EuGH zur FIN als personenbezogenes Datum
Der EuGH hat in seinem Urteil vom 09.11.2023 in der Rechtssache C-319/22 Gesamtverband Autoteile e.V. gegen Scania CV AB dazu geurteilt, ob es sich bei der Fahrzeugidentifikationsnummer (FIN) um ein personenbezogenes Datum im Sinne der DSGVO handelt.
Der Sachverhalt
In dem vom LG Köln vorgelegten Vorabentscheidungsverfahren ging es im Kern um die Verpflichtung von Scania (einem der größten LKW Produzenten Europas), unabhängigen Wirtschaftsakteuren (z.B. Herstellern von Ersatzteilen, unabhängigen Werkstätten, etc.) bestimmte Fahrzeuginformationen elektronisch bereitzustellen.
Zur Beurteilung, ob eine solche Verpflichtung besteht, kam es für das LG Köln entscheidend darauf an, ob es sich bei der FIN um ein personenbezogenes Datum handelt, das dem Anwendungsbereich der DSGVO unterfällt.
Die FIN ist ein alphanumerischer Code, der jedem Fahrzeug individuell bei der Herstellung zugewiesen wird und der dazu dient, dieses eindeutig zu identifizieren. Die FIN ist zusammen mit dem Namen und der Anschrift des Halters in der Zulassungsbescheinigung enthalten.
Die Entscheidung des EuGH
Der EuGH stellt fest, dass es sich bei der FIN nicht an sich um ein personenbezogenes Datum handelt (Rn. 46). Die FIN sei dann aber ein personenbezogenes Datum, „wenn die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen“. Es lägen dann personenbezogene Daten für diese Wirtschaftsakteure sowie mittelbar für die Fahrzeughersteller vor, die die FIN bereitstellten. Ob eine derartige Zuordnung im vorliegenden Fall gegeben sei, müsse vom vorlegenden Gericht festgestellt werden (Rn. 49).
Einordnung
- Der EuGH bestätigt zunächst die vor allem in der Breyer-Entscheidung (C-582/14) aufgestellten Grundsätze zum Personenbezug von Daten. Darin hatte der EuGH geurteilt, dass es sich bei der IP-Adresse dann um ein personenbezogenes Datum handelt, wenn der Verantwortliche oder ein Dritter bei vernünftiger Betrachtungsweise über Mittel verfügt, die die Zuordnung der Daten zu einer natürlichen Person ermöglichen, zum Beispiel weil für den Webseitenbetreiber ein Auskunftsanspruch gegen den Internet Service Provider besteht, der über IP-Adresse und Klarnamen des Anschlussinhabers verfügt.
- Erwartungsgemäß bleibt offen, welche Kriterien konkret maßgeblich sind, um zu beurteilen, wann bei „vernünftiger Betrachtungsweise“ eine Zuordnung eines Datums zu einer natürlichen Person möglich ist (im vorliegenden Fall die Zuordnung der FIN zu einem Halter). Hier wird auch künftig in der Praxis eine erhebliche Rechtsunsicherheit verbleiben, ob es sich im Einzelfall um personenbezogene Daten handelt oder nicht.
- In den bisherigen Reaktionen gehen die Meinungen darüber auseinander, ob der EuGH in seinem Urteil das Erfordernis eines relativen Personenbezugs be- oder entkräftet. Uneinheitlich wird also die Frage beantwortet, ob es – im vorliegenden Fall – für die Personenbeziehbarkeit beim Fahrzeughersteller darauf ankommt, (i) dass er selbst(!) bei vernünftiger Betrachtungsweise über die Mittel zur Zuordnung verfügt (relativer Personenbezug) oder (ii) ob es ausreicht, dass die „unabhängigen Wirtschaftsakteure“ über diese Mittel verfügen, selbst wenn es faktisch ausgeschlossen ist, dass der Hersteller an diese Informationen gelangt (absoluter Personenbezug). Der EuGH gibt insofern nur in einem Halbsatz den Hinweis, dass die FIN auch „mittelbar für die Fahrzeughersteller“ ein personenbezogenes Datum darstelle, ohne klarzumachen, ob er selbst über die Mittel zur Zuordnung verfügen muss oder ihm die Mittel des „unabhängigen Wirtschaftsakteurs“ zugerechnet werden. Die Position des EuGH muss in dieser Frage daher weiter als unklar bezeichnet werden.
Die Frage dürfte allerdings in absehbarer Zeit ausdrücklich vom EuGH entschieden werden. Denn in der ersten Jahreshälfte 2023 war in diesem Zusammenhang in der vieldiskutierten Rechtssache SRB vs. EDSB (T 557/20) eine Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) durch das EuG für nichtig erklärt worden, in der dieser von einem absoluten Personenbezug ausgegangen war. Der EDSB hatte angenommen, dass es für einen Personenbezug eines an sich nicht personenbezogenen Datums aus Sicht des Verantwortlichen ausreichend sei, dass ein Dritter den Personenbezug herstellen könne, ohne zu prüfen, ob der Verantwortliche tatsächlich bei vernünftiger Betrachtungsweise ebenfalls über Mittel verfügte, um den Zusammenhang herzustellen. Gegen diese Entscheidung ist derzeit ein Rechtsmittelverfahren vor dem EuGH anhängig, in dem der EuGH ausdrücklich wird Stellung beziehen müssen.
Ausblick: Auswirkungen auf den EU Data Act
Vorstehende Fragen sind auch für die Nutzungsmöglichkeiten und Pflichten unter der künftigen EU Datenverordnung (EU Data Act) hochrelevant. Danach ist ein Nutzer vernetzter Geräte (beispielsweise der Halter eines vernetzten Fahrzeugs) berechtigt, den Zugriff auf solche Daten zu verlangen, die durch in seinem Besitz befindliche vernetzte Geräte erzeugt werden (beispielsweise Motordaten), die aber wegen der Vernetzung im Zugriff des Dateninhabers liegen (beispielsweise bei dem Hersteller des vernetzten Fahrzeugs). Da die Datenverordnung aber die Regelungen der DSGVO unberührt lässt, ist für die Herausgabe personenbezogener Daten eine Rechtsgrundlage, also ein Erlaubnistatbestand, erforderlich. Der Dateninhaber wird also die im Einzelfall ggf. schwierige Frage beantworten müssen, für wen (Hersteller, Nutzer, Empfänger) die vernetzten Fahrzeugdaten einen hinreichenden Personenbezug aufweisen und er somit für die Weitergabe dieser Daten einer Rechtsgrundlage bedarf. Sofern eine solche nicht vorliegt, müssen personenbezogene Daten ggf. technisch aufwändig aus dem Gesamtdatensatz entfernt werden, was für das technische Design und für die Prozesse äußerst praxisrelevant ist.