Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) im Fall C-394/23, dass Unternehmen bei der Verarbeitung personenbezogener Daten strenge Maßstäbe hinsichtlich der Datenminimierung und Rechtmäßigkeit einzuhalten haben. Die Entscheidung betrifft insbesondere die Erhebung von Daten wie der Anrede und der Geschlechtsidentität beim Onlineerwerb von Fahrscheinen durch die SNCF Connect. Dieses Urteil hat weitreichende Konsequenzen für die Datenverarbeitung und das Vertragsmanagement in der Europäischen Union
Sachverhalt
Im zugrunde liegenden Fall klagte der Verband „Mousse“ gegen die französische Datenschutzbehörde CNIL und das Unternehmen SNCF Connect, da letzteres beim Onlineverkauf von Fahrscheinen die Angabe von Anrede und Geschlecht forderte. Der Kläger argumentierte, dass diese Daten nicht für den Verkauf notwendig seien und damit die Vorgaben der Datenschutz-Grundverordnung (DSGVO), insbesondere das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c, verletzt würden.
Rechtliche Analyse
Datenminimierung und Zweckbindung
Der EuGH stellte klar, dass die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie für den jeweiligen Zweck erforderlich ist (Art. 6 DSGVO). Eine Anrede oder Geschlechtsidentität seien für den Fahrscheinverkauf nicht essenziell. Dieses Urteil unterstreicht die Bedeutung der Zweckbindung und fordert Unternehmen auf, Datenprozesse kritisch zu überprüfen.
Einwilligung und Freiwilligkeit
Eine wesentliche Komponente der Entscheidung war die Frage der Einwilligung. Der EuGH stellte fest, dass jede darüber hinausgehende Datenerhebung nur auf einer klaren, freiwilligen Zustimmung der Nutzer beruhen darf. Eine solche Zustimmung müsse informierter Natur sein und dürfe nicht durch Zwang oder Voreinstellungen beeinflusst werden.
Widerspruchsrecht
Darüber hinaus betonte der EuGH das Widerspruchsrecht (Art. 21 DSGVO). Betroffene müssen jederzeit die Möglichkeit haben, einer nicht zwingend notwendigen Datenverarbeitung zu widersprechen. Dies erfordert von Unternehmen eine technische und organisatorische Implementierung dieses Rechts.
Fazit: Konsequenzen für das Vertragsmanagement
Die Entscheidung hat erhebliche Auswirkungen auf die Praxis der Datenerhebung und Vertragsgestaltung:
- Konzentration auf notwendige Daten: Unternehmen sind angehalten, den Datenumfang auf das absolut Notwendige zu reduzieren. Die Erhebung zusätzlicher Daten – wie der Anrede – ist nur rechtens, wenn sie klar als freiwillig gekennzeichnet ist und nicht als Voraussetzung für Vertragsabschlüsse verwendet wird.
- Verpflichtung zur Freiwilligkeit: Für bestehende Systeme bedeutet dies, dass Benutzer aktiv wählen müssen, ob sie zusätzliche Informationen bereitstellen möchten. Unternehmen sollten dies transparent kommunizieren und keine versteckten Vorannahmen in Formularen implementieren.
- Technische Anpassungen: Es wird notwendig sein, Formulare und IT-Systeme dahingehend anzupassen, dass die Freiwilligkeit der Dateneingabe gewährleistet ist und Betroffene ihre Rechte problemlos ausüben können.
Die Kernaussage der Entscheidung ist eindeutig: Datenschutz beginnt bei der Planung und Umsetzung der Datenverarbeitung. Unternehmen, die weiterhin unnötige Daten sammeln oder deren Erhebung erzwingen, laufen Gefahr, sowohl regulatorische Sanktionen als auch Vertrauensverluste zu erleiden.
Dieses Urteil sollte als Weckruf für alle Akteure dienen, ihre Datenmanagement-Strategien zu überdenken und zukunftssicher zu gestalten.
- Jugendstrafrecht und die Problematik „schädlicher Neigungen“ - 24. Januar 2025
- Die globalen Risiken 2025 im Bericht des Weltwirtschaftsforums - 23. Januar 2025
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025