News
Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an
In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert. Der Generalanwalt kommt zum Ergebnis, dass die FIN personenbezogen sein kann aber nicht sein muss, und benennt konkrete Kriterien für die Bestimmung, ob ein Personenbezug vorliegt. Das ist nicht zuletzt deswegen beachtlich, weil in § 45 Satz 2 StVG der FIN ein Personenbezug zugeschrieben wird und Datenschutzbehörden aus Deutschland und anderen Mitgliedstaaten und auch der EDSA zuvor wiederholt die FIN immer als personenbezogen einstuften.
Sachverhalt, zu dem der Generalanwalt sich geäußert hat
Bevor man sich dem Inhalt der Schlussanträge widmet, lohnt es sich einmal zu klären, was eine FIN überhaupt ist. Die FIN wird in Art. 2 Nr. 2 VO 19/2011 der KOM definiert als der alphanumerische Code, den der Hersteller einem Fahrzeug zu dem Zweck zuweist, dass jedes Fahrzeug einwandfrei identifiziert werden kann. Die FIN ist also eine nur einmal vorkommende Zahlen- und Zeichenabfolge, die einem Fahrzeug eindeutig zugeordnet ist.
Weil Fahrzeuge auch einem Fahrzeugeigentümer und -halter zugeordnet werden, kommt häufig in der Praxis die Frage auf, ob die FIN denn personenbezogen ist. Der EuGH hat in einem Urteil vom 24. Februar 2022 in einem Fall keine Zweifel daran geäußert, dass die von der Steuerbehörde angefragten Daten – zu der auch die FIN gehörte – personenbezogen waren. Auch in anderen Entscheidungen hat der EuGH bei der Feststellung eines Personenbezugs den Standpunkt vertreten, dass Zusatzinformationen – wie bei Dritten vorhandenes Wissen – zu berücksichtigen sind. Es ist laut der EuGH-Rechtsprechung insbesondere nicht notwendig, dass sich die für die Zuordnung zu einer Person notwendigen Zusatzinformationen bei demjenigen befinden, der die Datenverarbeitung vornimmt.
Der Generalanwalt ist jedoch in der im Fokus dieses Beitrags stehenden Rechtssache der Auffassung, dass die FIN nicht immer personenbezogen sein muss. In dem Rechtsstreit geht es um die Verpflichtung zur Herausgabe der FIN an unabhängige Wirtschaftsakteure. Man streitet darüber, ob die FIN personenbezogen ist und ob Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der Pflicht zur Herausgabe von Informationen aus der Verordnung 2018/858 die Weitergabe der FIN erlaubt.
Das Unternehmen Scania gewährt unabhängigen Wirtschaftsakteuren (wie den Mitgliedern des im Streitfall relevanten Gesamtverbands Autoteile-Handel) über eine Website u.a. Zugang zu Fahrzeugdaten und Reparatur- und Wartungsinformationen. Hierzu gehört jedoch nicht die FIN. Scania argumentiert, dass die FIN personenbezogen sei und die Pflicht aus der Verordnung 2018/858 nicht den Vorgaben aus Art. 6 Abs. 2 und 3 DSGVO entsprechen würde. Es wurde vorgetragen, dass eine FIN deswegen nicht auf Basis von Art. 6 Abs. 1 lit. c DSGVO herausgeben werden könne. Für den Ausgangsfall ist es entscheidend, ob die FIN ein personenbezogenes Datum ist. Denn nur dann wäre eine Rechtsgrundlage aus der DSGVO für die Weitergabe der FIN erforderlich.
Was sagt die DSGVO dazu, wann eine Information personenbezogen ist?
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…). Dabei sieht Erwägungsgrund 26 Satz 3 zur DSGVO eine weite Betrachtung bei der Feststellung des Personenbezugs vor: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“
Aussagen von deutschen Datenschutzbehörden und des EDSA vor den Schlussanträgen
Verschiedene Datenschutzaufsichtsbehörden haben bisher den Personenbezug bei der FIN immer angenommen. So geht die LDI NRW davon aus, dass die FIN ein personenbezogenes Datum ist. Denn über sie ließen sich rein technische Daten eines Kraftfahrzeuges mit den Halterdaten oder den Kundendaten verknüpfen (24. Datenschutz- und Informationsfreiheitsbericht der LfDI NRW S. 44). Bei einem vom BayLDA untersuchten Fall (siehe 6. Tätigkeitsbericht 2013/2014 des BayLDA S. 69) ging es um die Frage, ob Kfz-Versicherungen, die nach Verkehrsunfällen u.a. die FIN an Restwertbörsen weiterleiten, personenbezogene Daten übermitteln. Auch hier vertrat die Behörde, dass die FIN ein personenbezogenes Datum ist.
Laut einer gemeinsamen Erklärung der DSK mit dem Verband der Automobilindustrie aus dem Jahr 2016 sind „die bei der Kfz-Nutzung anfallenden Daten (…) jedenfalls dann personenbezogen im Sinne des Bundesdatenschutzgesetzes (BDSG), wenn eine Verknüpfung mit der Fahrzeugidentifikationsnummer oder dem Kfz- Kennzeichen vorliegt.“ Der EDSA hat sich in den Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen ebenfalls zur FIN geäußert. Die Behörden der Mitgliedstaaten scheinen darin davon auszugehen, dass die FIN personenbezogen ist und in vielen Fällen überhaupt erst eine Zuordnung von Informationen aus einem Fahrzeug zu einer natürlichen Person ermöglicht.
Ansicht des Generalanwalts
Der Generalanwalt ist der Auffassung, dass die FIN nicht zwingend ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO sei. Es komme darauf an, aus wessen Perspektive man die Frage betrachtet und welche Mittel ein bestimmter Akteur vernünftigerweise zur Identifizierung nutzt. Bislang ist allgemein nicht geklärt, ob eine Information entweder immer für alle einen Personenbezug oder keinen Personenbezug aufweist oder ob das je nach Akteur unterschiedlich sein kann. Der Generalanwalt scheint der Ansicht zu folgen, dass man aus individueller Perspektive bestimmen müsse, ob ein bestimmter Akteur mit Zugang zur FIN über Mittel verfügen kann, die es ihm bei vernünftiger Betrachtung ermöglichen, die FIN zur Identifizierung des Eigentümers des jeweiligen Fahrzeugs zu nutzen. Der Generalanwalt geht darauf ein, dass als mögliche Mittel der Identifizierung Zulassungsbescheinigungen beachtet werden müssen, die gemäß gesetzlichen Vorgaben zwingend die FIN und die Identität des Fahrzeuginhabers enthalten. In den Schlussanträgen wird vertreten, dass eine Behörde ggf. andere Mittel vernünftigerweise nutzen würde als ein anderer Akteur.
Im Ausgangsfall wurde auch argumentiert, dass die FIN zumindest dann kein personenbezogenes Datum sei, wenn der Käufer eines Fahrzeugs keine natürliche Person ist. Der Generalanwalt schließt sich dieser Aussage an und geht davon aus, dass eine die FIN „nicht als solche und nicht in jedem Fall“ ein personenbezogenes Datum sei. Es würde „zumindest für die Hersteller von Fahrzeugen in der Regel und vor allem dann [kein Personenbezug bestehen], wenn das Fahrzeug keiner natürlichen Person gehört.“ In dem Kontext ist es interessant, dass der Generalanwalt nicht weiter auf die EuGH-Rechtsprechung zum Personenbezug von Informationen eingeht, die sich auf ein Unternehmen beziehen, das in seiner Bezeichnung auch den Namen eines Menschen enthält. Ggf. wird der EuGH auf seine diesbezügliche Rechtsprechung im Urteil eingehen und klarstellen, wann eine FIN nicht personenbezogen ist, wenn ein Fahrzeug einem Unternehmen gehört. Das wäre insbesondere deswegen wünschenswert, weil der Eigentümer und der Halter eines Fahrzeugs nicht ein und dieselbe Person sein müssen. Bspw. kann eine Bank Eigentümer eines Leasingfahrzeugs sein aber ein Mensch der Halter desselben Fahrzeugs.
Ob im konkreten Fall die FIN ein personenbezogenes Datum ist, müsse laut dem Generalanwalt aber auch nicht der EuGH, sondern das vorlegende Gericht prüfen. Der Generalanwalt äußert sich jedoch etwas indirekt zum von ihm vertretenen Ergebnis, indem er Folgendes schreibt: „Es ist Sache des vorlegenden Gerichts, zu klären, ob, wie es den Anschein hat, die Mitglieder des Gesamtverbands Autoteile-Handel bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, eine FIN einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen. Sollte dies der Fall sein, wären die FIN für sie (und mittelbar für den Hersteller, der ihnen die FIN zur Verfügung stellt) personenbezogene Daten, deren Verarbeitung der DSGVO unterliegt.“
Konsequenzen für die Praxis und Übertragbarkeit
In dem Verfahren vor dem EuGH geht es speziell um die Frage, ob die FIN ein personenbezogenes Datum ist. Sollte der EuGH sich der Ansicht des Generalanwalts anschließen, hätte dies jedoch auch potenziell Auswirkungen auf andere Kennnummern. Dann wäre nämlich aus individueller Perspektive zu bestimmen, wer welche Mittel vernünftigerweise für die Identifizierung nutzt und dabei nicht immer auch auf bei Dritten vorhandenes und für den Datenverarbeitenden einholbares Wissen abzustellen. Der EuGH ist selbstverständlich nicht an die Schlussanträge des Generalanwalts gebunden. Sollte der Gerichtshof aber der in der Schlussanträge geäußerten Auffassung folgen, hätte diese Entscheidung eine hohe Praxisrelevanz für den Automobilsektor. Dies beträfe beispielsweise Anbieter von Websites, auf denen man anhand der Angabe der FIN weitere Informationen zum Fahrzeug erhalten kann. Auch bleibt abzuwarten, wie sich eine entsprechende Entscheidung des EuGH auf die in Veröffentlichungen von Behörden getätigten Annahmen auswirken würden und wie § 45 Satz 2 StVG vor diesem Hintergrund zu bewerten wäre.
News
Neuer Referentenentwurf des BMJ: Gesetz zur Änderung des Bürgerlichen Gesetzbuchs – Einsichtnahme in die Patientenakte
Hinsichtlich des Anspruchs auf Erhalt von Informationen und Dokumenten aus einer Patientenakte ist eine Änderung des Bürgerlichen Gesetzbuches geplant. Diese Änderungen schlägt des Bundesjustizministerium in einem aktuellen Referentenentwurf als Reaktion auf das EuGH-Urteil in der C‑307/22 vom 26. Oktober 2023 vor.
DSK zum datenschutzkonformen KI-Einsatz
Die DSK-Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ adressiert vor allem Verantwortliche, die KI einsetzen, aber auch mittelbar Entwickler, Hersteller und Anbieter von KI-Lösungen. Sie bietet einen Überblick zu aus Sicht der Behörden relevanten Kriterien, soll jedoch nicht als abschließender Anforderungskatalog verstanden werden. Trotzdem enthält das Dokument Verweise auf eine große Vielzahl verschiedener rechtlicher Anforderungen.
Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen
In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.
Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht
Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen
Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.