Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) im Fall C-394/23, dass Unternehmen bei der Verarbeitung personenbezogener Daten strenge Maßstäbe hinsichtlich der Datenminimierung und Rechtmäßigkeit einzuhalten haben. Die Entscheidung betrifft insbesondere die Erhebung von Daten wie der Anrede und der Geschlechtsidentität beim Onlineerwerb von Fahrscheinen durch die SNCF Connect. Dieses Urteil hat weitreichende Konsequenzen für die Datenverarbeitung und das Vertragsmanagement in der Europäischen Union

Sachverhalt

Im zugrunde liegenden Fall klagte der Verband „Mousse“ gegen die französische Datenschutzbehörde CNIL und das Unternehmen SNCF Connect, da letzteres beim Onlineverkauf von Fahrscheinen die Angabe von Anrede und Geschlecht forderte. Der Kläger argumentierte, dass diese Daten nicht für den Verkauf notwendig seien und damit die Vorgaben der Datenschutz-Grundverordnung (DSGVO), insbesondere das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c, verletzt würden.

Rechtliche Analyse

Datenminimierung und Zweckbindung

Der EuGH stellte klar, dass die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie für den jeweiligen Zweck erforderlich ist (Art. 6 DSGVO). Eine Anrede oder Geschlechtsidentität seien für den Fahrscheinverkauf nicht essenziell. Dieses Urteil unterstreicht die Bedeutung der Zweckbindung und fordert Unternehmen auf, Datenprozesse kritisch zu überprüfen.

Einwilligung und Freiwilligkeit

Eine wesentliche Komponente der Entscheidung war die Frage der Einwilligung. Der EuGH stellte fest, dass jede darüber hinausgehende Datenerhebung nur auf einer klaren, freiwilligen Zustimmung der Nutzer beruhen darf. Eine solche Zustimmung müsse informierter Natur sein und dürfe nicht durch Zwang oder Voreinstellungen beeinflusst werden.

Widerspruchsrecht

Darüber hinaus betonte der EuGH das Widerspruchsrecht (Art. 21 DSGVO). Betroffene müssen jederzeit die Möglichkeit haben, einer nicht zwingend notwendigen Datenverarbeitung zu widersprechen. Dies erfordert von Unternehmen eine technische und organisatorische Implementierung dieses Rechts.

Fazit: Konsequenzen für das Vertragsmanagement

Die Entscheidung hat erhebliche Auswirkungen auf die Praxis der Datenerhebung und Vertragsgestaltung:

1. Konzentration auf notwendige Daten: Unternehmen sind angehalten, den Datenumfang auf das absolut Notwendige zu reduzieren. Die Erhebung zusätzlicher Daten – wie der Anrede – ist nur rechtens, wenn sie klar als freiwillig gekennzeichnet ist und nicht als Voraussetzung für Vertragsabschlüsse verwendet wird.
2. Verpflichtung zur Freiwilligkeit: Für bestehende Systeme bedeutet dies, dass Benutzer aktiv wählen müssen, ob sie zusätzliche Informationen bereitstellen möchten. Unternehmen sollten dies transparent kommunizieren und keine versteckten Vorannahmen in Formularen implementieren.
3. Technische Anpassungen: Es wird notwendig sein, Formulare und IT-Systeme dahingehend anzupassen, dass die Freiwilligkeit der Dateneingabe gewährleistet ist und Betroffene ihre Rechte problemlos ausüben können.

Die Kernaussage der Entscheidung ist eindeutig: Datenschutz beginnt bei der Planung und Umsetzung der Datenverarbeitung. Unternehmen, die weiterhin unnötige Daten sammeln oder deren Erhebung erzwingen, laufen Gefahr, sowohl regulatorische Sanktionen als auch Vertrauensverluste zu erleiden.

Dieses Urteil sollte als Weckruf für alle Akteure dienen, ihre Datenmanagement-Strategien zu überdenken und zukunftssicher zu gestalten.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand – 26. Juni 2026
• SocGholish, Amadey, StealC: Wenn internationale Ermittler die Infrastruktur einreißen – 24. Juni 2026
• Sommer: Unsere Arbeitsweise bei Hitzewellen – 24. Juni 2026