Ist die systematische Erhebung der Anrede „Herr“ oder „Frau“ durch ein Bahnunternehmen beim Online-Ticketkauf mit der Datenschutz-Grundverordnung (DSGVO) vereinbar? Mit dieser Frage hat sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 befasst – und sich dabei vor allem auf den in der DSGVO verankerten Grundsatz der Datenminimierung konzentriert.
„Herr“ oder „Frau“ als Pflichtangabe bei Ticketkauf
Der Verband Mousse hatte bei der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) eine Beschwerde gegen das französische Bahnunternehmen SNCF Connect eingereicht.
SNCF Connect verkauft online über seine Website und seine Apps Bahnfahrkarten wie Zugtickets, Abonnements und Rabattkarten. Beim Online-Kauf dieser Fahrkarten über diese Website und Apps müssen die Kunden des Unternehmens ihre Anrede angeben, indem sie „Herr“ oder „Frau“ ankreuzen.
Nach Ansicht des Verbandes verstößt diese Verpflichtung gegen die DSGVO, insbesondere im Hinblick auf den Grundsatz der Datenminimierung. Die Anrede, die einer Geschlechtsidentität entspricht, sollte keine notwendige Angabe für den Kauf eines Tickets sein. 2021 wies die CNIL diese Beschwerde mit der Begründung zurück, dass diese Praxis keinen Verstoß gegen die DSGVO darstelle.
Mousse war mit diesem Bescheid nicht einverstanden und wandte sich an den französischen Staatsrat, um ihn für nichtig erklären zu lassen. Der Staatsrat legte dem Gerichtshof daraufhin insbesondere die Frage vor, ob die Erhebung von Daten über die Anrede der Kunden, die auf die Angaben „Herr“ oder „Frau“ beschränkt ist, als rechtmäßig und insbesondere mit dem Grundsatz der Datenminimierung vereinbar angesehen werden kann, wenn diese Erhebung den Zweck hat, eine personalisierte kommerzielle Kommunikation mit diesen Kunden zu ermöglichen, die den allgemeinen Gepflogenheiten in diesem Bereich entspricht.
Lese-Tipp: EuG verurteilt EU-Kommission zu Schadensersatz wegen Facebook-Login
„Anrede nicht wesentlich für Vertragserfüllung"
Der EuGH legt in seinem Urteil (C‑394/23) Art. 6 Abs. 1 Unterabs. 1 lit. b und f in Verbindung mit Art. 5 Abs. 1 lit. c DSGVO dahingehend aus, dass „die Verarbeitung personenbezogener Daten hinsichtlich der Anrede der Kunden eines Transportunternehmens, die darauf abzielt, die geschäftliche Kommunikation aufgrund ihrer Geschlechtsidentität zu personalisieren, weder objektiv unerlässlich noch wesentlich für die ordnungsgemäße Erfüllung eines Vertrags erscheint und daher nicht als für die Erfüllung dieses Vertrags erforderlich angesehen werden kann“.
Denn nach dem Grundsatz der Datenminimierung in der DSGVO dürfen personenbezogene Daten nur in einem dem Zweck angemessenen, verhältnismäßigen und auf das notwendige Maß beschränkten Umfang verarbeitet werden. Der EuGH wies darauf hin, dass die DSGVO eine abschließende Liste von Rechtfertigungsgründen für die Verarbeitung personenbezogener Daten enthält. Relevant seien insbesondere die Verarbeitung zur Erfüllung eines Vertrags oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.
Gefahr der Diskriminierung überwiegt berechtigtes Interesse
In Bezug auf die Vertragserfüllung stellte der Gerichtshof fest, dass die Angabe der Anrede nicht objektiv unerlässlich sei, um die geschäftliche Kommunikation zu personalisieren. Um einen Eisenbahnverkehrsvertrag ordnungsgemäß zu erfüllen, könnte das Unternehmen allgemeine Höflichkeitsfloskeln verwenden, die keinen Bezug zur Geschlechtsidentität der Kunden haben. Solche alternativen Kommunikationsmethoden wären praktikabel und würden weniger in die Rechte der Betroffenen eingreifen.
Hinsichtlich auf das berechtigte Interesse betonte der Gerichtshof, dass die Erhebung der Anrede nicht erforderlich ist, wenn die Kunden nicht über den Zweck der Verarbeitung informiert werden oder wenn die Verarbeitung über das hinausgeht, was zur Erreichung dieses Zwecks erforderlich ist. Außerdem betonte der Gerichtshof, dass die Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität bei der Abwägung der berechtigten Interessen eine wichtige Rolle spielen kann. Darüber hinaus wäre die Verarbeitung unzulässig, wenn die Grundrechte und Grundfreiheiten der betroffenen Person, insbesondere wegen der Gefahr einer Diskriminierung, gegenüber dem berechtigten Interesse des Unternehmens überwiegen.
EuGH: Unternehmen zur Datenminimierung verpflichtet
Dieses Urteil macht deutlich, dass die Verarbeitung personenbezogener Daten strengen rechtlichen Anforderungen genügen muss. Es zeigt, dass nationale Gerichte und Datenschutzbehörden in vergleichbaren Fällen die Pflicht haben, alternative Lösungen zu prüfen, die weniger in die Rechte der Betroffenen eingreifen, und sich stärker mit den Grundsätzen der Datensparsamkeit und der Verhältnismäßigkeit auseinandersetzen müssen.
Unternehmen sind verpflichtet, alternative, weniger eingreifende Lösungen zu prüfen, insbesondere wenn es um die Verarbeitung sensibler Daten wie der Geschlechtsidentität geht.
Die nationalen Gerichte müssen nun auf der Grundlage dieses Urteils über die konkreten Sachverhalte entscheiden und dabei die Vorgaben des EuGH berücksichtigen.