News
Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an
In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert. Der Generalanwalt kommt zum Ergebnis, dass die FIN personenbezogen sein kann aber nicht sein muss, und benennt konkrete Kriterien für die Bestimmung, ob ein Personenbezug vorliegt. Das ist nicht zuletzt deswegen beachtlich, weil in § 45 Satz 2 StVG der FIN ein Personenbezug zugeschrieben wird und Datenschutzbehörden aus Deutschland und anderen Mitgliedstaaten und auch der EDSA zuvor wiederholt die FIN immer als personenbezogen einstuften.
Sachverhalt, zu dem der Generalanwalt sich geäußert hat
Bevor man sich dem Inhalt der Schlussanträge widmet, lohnt es sich einmal zu klären, was eine FIN überhaupt ist. Die FIN wird in Art. 2 Nr. 2 VO 19/2011 der KOM definiert als der alphanumerische Code, den der Hersteller einem Fahrzeug zu dem Zweck zuweist, dass jedes Fahrzeug einwandfrei identifiziert werden kann. Die FIN ist also eine nur einmal vorkommende Zahlen- und Zeichenabfolge, die einem Fahrzeug eindeutig zugeordnet ist.
Weil Fahrzeuge auch einem Fahrzeugeigentümer und -halter zugeordnet werden, kommt häufig in der Praxis die Frage auf, ob die FIN denn personenbezogen ist. Der EuGH hat in einem Urteil vom 24. Februar 2022 in einem Fall keine Zweifel daran geäußert, dass die von der Steuerbehörde angefragten Daten – zu der auch die FIN gehörte – personenbezogen waren. Auch in anderen Entscheidungen hat der EuGH bei der Feststellung eines Personenbezugs den Standpunkt vertreten, dass Zusatzinformationen – wie bei Dritten vorhandenes Wissen – zu berücksichtigen sind. Es ist laut der EuGH-Rechtsprechung insbesondere nicht notwendig, dass sich die für die Zuordnung zu einer Person notwendigen Zusatzinformationen bei demjenigen befinden, der die Datenverarbeitung vornimmt.
Der Generalanwalt ist jedoch in der im Fokus dieses Beitrags stehenden Rechtssache der Auffassung, dass die FIN nicht immer personenbezogen sein muss. In dem Rechtsstreit geht es um die Verpflichtung zur Herausgabe der FIN an unabhängige Wirtschaftsakteure. Man streitet darüber, ob die FIN personenbezogen ist und ob Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit der Pflicht zur Herausgabe von Informationen aus der Verordnung 2018/858 die Weitergabe der FIN erlaubt.
Das Unternehmen Scania gewährt unabhängigen Wirtschaftsakteuren (wie den Mitgliedern des im Streitfall relevanten Gesamtverbands Autoteile-Handel) über eine Website u.a. Zugang zu Fahrzeugdaten und Reparatur- und Wartungsinformationen. Hierzu gehört jedoch nicht die FIN. Scania argumentiert, dass die FIN personenbezogen sei und die Pflicht aus der Verordnung 2018/858 nicht den Vorgaben aus Art. 6 Abs. 2 und 3 DSGVO entsprechen würde. Es wurde vorgetragen, dass eine FIN deswegen nicht auf Basis von Art. 6 Abs. 1 lit. c DSGVO herausgeben werden könne. Für den Ausgangsfall ist es entscheidend, ob die FIN ein personenbezogenes Datum ist. Denn nur dann wäre eine Rechtsgrundlage aus der DSGVO für die Weitergabe der FIN erforderlich.
Was sagt die DSGVO dazu, wann eine Information personenbezogen ist?
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…). Dabei sieht Erwägungsgrund 26 Satz 3 zur DSGVO eine weite Betrachtung bei der Feststellung des Personenbezugs vor: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“
Aussagen von deutschen Datenschutzbehörden und des EDSA vor den Schlussanträgen
Verschiedene Datenschutzaufsichtsbehörden haben bisher den Personenbezug bei der FIN immer angenommen. So geht die LDI NRW davon aus, dass die FIN ein personenbezogenes Datum ist. Denn über sie ließen sich rein technische Daten eines Kraftfahrzeuges mit den Halterdaten oder den Kundendaten verknüpfen (24. Datenschutz- und Informationsfreiheitsbericht der LfDI NRW S. 44). Bei einem vom BayLDA untersuchten Fall (siehe 6. Tätigkeitsbericht 2013/2014 des BayLDA S. 69) ging es um die Frage, ob Kfz-Versicherungen, die nach Verkehrsunfällen u.a. die FIN an Restwertbörsen weiterleiten, personenbezogene Daten übermitteln. Auch hier vertrat die Behörde, dass die FIN ein personenbezogenes Datum ist.
Laut einer gemeinsamen Erklärung der DSK mit dem Verband der Automobilindustrie aus dem Jahr 2016 sind „die bei der Kfz-Nutzung anfallenden Daten (…) jedenfalls dann personenbezogen im Sinne des Bundesdatenschutzgesetzes (BDSG), wenn eine Verknüpfung mit der Fahrzeugidentifikationsnummer oder dem Kfz- Kennzeichen vorliegt.“ Der EDSA hat sich in den Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen ebenfalls zur FIN geäußert. Die Behörden der Mitgliedstaaten scheinen darin davon auszugehen, dass die FIN personenbezogen ist und in vielen Fällen überhaupt erst eine Zuordnung von Informationen aus einem Fahrzeug zu einer natürlichen Person ermöglicht.
Ansicht des Generalanwalts
Der Generalanwalt ist der Auffassung, dass die FIN nicht zwingend ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO sei. Es komme darauf an, aus wessen Perspektive man die Frage betrachtet und welche Mittel ein bestimmter Akteur vernünftigerweise zur Identifizierung nutzt. Bislang ist allgemein nicht geklärt, ob eine Information entweder immer für alle einen Personenbezug oder keinen Personenbezug aufweist oder ob das je nach Akteur unterschiedlich sein kann. Der Generalanwalt scheint der Ansicht zu folgen, dass man aus individueller Perspektive bestimmen müsse, ob ein bestimmter Akteur mit Zugang zur FIN über Mittel verfügen kann, die es ihm bei vernünftiger Betrachtung ermöglichen, die FIN zur Identifizierung des Eigentümers des jeweiligen Fahrzeugs zu nutzen. Der Generalanwalt geht darauf ein, dass als mögliche Mittel der Identifizierung Zulassungsbescheinigungen beachtet werden müssen, die gemäß gesetzlichen Vorgaben zwingend die FIN und die Identität des Fahrzeuginhabers enthalten. In den Schlussanträgen wird vertreten, dass eine Behörde ggf. andere Mittel vernünftigerweise nutzen würde als ein anderer Akteur.
Im Ausgangsfall wurde auch argumentiert, dass die FIN zumindest dann kein personenbezogenes Datum sei, wenn der Käufer eines Fahrzeugs keine natürliche Person ist. Der Generalanwalt schließt sich dieser Aussage an und geht davon aus, dass eine die FIN „nicht als solche und nicht in jedem Fall“ ein personenbezogenes Datum sei. Es würde „zumindest für die Hersteller von Fahrzeugen in der Regel und vor allem dann [kein Personenbezug bestehen], wenn das Fahrzeug keiner natürlichen Person gehört.“ In dem Kontext ist es interessant, dass der Generalanwalt nicht weiter auf die EuGH-Rechtsprechung zum Personenbezug von Informationen eingeht, die sich auf ein Unternehmen beziehen, das in seiner Bezeichnung auch den Namen eines Menschen enthält. Ggf. wird der EuGH auf seine diesbezügliche Rechtsprechung im Urteil eingehen und klarstellen, wann eine FIN nicht personenbezogen ist, wenn ein Fahrzeug einem Unternehmen gehört. Das wäre insbesondere deswegen wünschenswert, weil der Eigentümer und der Halter eines Fahrzeugs nicht ein und dieselbe Person sein müssen. Bspw. kann eine Bank Eigentümer eines Leasingfahrzeugs sein aber ein Mensch der Halter desselben Fahrzeugs.
Ob im konkreten Fall die FIN ein personenbezogenes Datum ist, müsse laut dem Generalanwalt aber auch nicht der EuGH, sondern das vorlegende Gericht prüfen. Der Generalanwalt äußert sich jedoch etwas indirekt zum von ihm vertretenen Ergebnis, indem er Folgendes schreibt: „Es ist Sache des vorlegenden Gerichts, zu klären, ob, wie es den Anschein hat, die Mitglieder des Gesamtverbands Autoteile-Handel bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, eine FIN einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen. Sollte dies der Fall sein, wären die FIN für sie (und mittelbar für den Hersteller, der ihnen die FIN zur Verfügung stellt) personenbezogene Daten, deren Verarbeitung der DSGVO unterliegt.“
Konsequenzen für die Praxis und Übertragbarkeit
In dem Verfahren vor dem EuGH geht es speziell um die Frage, ob die FIN ein personenbezogenes Datum ist. Sollte der EuGH sich der Ansicht des Generalanwalts anschließen, hätte dies jedoch auch potenziell Auswirkungen auf andere Kennnummern. Dann wäre nämlich aus individueller Perspektive zu bestimmen, wer welche Mittel vernünftigerweise für die Identifizierung nutzt und dabei nicht immer auch auf bei Dritten vorhandenes und für den Datenverarbeitenden einholbares Wissen abzustellen. Der EuGH ist selbstverständlich nicht an die Schlussanträge des Generalanwalts gebunden. Sollte der Gerichtshof aber der in der Schlussanträge geäußerten Auffassung folgen, hätte diese Entscheidung eine hohe Praxisrelevanz für den Automobilsektor. Dies beträfe beispielsweise Anbieter von Websites, auf denen man anhand der Angabe der FIN weitere Informationen zum Fahrzeug erhalten kann. Auch bleibt abzuwarten, wie sich eine entsprechende Entscheidung des EuGH auf die in Veröffentlichungen von Behörden getätigten Annahmen auswirken würden und wie § 45 Satz 2 StVG vor diesem Hintergrund zu bewerten wäre.
News
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.