Urteil des EuGH zur Datenminimierung: Konsequenzen für das Vertragsmanagement

A476440c fac4 4601 8be3 821f7e81f2e1

Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) im Fall C-394/23, dass Unternehmen bei der Verarbeitung personenbezogener Daten strenge Maßstäbe hinsichtlich der Datenminimierung und Rechtmäßigkeit einzuhalten haben. Die Entscheidung betrifft insbesondere die Erhebung von Daten wie der Anrede und der Geschlechtsidentität beim Onlineerwerb von Fahrscheinen durch die SNCF Connect. Dieses Urteil hat weitreichende Konsequenzen für die Datenverarbeitung und das Vertragsmanagement in der Europäischen Union

Sachverhalt

Im zugrunde liegenden Fall klagte der Verband „Mousse“ gegen die französische Datenschutzbehörde CNIL und das Unternehmen SNCF Connect, da letzteres beim Onlineverkauf von Fahrscheinen die Angabe von Anrede und Geschlecht forderte. Der Kläger argumentierte, dass diese Daten nicht für den Verkauf notwendig seien und damit die Vorgaben der Datenschutz-Grundverordnung (DSGVO), insbesondere das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c, verletzt würden.

OLG Frankfurt: Entscheidendes Urteil zur geschlechtsneutralen Anrede im Vertragsrecht

Rechtliche Analyse

Datenminimierung und Zweckbindung

Der EuGH stellte klar, dass die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie für den jeweiligen Zweck erforderlich ist (Art. 6 DSGVO). Eine Anrede oder Geschlechtsidentität seien für den Fahrscheinverkauf nicht essenziell. Dieses Urteil unterstreicht die Bedeutung der Zweckbindung und fordert Unternehmen auf, Datenprozesse kritisch zu überprüfen.

Einwilligung und Freiwilligkeit

Eine wesentliche Komponente der Entscheidung war die Frage der Einwilligung. Der EuGH stellte fest, dass jede darüber hinausgehende Datenerhebung nur auf einer klaren, freiwilligen Zustimmung der Nutzer beruhen darf. Eine solche Zustimmung müsse informierter Natur sein und dürfe nicht durch Zwang oder Voreinstellungen beeinflusst werden.

Widerspruchsrecht

Darüber hinaus betonte der EuGH das Widerspruchsrecht (Art. 21 DSGVO). Betroffene müssen jederzeit die Möglichkeit haben, einer nicht zwingend notwendigen Datenverarbeitung zu widersprechen. Dies erfordert von Unternehmen eine technische und organisatorische Implementierung dieses Rechts.

Fazit: Konsequenzen für das Vertragsmanagement

Die Entscheidung hat erhebliche Auswirkungen auf die Praxis der Datenerhebung und Vertragsgestaltung:

  1. Konzentration auf notwendige Daten: Unternehmen sind angehalten, den Datenumfang auf das absolut Notwendige zu reduzieren. Die Erhebung zusätzlicher Daten – wie der Anrede – ist nur rechtens, wenn sie klar als freiwillig gekennzeichnet ist und nicht als Voraussetzung für Vertragsabschlüsse verwendet wird.
  2. Verpflichtung zur Freiwilligkeit: Für bestehende Systeme bedeutet dies, dass Benutzer aktiv wählen müssen, ob sie zusätzliche Informationen bereitstellen möchten. Unternehmen sollten dies transparent kommunizieren und keine versteckten Vorannahmen in Formularen implementieren.
  3. Technische Anpassungen: Es wird notwendig sein, Formulare und IT-Systeme dahingehend anzupassen, dass die Freiwilligkeit der Dateneingabe gewährleistet ist und Betroffene ihre Rechte problemlos ausüben können.

Die Kernaussage der Entscheidung ist eindeutig: Datenschutz beginnt bei der Planung und Umsetzung der Datenverarbeitung. Unternehmen, die weiterhin unnötige Daten sammeln oder deren Erhebung erzwingen, laufen Gefahr, sowohl regulatorische Sanktionen als auch Vertrauensverluste zu erleiden.

Dieses Urteil sollte als Weckruf für alle Akteure dienen, ihre Datenmanagement-Strategien zu überdenken und zukunftssicher zu gestalten.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.