Die Erhebung von Daten hinsichtlich der Anrede der Kunden ist nicht erforderlich, insbesondere wenn sie darauf abzielt, die geschäftliche Kommunikation zu personalisieren. Dies hat der Europäischen Gerichtshofs (EuGH) nun im Falle von Fahrscheinen entschieden. Dieses Urteil betrifft Unternehmen aller Branchen, die personenbezogene Daten verarbeiten. Die Tatsache, dass die Angabe des Geschlechts als Pflichtfeld unter der DSGVO nicht automatisch erforderlich ist, hat weitreichende Konsequenzen für den Datenschutz von Unternehmen in der gesamten EU.
Inhaltsverzeichnis
Ticketkauf und DSGVO: Geschlechtsangabe verletzt Grundsatz der Datenminimierung:
In einem Urteil vom 9. Januar 2025 hat der Europäische Gerichtshof (EuGH) unmissverständlich entschieden, dass Unternehmen ihre Kunden im Rahmen des Online-Ticketkaufs nicht zur Angabe des Geschlechts verpflichten dürfen. Das Urteil des Gerichtshofs in der Rechtssache C-394/23 | Mousse stellt klar, dass die verpflichtende Erhebung der Anrede bzw. Geschlecht („Herr“ oder „Frau“) über ein Pflichtfeld im Online-Formular nicht mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.
Das Wesentliche des EuGH Urteils C-394/23– Mousse
Hintergrund des Verfahrens ist ein Rechtsstreit zwischen dem französischen Verband Mousse und dem französischen Eisenbahnunternehmen SNCF Connect. Der Verband Mousse hatte Beschwerde bei der französischen Datenschutzbehörde CNIL eingereicht. Es ging um die Verarbeitung des Geschlechts im Rahmen des Online-Ticketkaufs mit dem Zweck der personalisierten Kundenansprache. Das Eisenbahnunternehmen SNCF Connect hatte die Angabe der Anrede als „Herr“ oder „Frau“ im Bestellformular als Pflichtfeld deklariert. Zur Erhebung des Geschlechts unter der DSGVO entschied der EuGH im Wesentlichen Folgendes:
- Die Angabe des Geschlechts ist nicht für die Vertragserfüllung erforderlich: Für die Abwicklung des Ticketverkaufs und die Erbringung der Beförderungsleistung ist die Erhebung der Anrede nicht notwendig. Die SNCF Connect könnte auch allgemeine, geschlechtsneutrale Anreden verwenden.
- Die Angabe des Geschlechts lässt sich nicht auf die berechtigten Interessen des Eisenbahnunternehmens stützen: Die Anrede ist für die Erfüllung des Schienentransportvertrags nicht unbedingt erforderlich, und die Kunden wurden nicht mittels Datenschutzerklärung über eine Interessensabwägung informiert. Darüber hinaus überwiegen die Grundrechte der Kunden, insbesondere aufgrund der Gefahr der Diskriminierung.
Warum Unternehmen das EuGH-Urteil beachten müssen
Das Urteil hat weitreichende Implikationen für Unternehmen, die personenbezogene Daten erheben und verarbeiten. Es verdeutlicht die strengen Anforderungen der DSGVO an die Notwendigkeit und Verhältnismäßigkeit von Datenerhebungen. Unternehmen müssen zukünftig noch sorgfältiger prüfen, ob die von ihnen erhobenen Daten wirklich notwendig sind. Insbesondere das Geschlecht als Pflichtfeld muss unter DSGVO-Gesichtspunkten überprüft werden.
Die bloße Geschäftspraxis oder ein allgemeines Interesse an personalisierter Ansprache reicht nach diesem Urteil nicht aus, um Datenerhebungen zu rechtfertigen. Unternehmen dürfen von ihren Kunden nur solche personenbezogenen Daten erheben, die für die Erfüllung des Vertrags tatsächlich erforderlich sind. Andernfalls verstoßen sie gegen den Grundsatz der Datenminimierung und andere Datenschutzgrundsätze.
Unternehmen sollten die Pflichtfelder in ihren Online-Formularen und Antragsstrecken kritisch prüfen, um Datenschutzverstöße zu vermeiden. Für die Verarbeitung von Daten auf Basis berechtigter Interessen gilt, dass das Risiko einer Diskriminierung ausgeschlossen sein sollte. Zudem muss die Transparenzpflicht vollständig erfüllt werden. Eine unzureichende oder fehlerhafte Information der Kunden kann dazu führen, dass diese Interessen nicht als rechtmäßige Grundlage für die Verarbeitung herangezogen werden dürfen.
Praktische Empfehlungen zur Umsetzung der DSGVO-Vorgaben
Das Urteil des EuGH zur Geschlechtsidentität und der DSGVO verdeutlicht, dass Unternehmen bei der Erhebung personenbezogener Daten äußerst sorgfältig vorgehen müssen und nur das Nötigste abfragen dürfen. Unternehmen sollten dieses Urteil als Anlass nehmen, ihre Prozesse und Formulare kritisch zu überprüfen, um sowohl den gesetzlichen Vorgaben als auch den Erwartungen ihrer Kunden gerecht zu werden:
Datenschutzerklärung inhaltlich prüfen: Überprüfen Sie die Inhalte der Datenschutzerklärung auf Vollständigkeit und Richtigkeit. Falls Sie das Geschlecht in Ihren Formularen erheben, müssen die betroffenen Personen umfassend über die Verarbeitung dieser Daten aufgeklärt werden.
Pflichtfelder prüfen: Überprüfen Sie die Pflichtfelder Ihrer Kontaktformulare, Bestellprozesse und Antragsstrecken im Hinblick auf das Geschlecht, um die DSGVO einzuhalten. Bewerten Sie zusammen mit Ihrem Datenschutzbeauftragten, ob wirklich alle technisch erzwungenen Dateneingabefelder erforderlich sind. Bei Zweifeln ist es ratsam, auf diese Felder zu verzichten oder sie als optionale Felder zu deklarieren.
Allgemeine Ansprache: Erwägen Sie die Einführung allgemeiner und geschlechtsneutraler Kommunikationsformen. Dies ermöglicht eine respektvolle Ansprache, ohne personenbezogene Daten wie die Geschlechtsidentität zu erheben.
Mitarbeiter schulen: Informieren Sie Ihre Mitarbeiter über die Bedeutung dieses EuGH-Urteils. Insbesondere in der IT- und Marketingabteilung sollten regelmäßige Schulungen zu den Anforderungen der DSGVO durchgeführt werden. Nur so können Verstöße gegen Datenschutzvorgaben vermieden werden.
Brauchen Sie Unterstützung bei der Umsetzung der DSGVO?
Die ALPHATECH Consulting GmbH ist Ihr verlässlicher Partner für datenschutzrechtliche Herausforderungen. Wir unterstützen Sie mit unseren externen Datenschutzbeauftragten bei der rechtssicheren Umsetzung der DSGVO – individuell, unkompliziert und lösungsorientiert.
FAQ zur DSGVO und Geschlechtsidentität
Der EuGH hat in der Rechtssache (C-394/23 – Mousse) entschieden, dass die Erhebung der Geschlechtsangabe für die Vertragserfüllung – also den Kauf eines Fahrscheins – nicht unbedingt erforderlich ist. Die Anrede „Herr“ oder „Frau“ dient lediglich der personalisierten Ansprache und ist daher für die Erbringung der Beförderungsleistung nicht objektiv erforderlich.
Das EuGH Urteil (C-394/23 – Mousse) betraf das französische Eisenbahnunternehmen SNCF Connect, das die Anrede als Pflichtfeld in seinen Online-Bestellformularen einforderte. Generell sollten aber alle Unternehmen das Urteil dringend beachten, um die Daten in Online Formularen, Bestellprozessen und Antragsstrecken im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung zu erheben.
Die DSGVO verlangt, dass nur die Daten erhoben werden, die für die Erfüllung eines Vertrags erforderlich sind. Die Erhebung der Anrede verstößt gegen den Grundsatz der Datenminimierung, da sie für die Erbringung der vertraglichen Leistung nicht notwendig ist.
Unternehmen müssen sicherstellen, dass sie keine personenbezogenen Daten erheben, die nicht für die Vertragserfüllung erforderlich sind. Sie müssen Pflichtfelder in Formularen überprüfen und ihre Datenverarbeitungspraktiken anpassen.
Ja, aber nur wenn das Geschlecht für die Erfüllung des Vertrages von Bedeutung ist oder überwiegende berechtigte Interessen des Unternehmens die Verarbeitung rechtfertigen. Jedoch müssen betroffene Personen mittels Datenschutzerklärung in transparenter Art und Weise über die Verarbeitung aufgeklärt werden.
Verstöße gegen die DSGVO können von den Datenschutzbehörden geahndet werden. Dies kann zu hohen Geldbußen und Reputationsschäden führen.
Ja, Unternehmen sollten ihre Formulare und Antragsstrecken überprüfen und Pflichtfelder wie die Anrede bzw. Geschlecht entfernen, sofern sie unter der DSGVO nicht unbedingt erforderlich sind. Um DSGVO-Verstöße zu vermeiden, kann beispielsweise auf eine geschlechtsneutrale Ansprache ausgewichen werden.
Nur Daten, die für die Vertragserfüllung erforderlich sind, wie Name, Kontaktdaten und Zahlungsinformationen. Alles darüber hinaus sollte sorgfältig geprüft werden.
Ja, das Urteil betrifft alle Branchen, die personenbezogene Daten verarbeiten. Es zeigt, dass die DSGVO in allen Bereichen strikt eingehalten werden muss, insbesondere bei der Datenminimierung und Transparenz.
