Der EuGH hat in einer aktuellen Entscheidung konkretisiert, wann Nummernfolgen personenbezogene Daten sind. Konkret ging es um die FIN als eindeutige Identifikationsnummer von Fahrzeugen, die Urteilsgründe können auch auf andere IDs und Kennziffern, etwa die dynamische IP-Adresse, übertragen werden. Für die Praxis ist die Entscheidung von elementarer Bedeutung.
Die FIN kennzeichnet ein Fahrzeug. Für den Fahrzeughersteller hat sie zunächst keinen Bezug zu einer natürlichen Person. Dies kann sich aber ändern, wenn das Fahrzeug auf eine natürliche Person zugelassen wird oder eine natürliche Person in der Zulassungsbescheinigung als Fahrzeughalter gelistet ist. Dann nämlich kann die FIN (= Fahrzeug-Identifizierungsnummer) mithilfe der weiteren Angaben in der Zulassungsbescheinigung einer natürlichen Person – dem Inhaber der Zulassung oder der Fahrzeughalterin – zugeordnet werden.
Das Verfahren
Der EuGH hatte nun in einem in Köln gestarteten Verfahren zu entscheiden, ob und wann die FIN ein personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DSGVO ist. Der Entscheidung liegt ein Vorabentscheidungsersuchen aus Köln zugrunde (Urteil vom 09.11.2023 – C-319/22 – Scania). Der Gesamtverband Autoteile-Handel e.V: verlangte von Scania umfassendere Informationen bei Nachfrage nach der FIN, da dies verordnungsrechtlich geboten sei. Scania hielt dem Grenzen des Datenschutzes entgegen.
Das LG Köln legte daraufhin dem EuGH u.a. zur Vorabentscheidung vor, ob sich aus der EU-Verordnung über die Marktüberwachung von Kraftfahrzeugen eine rechtliche Pflicht i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO zur Herausgabe der FIN und mit ihr verknüpften Informationen ergebe.
Diese Frage ist nur dann erheblich, wenn diese Informationen personenbezogene Daten darstellen. Der EuGH prüfte denn auch dieses Element im ersten Schritt. Erst danach widmete er sich der Auslegung der „rechtlichen Pflicht“ nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO.
IDs als personenbezogene Daten
Für die Praxis höchst relevant auch über die FIN hinaus – etwa für dynamische IP-Adressen oder andere Kennungen – ist die zunächst behandelte Frage, ob und wann die FIN ein personenbezogenes Datum i.S.d. DSGVO darstellt. Der EuGH prüft dies lehrbuchhaft und im Detail sehr hilfreich.
Entscheidend ist:
- Kann die Nummer – hier die FIN – zu einer natürlichen Person führen?
- Verfügt derjenige, der die Nummer erhält, „bei vernünftiger Betrachtung über Mittel […], die es ermöglichen, sie einer bestimmten Person zuzuordnen“?
Erste zentrale Erkenntnis und Bestätigung aus dieser Entscheidung: Der Personenbezug ist für die Rechtseinheit zu prüfen, die die Nummer verarbeitet. Der EuGH bestätigt damit den relativen Ansatz: Die FIN kann für Unternehmen A ein personenbezogenes Datum darstellen, da sie über zusätzliche Informationen verfügen, diese einer natürlichen Fahrzeughalterin zuzuordnen, für Unternehmen B dagegen nicht.
Zweite zentrale Erkenntnis: Bei der Prüfung sind nicht alle theoretisch denkbaren Mittel, sondern nur die bei vernünftiger Betrachtung auch wirklich verfügbaren Mittel einzubeziehen. Dies ergibt sich auch aus Erwägungsgrund 26 DSGVO.
Datenverarbeitung zur Erfüllung rechtlicher Pflichten
Eine für die Praxis ebenfalls wesentliche Konkretisierung gibt der EuGH zur Verarbeitungserlaubnis „rechtliche Pflichten“ i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO.
Will sich ein Verantwortlicher auf diese Erlaubnisgrundlage stützen, so ist präzise zu prüfen
- ob die Verarbeitung auch der personenbezogenen Daten für die Erfüllung der rechtlichen Pflicht tatsächlich erforderlich ist und
- ob diese Verarbeitung in einem angemessenen Verhältnis zum verfolgten, legitimen Zweck steht.
Konkret bedeutet dies (dritte zentrale Erkenntnis): Die Erfüllung einer rechtlichen Pflicht reicht nicht, auch in der Abwägung muss die Verarbeitung angemessen erscheinen. Ist dies nicht der Fall, „überwiegt“ das datenschutzrechtliche Verbot und eine Verarbeitung ist datenschutzrechtlich trotz rechtlicher Pflicht nicht erlaubt. Dies ergibt sich aus Art. 6 Abs. 3 DSGVO. Die EuGH-Entscheidung zeigt allerdings deutlich, welche Prüf- und Bewertungslast hier auf den Schultern der Verantwortlichen ruht.