Datenschutzhinweise für Betroffene (aktuelle und ehemalige Fahrzeughalter*innen und Eigentümer*innen von Kraftfahrzeugen)

Die vorliegenden Hinweise zum Datenschutz gemäß Artikel 14 DSGVO dienen der Informationspflicht, wenn die personenbezogenen Daten, wie im vorliegenden Fall, nicht bei der betroffenen Person erhoben wurden.

Eine Pflicht zur Information direkt bei den Betroffenen besteht gemäß Art. 14 Absatz 5 lit b DSGVO dann nicht, wenn die Erteilung dieser Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. CARFAX verarbeitet zwar personenbeziehbare Daten von Fahrzeughalter*innen, dazu gehören aber niemals Identifikations- und Kontaktdaten wie z.B. Namen oder Adressen und Telefonnummern der Betroffenen.

Daher stellt CARFAX allen Betroffenen gemäß der Datenschutzgrundverordnung Informationen öffentlich auf der Webseite zur Verfügung.

Name und Kontaktdaten des Verantwortlichen

CARFAX Europe GmbH Barthstraße 2-10 80339 München, Germany Email: info@carfax.eu (hereinafter referred to as "CARFAX", “we", "us").

Kontaktdaten des Datenschutzbeauftragten

Martin Holzhofer Holzhofer Consulting GmbH Lochhamer Str. 31 82152 Planegg, Germany Tel.: +49 89 125 01 56 00 Email: privacy@carfax.eu Website: https://www.holzhofer-consulting.de

Zwecke, für welche die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung

Zwecke der Datenverarbeitung

CARFAX verarbeitet personenbezogene Daten im Sine von Art. 5 DSGVO.

CARFAX verarbeitet insbesondere Fahrzeugidentifikationsnummern (FINs) um ein Fahrzeug eindeutig zu identifizieren und Interessierten Informationen über die Fahrzeughistorie dieses Gebrauchtwagens zugänglich zu machen. In manchen Ländern behält ein Fahrzeug den gesamten Lebenszyklus über dasselbe Kennzeichen – in diesem Fall kann auch das Kennzeichen ein Fahrzeug identifizieren.

Datenverarbeitung aufgrund berechtigter Interessen

Unter Abwägung der Rechte und Freiheiten der Fahrzeughalter*innen erfolgt die Verarbeitung, wenn diese zur Wahrung eines berechtigten Interesses der CARFAX Europe GmbH oder eines Dritten erforderlich ist und dieses die Interessen, Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegt. In diesen Fällen dient Art. 6 Absatz 1 lit f DSGVO als Rechtsgrundlage.

Außerdem verarbeitet CARFAX die Daten, um mit seinen Services zur allgemeinen Verbesserung der Betrugsprävention und zur Bekämpfung der organisierten Kriminalität im grenzüberschreitenden Gebrauchtwagenhandel beizutragen. Je mehr Transparenz bei Gebrauchtwagen herrscht, desto mehr Straßenverkehrssicherheit gibt es – ein Allgemeininteresse. Schließlich hat CARFAX ein berechtigtes wirtschaftliches Interesse an der Datenverarbeitung und dem Verkauf seiner Produkte und Services.

Über etwaige Änderungen der Zwecke der Datenverarbeitung wird CARFAX gemäß Art. 14 Absatz 4 DSGVO informieren.

Empfänger von Daten und Datenquellen

Kategorien von Empfängern personenbezogener Daten („Dritte“)

Soweit gesetzlich zulässig, geben wir personenbezogene Daten an Dritte weiter:

„Dritte“ können alle Personen und Institutionen sein, die Interesse an Informationen über den Lebenszyklus eines Gebrauchtwagens haben: Privatpersonen und Unternehmen, die einen Gebrauchtwagen kaufen oder verkaufen wollen; Unternehmen, wie zum Beispiel Versicherer, die einen Gebrauchtwagen versichern wollen und diesen dafür beurteilen müssen oder Versicherer, die einen Verkehrsunfall regulieren sowie Ermittlungs- und Strafverfolgungsbehörden und andere Dritte.

Darüber hinaus geben wir Daten an verbundene Unternehmen weiter, insbesondere an unsere Muttergesellschaft CARFAX Inc. fallweise und unter bestimmten Voraussetzungen sowie an Niederlassungen in der EU.

Zur Verarbeitung von personenbezogenen Daten zu den hier genannten Zwecken setzen wir außerdem folgende Kategorien von Empfängern als Auftragsverarbeiter i.S.d. Art. 28 DSGVO ein:

Dienstleister für das Hosting von Servern für die Bereitstellung von webbasierten Diensten

Softwaredienstleister zwecks Hostings und Betrieb verschiedener Software (z.B. Support-Ticket-System und Dokumentenmanagementsystem)

Datenquellen

CARFAX verfügt derzeit über eine Datenbank mit mehr als 4 Mrd. Datensätzen, die von verschiedenen Quellen gesammelt wurden, darunter Ministerien, Zulassungsbehörden, Service- und Reparaturwerkstätten, Inspektionsbetrieben, Autohändlern, Online-Marktplätzen und viele andere.

Kategorien personenbezogener Daten, die verarbeitet werden

Insbesondere sind das die personenbeziehbaren Daten Fahrzeugidentifikationsnummer (FIN) und Kennzeichen, die sich auf eine identifizierbare Person beziehen. Als identifizierbar wird eine natürliche Person gemäß DSGVO angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung … zu einer Kennnummer… identifiziert werden kann, siehe Art 4 Nr.1 DSGVO. Mit Hilfe der 17stelligen FIN oder des Kennzeichens ist es grundsätzlich möglich, den/die Halter*in und/oder den/die Eigentümer*in eines Fahrzeugs zu identifizieren – allerdings nur, wenn man einen Antrag bei der zuständigen Behörde stellt und wenn das Anliegen in Zusammenhang mit verkehrsrechtlichen Belangen steht. CARFAX sammelt und verarbeitet niemals Identifikations- und Kontaktdaten von Halter*innen, Eigentümer*innen, Besitzer*innen, Fahrer*innen oder Mitfahrer*innen von Fahrzeugen. Folglich verarbeitet CARFAX auch keine besonderen Kategorien personenbezogener Daten.

Neben der FIN und dem Kennzeichen verarbeitet CARFAX ereignisbasierte Daten des zugehörigen Fahrzeugs (z.B. Registrierungen, Eigentümer*innenwechsel, Schäden, Reparaturen, Kilometerstände, Restwert- und Servicedaten, Nutzungsart) und auch technische und nicht-technische Fahrzeugmerkmale und stellt Dritten die gewünschten Informationen über einen Gebrauchtwagen zur Verfügung.

Speicherdauer und Kriterien für die Festlegung der Dauer

Gemäß Artikel 5 Absatz 1 e) DSGVO dürfen personenbezogene Daten, die eine Identifizierung einer betroffenen Person ermöglichen, nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

CARFAX speichert fahrzeugrelevante und die oben genannten personenbeziehbaren Daten für eine unbegrenzte Dauer. Diese unbefristete Speicherung ist notwendig, um der kriminellen Praxis entgegenzuwirken, die Fahrgestellnummer eines Fahrzeugs, das beispielsweise verschrottet werden soll, auf ein anderes verunfalltes Fahrzeug zu übertragen, das auch nicht mehr am Verkehr teilnehmen darf, aber wiederaufgebaut wird, um illegal wieder dem Gebrauchtwagenhandel zugeführt zu werden.

Nur eine unbefristete Speicherung der Daten ermöglicht es den zuständigen Behörden, diese Praxis aufzudecken und zu verhindern, dass diese Fahrzeuge als scheinbar verkehrstaugliche Fahrzeuge wieder am Verkehr teilnehmen. Der Zweck der Datenspeicherung gilt daher als nicht erfüllt, die Daten dürfen für einen unbegrenzten Zeitraum gespeichert werden.

Außerdem stellt CARFAX auch Gebrauchtwagenhistorien für Oldtimer bereit. Oldtimer sind Fahrzeuge, die älter als 30 Jahre sind.

Datenübermittlung in ein Drittland

Datenübermittlungen in Länder außerhalb der EU und des Europäischen Wirtschaftsraums ("Drittländer") ergeben sich im Rahmen der Administration, der Entwicklung und des Betriebs von IT-Systemen. Die Übermittlung erfolgt nur auf Grundlage:

eines Angemessenheitsbeschlusses der Europäischen Kommission i.S.d. Art. 45 DS-GVO.

eines genehmigten Zertifizierungsmechanismus gemäß Art. 42 DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland.

von Standarddatenschutzklauseln, die von der Europäischen Kommission gemäß des Prüfverfahrens nach Art. 93 Abs. 2 DS-GVO erlassen wurden.

Derzeit findet im Zusammenhang mit dem Kauf eines CARFAX Services eine Datenübermittlung in Länder außerhalb der EU und des Europäischen Wirtschaftsraums ("Drittländer") in folgenden Fällen statt:

Übermittlung der FIN an unser Mutterunternehmen CARFAX Inc., 5860 Trinity Parkway, Suite 600, Centreville, VA 20120 in die USA nur für den Fall, dass keine Daten in unserer eigenen Datenbank zu einer angefragten FIN vorliegen und um dem Anfragenden damit den Gesamtzugang zur globalen Datenbank zu ermöglichen.

Übermittlung von Daten an Egnyte Inc., 1350 W. Middlefield Road Mountain View, CA 94043 United States im Zusammenhang mit der Bereitstellung und Nutzung unseres Dokumentenmanagementsystems

Übermittlung von Daten an Atlassian Pty Ltd, Level 6, 341 George Street, Sydney, NSW 2000, Australia (Global HQ) im Zusammenhang mit der Bereitstellung von Webanwendungen für Projektmanagement, Wissensaustausch und Kollaboration

Übermittlung von Daten an AWS Inc., 410 Terry Avenue North, Seattle WA 98 109, U.S. im Zusammenhang mit der Bereitstellung von Server Hosting und Cloud Services (unsere Daten befinden sich zwar auf Servern in Europa doch da unser Vertragspartner eine Konzernmutter mit Sitz in den United States hat, kann eine Datenübermittlung nicht sicher ausgeschlossen werden).

Übermittlung von Daten an MongoDB, Inc., 229mW 43rd Street New York City, NY 10036, U.S. im Zusammenhang mit Unterstützung für die quellverfügbare Datenbank Mongo DB, eine NoSQL-Datenbank, die Daten in JSON-ähnlichen Dokumenten mit flexiblen Schemata speichert.

Für die USA liegt ein Angemessenheitsbeschluss der EU-Kommission i.S.d. Art. 45 Abs. 3 DSGVO vor, der sich auf das EU-US Data Privacy Framework (DPF) erstreckt. Für Datenexporte an Empfänger in den USA, die nach dem DPF zertifiziert sind, wird das Datenschutzniveau demnach als angemessen betrachtet. Die Dienstleister Atlassian, AWS und MongoDB haben sich nach dem DPF zertifiziert und damit verpflichtet, europäische Datenschutzgrundsätze einzuhalten.

Automatisierte Entscheidungsfindung einschließlich Profiling

Automatisierte Einzelfallentscheidungen einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO finden seitens der CARFAX Europe GmbH nicht statt.

Informationen zu Betroffenenrechten

Für die Verarbeitung deiner Daten ist die CARFAX Europe GmbH, Barthstraße 2-10, 80339 München verantwortlich, soweit nicht anders ausgewiesen.

Du kannst jederzeit, sofern die gesetzlichen Anforderungen erfüllt sind, von uns Auskunft (Art. 15 DS-GVO) zu den über dich gespeicherten Daten und deren Berichtigung (Art. 16 DS-GVO) im Fall von Fehlern verlangen. Weiter kannst du die Einschränkung der Verarbeitung (Art. 18 DS-GVO), die Übertragbarkeit (Art. 20 DS-GVO) der uns durch dich bereitgestellten Daten in einem maschinenlesbaren Format oder die Löschung deiner Daten (Art. 17 DS-GVO) – soweit sie nicht mehr benötigt werden – verlangen.

Außerdem hast du jederzeit das Recht, der Nutzung deiner Daten, die auf öffentlichen oder berechtigten Interessen beruhen, zu widersprechen (Art. 21 DS-GVO).

Sofern du von deinen Betroffenenrechten Gebrauch machen möchtest, richtest du dein Anliegen bitte an:

CARFAX Europe GmbH Barthstraße 2-10 80339 München privacy@carfax.eu

Beschwerderecht bei einer Aufsichtsbehörde

Zudem kannst du dich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden. Für uns ist grundsätzlich das Bayerische Landesamt für Datenschutzaufsicht, Postfach 1349, 91504 Ansbach, zuständig. Alternativ kannst du auf die für dich örtlich zuständige Aufsichtsbehörde zugehen.

Stand: Dezember 2023