Zurück zur Übersicht
20.11.2023Fachbeitrag

Update Datenschutz Nr. 157

Neues vom EuGH zum „Personenbezug“

Der Begriff des „Personenbezugs“ ist im Datenschutzrecht so bedeutend wie kein anderer. Ein aktuelles EuGH Urteil vom 9. November 2023 bestätigt zunächst das relative Verständnis des Personenbezugs, schafft aber zugleich neue Unsicherheiten indem es den „mittelbaren Personenbezug“ auch auf solche Akteure ausdehnt, die selbst gar nicht in der Lage sind, einen Personenbezug herzustellen. Das Urteil dürfte für die Entwicklungen im Datenschutzrecht der kommenden Jahre eine spannende Rolle spielen.

Worum ging es?

Dem Urteil liegt ein Rechtsstreit des Gesamtverbandes „Autoteile-Handel“ e. V. gegen einen LKW-Hersteller zugrunde. Der LKW-Hersteller gewährt unabhängigen Wirtschaftsakteuren Zugang zu allgemeinen Fahrzeuginformationen wie Modell, Motorisierung oder Baujahr. Die FIN (Fahrzeugidentifikationsnummer) gehört nicht dazu. Diese kann nur von Werkstätten unmittelbar in den vom Halter vorzulegenden Zulassungspapieren oder direkt am Fahrgestell eingesehen werden. Hiergegen klagte der Gesamtverband. Er war der Ansicht, der LKW-Hersteller sei nach einem sektoralen Spezialgesetz über Kfz-Genehmigungen zur Herausgabe der FIN an unabhängige Wirtschaftsakteure verpflichtet. Das LG Köln legte diese Frage dem EuGH vor und fragte zugleich, welche datenschutzrechtlichen Implikationen eine derartige Verpflichtung hätte. Somit behandelt ein Teil des EuGH-Urteils die Frage, ob die FIN als alphanumerischer Code, den der Hersteller einem Fahrzeug zu dem Zwecke zuweist, dass es identifiziert werden kann, ein personenbezogenes Datum darstellt.

Bisheriges Verständnis von Personenbezug in der Rechtsprechung

Der Begriff der „personenbezogenen Daten“ wird in Art. 4 Nr. 1 DSGVO definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen“. Weiter legt das Gesetz fest, dass eine Person identifizierbar ist, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, identifiziert werden kann. Die Person muss also nicht anhand des fraglichen „Datums“ allein identifizierbar sein, sondern Zusatzwissen ist grundsätzlich zu berücksichtigen. Lange Zeit stellte sich jedoch die Frage, wessen Zusatzwissen maßgeblich ist: nur das Wissen des Datenverantwortlichen, oder sämtliche, irgendeiner dritten Person bekannten Zusatzinformationen? Im Jahr 2016 wandte sich der EuGH in seinem „Breyer“-Urteil, in dem er über den Personenbezug von dynamischen IP-Adressen entschied, dem erstgenannten, sog. relativen Ansatz zu. Er stellte nämlich bzgl. der Identifizierbarkeit auf die Perspektive des Datenverantwortlichen ab. Jedoch ließ der EuGH auch das Zusatzwissen Dritter genügen, wenn es vernünftigerweise wahrscheinlich ist, dass der Verantwortliche hierauf Zugriff erhält, zum Beispiel aufgrund ihm zur Verfügung stehender, rechtlicher Mittel. In dem „Breyer“-Urteil genüge es dem BGH etwa für eine Identifizierbarkeit, wenn mithilfe der Staatsanwaltschaft und einem richterlichen Beschluss der Anschlussinhaber einer IP-Adresse bei dem entsprechenden Internetprovider ermittelt werden kann. Dies ist eine sehr weite Auslegung, nach der sehr viele Informationen für Unternehmen und Behörden per se als personenbezogene Daten anzusehen sind, auch wenn es den Behörden und Unternehmen regelmäßig nicht möglich ist, die Daten tatsächlich einer Person zuzuordnen. Diese weite Auslegung wiederum wurde vielfach so interpretiert, dass der BGH den relativen Begriff des Personenbezugs faktisch so weit ausgedehnt habe, dass er einem absoluten Begriff nahekomme. Damit hat der EuGH sowohl die Rechtswissenschaft als auch die Praxis mit schwer handhabbaren Kriterien und daraus resultierender Rechtsunsicherheit zurückgelassen.

Die Entscheidung des EuGH zur FIN

Die aktuelle Entscheidung des EuGH beschäftigt sich mit der FIN wiederum mit einem alphanumerischen Code, der für sich genommen keinen Rückschluss auf eine natürliche Person zulässt. Allerdings ist die FIN neben Anschrift und Name des aktuellen und ggf. aller ehemaligen Kfz-Halter in der Zulassungsbescheinigung enthalten. Vor diesem Hintergrund entschied der EuGH, dass sich die FIN für denjenigen, der über Mittel verfügen könnte, die es ihm ermöglichen, die FIN zur Identifizierung des Halters des Fahrzeugs, auf das sich die FIN bezieht, zu nutzen, ein personenbezogenes Datum sei.  Dabei betonte der EuGH in mehreren Randnummern, dass es darauf ankommt, welcher Akteur unter welchen Bedingungen Zugang zu der FIN und den weiteren Daten aus der Zulassungsbescheinigung hat. Dies ist zunächst eine klare Bestätigung des relativen Verständnisses von Personenbezug.

Eher engeres Verständnis der „Mittel“, die „vernünftigerweise“ genutzt werden, um eine Identifikation durchzuführen

Der EuGH überließ dem Tatsachengericht die Klärung der Frage, ob denn die unabhängigen Wirtschaftsakteure – in diesem Fall der Gesamtverband – bei vernünftiger Betrachtung über Mittel zur Zuordnung der FIN verfügen. Dies stellt bereits eine erste Unklarheit dar, da der Maßstab dieser „vernünftigerweise zur Verfügung stehenden Mittel“ schon im Breyer-Urteil nur unzureichend festgelegt wurde. Immerhin hat der EuGH – anders als im Breyer-Urteil – nicht selbst einen Weg aufgezeigt, auf dem ein Akteur „vernünftigerweise“ Daten abgleichen kann. Gerade die Tatsache, dass der EuGH im Breyer-Urteil davon ausging, dass eine Person anhand einer IP-Adresse mit Hilfe der Staatsanwaltschaft identifiziert werden kann – und das Urteil durchaus so gelesen werden kann, dass damit alle IP-Adressen per se als personenbezogen anzusehen sind – führt zu einem extrem weiten Verständnis des Personenbezugs. Die Hürden, die sich hier auftun, hat der EuGH 2016 kaum berücksichtigt (z. B. die Tatsache, dass Internetprovider die Zuordnung dynamischer IP-Adressen nach wenigen Tagen (spätestens nach 7 Tagen) löschen – oder die Tatsache, dass hinter einer IP-Adresse oft eine Vielzahl von Personen agieren (z. B. in einem öffentlichen WLAN oder im Netzwerk eines größeren Unternehmens; in beiden Fällen können oft hunderte und tausende Personen mit der gleichen IP-Adresse nach außen auftreten). Es ist daher sehr zu begrüßen, dass der EuGH nun vorsichtiger agiert und mehrfach betont, dass es auf die Mittel ankommt, die einem Verantwortlichen zur Verfügung stehen. Dies kann durchaus als Schritt hin zu einem weniger engen Verständnis des Begriffs des Personenbezugs gelesen werden, wobei abzuwarten bleibt, wie die Tatsachengerichte in Deutschland entscheiden werden.

Ausdehnung des Personenbezugs auf Fahrzeughersteller

Demgegenüber überrascht es, dass der EuGH sodann davon ausgeht, dass sich der Personenbezug – sollte er bei dem Gesamtverband zu bejahen sein – sich „mittelbar“ auch auf die Fahrzeughersteller ausdehnt. So schreibt der EuGH in Rn. 49 des Urteils:

Wie der Generalanwalt in den Nrn. 34 und 41 seiner Schlussanträge ausgeführt hat, stellt die FIN, wenn die unabhängigen Wirtschaftsakteure bei vernünftiger Betrachtung über Mittel verfügen können, die es ermöglichen, die FIN einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen – was zu prüfen Sache des vorlegenden Gerichts ist –, für diese Wirtschaftsakteure sowie mittelbar für die Fahrzeughersteller, die die FIN bereitstellen, ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO dar, selbst wenn die FIN für sich genommen für die Fahrzeughersteller kein persönliches Datum darstellt, insbesondere dann nicht, wenn das Fahrzeug, dem sie zugewiesen wurde, nicht einer natürlichen Person gehört.

Zwar dürfte ausgehend von der englischen Sprachfassung des Urteils kein mittelbarer, sondern ein indirekter Personenbezug i.S.d. Art. 4 Nr. 1 DSGVO bei dem Hersteller gemeint sein. Dennoch ist an diesem Einschub erstaunlich, dass der EuGH ihn in einem Nebensatz ohne jede Begründung einfügt und annimmt, dass trotz des aufgestellten Grundsatzes auch für Fahrzeughersteller ein Personenbezug gegeben sein soll, selbst wenn die FIN für sich genommen für die Fahrzeughersteller kein persönliches Datum darstellt. Denn in das Konzept des relativen Personenbezugs, welches der EuGH nur eine Randnummer zuvor selbst wiederholt, fügt sich diese Auffassung nur schwerlich ein.

Auswirkungen für die Praxis

Wirtschaftsakteure dürften zunächst begrüßen, dass der EuGH sich nun noch deutlicher für das relative Begriffsverständnis im Sinne einer weniger weiten Interpretation von Personenbezug ausgesprochen hat, als dies in dem Breyer Urteil der Fall war. Denn je mehr man sich der absoluten Theorie zuwendet, desto mehr Daten gelten als personenbezogen und lösen die Anwendbarkeit der umfassenden DSGVO Pflichten aus. Jedoch ist es aufgrund der „mittelbaren“ Einbeziehung der Fahrzeughersteller mit Vorsicht zu genießen: Der Personenbezug wird hierdurch erheblich ausgedehnt. Wie weit diese Ausdehnung reichen soll, bleibt indes vollkommen unklar.

So wird es in der Praxis für den zunächst nach Datenschutzrecht „Nichtverantwortlichen“ nicht immer möglich sein, mit sicherer Kenntnis abzuschätzen, ob an einen Empfänger übermittelte Daten bei diesem aufgrund von Zusatzwissen als personenbezogen angesehen werden müssen. Auch die Frage, ob in einem solchen Fall ausschließlich auf den direkten Empfänger oder ggf. auch auf weitere Dritte, an welche der Empfänger die Daten weitergibt, abzustellen sein soll.

Insgesamt bleibt daher abzuwarten, welche Bedeutung der EuGH diesem kleinen Einschub in das an sich zu begrüßende Urteil beimessen wird. Bis auf Weiteres wird jedoch eine erhebliche Unschärfe bei der Festlegung des Personenbezugs eines Datums verbleiben.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Lutz Martin Keppeler
Köln
Manuel Poncza
Köln

Ansprechpartner

Dr. Lutz Martin Keppeler
Köln
Manuel Poncza
Köln

Weitere Artikel

25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.