Daten entziffert? Die VIN / FIN als personenbezogenes Datum nach der EuGH-Entscheidung

Der EuGH zu Fahrzeug-Identifizierungsnummern als personenbezogene Daten

Der Europäische Gerichtshof („EuGH“) hat in der Sache C-319/22 entschieden, dass die Fahrzeug-Identifizierungsnummer („FIN“, in der Praxis oft nach der englischen Übersetzung „Vehicle Identification Number“ als „VIN“ bezeichnet) (i) zumindest als solche kein personenbezogenes Datum darstellt, (ii) jedoch zu einem wird, wenn derjenige, der Zugang zu ihr hat über Mittel verfügt, die er „vernünftigerweise“ zur Identifizierung des Halters des Fahrzeugs einsetzen kann.

Dies setzt die Rechtsprechung des EuGH fort, dass häufig keine pauschale Aussage darüber möglich ist, ob eine Information ein personenbezogenes Datum ist, sondern vielmehr die Umstände des konkreten Falles zu betrachten sind. Allerdings vermeidet der EuGH auch in diesem Urteil wieder eine Festlegung über praxisrelevante Fragen, insbesondere dazu wann jene Mittel „vernünftigerweise“ zur Identifizierung der betreffenden Person eingesetzt werden können.

Gegenstand des Verfahrens

Gegenstand des Verfahrens waren drei Vorlagefragen des Landgerichts Köln vom 11. Mai 2022. Im Ausgangsrechtsstreit stritten die Scania CV AB und der Gesamtverband Autoteile-Handel e.V. über Pflichten des Herstellers (konkret über Form, Inhalt und Umfang dieser Pflichten) nach Art. 61 Abs. 1 und 2 der Verordnung (EU) 2018/858 (Verordnung über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge – „VO 2018/858“). Zur Beantwortung der dritten Vorlagefrage musste der EuGH auch darüber entscheiden, ob es sich bei der FIN um ein personenbezogenes Datum handelt.

Entscheidung des EuGH zur FIN als personenbezogenes Datum

Für die Definition der Identifizierbarkeit einer Person greift der EuGH wiederholt auf seine Rechtsprechung zur Rs. Breyer zurück und verweist darauf, dass für die Frage der Identifizierbarkeit:

„alle Mittel berücksichtigt werden [sollten], die vernünftigerweise entweder von dem Verantwortlichen […] oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen, ohne dass es jedoch erforderlich ist, dass sich alle zur Identifizierung dieser Person erforderlichen Informationen in den Händen einer einzigen Einrichtung befinden“.

Dies steht auch im Einklang mit Erwägungsgrund 26 der Datenschutz-Grundverordnung („DSGVO“). Das Gericht schließt sich daher der Ansicht des Generalanwalts an, dass die FIN zwar:

„als solche keine ‚personenbezogenen‘ Daten darstellen“, aber: „für denjenigen, der bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen, zu personenbezogenen Daten [werden]“.

Hintergrund ist auch, dass der Generalanwalt die FIN als im Prinzip bloßen „alphanumerischen Code“ beschreibt, den der Hersteller einem Fahrzeug zuweist und der strenggenommen nur dessen genauer Identifizierung dient. Der Natur nach sei die FIN also eigentlich ein sachbezogenes, aber nicht personenbezogenes Merkmal. Allerdings bemerken Generalanwalt und EuGH auch, dass Zulassungsbescheinigungen Informationen wie FIN, Name und Anschrift des Inhabers der Zulassungsbescheinigung enthalten müssen.

Daher handelt es sich bei der FIN um ein personenbezogenes Datum „der in der Zulassungsbescheinigung ausgewiesenen Person“, unter der Voraussetzung, dass „derjenige, der Zugang zur FIN hat, über Mittel verfügen könnte, die es ihm ermöglichen, die FIN zur Identifizierung des Halters des Fahrzeugs, auf das sich die FIN bezieht, oder zur Identifizierung der Person, die aufgrund eines anderen Rechtstitels denn als Halter über das betreffende Fahrzeug verfügen kann, zu nutzen“. Vollständigkeitshalber stellt der EuGH auch klar, dass die FIN für sich genommen für die Fahrzeughersteller kein personenbezogenes Datum darstellt, wenn das Fahrzeug, dem die FIN zugewiesen wurde, nicht einer natürlichen Person gehört. Allerdings schließt der EuGH nicht aus, dass die FIN auch in diesen Fällen ein personenbezogenes Datum darstellen kann, nämlich wenn die FIN mit anderen Daten kombiniert wird.

Für den konkreten Fall überlässt es der EuGH dem vorlegenden Gericht zu bewerten, ob „die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen“, also ob es sich bei der FIN um ein personenbezogenes Datum handelt.

Weitere Entscheidungen des EuGH im Urteil (C-319/22)

Neben der Frage der FIN als personenbezogenes Datum entschied der EuGH auch über den Zugang zu Fahrzeugdaten nach Art. 61 VO 2018/858:

1. Die Verpflichtung aus Art. 61 Abs. 1 Satz 2 der VO 2018/858, die dort genannten Angaben leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen darzubieten, gilt für alle „Reparatur- und Wartungsinformationen“ (i.S.v Art. 3 Nr. 48 der VO 2018/858) und ist nicht beschränkt auf die Ersatzteilinformationen (i.S.v Anhang X Nr. 6.1 der VO 2018/858).
2. Nach Art. 61 Abs. 1 Satz 2 und Art. 61 Abs. 2 Unterabs. 2 der VO 2018/858 sind Fahrzeughersteller verpflichtet Fahrzeugreparatur- und Wartungsinformationen unabhängigen Wirtschaftsakteuren in Dateien bereitzustellen, deren Format der unmittelbaren elektronischen Weiterverarbeitung der in diesen Dateien enthaltenen Datensätze dient; in Verbindung mit Art. 61 Abs. 4 und Anhang X Nr. 6.1 Abs. 3 der VO 2018/858 sind sie darüber hinaus verpflichtet, eine Datenbank einzurichten, die es ermöglicht anhand der FIN und anderen zusätzlichen in der genannten Bestimmung vorgesehenen Merkmalen nach allen Teilen zu suchen, mit denen das Fahrzeug vom Hersteller ausgerüstet ist.
3. Art. 61 Abs. 1 i.V.m. Art. 61 Abs. 4 und Anhang X Nr. 6.1 der VO 2018/858 begründet die „rechtliche Verpflichtung“ (i.S.v. Art. 6 Abs. 1 lit. c DSGVO) für die Fahrzeughersteller, die FIN der von ihnen hergestellten Fahrzeuge unabhängigen Wirtschaftsakteuren als „Verantwortlichen“ i.S.v. Art. 4 Nr. 7 DSGVO bereitzustellen.

Bewertung und Praxisrelevanz

Leider verpasst der EuGH die Gelegenheit in praxisrelevanten Fragen für Klarheit zu sorgen:

• Mittel, die „vernünftigerweise“ zur Identifizierung der betreffenden Person eingesetzt werden können: Insbesondere lässt der EuGH offen, wann Mittel „vernünftigerweise“ zur Identifizierung der betreffenden Person eingesetzt werden können und überlässt diese Bewertung dem vorlegenden Gericht. Mehr Einzelheiten als die Entscheidung des EuGH enthält dazu der Erwägungsgrund 26 der DSGVO, der voraussetzt, dass „alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“. (Anders als der EuGH verwendet Erwägungsgrund 26 der DSGVO in der deutschen Fassung statt „vernünftigerweise“ die Worte „nach allgemeinem Ermessen wahrscheinlich“.) Allerdings bleiben die Bewertungsmaßstäbe für die Bezeichnung „vernünftigerweise“ unklar (z.B. ob „theoretisch möglich“ oder „praktisch wahrscheinlich“ gemeint ist). Insoweit geht das Urteil nicht wirklich über das hinaus, was der EuGH bereits in ähnlichen Fällen (wie EuGH Rs. C-175/20 und EuGH Rs. C-582/14 (Breyer)) entschieden hatte. In der Rechtssache Breyer hat der EuGH Drittinformationen dann für ausreichend gehalten, wenn sie „vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden [können]”, um Personenbezug herzustellen und verneinte das Vorliegen von personenbezogenen Daten, „wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene.”
• Perspektive: Auch hier lässt der EuGH offen, ob die Beurteilung, ob es sich um personenbezogene Daten handelt, (nur) aus der Sicht der Person, die auf die Daten zugreift zu betrachten ist („relativer Ansatz“) oder auch aus der Sicht Dritter zu erfolgen hat („objektiver Ansatz“). Das Gericht stellt klar, dass Daten „für denjenigen, der bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen, zu personenbezogenen Daten [werden]“ aber auch, dass „alle Mittel berücksichtigt werden [sollten], die vernünftigerweise entweder von dem Verantwortlichen […] oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“. Dies kann auf unterschiedliche Weisen ausgelegt werden (allerdings lässt sich argumentieren, dass das Gericht in diesem Fall eine relative Sichtweise vertritt).

In der Praxis sollte zudem beachtet werden, dass die FIN nur selten isoliert vorliegt und häufig im Zusammenhang mit weiteren Daten verarbeitet wird, die bereits unabhängig von der FIN eine Identifikation erlauben können (z.B. bei Nutzeraccounts für Connected Car Anwendungen). Jedenfalls in solchen Fällen wird auch die FIN in der Praxis sehr leicht zum personenbezogenen Datum, zumindest für den die weiteren Informationen Verarbeitenden (z.B. im Zusammenhang mit einer Connected Car Anwendung).

Außerdem erscheint es wahrscheinlich, dass die Datenschutzbehörden in ihrer Absicht, die betroffene Person umfassend zu schützen, personenbezogene Daten weiterhin weit auslegen, also eher niedrige Schwellenwerte für das Vorliegen „vernünftiger” Mitteln zur Identifizierung der betreffenden Person anwenden (wie es die Aufsichtsbehörden auch im Anschluss an die Rechtssache Breyer getan haben).

Es bleiben also viele Fragen offen, und dies wird sicher nicht die letzte EuGH-Entscheidung zur Definition von personenbezogenen Daten bleiben.