Aus datenschutzrechtlicher Sicht hat der Europäische Gerichtshof (EuGH) am 09.11.2023 eine bedeutende Entscheidung (vgl. Rechtssache C-319/22) bzgl. der Auslegung gefällt, wann sachbezogene Seriennummern ein personenbezogenes Datum sind bzw. werden. Im folgenden Blogbeitrag werden der Ausgangsfall und die Entscheidung selbst kurz dargestellt sowie mögliche Auswirkungen auf die Praxis.
Ausgangsfall: Verweigerung der Übermittlung der Fahrzeug-Identifikationsnummer (FIN)
Auslöser für das Vorabentscheidungsersuchen war folgender Fall vom Landgericht (LG) Köln: Ein Autohersteller (Scania CV AB) machte Reparatur- und Wartungsinformationen gemäß Art. 61 Abs. 1 der EU-Verordnung 2018/858 gegenüber freien Ersatzteilhändlern und anderen „unabhängigen Wirtschaftsakteuren“ auf seiner Website zugänglich. Hierbei veröffentlichte er zunächst nicht die FIN.
Der Kläger (Gesamtverband Autoteile-Handel e. V.) vertrat die Meinung, dass der Autohersteller in diesem Fall seiner rechtlichen Verpflichtungen aus Art. 61 Abs. 1 EU-Verordnung 2018/858 nicht ordnungsgemäß nachgekommen sei, da die FIN fehlte. Der Autohersteller verneinte dies mit der Begründung, dass die FIN ein personenbezogenes Datum sei und nicht ohne entsprechende Ermächtigungsgrundlage aus der DSGVO oder einem nationalen Spezialgesetz an Dritte herausgegeben werden darf.
Daraufhin wurden folgende Fragen dem EuGH vorgelegt:
- Welche konkreten Pflichten über Form, Inhalt und Umfang hat der Fahrzeughersteller gem. Art. 61 Abs.1 und Abs. 2 EU-Verordnung 2018/858 einzuhalten?
- Stellt Art. 61 Abs. 1 der EU-Verordnung 2018/858 für Fahrzeughersteller eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO dar, die die Herausgabe von FIN bzw. mit FIN verknüpften Informationen an unabhängige Wirtschaftsakteure als andere Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO rechtfertigt?
Die FIN – ein personenbezogenes Datum?
Die FIN stellt gemäß Art. 2 Abs. 2 der Verordnung Nr. 19/2011 die Fahrzeug-Identifikationsnummer eines Fahrzeugs dar. Demnach ist sie ein „alphanumerische[r] Code, den der Hersteller einem Fahrzeug zu dem Zweck zuweist, dass jedes Fahrzeug einwandfrei identifiziert werden kann“.
Dieser alphanumerische Code enthält u. a. Informationen über den Herstellercode, die Baureihe, das Modelljahr sowie die Fahrzeugnummerierung – also alle relevanten Daten, um ein Fahrzeug eindeutig identifizieren zu können. Betrachtet man die FIN ausschließlich unter diesen Aspekten, stellt die FIN kein personenbezogenes Datum dar, sondern nur ein sachbezogenes Datum. Gemäß Art. 4 Nr. 1 DSGVO sind nämlich personenbezogene Daten „alle Informationen, die sich auf eine identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der psychischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. Sachdaten sind dagegen Daten, bei denen kein Personenbezug besteht, sondern die sich nur auf eine Sache beziehen.
Allerdings wird die FIN neben dem Namen und der Anschrift des Fahrzeughalters in der Zulassungsbescheinigung hinterlegt. Name und Anschrift eines Fahrzeughalters sind unweigerlich personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO. Durch die Zusammenführung der FIN mit den in der Zulassungsbescheinigung enthaltenen Daten, ist nun ein Personenbezug gegeben, sodass die FIN folglich zu einem personenbezogenen Datum wird und damit unter den sachlichen Anwendungsbereich der DSGVO (Art. 2 Abs. 1 DSGVO) fällt.
Entscheidung des EuGH
Der EuGH kam bezüglich der dritten Vorlagefrage zu dem Ergebnis, dass die FIN an sich kein eigenständiges, personenbezogenes Datum ist, sondern erst durch Hinzuziehung weiterer geeigneter Mittel – wie bspw. der Zulassungsbescheinigung – zu einem solchen wird. Die Entscheidung beruht auf der Begriffsbestimmung gemäß Art. 4 Nr. 1 S. 1 DSGVO, wonach personenbezogene Daten „alle Informationen [sind], die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Der EuGH definiert den Begriff der Identifizierbarkeit einer Person in seinem Urteil (vom 09.11.2023, Az. C-319/22) dahingehend, dass eine Person identifizierbar ist, wenn alle Mittel berücksichtigt werden, die diese „vernünftigerweise entweder von dem Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen, ohne dass es jedoch erforderlich ist, dass sich alle zur Identifizierung dieser Person erforderlichen Informationen in den Händen einer einzigen Einrichtung befinden.“ (Urteil des EuGH vom 09.11.2023, Az. C-319/22, Rn. 45; Urteil des EuGH vom 19.10.2016, Az. C-582/14, Rn. 42 und 43)
Im Falle des oben aufgeführten Rechtsstreites ist also zu klären, ob die Ersatzteilhändler oder andere unabhängige Akteure über Mittel und Zusatzinformationen verfügen, um bzgl. der FIN einen Personenbezug herstellen zu können. Ist dies nicht der Fall, ist die FIN auch kein personenbezogenes Datum. Der EuGH stellt aber in diesem Einzelfall klar, dass der Autohersteller die FIN auch herausgeben muss, da er nach Art. 61 Abs. 1 der Fahrzeuggenehmigungsverordnung (EU-Verordnung 2018/858) zur Herausgabe verpflichtet ist. Dementsprechend besteht für die Übermittlung der FIN eine Rechtsgrundlage gemäß Art. 6 Abs. 1 S. 1 lit. c DSGVO, wonach eine Weitergabe der Daten rechtmäßig ist, „wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist].“
Fazit
Abschließend ist festzuhalten, dass die FIN für sich genommen kein personenbezogenes Datum darstellt, aber unter Zugrundelegung des Kontextes zu einem personenbezogenen Datum werden kann. Ebenso kann dieses Urteil auf jede andere Art von Kennziffer oder Seriennummer übertragen werden, die ohne Hinzuziehung von weiteren Informationen keine natürliche Person identifizierbar machen können. Es ist stets im Einzelfall zu prüfen, ob jene Stelle über entsprechende Mittel und Zusatzinformationen verfügt, um einen Personenbezug bei einem rein sachbezogenen Datum herstellen zu können.
Data Schutz
26. Januar 2024 @ 8:20
Womöglich liegt es daran, dass die Geschäftsführung nicht der Einschätzung des DSB geglaubt hat bzw. diese hinterfragen wollte?!
MC DSGVO
25. Januar 2024 @ 11:26
Als Geschäftsführung von Scania würde ich den DSB fragen warum er selber nicht auf die Begründung des EuGH gekommen ist. Das Fazit des Beitrages fasst den Zusammenhang hervorragend zusammen – dafür muss man nicht vor den EuGH ziehen, es seie denn man hat sonst keine Hobbys.