Das Urteil des Europäischen Gerichtshofs vom 5. Oktober 2023 in der Rechtssache C-296/22 stellt eine weitere Entscheidung in der Debatte über den Zugang zu Fahrzeug-OBD-Informationen sowie Diagnose- und anderen Geräten durch unabhängige Werkstätten dar.
Im vorliegenden Fall hat der Automobilhersteller Stellantis Italy (vormals FCA Italy) ATU, einer unabhängigen Werkstattkette, und Carglass, einem Unternehmen für die Reparatur und Austausch von Fahrzeugscheiben den Zugang zu Daten für Diagnose-, Reparatur- und Wartungszwecke nicht uneingeschränkt gewähren wollen.
Was war der Streitpunkt?
Im Kern ging es um die Frage, ob ein Hersteller den Zugang zu OBD-Informationen sowie Diagnose- und anderen Geräten von bestimmten Bedingungen abhängig machen kann und wenn ja, von welchen. Stellantis Italy verlangte neben einer Registrierung und persönlichen Anmeldung bei einem von Stellantis bestimmten Server, dass die unabhängige Werkstatt ein kostenpflichtiges Abonnement für die Nutzung der generischen Diagnosegräte erwerben müsse, die sie mit dem Server verbindet. Die Maßnahmen waren nach Ansicht von Stellantis aus Gründen der Cybersicherheit erforderlich. Stellantis verwies in diesem Zusammenhang auch auf die UN-Regelung 155, die sich mit der Cybersicherheit von Fahrzeugen befasst. Deren Einhaltung ist nach der Verordnung (EU) 2019/2144 ab Juli 2022 für die EU-Typgenehmigung und ab Juli 2024 für die Zulassung von Kraftfahrzeugen sowie für das Inverkehrbringen und die Inbetriebnahme von Bauteilen und selbstständigen technischen Einheiten erforderlich. Nach Meinung von ATU und Carglass sieht die EU-Typgenehmigungsverordnung 2018/858 derartige Bedingungen nicht vor und die Maßnahmen von Stellantis beeinträchtigen ihre Wettbewerbsfähigkeit gegenüber Vertragswerkstätten. Zudem würden sich die Werkstattkosten für Endverbraucher erhöhen.
Wie entschied der Europäische Gerichtshof?
Der Gerichtshof entschied zugunsten der unabhängigen Werkstätten und betonte, dass zusätzliche Schutzmaßnahmen die Wettbewerbsfähigkeit der Werkstätten beeinträchtigen und gegen die EU-Typgenehmigungsverordnung von 2018 verstoßen würden. Er stellte klar, dass unabhängige Wirtschaftsakteure uneingeschränkten Zugang zu den benötigten Informationen für ihre Aufgaben im Bereich der Fahrzeugreparatur und -wartung haben müssen, ohne dass für sie andere als die in der Verordnung vorgesehenen Bedingungen gelten. Insbesondere sieht die Verordnung als Bedingung keine vorherige Anmeldung oder die Verbindung des Diagnosegeräts über das Internet mit einem vom Hersteller spezifizierten Server vor. Die von Stellantis angeführten Sicherheitsbedenken ließ der EuGH nicht gelten und stellte klar, dass Sicherheitsmaßnahmen nicht den Zugang zu den Daten und Informationen beschränken dürfen. Auch auf die UN-Regelung 155 könne sich Stellantis nicht berufen, da diese nach Ansicht des Gerichts regionale oder nationale Cybersicherheitsgesetze ausdrücklich unberührt lasse.
Konsequenzen für die verschiedenen Akteure
Für Automobilhersteller gibt das Urteil Anlass, ihre Strategien für den Datenzugriff und die Datensicherheit zu überprüfen. Insbesondere sollte die bislang geübte Zugangsgewährung überprüft werden. Carglass hat in einer ersten Reaktion auf das Urteil bereits alle Autohersteller aufgefordert, sämtliche Zugangsbeschränkungen fallen zu lassen. Das Urteil könnte auch bewirken, dass andere interessierte Akteure Ansprüche gegen Autohersteller geltend machen. Insbesondere können unabhängige Reparaturbetriebe ggf. zukünftig von einem erleichterten Zugang zu Fahrzeugdaten profitieren, was zu einem verstärkten Wettbewerb und möglicherweise zu niedrigeren Kosten für die Verbraucher führt.
Ein Blick in die Zukunft: Das Datengesetz und die UN-Regelung
Die Entscheidung kommt zu einem spannenden Zeitpunkt. Denn die EU wird in Zukunft eine allgemeine horizontale Regelung in Kraft setzen, die die Rechte auf Zugang zu allen Arten von Roh- und Servicedaten, inklusive Metadaten, erheblich ausweiten soll: das Datengesetz, auch bekannt als Data Act. Dieses Gesetz soll durch sektorspezifische Regelungen ergänzt werden. Nichtsdestotrotz wird die Abgrenzung der verschiedenen Regelungen eine Herausforderung. Hinzu kommen weitere Entwicklungen: So will die Europäische Kommission in Kürze - vermutlich am 29. November 2023 - einen Gesetzesvorschlag für den Zugang zu Fahrzeugdaten vorlegen. Die Klarstellung des Gerichtshofs, dass die UN-Regelung 155 einer europäischen Regelung des Datenzugangs grundsätzlich keine Grenzen setzt, könnte die EU-Gesetzgeber ermutigen, in der sektorspezifischen Regelung zu Lasten der Fahrzeughersteller besonders weite Datenzugänge vorzusehen. Fahrzeughersteller müssten dann in der Lage sein, Cybersicherheitsrisiken zu bewältigen, ohne den Zugang zu Daten „übermäßig“ einzuschränken.
