Handelsgericht Zürich – Übermittlung von pseudonymisierten Daten in die USA

Im Urteil HG190107-O vom 4. Mai 2021 beschäftigte sich das Handelsgericht mit den Identifikationsmöglichkeiten bei pseudonymisierten Daten.

Beim zu beurteilende Fall hatte eine Schweizer Bank (nachfolgend: Beklagte) mit dem US Department of Justice (nachfolgend: DoJ) ein Non-Prosecution Agreement (NPA) abgeschlossen. Aufgrund des NPA wurde von der Beklagen Kundendaten anonymisiert bzw. pseudonymisiert an das DoJ übermittelt.

Problematik

Die betroffenen Kunden (nachfolgend: Kläger) machten geltend, dass es sich bei den übermittelten Daten von der Beklagten zur DoJ nicht um anonymisierte Daten, sondern wenn überhaupt um pseudonymisierte Daten handelt. Zudem sind die pseudonymisierten Daten für das DoJ nach wie vor bestimmbar. Gemäss den Klägern stehen der DoJ verschiedene Identifikationsmechanismen (Amts- und Rechtshilfegesuch, Abgleich Transaktionsdaten des SWIFT- oder CHIPS-Zahlungsverkehrs, Auswertung Transaktionsdaten via BSA oder Big Data Analysis) zur Verfügung.

Erwägungen des Handelsgerichts

Das Handelsgericht hielt in E. 3.2.2. fest, dass gemäss Art. 12 und 13 DSG Personendaten nur dann weitergegeben werden dürfen, wenn die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzt wird oder die Verletzung gerechtfertigt werden kann. Als Persönlichkeitsverletzung gilt jede Bekanntgabe in ein Land, welches über keine angemessene Datenschutzgesetzgebung verfügt, denn damit wird die Persönlichkeit der betroffenen Person schwerwiegend gefährdet (Art. 6 DSG).

Das Handelsgericht musste zuerst feststellen, ob es sich bei den übermittelten Informationen um anonymisierte oder pseudonymisierte Daten handelt.

Im Gegensatz zu den anonymisierten Daten ist bei den pseudonymisierte Daten der Personenbezug nur bedingt aufgehoben, weil der Schlüssel zur Re-Identifizierung erhalten bleibt.

Gemäss Handelsgericht bestand vorliegend eine Identifikationsmöglichkeit durch das DoJ, indem ein Amts- und Rechtshilfeverfahren eingeleitet wird. Dadurch konnte das DoJ den Schlüssel zur Re-Identifizierung von der Bank erhältlich machen.

Es stellte sich vorliegend die Frage, welche Pseudonymisierungstechniken von der Beklagten eingesetzt wurden. Das Handelsgericht war der Ansicht, dass der Übermittler (d.h. die Bank) die Behauptungs- und Beweislast für die eingesetzten Pseudonymisierungstechniken und die fehlende Möglichkeit einer Re-Identifizierung durch den Empfänger (d.h. das DoJ) trägt. Die Beklagte hätte sich somit substantiiert damit auseinandersetzen sollen, weshalb ein Amts- und Rechtshilfeverfahren nicht bewilligt werden würde. Die diesbezüglichen Ausführungen der Beklagten waren ungenügend.

Das Handelsgericht hielt fest, dass eine konkrete Möglichkeit bestehe, dass die Kläger durch die mittels eines Amts- oder Rechtshilfeverfahren erhaltenen Informationen identifizierbar werden. Ausserdem sei die Gutheissung eines solchen Gesuches nicht ausgeschlossen. Aufgrund dieser potentiellen Möglichkeit der Re-Identifizierung der Kläger sind die übermittelten Informationen der Beklagten als Personendaten i.S.v. Art. 3 lit. a DSG zu qualifizieren. Da die USA nicht über eine angemessene Datenschutzgesetzgebung verfügt und keine Rechtfertigungsgründe ersichtlich sind, handelte es sich vorliegend um eine Persönlichkeitsverletzung.

Konsequenzen für die Praxis

Das Urteil des Handelsgerichts hat weitgehende Folgen. Schweizer Datenverantwortliche dürfen demensprechend nur dann pseudonymisierte Daten in ein Land ohne angemessene Datenschutzgesetzgebung übermitteln, wenn sie einen Rechtfertigungsgrund i.S. von Art. 6 Abs. 2 DSG haben. Ist dies nicht der Fall, müssen sie den Nachweis erbringen können, dass die Re-Identifizierung durch den Empfänger ausgeschlossen ist, weil der Aufwand derart gross ist, dass nach der allgemeinen Lebenserfahrung nicht mit dem Ergreifen solcher Massnahmen gerechnet werden muss. Hierbei sind die technischen Möglichkeiten des Empfängers und dessen Interesse am Herstellen des Personenbezugs zu berücksichtigen.

Wenn es sich beim Empfänger (wie vorliegend) um eine Behörde handelt, muss der Übermittler zumindest substantiiert bestreiten, dass eine Gutheissung eines Amts- oder Rechtshilfegesuch erfolgen kann.