News
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig.
Die Vorgeschichte
Schon die Schlussanträge des Generalanwalts am EuGH (wir haben hier berichtet) deuteten darauf hin, dass der in der Sache nicht vordergründig datenschutzrechtliche Fall auch zwangsläufig zur Klärung datenschutzrechtlicher Fragen führen wird. Der EuGH musste nämlich entscheiden, ob und, falls ja, unter welchen Umständen eine FIN ein personenbezogenes Datum ist. In Deutschland gibt es mit § 45 StVG eine Vorschrift, gemäß der die FIN ein Datum ist, das einen Bezug zu einer bestimmten oder bestimmbaren Person ermöglicht. Deswegen und wegen der Ansichten der verschiedenen Datenschutzbehörden ist man zumindest in Deutschland davon ausgegangen, dass eine FIN immer einen Personenbezug hat. In seinen Schlussanträgen hatte der Generalanwalt jedoch vertreten, dass eine FIN nicht immer personenbezogen sein muss, aber durchaus personenbezogen sein kann. Der EuGH hat nun entschieden und sich im Wesentlichen den Aussagen des Generalanwalts angeschlossen. Es kann wohl also grundsätzlich auch Verarbeitungssituationen geben, in denen die FIN kein personenbezogenes Datum ist.
Inhalt der Entscheidung
Im Folgenden finden Sie eine stichpunkartige Zusammenfassung des Inhalts der EuGH-Entscheidung unter Angabe des allgemeinen Themas und der jeweils relevanten Randnummern.
Thema: Hat die FIN als solche isoliert betrachtet immer einen Personenbezug?
Randnummer(n): 46 und 49
Zusammenfassung des Inhalts:
- Nein, eine FIN ist ein alphanumerischer Code, den Hersteller einem Fahrzeug zur eindeutigen Identifizierung eines Fahrzeugs zuweisen – der Zweck der FIN ist die Identifizierung des Fahrzeugs (also einer Sache) und nicht vordergründig die Identifizierung eines Menschen
- Als solche isoliert betrachtet hat die FIN keinen Personenbezug – sie kann trotzdem personenbezogen sein
Thema: Unter welchen Umständen hat eine sich primär auf ein Fahrzeug beziehende FIN eine Verbindung zu einem Menschen?
Randnummer(n): 47
Zusammenfassung des Inhalts und der Folgen:
- Zwischen einer FIN und einem Menschen kann es bspw. eine Verbindung geben, wenn ein Mensch in den Zulassungspapieren eingetragen ist
- Ein Halter oder Eigentümer oder anders über ein Fahrzeug aufgrund eines Rechtstitels verfügender Mensch muss in Zulassungspapieren eingetragen sein – die FIN und die in den Papieren benannte Person haben dann miteinander eine Verbindung („Fahrzeug gehört Person A“)
- Die FIN eines Fahrzeugs ist etwa mit einer Geräte-ID eines Telefons vergleichbar – beide beziehen sich in erster Linie auf einen Gegenstand und nicht auf einen Menschen, obwohl es dennoch auch zusätzlich eine Verbindung zu einem Menschen geben kann
Thema: Unter welchen Umständen ist eine FIN ein personenbezogenes Datum?
Randnummer(n): 45 bis 49
Zusammenfassung des Inhalts und der Folgen:
- Eine FIN ist dann personenbezogen, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, die in den Fahrzeugpapieren zusammen mit der FIN genannt wird
- Eine natürliche Person gilt dann als identifizierbar, wenn entweder ein Verantwortlicher oder ein Dritter über Mittel verfügt, die vernünftigerweise eingesetzt werden könnten, um die betreffende Person zu bestimmen
- „Bestimmen“ meint, dass ein Verantwortlicher oder Dritte bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person direkt oder indirekt zuzuordnen
- Eine FIN kann mitunter einer natürlichen Person zugeordnet werden, die in Fahrzeugpapieren eingetragen ist oder anders als Kriterium für die Zuordnung zu einem Menschen verwendet werden und dann einen Personenbezug haben
Thema: Kann die FIN auch dann personenbezogen sein, wenn der die FIN nutzende Akteur nicht über Mittel und Informationen zur Identifizierung einer natürlichen Person verfügt?
Randnummer(n): 45 und 49
Zusammenfassung des Inhalts und der Folgen:
- Ja, die FIN kann auch dann für einen Akteur personenbezogen sein, wenn der Akteur selbst nicht über Mittel und Informationen zur Identifizierung einer natürlichen Person verfügt
- Für einen Fahrzeughersteller ist eine FIN auch dann ein personenbezogenes Datum, wenn ein unabhängiger Wirtschaftsakteur, der die FIN vom Hersteller erhält, unter vernünftiger Betrachtung über Mittel verfügt, die eine Zuordnung der FIN zu einer natürlichen Person ermöglichen – es ist nicht notwendig, dass der Hersteller selbst über die Mittel und Informationen verfügt und die FIN für den Hersteller an sich einen Personenbezug aufweist
- Es ist nicht notwendig, dass sich alle zur direkten oder indirekten Identifizierung benötigten Informationen (hier: mehr Informationen als nur die FIN an sich) in den Händen ein und desselben Akteurs befinden
- Wenn ein Hersteller selbst nicht über die zur Identifizierung notwendigen Mittel und Informationen verfügt, dann ist die FIN trotzdem mittelbar ein personenbezogenes Datum für einen solchen Hersteller, wenn der unabhängige Wirtschaftsakteur, der die FIN vom Hersteller erhält, über solche Mittel und Informationen verfügt
- In der Praxis führt dies im folgenden Bsp. zum folgenden Ergebnis: Ein Akteur „A“ kann zu von ihm verwendeten Daten selbst keinen Personenbezug herstellen. Dieser Akteur gibt diese Daten an den eigenständigen Verantwortlichen (so im vom EuGH entschieden Fall) oder Auftragsverarbeiter „B“ weiter. Der B hat Informationen und Mittel, um eine direkte oder indirekte Identifizierung vorzunehmen. Deswegen werden die von A an B weitergebenen Daten auch für A personenbezogen.
Thema: Welche Rolle spielt es, wenn der Name einer in den Papieren benannten juristischen Person ebenfalls den Namen einer natürlichen Person enthält (bspw. Peter Müller GmbH)?
Randnummer(n): 49 und die bisherige EuGH-Rechtsprechung zum Personenbezug
Zusammenfassung des Inhalts und der Folgen:
- Wenn überhaupt keine natürliche Person in den Fahrzeugpapieren erwähnt ist, kann die FIN keinen Personenbezug haben – dann bezieht sich die FIN nur auf eine in Papieren eingetragene juristische Person und ist als solches kein personenbezogenes Datum i.S.v. Art. 4 Nr. 1 DSGVO
- Wenn der Name der in den Fahrzeugpapieren eingetragenen juristischen Person aber den Namen einer natürlichen Person enthält (bspw. Peter Müller GmbH), dann bezieht sich – im Einklang mit der Rechtsprechung des EuGH – die Information zur juristischen Person gleichzeitig auf eine natürliche Person – siehe hier in Rn. 53 und 54: „juristische Personen [können sich] gegenüber einer solchen Bestimmung auf den durch die Art. 7 und 8 der Charta verliehenen Schutz nur berufen, soweit der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt. Dies ist bei der Klägerin des Ausgangsverfahrens in der Rechtssache C‑92/09 der Fall. Der Name der betreffenden Gesellschaft bestimmt nämlich unmittelbar natürliche Personen, die deren Gesellschafter sind.“
- Wenn die Bezeichnung einer in Papieren benannten juristischen Person zugleich den Namen einer natürlichen Person enthält, kann die FIN doch einen Personenbezug haben, obwohl für sich genommen vor allem eine juristische Person in den Fahrzeugpapieren eingetragen ist
- Ist in den Papieren nur eine juristische Person erwähnt, dessen Bezeichnung keinen Namen einer natürlichen Person enthält, dann ist die FIN in der Regel kein personenbezogenes Datum
Thema: Wann kann eine FIN keinen Personenbezug haben, obwohl eine natürliche Person in den Papieren benannt ist?
Randnummer(n): 46 und 49
Zusammenfassung des Inhalts und der Folgen:
- Wenn in den Fahrzeugpapieren eine natürliche Person eingetragen ist, aber weder der Verantwortliche noch ein Dritter unter vernünftiger Betrachtung über Mittel und Informationen zur direkten oder indirekten Identifizierung verfügen, dann ist die FIN auch kein personenbezogenes Datum
Thema: Ist § 45 StVG in Bezug auf die Regelung zur FIN unionsrechtswidrig?
Randnummer(n): 49
Zusammenfassung des Inhalts und der Folgen:
- 45 StVG regelt Folgendes: „Auf die Verarbeitung von Daten, die keinen Bezug zu einer bestimmten oder bestimmbaren Person ermöglichen, finden die Vorschriften dieses Abschnitts keine Anwendung. Zu den Daten, die einen Bezug zu einer bestimmten oder bestimmbaren Person ermöglichen, gehören auch das Kennzeichen eines Fahrzeugs, die Fahrzeug-Identifizierungsnummer und die Fahrzeugbriefnummer.“
- 45 Satz 2 StVG geht pauschal davon aus, dass die FIN einen Bezug zu einer bestimmten oder bestimmbaren Person ermöglicht, ohne dabei (bspw. bei Papieren, in denen ausschließlich juristische Personen erwähnt werden) ein anderes Ergebnis zuzulassen
- Nach der EuGH-Entscheidung ist klar, dass eine FIN zumindest dann keinen Personenbezug haben kann, wenn die in Zulassungspapieren eingetragenen Personen weder natürliche Personen sind noch der Name einer dort benannten juristischen Person zugleich den Namen einer natürlichen Person enthält
- Weil § 45 Satz 2 StVG keinen Raum für die Annahme eines nicht vorhandenen Personenbezugs im Einzelfall lässt, ist die Vorschrift unionsrechtswidrig
- Weil § 45 Satz 2 StVG bestimmte Informationen pauschal als personenbezogenes Datum definiert, obwohl Art. 4 Nr. 1 DSGVO abschließend eine Definition für den Personenbezug enthält, ist die deutsche Vorschrift unionsrechtswidrig
Ist jetzt alles zum Bestimmen des Personenbezugs geklärt?
Die Antwort lautet wohl eindeutig „nein“. Einerseits muss das LG Köln erst noch entschieden, ob die „unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen“ (siehe Rn. 49). Andererseits ist an den entscheidenden Stellen des Urteils klar merkbar, dass sich die Richter am EuGH bei der Beantwortung der Vorlagefragen schwergetan haben. Im Urteil findet man keine klare und einfach verständliche Aussage dazu, ob personenbezogene Daten immer für alle einen Personenbezug aufweisen oder nur für einige personenbezogen sein können und welche Dritte bei der Prüfung der Identifizierbarkeit beachtet werden müssen.
Die Aussagen in Rn. 46 suggerieren, dass es ausschließlich auf eine individuelle Betrachtung aus Sicht des einzelnen Akteurs und nicht auf die bei Dritten vorhandenen Informationen ankommt. Die FIN als solche ist kein personenbezogenes Datum, aber sie wird dann personenbezogen „für denjenigen, der bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen“. Das könnte man zunächst so verstehen, dass nur für einen Akteur, der die Zuordnung vornehmen kann, ein Personenbezug besteht. Auch in Rn. 48 heißt es, „Unter diesen Umständen handelt es sich bei der FIN um ein personenbezogenes Datum (…), sofern derjenige, der Zugang zur FIN hat, über Mittel verfügen könnte, die es ihm ermöglichen, die FIN zur Identifizierung (…) zu nutzen.“
So richtig passt dieses rein aus individueller Perspektive einzelner Akteure zu betrachtende Verständnis zum Personenbezug aber nicht zu den Feststellungen in der entscheidenden Rn. 49. Dort geht der Gerichtshof davon aus, dass die FIN für sich genommen für die Fahrzeughersteller kein personenbezogenes Datum ist, insbesondere dann nicht, wenn das Fahrzeug, dem sie zugewiesen wurde, nicht einer natürlichen Person gehört. Aber gleichzeitig hat der EuGH entschieden, dass auch in so einem Fall „mittelbar für die Fahrzeughersteller, die die FIN bereitstellen, [die FIN] ein personenbezogenes Datum“ ist, sofern dies auch für einen unabhängigen Wirtschaftsteilnehmer gilt. Der EuGH geht nämlich davon aus, dass sofern für die unabhängigen Wirtschaftsakteure ein Personenbezug besteht, weil die Wirtschaftsakteure „bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen“, dasselbe auch „mittelbar“ für den Fahrzeughersteller gilt. Und der Personenbezug ist in so einem Fall selbst dann auch für Fahrzeughersteller trotzdem vorhanden, „wenn die FIN für sich genommen für die Fahrzeughersteller kein persönliches Datum darstellt.“
Das EuGH-Urteil muss daher so verstanden werden, dass es nicht auf die rein individuelle Perspektive eines einzelnen Akteurs und nicht ausschließlich für diesen verfügbare Mittel ankommt. Der EuGH hat vielmehr in Rn. 45 seine alte Rechtsprechung bestätigt. „Bei der Entscheidung, ob eine natürliche Person unmittelbar oder mittelbar identifizierbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen (…) oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“. Es kommt also auch auf die Mittel zur Identifizierung an, die nicht vom Verantwortlichen, sondern nur von einem Dritten eingesetzt werden könnten, und nicht nur auf die von einem bestimmten Akteur individuell eingesetzten Mittel. Zudem ist auch nicht „erforderlich (…), dass sich alle zur Identifizierung (…) erforderlichen Informationen in den Händen einer einzigen Einrichtung befinden.“
Wenn also ein Akteur „A“ selbst nicht über die Mittel zur Identifizierung verfügt und eine Information – wie etwa die FIN – für sich genommen keinen Personenbezug hat, dann kann wegen der bei Akteur „B“ vorhandenen Mittel und Informationen für A die Information trotzdem personenbezogen sein.
Ausblick
In der neuen Entscheidung hat der EuGH an den entscheidenden Stellen leider keine allzu klaren Worte gefunden. Es steht jedenfalls fest, dass eine isolierte und rein individuelle Betrachtung der bei einem Einzelnen vorhandenen Mittel und Informationen auch nicht im Einklang mit dem EuGH-Urteil steht, obwohl solche Tendenzen in den Randnummern 46 und 48 erkennbar sind. Gleichzeitig ist auch klar, dass eine FIN nicht immer einen Personenbezug haben muss. Es bleibt insbesondere zu klären, welche Dritten mit in den Kreis einzubeziehen sind, deren Mittel und Informationen einen Einfluss darauf haben, ob für jemanden anderes eine Information ein personenbezogenes Datum ist. In dem vom EuGH entschiedenen Fall sollen unabhängige Wirtschaftsakteure schließlich vom Hersteller die FIN erhalten und es ist eher naheliegend im Falle eines direkten Datenaustausches mit einem Dritten auch die Mittel und Informationen des Dritten mit einzubeziehen. Ggf. wäre der Fall anders zu beurteilen, wenn es zwischen dem Verantwortlichen und Dritten keine Beziehung und keinen Datenaustausch gäbe.
Eine Entscheidung vom EuG zum Personenbezug und der Pseudonymisierung wurde von einigen in der Datenschutz-Szene als Richtungswechsel bei der Bestimmung des Personenbezugs verstanden (wir haben hier berichtet). Dieser Fall wird vom EuGH in Zukunft überprüft. Eventuell wird der Gerichtshof dort die Chance nutzen und klarere Worte finden, die für die Praxis nützlich sind, wenn die Frage nach dem Personenbezug im Einzelfall zu klären ist.
News
Weiterer Ausbau der Kompetenz im Bereich der Beratung im IT-Sicherheitsrecht
Im Rahmen unserer Beratungsstrategie bauen wir bei Piltz Legal kontinuierlich unsere Kompetenzen im Bereich IT-Sicherheitsrecht aus. Bei der Beratung unserer Mandanten ist es uns wichtig, nicht nur fachspezifisches rechtliches Know How zu liefern, sondern auch die Sprache der IT sprechen zu können.
Erneut Auszeichnung von der WirtschaftsWoche
Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.
Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff
Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.
Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.
Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten
Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.