Sign up to save your podcasts
Or
Share #38 - Herr, Frau oder gar nichts – wie eine Pflichtanrede zum Datenschutzproblem wird
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#38 - Herr, Frau oder gar nichts – wie eine Pflichtanrede zum Datenschutzproblem wird
Willkommen zurück – Anrede optional 😊
Diese Folge startet mit einer simplen Frage, die sich in Österreich zu einem handfesten Datenschutzfall ausgewachsen hat: „Was passiert, wenn ein Online-Shop beim Registrieren "Herr oder Frau?" fragt und die Antwort für manche schlicht lautet: "weder noch, danke"?
Spoiler: Der Shop hätte das besser lassen sollen. Nicht weil es moralisch fragwürdig ist (das ist eine andere Debatte), sondern weil die österreichische Datenschutzbehörde hier ganz nüchtern durchgerechnet hat, ob das Unternehmen dafür überhaupt eine Rechtsgrundlage hatte. Und die Antwort war… Sie ahnen es: NEIN. 😅
Die große Ironie des Falls? Das Unternehmen hat sich im laufenden Verfahren selbst überführt. 👀 Aber dazu gleich mehr.
Was Sie in dieser Folge erwartet
💡Warum eine Pflichtanrede kein harmloses Komfortmerkmal, sondern ein echtes Datenschutzproblem sein kann
💡Was der EuGH im Jänner 2025 in der Rechtssache „Mousse" entschieden hat und warum das für jeden Online-Shop relevant ist
💡Warum „wir brauchen das für die Vertragserfüllung" bei einer Anrede einfach nicht zieht
💡Wann berechtigte Interessen anerkannt werden und wo sie trotzdem scheitern
💡Wie man als Unternehmen mitten im Verfahren beweist, dass man die Daten eigentlich gar nicht gebraucht hätte
💡Was Art. 25 DSGVO (Privacy by Design) kann und was er ausdrücklich nicht kann
💡Und wieso „das macht man halt so" leider kein Rechtfertigungsgrund ist 😉
Der Fall: Zwei Optionen, ein Problem
Viktor wollte sich im Online-Shop einer großen österreichischen Handelskette registrieren. Das Feld „Anrede" war Pflicht. Zur Auswahl: „Herr" oder „Frau". Keine dritte Option, kein „Keine Angabe", kein Weiterklicken ohne Auswahl. Viktor wählte eine Anrede, die nicht seiner Geschlechtsidentität entsprach, weil es keine Alternative gab. Anschließend forderte er das Unternehmen auf, dies zu korrigieren.
Das Unternehmen antwortete sinngemäß: technisch gerade leider nicht möglich, man arbeite dran. Das war im September 2023. Im Mai 2025 bekam Viktor noch immer Newsletter mit der Anrede „Sehr geehrte Frau". Er wandte sich an die Datenschutzbehörde.
Was die Datenschutzbehörde geprüft hat
Das Unternehmen berief sich zunächst auf die Vertragserfüllung. Der EuGH hatte jedoch bereits klargestellt: Für Bestellung, Lieferung und Zahlung braucht niemand eine Anrede.
Auch das berechtigte Interesse rettete die Verarbeitung nicht. Mitten im laufenden Verfahren stellte das Unternehmen sein Registrierungssystem auf eine geschlechtsneutrale Lösung um und beantragte die Abweisung der Beschwerde. Damit zeigte es selbst, dass die verpflichtende Erhebung der Anrede für seine Zwecke gar nicht erforderlich war.
Das Ergebnis
Die Datenschutzbehörde stellte einen Verstoß gegen die DSGVO-Grundsätze der Zweckbindung und Datenminimierung fest. Der Antrag auf Verletzung von Art. 25 DSGVO (Privacy by Design) wurde abgewiesen: Betroffene Personen haben kein subjektives Recht darauf, wie ein Unternehmen seine Technik gestaltet. Die Verpflichtung liegt beim Unternehmen, nicht das Wahlrecht bei der betroffenen Person.
DSGVO-Lifehacks für alle, die Formulare bauen
🔑 Auch scheinbar harmlose Pflichtfelder brauchen einen echten Zweck
🔑 Gesellschaftliche Konventionen ersetzen keine Rechtsgrundlage.
🔑 Wer im Verfahren beweist, dass er auf bestimmte Daten verzichten kann, dokumentiert damit unter Umständen die eigene Rechtsverletzung.
🔑 Eine spätere Systemumstellung heilt keine vergangene Rechtsverletzung.
🔑Art. 25 DSGVO verpflichtet Unternehmen zur datenschutzfreundlichen Technikgestaltung, schützt sie aber vor Klagen auf eine bestimmte technische Umsetzung
🔑 Betroffene können das Unterlassen einer geschlechtsspezifischen Anrede einfordern, aber kein Recht auf eine bestimmte technische Umsetzung durchsetzen
Fazit
Dieser Fall lehrt zweierlei:
Nicht die Anrede an sich war das Problem, sondern die Verpflichtung dazu ohne Alternative. Gescheitert ist das Unternehmen letztlich an der Erforderlichkeit der Datenverarbeitung. Wer behauptet, etwas sei technisch nicht möglich, und es später doch umsetzt, liefert der Behörde oft das stärkste Argument gleich selbst.
Datenschutz macht keinen Unterschied zwischen spektakulären Datenpannen und winzigen Pflichtfeldern. Auch das Kleinste zählt. 😉
Jetzt reinhören in Folge 38 von
DSGVOMG – Mein Datenschutztheater
Der Podcast von MeineBerater 🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).
View all episodes
By Meine BeraterWillkommen zurück – Anrede optional 😊
Diese Folge startet mit einer simplen Frage, die sich in Österreich zu einem handfesten Datenschutzfall ausgewachsen hat: „Was passiert, wenn ein Online-Shop beim Registrieren "Herr oder Frau?" fragt und die Antwort für manche schlicht lautet: "weder noch, danke"?
Spoiler: Der Shop hätte das besser lassen sollen. Nicht weil es moralisch fragwürdig ist (das ist eine andere Debatte), sondern weil die österreichische Datenschutzbehörde hier ganz nüchtern durchgerechnet hat, ob das Unternehmen dafür überhaupt eine Rechtsgrundlage hatte. Und die Antwort war… Sie ahnen es: NEIN. 😅
Die große Ironie des Falls? Das Unternehmen hat sich im laufenden Verfahren selbst überführt. 👀 Aber dazu gleich mehr.
Was Sie in dieser Folge erwartet
💡Warum eine Pflichtanrede kein harmloses Komfortmerkmal, sondern ein echtes Datenschutzproblem sein kann
💡Was der EuGH im Jänner 2025 in der Rechtssache „Mousse" entschieden hat und warum das für jeden Online-Shop relevant ist
💡Warum „wir brauchen das für die Vertragserfüllung" bei einer Anrede einfach nicht zieht
💡Wann berechtigte Interessen anerkannt werden und wo sie trotzdem scheitern
💡Wie man als Unternehmen mitten im Verfahren beweist, dass man die Daten eigentlich gar nicht gebraucht hätte
💡Was Art. 25 DSGVO (Privacy by Design) kann und was er ausdrücklich nicht kann
💡Und wieso „das macht man halt so" leider kein Rechtfertigungsgrund ist 😉
Der Fall: Zwei Optionen, ein Problem
Viktor wollte sich im Online-Shop einer großen österreichischen Handelskette registrieren. Das Feld „Anrede" war Pflicht. Zur Auswahl: „Herr" oder „Frau". Keine dritte Option, kein „Keine Angabe", kein Weiterklicken ohne Auswahl. Viktor wählte eine Anrede, die nicht seiner Geschlechtsidentität entsprach, weil es keine Alternative gab. Anschließend forderte er das Unternehmen auf, dies zu korrigieren.
Das Unternehmen antwortete sinngemäß: technisch gerade leider nicht möglich, man arbeite dran. Das war im September 2023. Im Mai 2025 bekam Viktor noch immer Newsletter mit der Anrede „Sehr geehrte Frau". Er wandte sich an die Datenschutzbehörde.
Was die Datenschutzbehörde geprüft hat
Das Unternehmen berief sich zunächst auf die Vertragserfüllung. Der EuGH hatte jedoch bereits klargestellt: Für Bestellung, Lieferung und Zahlung braucht niemand eine Anrede.
Auch das berechtigte Interesse rettete die Verarbeitung nicht. Mitten im laufenden Verfahren stellte das Unternehmen sein Registrierungssystem auf eine geschlechtsneutrale Lösung um und beantragte die Abweisung der Beschwerde. Damit zeigte es selbst, dass die verpflichtende Erhebung der Anrede für seine Zwecke gar nicht erforderlich war.
Das Ergebnis
Die Datenschutzbehörde stellte einen Verstoß gegen die DSGVO-Grundsätze der Zweckbindung und Datenminimierung fest. Der Antrag auf Verletzung von Art. 25 DSGVO (Privacy by Design) wurde abgewiesen: Betroffene Personen haben kein subjektives Recht darauf, wie ein Unternehmen seine Technik gestaltet. Die Verpflichtung liegt beim Unternehmen, nicht das Wahlrecht bei der betroffenen Person.
DSGVO-Lifehacks für alle, die Formulare bauen
🔑 Auch scheinbar harmlose Pflichtfelder brauchen einen echten Zweck
🔑 Gesellschaftliche Konventionen ersetzen keine Rechtsgrundlage.
🔑 Wer im Verfahren beweist, dass er auf bestimmte Daten verzichten kann, dokumentiert damit unter Umständen die eigene Rechtsverletzung.
🔑 Eine spätere Systemumstellung heilt keine vergangene Rechtsverletzung.
🔑Art. 25 DSGVO verpflichtet Unternehmen zur datenschutzfreundlichen Technikgestaltung, schützt sie aber vor Klagen auf eine bestimmte technische Umsetzung
🔑 Betroffene können das Unterlassen einer geschlechtsspezifischen Anrede einfordern, aber kein Recht auf eine bestimmte technische Umsetzung durchsetzen
Fazit
Dieser Fall lehrt zweierlei:
Nicht die Anrede an sich war das Problem, sondern die Verpflichtung dazu ohne Alternative. Gescheitert ist das Unternehmen letztlich an der Erforderlichkeit der Datenverarbeitung. Wer behauptet, etwas sei technisch nicht möglich, und es später doch umsetzt, liefert der Behörde oft das stärkste Argument gleich selbst.
Datenschutz macht keinen Unterschied zwischen spektakulären Datenpannen und winzigen Pflichtfeldern. Auch das Kleinste zählt. 😉
Jetzt reinhören in Folge 38 von
DSGVOMG – Mein Datenschutztheater
Der Podcast von MeineBerater 🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).