Der EUGH hat mit seinem Urteil vom 09. November 2023 entschieden, dass Fahrzeug-Identifikationsnummern (FIN) unter Umständen als personenbezogene Daten gem. Art. 6 (1) lit. c DSGVO zu behandeln sind.
Worum geht es?
Ursprünglich bezog sich die Vorlagefrage des Landgericht Köln nicht primär auf ein Datenschutz-Problem. Gegenständlich war ein Rechtsstreit zwischen dem Gesamtverband Autoteile-Handel e. V. und Scania CV AB. Scania stellt unabhängigen Reparaturwerkstätten manuellen Zugang zu Fahrzeuginformationen betreffend Wartung und Reparatur zur Verfügung. Die Daten werden diesen Akteuren jedoch nicht in automatisiert auswertbarer Form bereitgestellt. Dies betrifft auch die FIN.
Der Kläger verlangt nun, diese Informationen auf Basis der Verordnung EU 2018/858 (Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30. Mai 2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG (ABl. 2018, L 151, S. 1)) den Werkstätten „leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen“ bereitzustellen.
Unter anderem fragt das vorlegende Gericht nun, ob der Art. 61 Abs. 1 der Verordnung 2018/858 für Fahrzeughersteller eine rechtliche Verpflichtung im Sinne von Art. 6 Abs. 1 Buchst. c DSGVO darstellt, die die Herausgabe von FIN bzw. mit FIN verknüpften Informationen an unabhängige Wirtschaftsakteure als andere Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO rechtfertigen würde.
Die FIN als personenbezogenes Datum?
Der EUGH bejaht dies. Grundsätzlich – so der EUGH – stellt die FIN „als solche keine „personenbezogenen“ Daten“ dar. Jedoch muss die FIN wie auch der Name und die Anschrift des Inhabers der Zulassungsbescheinigung in der Zulassungsbescheinigung eines Fahrzeugs enthalten sein. Mit Zugang zu diesen Informationen (also bspw. den Zulassungspapieren) entsteht somit grundsätzlich die Möglichkeit, die FIN konkreten Kunden zuzuordnen.
„Unter diesen Umständen handelt es sich bei der FIN um ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO der in der Zulassungsbescheinigung ausgewiesenen Person, sofern derjenige, der Zugang zur FIN hat, über Mittel verfügen könnte, die es ihm ermöglichen, die FIN zur Identifizierung des Halters des Fahrzeugs, auf das sich die FIN bezieht, oder zur Identifizierung der Person, die aufgrund eines anderen Rechtstitels denn als Halter über das betreffende Fahrzeug verfügen kann, zu nutzen.
In diesem Fall fällt die FIN gemäß Art. 2 Abs. 1 DSGVO in den Anwendungsbereich der DSGVO. Der Begriff der „Verarbeitung“ gem. Art. 4 Nr. 2 DSGVO umfasst umfasst somit „die Bereitstellung einer FIN durch den „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 DSGVO, wenn diese FIN die Identifizierung einer natürlichen Person ermöglicht.“
In der Praxis kommt es für die Bewertung der FIN als personenbezogenes Datum also immer auf die Einzelfall-Betrachtung an. Sofern in den Zulassungspapieren eine natürliche Person als Halter eingetragen ist oder die Eintragung Rückschlüsse auf eine natürliche Person zulässt (bspw. bei Personengesellschaften als Fahrzeughalter) UND ein Wirtschaftsakteur Zugriff auf diese Dokumente hat, kann dies die FIN in dieser konkreten Situation als personenbezogenes Datum qualifizieren.
Dieser Artikel wurde von mir ggf. in etwas abgewandelter Form ebenfalls im Rahmen des „Juristischen Internetprojekt Saarbrücken“ der Rechtswissenschaftlichen Fakultät der Universität des Saarlandes bereitgestellt und auf der JIPS-Website veröffentlicht.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.