DA+

Aufsatz : GPS-Daten und Datenschutzrecht Aktuelle Fragestellungen mit einem Fokus auf den Automobilsektor : aus der RDV 5/2022, Seite 247 bis 253

Der vorliegende Beitrag geht der Frage nach, ob und unter welchen Voraussetzungen GPS-Daten als personenbezogene Daten im Sinne des maßgeblichen Datenschutzrechtsregimes, sprich der Datenschutz-Grundverordnung (DS-GVO – VO 2016/679), zu qualifizieren sind. Vor diesem Hintergrund wird vor allem die Befassung mit der Legaldefinition personenbezogener Daten aus Art. 4 Nr. 1 DS-GVO im Zentrum der Ausführungen stehen. Zudem wird der Fokus auf Fragestellungen aus dem Automobilsektor gerichtet, da es sich hierbei um einen in der Praxis besonders bedeutsamen Anwendungsbereich von GPS-Daten handelt. Zunächst widmet sich der Beitrag jedoch einer näheren Bestimmung des Betrachtungsgegenstands „GPS-Daten“ (I.), bevor sodann der Begriff „personenbezogene Daten“ einer genaueren Untersuchung unterzogen wird (II.). Die hieraus gewonnenen Erkenntnisse bilden die Grundlage für die anschließende Beschäftigung mit GPS-Daten im Automobilkontext (III.). Zum Abschluss werden die Untersuchungsergebnisse mit praktischen Anwendungsszenarien (IV.) angereichert sowie ein zusammenfassendes Fazit (V.) gezogen.

I. GPS-Daten als Betrachtungsgegenstand

Bei GPS-Daten handelt es sich um Informationen über Zielkoordinaten aus dem Global Positioning System (GPS), welches mithilfe zahlreicher Satelliten in der Erdumlaufbahn die Synchronisierung von Standort, Zeit und Geschwindigkeit bzw. Bewegung eines Empfangsgeräts ermöglicht. Diese Satelliten senden ihre Position und die aktuelle Zeit zum Empfangsgerät des GPS-Signals, durch Auswertung der verschiedenen Signale wird sodann die eigene Position berechnet. Im Automobilkontext stellen vor allem das Navigationsgerät (hier kann differenziert werden zwischen „klassischen“ fest verbauten Navigationsgeräten und Apps)[1] oder GPS-Tracker solche Empfangsgeräte dar. Es stellt sich die Frage, wie GPS-Daten in den Gesamtkontext der unterschiedlichen Datenkategorien einzuordnen sind.

1. Datenkategorien

Im Ausgangspunkt ist im vorliegenden Kontext zwischen Identifikations- und Merkmalsdaten zu unterscheiden. Mithilfe von Identifikationsdaten ist grundsätzlich ohne Weiteres eine Identifizierung des Betroffenen möglich (z.B. durch ein Kennzeichen). Demgegenüber ist für Merkmalsdaten zur Beurteilung der Möglichkeiten einer Identifizierung zunächst eine Abgrenzung von Verhaltensdaten und Zustandsdaten vorzunehmen: Verhaltensdaten beziehen sich in erster Linie auf den Fahrer und seine Fahrzeugführung (z.B. Aufenthalts- oder Fortbewegungszeit und -ort). Zustandsdaten hingegen enthalten technische Angaben zum Fahrzeug (z.B. Software, Tankfüllung), wodurch zugleich ein verhaltensbezogener Rückschluss, etwa auf das Fahrverhalten, eröffnet sein kann.[2]

2. GPS-Daten als Geodaten

Bei GPS-Daten wird es sich zunächst vor allem um Geodaten handeln. Geodaten finden ihre Bestimmung in der Lokalisierung des Empfangsgeräts, womit sie als Zustandsdaten zu qualifizieren sind. Zudem können GPS-Daten jedoch auch Verhaltensdaten darstellen. So eröffnen GPS-Daten aus einem Fahrzeug etwa Rückschlüsse auf Lenk- und Ruhezeiten sowie auf die zurückgelegte Wegstrecke bzw. Route. Vielfach werden Geodaten und der Aufenthaltsort des Fahrers – auch und gerade im Automobilkontext – übereinstimmen, sodass es sich sowohl um Zustandsdaten als auch um Verhaltensdaten handeln kann.

II. Personenbezogene Daten nach Maßgabe von Art. 4 Nr. 1 DS-GVO

„Personenbezogene Daten“ sind gem. Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Legaldefinition bildet ein zentrales Element des Datenschutzrechts,[3] denn erst die Verarbeitung von personenbezogenen Daten eröffnet überhaupt den Anwendungsbereich der DSGVO. Aufgrund der hervorgehobenen Bedeutung dieses Begriffes für den nach Art. 1 Abs. 1 DS-GVO angestrebten Schutz von natürlichen Personen wurde die Definition von personenbezogenen Daten in Art. 4 Nr. 1 DS-GVO gesetzgeberisch bewusst weit gefasst.[4]

1. Sachlicher Schutzumfang

Vom sachlichen Schutzumfang sind nur solche Informationen erfasst, die einen Bezug zu einer identifizierten oder identifizierbaren natürlichen Person aufweisen. Nach der Ansicht des EuGH ist der erforderliche Personenbezug einer Information gegeben, „wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“.[5] Im Fokus der Diskussion steht dabei die Frage, ob und unter welchen Voraussetzungen eine natürliche Person als identifiziert bzw. identifizierbar angesehen werden kann.

a) Identifiziert

Wann eine Person im Sinne von Art. 4 Nr. 1 DS-GVO „identifiziert“ ist, wird in der DS-GVO nicht näher festgelegt. Von einer identifizierten Person ist auszugehen, wenn die Individualisierbarkeit der Person unmittelbar aus der Information selbst folgt. Diese Voraussetzung wird gegeben sein, wenn die Information ein Identifikationsmerkmal der Person beinhaltet oder wenn der Inhalt der Information bzw. der Kontext eine eindeutige Identifikation erlaubt, ohne dass auf weitere Informationen zurückgegriffen werden muss.[6] Die Person muss hierzu dergestalt aus einer bestimmten Gruppe hervorgehoben sein, dass sie sich eindeutig von anderen Individuen unterscheidet und somit bestimmt ist.[7] In der Regel wird der Name einer Person ausreichend dafür sein, dass diese identifiziert ist.[8]

b) Identifizierbar

Von hervorgehobener Bedeutung ist die Tatbestandsalternative der „Identifizierbarkeit“, wo die Zuordnung eines Merkmals zu einer Person durch weitere Schritte und die Einholung anderer Informationen erreicht wird.[9] So sorgt das Vorhandensein einer dynamischen IP-Adresse gerade nicht bereits dafür, dass eine Person eindeutig identifiziert ist, da sich aus einer solchen dynamischen IP-Adresse nicht unmittelbar die Identität des Nutzers ableitet.[10] Als „identifizierbar“ wird gem. Art. 4 Nr. 1 HS. 2 DS-GVO eine natürliche Person angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen [sofern die Person nicht durch den Namen bereits identifiziert ist, siehe oben II. 1. a)], zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ Die Identifizierbarkeit setzt somit voraus, dass die vorhandene Information erst mit weiteren Informationen verknüpft werden muss, um einen Personenbezug herstellen zu können.[11]

Die Frage nach der Auslegung des Begriffs der „Identifizierbarkeit“ von natürlichen Personen beschäftigt die Rechtswissenschaft bereits seit der Einführung der der DS-GVO vorangegangenen Datenschutz-Richtlinie (95/46/EG).[12] Der Begriff bildet die äußerste Grenze der Definition des Art. 4 Nr. 1 DS-GVO, daher beeinflussen Auslegung und Verständnis dieses Merkmals im erheblichen Maße die Anwendbarkeit des unionalen Datenschutzrechtes im Einzelfall.

Nach ErwGr. 26 DS-GVO sind bei der Frage, ob eine Person identifizierbar ist, alle Mittel zu berücksichtigen, die von dem datenschutzrechtlich Verantwortlichen (legaldefiniert in Art. 4 Nr. 7 DS-GVO) oder einer anderen Person nach all gemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Hieraus leitet sich vor allem die Frage ab, welche Mittel und welches Wissen Dritter sich der Verantwortliche zurechnen lassen muss.

c) Rechtsprechung des EuGH

Ob und inwieweit auch das Wissen und die Mittel anderer Personen als der des Verantwortlichen zu berücksichtigen sind, die diese zur Identifizierung einer Person verwenden können, ist noch nicht abschließend geklärt. Allerdings hat der EuGH in seiner hierzu maßgeblichen Entscheidung hinsichtlich des Personenbezuges von dynamischen IP-Adressen[13] wichtige Anhaltspunkte für die Beantwortung der aufgeworfenen Frage herausgearbeitet.

Im Wesentlichen führt der EuGH an, dass eine Zurechnung der Mittel und des Wissens Dritter (grundsätzlich) nicht zu erfolgen hat, wenn dies gesetzlich verboten oder praktisch nicht durchführbar wäre.[14]An der praktischen Durchführbarkeit fehlt es – im Einklang mit den nach ErwGr. 26 DS-GVO zu berücksichtigenden objektiven Faktoren –, wenn die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.[15] Dagegen soll der Rückgriff auf das Wissen und die Mittel eines Dritten nach allgemeinem Ermessen wahrscheinlich sein, wenn der Verantwortliche über rechtliche Mittel verfügt, um an die betreffenden Informationen des Dritten zu gelangen.[16]In diesem Zusammenhang muss beachtet werden, dass der EuGH nicht fordert, dass der Verantwortliche seine rechtlichen Mittel nutzt oder zum jetzigen Zeitpunkt nutzen kann. Daher ist es als ausreichend zu erachten, wenn der Verantwortliche potenziell die rechtlichen Möglichkeiten hat, die erforderlichen Informationen von dem Dritten zu erlangen.[17] Eine besondere Relevanz dieses EuGH-Urteils für die vorliegende Fragestellung hinsichtlich des Automobilkontextes ergibt sich daraus, dass unter bestimmten Umständen behördliche Auskünfte über Fahrzeughalter eingeholt und verwendet werden können, um zwischen dem jeweiligen Fahrzeugnutzer und den GPS-Daten eine Verknüpfung herzustellen.[18]

d) GPS-Nutzungsdatenüberwachung durch Datenerhebung bei Telemediendiensten

Ergänzend sei darauf hingewiesen, dass unlängst das OLG Frankfurt a.M. entschieden hat, der in 2021 neu geschaffene § 100k StPO erlaube einen umfassenden Abruf von GPS-Daten bei einem Fahrzeughersteller.[19] In dem zugrundeliegenden Sachverhalt war das Fahrzeug mit einem Dienst verbunden, der seitens des Herstellers zunächst kostenfrei und anschließend, jedenfalls hinsichtlich bestimmter (Teil-) Leistungen, gegen Zahlung überlassen wird. Durch diesen Dienst werden über eine festverbaute SIM-Karte zahlreiche Daten an einen Server übermittelt, wodurch wiederum vielfältige Funktionen eines Multi-Media-Systems ermöglicht werden, so etwa die Übermittlung des Fahrzeugstandorts an den Server und (auch) an ein von dem Nutzer bezeichnetes Mobiltelefon. Auf Antrag der Staatsanwaltschaft hat das LG Gießen den Fahrzeughersteller verpflichtet, Auskunft zu erteilen über sämtliche erhobenen und gespeicherten Verkehrsdaten unter Einschluss der vorhandenen und noch zu erhebenden GPS-Standortdaten für die näher individualisierten Anschlüsse des Fahrzeugs des Nutzers. Die dagegen von dem Fahrzeughersteller eingelegte Beschwerde vor dem OLG Frankfurt a.M. blieb erfolglos. Es wird kontrovers diskutiert, ob die von dem erkennenden Gericht vorgenommene weite Auslegung des Begriffs der „Nutzungsdaten“ im Sinne von § 100k StPO in Verbindung mit § 2 Abs. 2 Nr. 3 Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) zutreffend ist.[20]

2. Abstrakte Einordnung von GPS-Daten

Tatbestandlich setzt Art. 4 Nr. 1 DS-GVO zunächst voraus, dass die betreffende Information (abstrakt) in Verbindung zu einer natürlichen Person gebracht werden kann.[21] Diese grundsätzliche Verbindbarkeit einer Information mit einer natürlichen Person kann sich sowohl aus persönlichen als auch aus sachlichen Angaben ergeben. Persönliche Angaben sind unmittelbar personenbezogen, so z.B. Name, Alter, Herkunft oder Gesundheitszustand einer Person.[22] Sachliche Angaben beziehen sich auf die Beziehung der Person zu ihrer Umwelt, sprich zu Sachen oder Dritten, so bspw. Angaben zum Umfeld, der finanziellen Situation (etwa Vermögen, Gehalt oder Kreditwürdigkeit), Vertragsbeziehungen, Freundschaften, Eigentumsverhältnisse, Konsum- oder Kommunikationsverhalten, Arbeitszeiten oder E-Mail-Adressen der betroffenen Person.[23]

Sachliche Angaben sind von den sog. Sachdaten abzugrenzen. Solche Sachdaten liegen vor, wenn sich die Informationen ausschließlich auf Gegenstände beziehen.[24] GPSDaten liefern nur Informationen bezüglich des konkreten Standortes und der Bewegungen des Empfangsgerätes. Es ist allerdings zu berücksichtigen, dass Informationen, die sich (vordergründig) nur auf eine Sache beziehen, in Abhängigkeit von dem jeweiligen Gesamtkontext durchaus auch einen Bezug zu einer natürlichen Person aufweisen können.[25] Der Umstand, dass es sich bei GPS-Daten zunächst um Sachdaten handelt, schließt somit nicht aus, dass GPS-Daten im Automobilkontext als personenbezogene Daten qualifiziert werden können. Bevor im Folgenden diese Fragestellung vertieft adressiert wird, ist zunächst daran zu erinnern, dass GPS-Daten – auch und gerade im Automobilkontext – Zustands- und / oder Verhaltensdaten darstellen können.[26]

III. GPS-Daten als personenbezogene Daten im Automobilkontext

Auf der Grundlage und am Maßstab der herausgearbeiteten Kriterien ist nachfolgend zu untersuchen, ob und unter welchen Voraussetzungen GPS-Daten im Automobilkontext als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO einzuordnen sind.

1. GPS-Daten für sich genommen / ohne weitere Informationsverknüpfung

Die aus der GPS-Satellitenortung gewonnenen Daten beziehen sich im Ausgangspunkt gerade nicht unmittelbar auf eine Person, sondern geben für sich genommen als Zustands- und Verhaltensdaten [27]zunächst lediglich Aufschluss über den Standort eines bestimmten Empfängermediums und den Aufenthaltsort einer Person, die dieses Empfängermedium benutzt und dadurch geortet wird (bspw. Ortung eines Smartphones über GPS oder Ortung von gestohlenen Fahrzeugen über eingebaute GPS-Tracker).[28] Die Person selbst wird dabei jedoch nicht identifiziert. Für sich genommenen stellen GPS-Daten somit keine personenbezogenen Daten dar.[29]

2. Herstellung des Personenbezuges bei GPS-Daten

Wie vorstehend herausgearbeitet wurde, genügt für die Eröffnung des Anwendungsbereichs von Art. 4 Nr. 1 DS-GVO bereits die Identifizierbarkeit einer Person. Ein unmittelbarer Personenbezug der Daten ist somit gerade nicht erforderlich.[30] Grundsätzlich könnten somit zwar sämtliche verfügbaren Informationen zur Identifizierbarkeit einer Person herangezogen werden; es ist dabei aber anerkanntermaßen auch der dafür nötige Aufwand einzubeziehen.[31] Für die Frage, ob GPS-Daten personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO darstellen, kommt es somit maßgeblich darauf an, ob die GPS-Daten des genutzten Empfangsgerätes durch die Verknüpfung mit weiteren Informationen einer identifizierbaren natürlichen Person zugeordnet werden können. Diese Frage ist in Abhängigkeit von dem jeweiligen Empfangsgerät anhand der konkreten Umstände des Einzelfalles zu beantworten.

Ausgangspunkt hierfür ist die Feststellung, dass Automobile über eine individuelle Fahrzeug-Identifikationsnummer (FIN) sowie über ein KFZ-Kennzeichen verfügen müssen.[32]Bei der FIN und dem Kennzeichen handelt es sich jeweils um Identifikationsmerkmale, denn dadurch können die Zulassungsbehörden oder das Kraftfahrt-Bundesamt das jeweilige Fahrzeug einem konkreten Halter zuordnen.[33] Hieraus folgt, dass es durch die Verknüpfung von GPS-Daten des Fahrzeuges mit dem KFZ-Kennzeichen oder der FIN grundsätzlich möglich ist, Bewegungsmuster des Halters zu erfassen. Soweit diese Verknüpfung im Einzelfall erfolgen kann, ist der Halter des Fahrzeugs identifizierbar, weshalb es sich in einem solchen Fall bei den GPS-Daten des Fahrzeugs um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handelt.

Zur Beantwortung der Frage, ob die GPS-Daten einer identifizierbaren natürlichen Person im Einzelfall zugeordnet werden können, kommt es unter der Beachtung der vorbenannten Maßstäbe darauf an, ob die Verknüpfung der notwendigen Informationen mit einem verhältnismäßigen Aufwand möglich ist. Hierbei ist zu beachten, dass nach § 39 StVG grundsätzlich ein rechtlicher Anspruch gegen die Zulassungsbehörden auf Herausgabe der Halterdaten bestehen kann. Unter Berücksichtigung der dargestellten Vorgaben des EuGH sprechen somit gewichtige Argumente dafür, GPS-Daten in solchen Konstellationen grundsätzlich als personenbezogene Daten des Fahrzeughalters einzuordnen.[34] Allerdings dürfte es in der Praxis kaum vorkommen, dass ein nach § 39 StVG Anspruchsberechtigter auch Zugang zu den relevanten GPS-Daten hat.

Die Besonderheit bei GPS-Daten von Fahrzeugen besteht zudem darin, dass der Fahrzeughalter nicht notwendigerweise der Fahrzeugführer ist. Führt eine andere Person als der Fahrzeughalter das Automobil, so stellt sich die Frage, ob es sich bei diesen GPS-Daten ebenfalls um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handelt.[35]

3. Personenbezogene Daten des Fahrzeughalters

Auch wenn der Fahrzeughalter nicht selbst das Fahrzeug führt, könnten die erfassten GPS-Daten für diesen personenbezogene Daten darstellen. Zur Begründung lässt sich anführen, dass die Information über den Aufenthaltsort des PKW eine Information ist, die sich auch auf den Fahrzeughalter beziehen lässt.[36] Der Umstand, dass diese Information möglicherweise keinen besonderen Aussagegehalt hat, spielt für die Legaldefinition des Art. 4 Nr. 1 DS-GVO keine Rolle.[37]

Darüber hinaus ist zu beachten, dass die Informationen im Rahmen des Art. 4 Nr. 1 DS-GVO nicht notwendigerweise zutreffend sein müssen.[38] Werden etwa die GPS-Daten unrichtigerweise als Bewegungen des Fahrzeughalters eingeordnet, so bleibt es dabei, dass es sich um Informationen handelt, die sich auf eine identifizierbare natürliche Person beziehen – und somit um personenbezogene Daten des Fahrzeughalters.[39]

4. Identifizierbarkeit des Fahrzeugführers

Komplexer stellt sich die Frage dar, ob die GPS-Daten personenbezogene Daten des Fahrzeugführers sind, wenn es sich bei dem Fahrer nicht zugleich auch um den Halter des Fahrzeugs handelt. Ein fremder Fahrer, d.h. ein Dritter, welchem das Fahrzeug zur Nutzung überlassen wurde, ist über die Fahrzeugzulassungsbehörde nicht ermittelbar. Weder die Zulassungsbehörde noch das Kraftfahrt-Bundesamt werden regelmäßig Kenntnis hinsichtlich der Identität des Fahrzeugführers haben.

Ob es sich vor diesem Hintergrund bei GPS-Daten um personenbezogene Daten des Fahrzeugführers handelt, kann somit nur im Einzelfall anhand der bereits beschriebenen Kriterien erfolgen. Gleichwohl lassen sich einige Leitlinien für die Untersuchung durch die Verantwortlichen aufstellen.

a) Identifizierung durch den Fahrzeughalter

Der Fahrzeughalter verfügt regelmäßig über das notwendige Wissen, um die GPS-Daten einer identifizierbaren natürlichen Person, sprich dem Fahrzeugführer, zuzuordnen. Aus der Sicht von Datenverarbeitenden stellt sich die Frage, ob diese sich das Wissen des Fahrzeughalters zurechnen lassen müssen. Dafür müsste der Zugriff auf dieses Wissen in Ansehung von ErwGr. 26 DS-GVO nach dem allgemeinen Ermessen wahrscheinlich sein. Unter Berücksichtigung der dargestellten EuGH-Entscheidung in der Rechtssache Breyer (C –582/14) wäre dies der Fall, wenn jedenfalls ein potenzieller Anspruch des Datenverarbeitenden gegen den Fahrzeughalter auf Auskunft bestehen würde. Ein derartiger Anspruch ist allerdings im deutschen Recht nicht vorgesehen.[40]Folglich muss im Einzelfall untersucht werden, ob der Rückgriff auf das Wissen des Fahrzeughalters nach allgemeinem Ermessen als wahrscheinlich anzusehen ist.

b) Identifizierbarkeit durch die Nutzungsdaten des Fahrzeugs

Bei der Nutzung von modernen Fahrzeugen werden nicht nur GPS-Daten erzeugt und verarbeitet, sondern auch eine Reihe von weiteren Nutzungsdaten des Fahrzeugführers, wie etwa bezüglich des Fahrverhaltens oder der Nutzung des Infotainment-Systems. Eine Identifizierbarkeit im Sinne von Art. 4 Nr. 1 DS-GVO mag sich somit aus dem Rückgriff auf derartige Daten oder deren Gesamtschau ergeben können, so z.B. in Ansehung des individuellen Nutzungsverhaltens betreffend Sitz- und sonstiger Fahrzeugeinstellungen bzw. -konfigurationen, verwendeter Playlists oder Mobilfunkdaten, wenn und soweit diese Daten mit den GPS-Daten zusammengeführt werden. Auch und gerade in dem bereits beschriebenen Szenario des Auseinanderfallens von Halter und Fahrer des Fahrzeugs kann der Rückgriff auf weitere Nutzungs- und Sachdaten zu einer Eingrenzung des Nutzerkreises (maßgeblich) beitragen. So werden Informationen über das Fahr-, Lenk- oder Bremsverhalten zu einer Unterscheidbarkeit der Autofahrer beitragen können, Nutzungsdaten über das Infotainment-System werden zudem Aufschluss über das Alter und die Interessen des Fahrers geben, gespeicherte Sitzeinstellungen erlauben Rückschlüsse auf die Größe und Physiognomie einer Person.

Selbst bei umfangreicher Datenlage dürften jedoch solche Konstellationen den Regelfall bilden, in denen bspw. bei ähnlichem Alter, Größe, Fahrverhalten, Musikgeschmack oder Bewegungsradius des Nutzerkreises eine Zuordnung zu einer bestimmten Person nicht zweifelsfrei vorgenommen werden kann. Die durch die Zusammenführung verschiedener Daten geschaffene (umfassende) Datenlage erlaubt grundsätzlich nur im Ausnahmefall einen belastbaren Rückschluss auf den Fahrer und damit den Nutzer des Empfangsgerätes sowie eine Zuordnung der GPS-Daten zu einer natürlichen Person. Ob GPS-Daten durch eine Verbindung mit weiteren Daten zu personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DS-GVO werden, richtet sich somit maßgeblich nach den Umständen des Einzelfalls, weshalb gerade keine abstrakt-pauschale Aussage dahingehend getroffen werden kann. Insgesamt wird eine Identifizierbarkeit wegen der damit verbundenen tatsächlichen Schwierigkeiten und Fehleranfälligkeit somit allenfalls die Ausnahme darstellen. Dies gilt vor allem dann, wenn der relevante Datensatz die Daten betreffend KFZ-Kennzeichen oder FIN nicht beinhaltet (z.B. wenn diese aus dem Datensatz gelöscht wurden).

c) Besonderheit von Carsharing-Diensten

Carsharing-Dienste zeichnen sich dadurch aus, dass Fahrzeuge fortlaufend durch unterschiedliche Personen geführt werden. Die jeweiligen Nutzer registrieren sich vor jeder Fahrt mit ihrem zuvor angelegten Nutzerkonto. Hierdurch können die Carsharing-Anbieter die GPS-Daten mit dem jeweiligen Nutzer verknüpfen. In diesen Fällen wird es sich somit bei GPS-Daten regelmäßig um personenbezogene Daten des Fahrzeugführers handeln.[41]

IV. Weitere Anwendungsszenarien

Im Folgenden werden zur Veranschaulichung und Vertiefung weitere Anwendungsszenarien für GPS-Daten im Automobilkontext dargestellt und kurz beleuchtet.

1. Rasterfahndung

GPS-Daten können relevant werden im Rahmen von polizeilichen Rasterfahndungen. Hierbei handelt es sich um eine besondere (polizeiliche) Fahndungsmethode unter Nutzung der elektronischen Datenverarbeitung, wobei sich die Polizei von anderen öffentlichen oder privaten Stellen personenbezogene Daten übermitteln lässt, um einen automatisierten Abgleich (Rasterung) mit anderen Daten vorzunehmen. Durch den Abgleich soll eine Schnittmenge von Personen ermittelt werden, auf welche bestimmte, vorab festgelegte Merkmale zutreffen.[42] Für die Frage, ob und inwieweit die in diesem Rahmen verwendeten GPS-Daten als personenbezogen im Sinne von Art. 4 Nr. 1 DS-GVO einzuordnen sind, kann auf die obigen Ausführungen verwiesen werden. Somit muss auch hier auf den Einzelfall abgestellt werden, wobei maßgeblich ist, ob die Umstände eine (ggf. nachträgliche) Feststellung des Fahrers zulassen und damit die GPS-Daten einer bestimmbaren Person zugeordnet werden können.

2. Arbeitnehmerschutz

Im Verhältnis von Arbeitnehmer und Arbeitgeber kann der Einsatz von GPS-Systemen in Automobilen ebenfalls eine wichtige Rolle spielen. Durch die in der Regel in einem Navigationssystem oder GPS-Tracker eines Fahrzeugs als Empfangsgerät „gespeicherten“ GPS-Daten besteht für den Arbeitgeber die Möglichkeit, sowohl die Arbeitszeiten und deren Einhaltung als auch die ausschließlich gewerbliche Nutzung des Fahrzeugs[43] durch die Arbeitnehmer zu konrollieren.[44] Nach Maßgabe der herausgearbeiteten Grundsätze sind die in diesem Kontext verwendeten GPS-Daten als personenbezogen im Sinne von Art. 4 Nr. 1 DS-GVO zu qualifizieren, falls sich (ggf. nachträglich) ermitteln lässt, welcher Arbeitnehmer zu welchem Zeitpunkt mit welchem Fahrzeug unterwegs war, d.h. die entsprechenden GPS-Daten einem bestimmten Arbeitnehmer zugeordnet werden können und somit eine „Identifizierbarkeit“ vorliegt, was wiederum einen entsprechenden Organisationsgrad des Arbeitgebers voraussetzt.[45]

3. Automatisches Notrufsystem eCall

Weiterhin sind sog. „eCalls“ in den Blick zu nehmen, bei denen das Betriebssystem des Autos nach einem von Sensoren erfassten und erkannten Zusammenstoß oder Aufprall automatisch einen Notruf inklusive Standortdaten des Autos an die Notrufzentrale absetzt.[46] Hier stellt sich (erneut) die Frage, ob und inwieweit einzelne GPS-Daten als personenbezogen angesehen werden können.[47] Die Beantwortung dieser Frage wird vor allem auch davon abhängen, ob sich der Fahrer feststellen lässt. Jedenfalls aber werden in der beschriebenen Konstellation die GPS-Daten als personenbezogen im Hinblick auf den Halter zu qualifizieren sein.

4. Nutzung eines Smartphones bzw. einer App

Besonderheiten können sich bezüglich der Beurteilung von GPS-Daten ergeben, die im Rahmen der Nutzung eines Smartphones bzw. im Rahmen einer (Navigations-)App wie Google Maps erhoben werden. In derartigen Konstellationen kommt es ebenfalls entscheidend darauf an, ob es dem Hersteller des Smartphones und/oder dem Betreiber der jeweiligen App möglich ist, den Fahrzeuginsassen mit verhältnismäßigem Aufwand anhand der GPS-Daten zu identifizieren. Insbesondere bei einer Anmeldung zur Nutzung einer auf GPS-Daten zugreifenden App mit individualisierenden Informationen wie Name und/oder (E-Mail-)Adresse dürfte regelmäßig eine Identifizierbarkeit ohne Weiteres möglich sein, sodass in solchen Konstellationen personenbezogene Daten vorliegen werden.

V. Zusammenfassung

Zusammenfassend ist festzuhalten, dass GPS-Daten für sich genommen (noch) keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DS-GVO darstellen. Zwar kann aus der Verbindung mit anderen Informationen ein Personenbezug im Sinne der DS-GVO erwachsen; ein hieraus abgeleiteter Personenbezug wird aber allenfalls ausnahmsweise in Betracht kommen. Insgesamt muss eine abstrakt-pauschale Beantwortung deshalb regelmäßig ausscheiden, die Beurteilung des Vorliegens eines Personenbezugs unter dem Kriterium der „Identifizierbarkeit“ hat einzelfallbezogen stattzufinden. Im Automobilkontext wird es hierbei maßgeblich darauf ankommen, ob die Umstände eine (ggf. nachträgliche) Feststellung des Fahrers ermöglichen oder nicht; ohne einen belastbaren Rückgriff auf Kfz-Kennzeichen oder FIN wird diese Feststellung jedoch zumeist sehr schwierig sein.

Prof. Dr. Boris Paal

Inhaber des Lehrstuhls für Bürgerliches Recht und Informationsrecht, Daten- und Medienrecht sowie Direktor des Instituts für Medien- und Datenrecht sowie Digitalisierung der Universität Leipzig, Of Counsel der Kanzlei Nikol & Goetz

Mattias Götz, LL.M.

Rechtsanwalt und Solicitor (England & Wales). Als solcher berät er nationale und internationale Unternehmen zu sämtlichen Fragen des Datenschutzrechts. Er ist Partner der Rechtsanwaltskanzlei Nikol & Goetz

[1] Siehe hierzu nachfolgend unter IV. 4.

[2] Weichert, NZV 2017, 507 (509, 510).

[3] Boehme-Neßler, DuD 2016, 419 (419); Hofmannn/Johannes, ZD 2017, 221 (222); Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 4 Nr. 1 Rn. 1; Klar/Kühling, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 1; Schwartmann/Mühlenbeck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., 2020, Art. 4 Rn. 9; Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl., 2019, Art. 4 Rn. 2.

[4] Art. 29-Datenschutzgruppe, WP 136, 2007, S. 4; Boehme-Neßler, DuD 2016, 419 (419); Klabunde, in: Ehmann/Selmayr, DS-GVO, 2. Aufl., 2018, Art. 4 Rn. 7.

[5] EuGH, NJW 2018, 767 Rn. 35 – Nowak/Data Protection Commissioner, wobei sich die Entscheidung noch auf die Vorgängervorschrift des Art. 2 Buchst. 1 DSRL bezieht, welcher inhaltlich unverändert in Art. 4 Nr. 1 DS-GVO übersetzt wurde.

[6] Klar/Kühling, in: Kühling/Buchner, DS-GVO, Art. 4 Nr. 1 Rn. 18.

[7] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 24.

[8] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 24; Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., 2018, Art. 4 Rn. 14.

[9] Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 4 Nr. 1 Rn. 56.

[10] EuGH, Urt. v. 19.10.2016 – C-582/14 NJW C-582/14, NJW 2016, 3759 Rn. 38.

[11] Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 4 Nr. 1 Rn. 57; Klar/Kühling, in: Kühling/Buchner, DS-GVO/ BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 19; Schwartmann/Hermann, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., 2020, Art. 4 Nr. 1 Rn. 33; Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht, 6. Aufl., 2018, Teil 2, Rn. 25

[12] U.a. Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 34; Buchholtz/Stenzel, in: Gierschmann/Schlender/Stenzel/Veil, DS-GVO, 2018, Art. 4, Nr. 1, Rn. 9; Specht/Müller-Riemenschneider, ZD 2014, 71 (72).

[13] EuGH, Urt. v. 19.10.2016 – C-582/14 – Breyer.

[14] EuGH, Urt. v. 19.10.2016 – C-582/14, Rn. 46

[15] EuGH, Urt. v. 19.10.2016 – C-582/14, Rn. 46.

[16] EuGH, Urt. v. 19.10.2016 – C-582/14, Rn. 47.

[17] EuGH, Urt. v. 19.10.2016 – C-582/14, Rn. 47.

[18] Hierzu vertieft nachfolgend unter III.2.

[19] OLG Frankfurt a.M., Beschl. v. 20.07.2021 – 3 Ws 369/21, MMR 2022, 141.

[20] Zu den hiermit verbundenen Fragestellungen Ruppert, StV Spezial 2022, 66.

[21] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 10.

[22] Ernst, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 4 Rn. 14.

[23] Ernst, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 4 Rn. 14.

[24] Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 10; Klar/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 12. So auch Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Aufl., 2019, Teil XIV, Rn. 185; Weisser/Färber, MMR 2015, 506 (508).

[25] Klar/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 14; Arning/Rothkegel, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 4 Rn. 12.

[26] Siehe hierzu vorstehend unter I. 2.

[27] Siehe für das Verhältnis von Zustands- zu Verhaltensdaten bei GPS-Daten vorstehend unter I.

[28] BGH, NJW 2013, 2530 (2532, Rn. 38 f.); Thüsing, Beschäftigtendatenschutz und Compliance, 3. Aufl. 2021, § 12 Rn. 16.

[29] So etwa auch zur alten (aber insoweit übertragbaren) Rechtslage BGH, Urt. v. 04.06.2013 – 1 StR 32/13, NJW 2013, 2530 (2532) Rn. 38.

[30] VG Lüneburg, Teilurt. v. 19.03.2019 – 4 A 12/19 – juris Rn. 29; so im Ergebnis zur alten Rechtslage auch LAG Baden-Württemberg, BeckRS 2009, 68144 Rn. 21; LG Lüneburg, NJW 2011, 2225 (2226); BGH NJW 2013, 2530 (2532) Rn. 35.

[31] Ziebarth, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl., 2018, Art. 4 Rn. 21, 22.

[32] Anbringung der FIN gemäß § 59 Abs. 1 Nr. 4 StVZO; Anbringung des Kennzeichens gemäß § 10 Abs. 5 FZV.

[33] Von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 12.

[34] Vgl. von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 13; Weichert, SVR 2014, 201 (206); Weisser/Färber, MMR 2015, 506 (508).

[35] Diese Problematik aufgreifend von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 13.

[36] Von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16 Rn. 13.

[37] Ernst, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 4 Rn. 3; Klar/ Kühling, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 9.

[38] Eßer, in: Auernhammer, DS-GVO/BDSG, 7. Aufl., 2020, Art. 4 Rn. 11; Art. 29-Datenschutzgruppe, WP 136, 2007, S. 7; Schmitz, in: Moos/Schefzig/ Arning, Die neue Datenschutz-Grundverordnung, Kap. 2, Rn. 40; Klar/ Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., 2020, Art. 4 Nr. 1 Rn. 8.

[39] Von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16, Rn. 13.

[40] Gegen die Herleitung eines solchen Anspruches aus § 242 BGB überzeugend Koschinka, SVR 2016, 206 (207 f.).

[41] Von Bodung, in: Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 16, Rn. 13.

[42] BVerfGE 115, 320 (321).

[43] Sofern auch eine private Nutzung geduldet ist, besteht die Möglichkeit, die GPS-Geräte für solche (Privat-)Fahrten zu sperren, vgl. hierzu VG Lüneburg, Teilurt. v. 19.03.2019 – 4 A 12/19 – juris Rn. 36.

[44] Byers, in: Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019, Teil B VII Nr. 2 lit. a Rn. 3.

[45] Diese Erwägungen mit einem Beispiel aus der Landwirtschaft veranschaulichend Vogel/Klaus, Zulässigkeit der Verarbeitung von GPS-Daten im Arbeitsverhältnis, in: Stich/Schumann/Beverungen/Gudergan/Jussen (Hrsg.), Digitale Dienstleistungsinnovationen, 2019, 393, 394 ff.

[46] Lüdemann, ZD 2015, 247 (248).

[47] So kritisch, aber offenlassend Leupold/Wiebe/Glossner/Eul, IT-Recht, Teil 10.2, Rn. 31.