Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede

EuGH-Urteil: Keine Pflicht zur Angabe der Anrede beim Ticketkauf

/von

Warum diese Entscheidung wichtig ist

Die Datenschutz-Grundverordnung (im Folgenden DSGVO) verlangt, dass Unternehmen personenbezogene Daten nur dann erheben und verarbeiten dürfen, wenn dafür eine rechtmäßige Grundlage besteht. Parallel definiert sie in Art. 5 weitere Grundsätze, die ebenfalls jederzeit einzuhalten sind. Einer dieser Grundsätze ist der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO, wonach nur diejenigen Daten verarbeitet werden dürfen, die für den Zweck der Verarbeitung erforderlich sind.

Der Europäische Gerichtshof (im Folgenden EuGH) hat nun eine Entscheidung (vgl. dazu das Urteil vom 09.01.2025 in der Rechtssache C-394/23) zu einem Fall aus Frankreich getroffen: Ein französisches Eisenbahnunternehmen verlangte die Angabe der Anrede beim Ticketkauf. Die französische Datenschutzbehörde Commission Nationale de l’informatique et des Libertés (im Folgenden CNIL) untersuchte die Praxis und stellte fest, dass diese nicht im Einklang mit der DSGVO steht. Das Unternehmen sah das anders und zog vor Gericht. Im Laufe des Verfahrens wurden einzelne Fragestellungen dem EuGH zur Bewertung vorgelegt.

Rechtsgrundlage: Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO

Zunächst hat der EuGH geprüft, ob die Angabe der Anrede erforderlich ist, zur Erfüllung des geschlossenen Vertrags. Nach Art. 6 Abs. 1 lit. b DSGVO ist eine Verarbeitung personenbezogener Daten zulässig, wenn sie zur Erfüllung eines Vertrags erforderlich ist. Entscheidend dabei ist hierbei der Begriff der „Erforderlichkeit“.

Der EuGH betont, dass Erforderlichkeit objektiv geprüft werden muss. Daten dürfen nur verarbeitet werden, wenn ohne sie der Vertrag nicht sinnvoll erfüllt werden kann. Die Erhebung der Anrede ist laut EuGH für den Abschluss eines Schienenverkehrsvertrages nicht unerlässlich, da die Anrede keinen Einfluss auf die Beförderung oder den Ticketkauf hat.

Beurteilung der Erforderlichkeit

Die Erforderlichkeit wurde dabei wie folgt durch das Gericht geprüft:

  • Liegt eine objektive Notwendigkeit vor:
    Die Datenverarbeitung muss direkt für die Vertragserfüllung notwendig sein, nicht bloß nützlich oder üblich (vgl. Erwägungsgrund 39 DSGVO).
  • Entspricht die Verarbeitung dem Vertragszweck:
    Die Kernfunktion eines Schienenverkehrsvertrages ist die Beförderung, nicht die personalisierte Kundenansprache.
  • Gibt es Alternativen:
    Eine allgemein höfliche Anrede (zum Beispiel „Sehr geehrte Fahrgäste“) ist ebenfalls möglich. Eine verpflichtende Abfrage der Anrede ist daher nicht erforderlich.

Folgen für Unternehmen:

Unternehmen, die personenbezogene Daten zur Vertragserfüllung verarbeiten, müssen prüfen, ob diese wirklich erforderlich sind. Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) verpflichtet Unternehmen dazu, technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Dies bedeutet im vorliegenden Fall, dass möglichst wenige Daten erhoben werden dürfen.

Berechtigte Interessen als alternative Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO)

Neben der Vertragserfüllung berufen sich Unternehmen häufig auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Die drei Prüfungsschritte für eine Verarbeitung personenbezogener Daten aufgrund von berechtigtem Interesse:

  1. Ein berechtigtes Interesse muss Vorliegen:
    Unternehmen könnten beispielsweise argumentieren, dass eine personalisierte Anrede zur Kundenbindung beiträgt.
  2. Erforderlichkeit der Verarbeitung:
    Die Verarbeitung muss notwendig sein, um die Ziele des berechtigten Interesses zu erreichen. Der EuGH stellt jedoch klar, dass eine Alternative (neutrale Ansprache) existiert, die bei Personen verwendet werden kann, die keine Angabe zur Anrede machen möchten. Die Verarbeitung wäre also trotz eines vorliegenden berechtigten Interesses nicht erforderlich.
  3. Interessenabwägung:
    Auch die Interessenabwägung sah das Gericht kritisch. Letztlich ist die Verarbeitung personenbezogener Daten immer mit einem Risiko verbunden, weshalb in der DSGVO auch der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO verankert ist. Da dem Verantwortlichen die Möglichkeit verbleibt, die Anrede auf freiwilliger Basis abzufragen und er damit diejenigen Personen, die dies wünschen, auch mit persönlicher Anrede ansprechen kann, fällt die Interessenabwägung hinsichtlich einer verpflichtenden Angabe der Anrede nicht zu Gunsten des Verantwortlichen aus.

Die Verarbeitung der Anrede kann nicht auf berechtigte Interessen gestützt werden. Unternehmen müssen stattdessen prüfen, ob sie alternative, weniger invasive Methoden nutzen können (sprich: die Angabe der Anrede freiwillig gestalten).

Auswirkungen auf die Praxis: Datenschutzrechtliche Maßnahmen für Unternehmen

Das Urteil betrifft selbstverständlich nicht nur den Schienenverkehr, sondern alle Branchen, in denen personenbezogene Daten verarbeitet werden. Besonders relevant sind die datenschutzrechtlichen Implikationen für Unternehmen, die Verbraucher*innen- und Ansprechpartner*innendaten verarbeiten, darunter Online-Shops, E-Commerce-Plattformen, CRM-Systeme und weitere.

Für Online-Shops und E-Commerce-Unternehmen stellt sich beispielsweise die Frage, ob die Abfrage der Anrede zwingend erforderlich ist oder ob sie auf freiwilliger Basis erfolgen kann. Auch in Kundendatenbanken und CRM-Systemen sollte hinterfragt werden, wie die Daten gespeichert und verarbeitet werden, insbesondere im Hinblick auf die Notwendigkeit bestimmter Datenerhebungen. Kontaktformulare und Vertragsabschlüsse werfen die Frage auf, ob Felder wie die Anrede wirklich als Pflichtangabe notwendig sind oder ob eine datenschutzfreundlichere Lösung möglich ist.

Um den Anforderungen der DSGVO gerecht zu werden, sind folgende Best Practices besonders wichtig:

  1. Datenminimierung sicherstellen (Art. 5 Abs. 1 lit. c DSGVO):
    Die Erhebung personenbezogener Daten muss stets auf das notwendige Maß beschränkt sein. Unternehmen sind daher angehalten, Pflichtfelder in Formularen kritisch zu hinterfragen und nur solche Informationen abzufragen, die für den jeweiligen Zweck unerlässlich sind. Die Anrede sollte dabei in der Regel nicht verpflichtend erhoben werden, da sie in vielen Fällen keine wesentliche Rolle für die Vertragserfüllung spielt. Stattdessen können Unternehmen auf neutrale Formulierungen wie „Sehr geehrte Kundschaft“ oder einfach „Guten Tag“ zurückgreifen, um eine höfliche und dennoch datensparsame Kommunikation sicherzustellen.
  2. Transparenz verbessern (Artt. 12 ff. DSGVO)
    Die DSGVO verpflichtet Unternehmen, betroffene Personen transparent über die Verarbeitung ihrer Daten zu informieren. Klare und verständliche Datenschutzhinweise sind hierbei essenziell. Diese sollten detailliert darstellen, warum bestimmte Daten erhoben werden und auf welcher Rechtsgrundlage dies geschieht. Gerade bei der Berufung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO ist es entscheidend, dass diese in den Datenschutzhinweisen nachvollziehbar begründet werden. Dabei müssen Unternehmen auch ihre Informationspflichten gemäß Artt. 12 ff. DSGVO beachten und sicherstellen, dass betroffene Personen vollständig über ihre Rechte informiert werden. Das Gericht stellte klar, dass Art. 6 Abs. 1 lit. f DSGVO nicht anwendbar ist, wenn die berechtigten Interessen nicht ausreichend dargelegt werden.
  3. Privacy by Design (Art. 25 DSGVO)
    Der Grundsatz des Privacy by Design verlangt, dass Datenschutz bereits bei der Entwicklung von Prozessen, Software und Formularen berücksichtigt wird. Unternehmen müssen darüber hinaus standardmäßig datenschutzfreundliche Voreinstellungen nutzen und sicherstellen, dass in ihren Datenschutzhinweisen klar ersichtlich ist, dass nur die unbedingt erforderlichen Daten verarbeitet werden und warum diese Daten erforderlich sind. Formulare sollte so gestaltet sein, dass sie nur notwendige Eingaben verlangen und andere Informationen – wie die Anrede – nur auf freiwilliger Basis abgefragt werden.

Fazit

Das EuGH-Urteil unterstreicht die strenge Anwendung der DSGVO-Grundsätze, insbesondere der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Die Erhebung der Anrede wurde im vorliegenden Fall als nicht erforderlich für die Vertragsdurchführung eingestuft, da alternative, weniger eingriffsintensive Methoden zur Verfügung stehen. Ohne eine ausreichende Rechtsgrundlage stellt die Erfassung dieser Daten einen Datenschutzverstoß dar.

Die Berufung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) setzt zum einen voraus, dass Unternehmen ihre Informationspflichten (Artt. 12 ff. DSGVO) vollständig erfüllen. Eine unzureichende Transparenz oder eine unnötig weitgehende Datenverarbeitung macht die Erhebung und damit die Verarbeitung personenbezogener Daten unzulässig. Zum anderen reicht eben das bloße Vorhandensein eines berechtigten Interesses nicht aus, es muss stets auch die Erforderlichkeit der Verarbeitung und das überwiegende Interesse des Verantwortlichen nachgewiesen werden können.

Das Urteil hat praktische Auswirkungen über den Schienenverkehr hinaus. Unternehmen sollten kritisch prüfen, ob sie Anrede oder Geschlechtsangaben zwingend benötigen – insbesondere im Online-Handel und Kundenmanagement. Gleichzeitig kann der Verzicht auf eine Anrede Herausforderungen mit sich bringen: In vielen Sprachräumen ist eine korrekte Ansprache wichtig, doch bei unbekannten oder weniger vertrauten Namen ist das Geschlecht nicht immer eindeutig erkennbar. Eine falsche Anrede könnte als unhöflich oder unangemessen empfunden werden. Letztlich zeigt die Entscheidung, dass Datenschutz praxisnah umgesetzt werden muss. Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) und neutrale Anreden wie „Guten Tag“ bieten praktikable Alternativen. Darüber hinaus geht man mit solchen Anreden auch nicht das Risiko ein, die betroffenen Personen zu zwingen eine falsche Anrede auszuwählen. Dies wäre beispielsweise der Fall, wenn eine nonbinäre Person gezwungen würde, sich zwischen „Herr“ und „Frau“ als Anrede zu unterscheiden. Unternehmen, die frühzeitig auf datensparsame und DSGVO-konforme Prozesse setzen, minimieren rechtliche Risiken und stärken das Vertrauen der Kunden. Und sind wir ehrlich: Es spart doch auch Programmieraufwand, wenn keine Unterscheidung zwischen unterschiedlichen Anreden umgesetzt werden muss.