Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
EuGH-Urteil zum Personenbezug der FIN
Donnerstag, 23. November 2023
Der Europäische Gerichtshof (EuGH) hat eine aus datenschutzrechtlicher Sicht bedeutende Entscheidung zum Personenbezug der Fahrzeugidentifikationsnummer (FIN) getroffen. Gegenstand der Entscheidung des EuGH vom 9. November 2023 war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Landgericht Köln in dem Verfahren Gesamtverband Autoteile-Handel e. V. (im Weiteren Gesamtverband) gegen einen Automobilhersteller. Der EuGH musste sich in der Vorlagefrage damit befassen, ob die Verarbeitung der FIN unter die DSGVO fällt. Hierfür müsste es sich bei der FIN um personenbezogene Daten handeln. Die FIN ist die 17-stellige Seriennummer eines Fahrzeuges. Sie enthält Informationen wie den Herstellercode, die Baureihe, den Herstellungsort, das Modelljahr, die Fahrzeugnummerierung und die Prüfziffer. Durch die FIN lässt sich jedes Fahrzeug einwandfrei identifizieren. Sie bezieht sich also grundsätzlich auf ein identifizierbares Fahrzeug und nicht auf eine Person.
Die Entscheidung ist aus Sicht der deutschen Automobilindustrie besonders interessant, da das deutsche Recht den Personenbezug der FIN und des Kennzeichens in § 45 StVG fingiert. Daher galt die FIN in Deutschland bisher immer als personenbezogenes Datum. Die DSGVO wurde also bei der Verarbeitung der FIN stets angewendet. Nach der Entscheidung des EuGH ist dies jedoch zweifelhaft.
Zum Hintergrund des Verfahrens
In dem Verfahren ging es um folgenden Sachverhalt:
Der beklagte Automobilhersteller gewährte unabhängigen Wirtschaftsakteuren, wie auch dem Kläger, über eine Website u. a. Zugang zu Fahrzeugdaten, Reparatur- und Wartungsinformationen und kam dadurch seiner unionsrechtlichen Verpflichtung aus Artikel 61 Abs. 1 der Fahrzeuggenehmigungsverordnung (EU-Verordnung 2018/858) nach. Dort heißt es: „Die Hersteller gewähren unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu Fahrzeug-OBD-Informationen, Diagnose- und anderen Geräten und Instrumenten einschließlich der vollständigen Referenzinformationen und verfügbaren Downloads für die zu verwendende Software sowie zu Fahrzeugreparatur- und -wartungsinformationen.“
Der Kläger war der Meinung, dass diese Verpflichtung von dem Automobilhersteller nicht ausreichend erfüllt wurde, da die FIN nicht angegeben wurde. Der Automobilhersteller vertrat wiederum die Ansicht, dass die FIN personenbezogen sei und die Pflicht aus der Fahrzeuggenehmigungsverordnung nicht den Vorgaben aus Art. 6 Abs. 2 und 3 DSGVO entsprechen würde. Deswegen könne auch die Rechtsgrundlage von Art. 6 Abs. 1 lit. c DSGVO für die Verarbeitung der FIN nicht herangezogen werden.
Entscheidung des EuGH
Der EuGH setzte sich zunächst mit dem Personenbezug der FIN auseinander. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person … beziehen“. Wobei diese Definition nach der Rechtsprechung gilt, wenn die betreffenden Informationen aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen mit einer bestimmten Person verknüpft sind. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem für die Verarbeitung Verantwortlichen oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Zusatzinformationen, die zur Identifizierung einer Person erforderlich sind, müssen nicht notwendigerweise alle in den Händen derjenigen Person liegen, die die Datenverarbeitung vornimmt.
Die FIN ist, wie oben bereits erwähnt, die Seriennummer eines Fahrzeuges und laut Art. 2 Nr. 2 der Verordnung Nr. 19/2011 „der alphanumerische Code, den der Hersteller einem Fahrzeug zu dem Zweck zuweist, dass jedes Fahrzeug einwandfrei identifiziert werden kann.“ Sie ist eine international genormte Seriennummer, die - wie auch der Name und die Anschrift des Inhabers der Zulassungsbescheinigung - in der Zulassungsbescheinigung enthalten sein muss.
Der EuGH entschied, dass die FIN als solche zunächst kein personenbezogenes Datum darstellt, da sie vornehmlich nur der Identifizierung des Fahrzeuges dient. Gleichzeitig stellte der EuGH fest, dass die FIN aber für diejenigen Personen zu einem personenbezogenen Datum wird, die bei vernünftiger Betrachtung über Mittel verfügen, sie einer bestimmten Person zuordnen zu können. Der EuGH hält somit an seinem bisherigen Kurs fest, dass die Bestimmung des Personenbezugs aus der Perspektive des jeweiligen Akteurs zu bewerten ist (relative Theorie). Es kommt also nach dem EuGH gerade nicht darauf an, ob jegliche Dritte mit diesem Datum einen Personenbezug theoretisch herleiten könnten (absolute Theorie). Maßgeblich sei allein die Sicht des jeweiligen Akteurs, der ggf. durch die Mittel und Zusatzinformationen von Dritten einen Personenbezug herstellen kann. Die Erlangung von Zusatzinformationen, die zu einem Personenbezug führen, muss sich laut EuGH im Rahmen des vernünftig Erwartbaren bewegen. Die relative Theorie wird jedoch durch den Zusatz des EuGH eingeschränkt, dass wenn die FIN ein personenbezogenes Datum für die Wirtschaftsakteure darstellt, dies auch gleichzeitig und mittelbar für den Fahrzeughersteller, der die FIN bereitgestellt hat, gelten soll.
Der EuGH verwies insoweit zurück an das LG Köln - dieses muss also prüfen, ob die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen. Zu solchen Mitteln gehört nach Meinung des Generalanwalts die Zulassungsbescheinigung, die zwingend die FIN und die Identität des Fahrzeuginhabers enthalten muss. Sofern das LG Köln diese Frage bejaht, muss der Rechtsrahmen der DSGVO beachtet werden.
Abschließend beantwortet der EuGH die Frage so, dass Art. 61 Abs. 1 in Verbindung mit Art. 61 Abs. 4 und Anhang X Nr. 6.1 der Fahrzeuggenehmigungsverordnung dahin auszulegen ist, dass er für die Fahrzeughersteller eine „rechtliche Verpflichtung“ im Sinne von Art. 6 Abs. 1 Buchst. c DSGVO begründet, die FIN der von ihnen hergestellten Fahrzeuge unabhängigen Wirtschaftsakteuren als „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO bereitzustellen. Im Ergebnis muss der Fahrzeughersteller die FIN unabhängigen Wirtschaftsakteuren zur Verfügung stellen, unabhängig davon, ob sie als personenbezogenes Datum zu qualifizieren ist oder nicht.
Auswirkungen für die Praxis
Diese Rechtsprechung lässt sich auf alle weiteren (technischen) Kennnummern übertragen, die im Prinzip nicht personenbezogen sind, weil sie für sich alleine genommen und ohne Hinzutreten weiterer Daten keine Informationen über eine bestimmte oder bestimmbare natürliche Person enthalten. Die Beurteilung der Identifizierbarkeit bleibt eine Einzelfallentscheidung, welche von der Perspektive des jeweiligen Akteurs und dem Zusatzwissen Dritter, soweit vernünftigerweise mit dessen Nutzung zu rechnen ist, abhängt.
Der jeweilige Akteur muss also prüfen, ob er gegebenenfalls durch eigene Mittel oder Zusatzinformationen von Dritten einen Personenbezug zu der FIN herstellen kann und zusätzlich, ob eine mittelbare Wirkung des Personenbezugs entsteht. Das heißt, dass die FIN für den Akteur (A) keinen Personenbezug haben kann, die FIN aber mittelbar zu einem personenbezogenen Datum werden kann, wenn A die FIN an einen Dritten (D) (entweder eigenständigen Verantwortlichen oder Auftragsverarbeiter) weitergibt, welcher Informationen und Mittel hat, einen Personenbezug herzustellen. Die FIN wird mittelbar zu einem personenbezogenen Datum für A, weil die FIN für D ein personenbezogenes Datum ist. Diese Prüfung wird in der Praxis schwer umsetzbar sein.
Der EuGH lässt offen, welche bzw. ob alle Dritten eine solche mittelbare Wirkung entfalten können. Auch, in welcher Beziehung der Verantwortliche zu dem Dritten stehen muss oder ob ein Datenaustausch zwischen dem Verantwortlichen und dem Dritten vorliegen muss, um eine solche mittelbare Wirkung zu entfalten.
Auch muss das LG Köln noch entscheiden, ob die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen. Es ist jedoch davon auszugehen, dass das LG Köln diesen Punkt offenlässt, weil es im Ergebnis nicht ausschlaggebend auf diesen ankommt. Der Fahrzeughersteller muss die FIN unabhängigen Wirtschaftsakteuren zur Verfügung stellen, unabhängig davon, ob sie als personenbezogenes Datum zu qualifizieren ist oder nicht.
Das deutsche Straßenverkehrsgesetz (StVG) regelt in § 45 Satz 2 StVG, dass zu den Daten, die einen Bezug zu einer bestimmten oder bestimmbaren Person ermöglichen, auch das Kennzeichen eines Fahrzeugs, die FIN und die Fahrzeugbriefnummer gehören. Der deutsche Gesetzgeber fingiert in § 45 Satz 2 StVG, dass die FIN ein personenbezogenes Datum ist. An der Wirksamkeit dieser Fiktion kommen, in Anbetracht der Vollharmonisierung durch die DSGVO, erhebliche Zweifel auf. Mit dieser Entscheidung wird klar, dass die Norm unionsrechtswidrig sein dürfte, weil sie den Personenbezug ausnahmslos fingiert.
Zusammenfassung:
- Der EuGH vertritt zur Bestimmung des Personenbezugs der FIN einen relativen Ansatz. Maßgeblich sei die Perspektive des jeweiligen Wirtschaftsakteurs.
- Die FIN wird zum personenbezogenen Datum, wenn der Wirtschaftsakteur bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen.
- Demnach kann es auch Verarbeitungssituationen geben, bei denen die FIN nicht als personenbezogenes Datum zu bewerten ist, und Situationen, bei denen die FIN ein personenbezogenes Datum darstellt.
- Für den Automobilhersteller kann auch ein mittelbarer Personenbezug entstehen, wenn die FIN für die unabhängigen Wirtschaftsakteure ein personenbezogenes Datum darstellt.
- In Deutschland ist man bisher davon ausgegangen, dass die FIN als solches ein personenbezogenes Datum ist, welches insbesondere in § 45 Satz 2 StVG fingiert wird. Es ist davon auszugehen, dass die Norm europarechtswidrig ist.
