicht angemessene Datenschutzniveau nicht in Abrede stellt. Das Handelsgericht deutet folgend dann auch an, dass eventuell überhaupt keine Pflicht zur Übermittlung der Daten besteht – prüft dies aber leider nicht, da nicht signifikant für das Urteil.

Im nächsten Satz des Urteils wird kurz und knapp entschieden:

Die Widerrechtlichkeit wird vermutet. Entsprechend trägt die Beklagte, welche die streitgegenständlichen Daten bekanntgeben will, die Behauptungs- und Beweisbelast für das Vorliegen eines Rechtfertigungsgrundes (RAMPINI, a.a.O., N. 3 zu Art. 15 DSG).
Die Beklagte macht keine Rechtfertigungsgründe geltend (act. 19; act. 33), weshalb solche zu verneinen sind.

Fazit

Dann wird es deutlich im Urteil.

Die in act. 3/11/1-2 enthaltenen Informationen sind als Personendaten im Sinne von Art. 3 lit. a DSG zu qualifizieren. Die USA verfügen nicht über eine angemessene Datenschutzgesetzgebung. Rechtfertigungsgründe liegen keine vor. Entsprechend erweist sich die von der Beklagten beabsichtigte Datenlieferung an das DoJ als rechtswidrig und stellt eine drohende Persönlichkeitsverletzung dar.

Und im Geltungsbereich der DSGVO?

Es wird spannend zu beobachten, wie sich nun die EU-Gerichte inkl. des Europäischen Gerichtshofs positionieren werden. Und was dann für die Banken im Geltungsbereich der DSGVO für Auswirkungen haben wird.

 




Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf.


Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen.