Urteil des EuGH zur Datenminimierung: Konsequenzen für das Vertragsmanagement

Am 9. Januar 2025 entschied der Europäische Gerichtshof (EuGH) im Fall C-394/23, dass Unternehmen bei der Verarbeitung personenbezogener Daten strenge Maßstäbe hinsichtlich der Datenminimierung und Rechtmäßigkeit einzuhalten haben. Die Entscheidung betrifft insbesondere die Erhebung von Daten wie der Anrede und der Geschlechtsidentität beim Onlineerwerb von Fahrscheinen durch die SNCF Connect. Dieses Urteil hat weitreichende Konsequenzen für die Datenverarbeitung und das Vertragsmanagement in der Europäischen Union

Sachverhalt

Im zugrunde liegenden Fall klagte der Verband „Mousse“ gegen die französische Datenschutzbehörde CNIL und das Unternehmen SNCF Connect, da letzteres beim Onlineverkauf von Fahrscheinen die Angabe von Anrede und Geschlecht forderte. Der Kläger argumentierte, dass diese Daten nicht für den Verkauf notwendig seien und damit die Vorgaben der -Grundverordnung (), insbesondere das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c, verletzt würden.

Rechtliche Analyse

Datenminimierung und Zweckbindung

Der EuGH stellte klar, dass die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie für den jeweiligen Zweck erforderlich ist (Art. 6 DSGVO). Eine Anrede oder Geschlechtsidentität seien für den Fahrscheinverkauf nicht essenziell. Dieses Urteil unterstreicht die Bedeutung der Zweckbindung und fordert Unternehmen auf, Datenprozesse kritisch zu überprüfen.

Einwilligung und Freiwilligkeit

Eine wesentliche Komponente der Entscheidung war die Frage der Einwilligung. Der EuGH stellte fest, dass jede darüber hinausgehende Datenerhebung nur auf einer klaren, freiwilligen Zustimmung der Nutzer beruhen darf. Eine solche Zustimmung müsse informierter Natur sein und dürfe nicht durch Zwang oder Voreinstellungen beeinflusst werden.

Widerspruchsrecht

Darüber hinaus betonte der EuGH das Widerspruchsrecht (Art. 21 DSGVO). Betroffene müssen jederzeit die Möglichkeit haben, einer nicht zwingend notwendigen Datenverarbeitung zu widersprechen. Dies erfordert von Unternehmen eine technische und organisatorische Implementierung dieses Rechts.


Fazit: Konsequenzen für das Vertragsmanagement

Die Entscheidung hat erhebliche Auswirkungen auf die Praxis der Datenerhebung und Vertragsgestaltung:

  1. Konzentration auf notwendige Daten: Unternehmen sind angehalten, den Datenumfang auf das absolut Notwendige zu reduzieren. Die Erhebung zusätzlicher Daten – wie der Anrede – ist nur rechtens, wenn sie klar als freiwillig gekennzeichnet ist und nicht als Voraussetzung für Vertragsabschlüsse verwendet wird.
  2. Verpflichtung zur Freiwilligkeit: Für bestehende Systeme bedeutet dies, dass Benutzer aktiv wählen müssen, ob sie zusätzliche Informationen bereitstellen möchten. Unternehmen sollten dies transparent kommunizieren und keine versteckten Vorannahmen in Formularen implementieren.
  3. Technische Anpassungen: Es wird notwendig sein, Formulare und IT-Systeme dahingehend anzupassen, dass die Freiwilligkeit der Dateneingabe gewährleistet ist und Betroffene ihre Rechte problemlos ausüben können.

Die Kernaussage der Entscheidung ist eindeutig: Datenschutz beginnt bei der Planung und Umsetzung der Datenverarbeitung. Unternehmen, die weiterhin unnötige Daten sammeln oder deren Erhebung erzwingen, laufen Gefahr, sowohl regulatorische Sanktionen als auch Vertrauensverluste zu erleiden.

Dieses Urteil sollte als Weckruf für alle Akteure dienen, ihre Datenmanagement-Strategien zu überdenken und zukunftssicher zu gestalten.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.