Der Europäische Gerichtshof (EuGH) hatte über den Jahreswechsel zu prüfen, ob eine verpflichtende Abfrage der Geschlechtsidentität (Herr/Frau) bei der Online-Ticketbestellmaske eines französischen Bahnunternehmens datenschutzrechtlich zulässig ist (z. B. für die Erfüllung eines Vertrages i.S.v. Art. 6 Abs. 1 S. 1 lit. b DSGVO oder zur Erreichung berechtigter Interessen i.S.v. Art. 6 Abs. 1 S. 1 lit. f DSGVO).
Das Gericht hat mit Urteil vom 09. Januar 2025 (Az. C-394/23) insb. entschieden:
- Für die geschäftliche Kommunikation ist eine ordnungsgemäße Ansprache zwar im Sinne von Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen) erforderlich. Eine solche Ansprache müsse aber zur Vertragserfüllung oder -anbahnung nicht anhand der Geschlechtsidentität des betreffenden Kunden personalisiert werden. Eine verpflichtende Abfrage der Geschlechtsidentität könne daher nicht auf Basis von Art. 6 Abs. 1 S. 1 lit. b DSGVO gerechtfertigt werden.
- Sofern die verpflichtende Geschlechtsabfrage dem berechtigten Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO entsprechen soll, werden hieran vom EuGH hohe Anforderungen geknüpft, die im Rahmen einer Abwägungsentscheidung zu prüfen sind. Dem Kunden muss zudem bereits bei Erhebung der Daten das berechtigte Interesse mitgeteilt werden – etwa in den Datenschutzhinweisen. Ob die verpflichtende Geschlechtsabfrage auf Basis eines berechtigten Interesses des Verantwortlichen datenschutzrechtlich zulässig ist, ist mithin eine Frage des Einzelfalls und muss sorgfältig geprüft werden.
Von dem Urteil unberührt bleibt die Möglichkeit zur freiwilligen Abfrage der Geschlechtsidentität. Bei einer freiwilligen Abfrage sollten aus datenschutzrechtlicher Sicht i.d.R. weniger Risiken bestehen.
Unternehmen sollten ihre Abfragemasken (z. B. in Bestell- und Registrierungsprozessen auf Webseiten) vor dem Hintergrund des EuGH-Urteils zeitnah prüfen und ggf. anpassen.
