Wenn die Anrede schon zu viel ist - Tipps und Tücken einer datenschutzrechtlichen Interessenabwägung

Von Mag. Katja Wyrobek | Selbständige Datenschutzjuristin

Der EuGH hat mit seinem Urteil in der Rechtssache Mousse/SNCF v. 09.01.2025 (Az. C-394/23) der personalisierten Kundenansprache durch eine Anrede enge Grenzen gesetzt. Doch die aktuellen EuGH-Urteile sind keine Gängelung der Wirtschaft, sondern eine wichtige Klarstellung der Grenzen der Datenverarbeitung auf Grundlage der DSGVO. Sie zeigen, dass ein Datenberg keine versteckte Goldmine ist, sondern schnell zu einem Compliance-Risiko wird, das kollabiert, sobald eine Aufsichtsbehörde oder Betroffene die “gängige Praxis” hinterfragen.

Gerade durch den Bedarf zum KI-Training, welches oft große Datenmengen benötigt, ist es umso wichtiger, eine solide Grundlage für seine Datenverarbeitung zu haben. Datenminimierung ist nicht nur eine rechtliche Pflicht, sondern auch sinnvoll für effektives KI-Training, wenn man sich klar überlegt, welche Daten man wirklich benötigt. Diese und viele weitere spannende Fragen rund um Datenminimierung, berechtigte Interessen, KI-Training und die praktischen Auswirkungen der neuesten EuGH-Rechtsprechung werde ich ausführlich in kommenden Vortrag beleuchten.

Ist ein "Herr" oder "Frau" wirklich notwendig?

Die Frage, welche personenbezogenen Daten erhoben, und auf welcher Rechtsgrundlage verarbeitet werden dürfen, sorgt immer wieder für Kopfzerbrechen und – wie aktuelle Urteile des Europäischen Gerichtshof (EuGH) zeigen – auch für rechtliche Auseinandersetzungen. Das vermeintliche Horten riesiger Datenmengen in der Hoffnung auf zukünftige, vielleicht sogar KI-gestützte, Erkenntnisse erweist sich zunehmend als riskantes Unterfangen, da sowohl die Rechtsgrundlagen als auch die Zweckverfolgung einem immer kritischeren Blick durch Aufsichtsbehörden, NGOs aber auch Betroffenen unterliegen.

Beginnen wir mit einem scheinbar trivialen Fall, der jedoch die Kernprinzipien der DSGVO fundamental aufzeigt: dem sogenannten „SNCF-Urteil“ (Az. C‑394/23). Ein französischer Verband beschwerte sich bei der französischen Aufsichtsbehörde (CNIL) darüber, dass die französische Bahn SNCF beim Online-Ticketkauf die Angabe der Anrede („Herr“ oder „Frau“) zwingend vorschrieb. Die französische Datenschutzaufsicht wies die Beschwerde zunächst ab, mit der Begründung, die Verarbeitung sei für die Vertragserfüllung erforderlich und entspreche der allgemeinen Verkehrssitte. Doch der Fall landete über das französische Oberste Verwaltungsgericht beim EuGH.

Die zentrale Frage: Kann die obligatorische Abfrage der Anrede als notwendig für den Kauf eines Zugtickets angesehen werden und entspricht sie dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO?

Der EuGH stellt klar: Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Die Vertragserfüllung als Rechtsgrundlage

Für die Erfüllung eines Vertrags (Art. 6 Abs. 1 Buchst. b DSGVO) muss die Verarbeitung objektiv unerlässlich sein, um den Hauptgegenstand der Leistung zu erbringen.

Welche Form der Daten ist für die Erfüllung des Vertrages unerlässlich und welche Interessen überwiegen bei der Verarbeitung im geschäftlichen Betrieb, um die Zwecke zu erfüllen? Im konkreten Urteil ging es um die Bereitstellung von Informationen zur Anrede, die einen Bezug auf die geschlechtliche Identität (Achtung nicht sexuelle Orientierung) nehmen. Die Abfrage der Anrede dient oftmals der Einordnung von Kunden für bestimmte Segmente, Dienstleistungen und oftmals schlicht der persönlichen Ansprache aus Kommunikationssicht. Die Wahl von gelinderen Mitteln, also beispielsweise der allgemein-inklusiven Ansprache in Form von “Guten Tag”, sei aus Datenschutzgründen zu bevorzugen.

Unternehmen müssen sich jedoch von der Ideologie verabschieden, dass die “Verkehrssitte”, also die allgemein anerkannten Umgangsformen mittels Ansprache pauschal als rechtmäßig im Kontext der Datenschutzgrundätze Rechtmäßigkeit und Datenminimierung angesehen werden. Es sollte kritisch geprüft werden, welche Daten objektiv unerlässlich für die Erbringung der Leistung sind, um die Rechtsgrundlage “Vertrag” wählen zu können.

Berechtigtes Interesse - Kein Freifahrtschein für Datenkraken

Anders verhält es sich oftmals bei der Wahl des überwiegenden berechtigten Interesses. Kann ein rein kommerzielles Interesse ausreichen, um die Verarbeitung personenbezogener Daten zu rechtfertigen? Hier verweist der EuGH in einem anderen Urteil (Az. C‑621/22, Koninklijke Nederlandse Lawn Tennisbond (KNLTB)) in dem der niederländische Tennisverband, die Daten seiner Mitglieder zu Marketingzwecken an Dritte veräußert hat, an eine Interessenabwägung im engeren Sinn. Da es keine Legaldefinition des Begriffes “berechtigtes Interesse” in der DSGVO gibt, kann auch auf ein breites Spektrum von Interessen zurückgegriffen werden. Der EuGH weist insbesondere darauf hin, dass berechtigte Interessen nicht gesetzlich vorgeschrieben oder verankert sein müssen.

Dennoch unterliegt diese Rechtsgrundlage stets einer Prüfung, für die der EuGH im SNCF-Urteil drei kumulativen Voraussetzungen aufstellt:

1. Es muss ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegen und Betroffenen bei der Datenerhebung/-verarbeitung mitgeteilt werden

2. Die Verarbeitung muss zur Verwirklichung dieses berechtigten Interesses erforderlich sein

3. Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen dürfen das berechtigte Interesse des Verantwortlichen nicht überwiegen

Das Pendel der Interessenabwägung

Der dritte Schritt ist die Interessenabwägung. Diese Abwägung hängt grundsätzlich von den konkreten Umständen des Einzelfalls ab. Pauschale wirtschaftliche Vorgänge wie der Wunsch nach Direktwerbung wie im KLTNB-Urteil müssen gegen die Interessen der Betroffenen abgeglichen werden. Der EuGH geht im SCNF-Urteil auf Ebene der erhobenen Daten (geschlechterbezogene Anrede) von einem Diskriminierungsrisiko aus, dessen konkrete Einschätzung er jedoch dem vorlegenden Gericht überlässt. Von entscheidender Bedeutung für die Abwägung sind die vernünftigen Erwartungen der betroffenen Person.

Es gibt keine allgemeingültigen Templates oder Muster für diese Interessenabwägung. Ein Unternehmen mag ein berechtigtes Interesse an personalisierter Direktwerbung haben. Aber ist dafür die Anrede oder gar die Geschlechtsidentität unbedingt notwendig? Wovon gehen Kundinnen und Kunden im Zweifel aus, wenn sie ein Bahnticket erwerben, und kann eine derartige Personalisierung etwaige Diskriminierungsrisiken erzeugen?

Ein Nebenaspekt ist die Einordnung des Widerspruchsrechts. Interessanterweise ordnet der EuGH im SNCF-Urteil das Widerspruchsrecht systematisch hinter die Prüfung der Rechtmäßigkeit ein. Der EuGH stellt klar, dass das Widerspruchsrecht nach Art. 21 DSGVO bei der Beurteilung der Rechtmäßigkeit der Verarbeitung auf Basis berechtigter Interessen keine vorrangige Berücksichtigung findet. Die Verarbeitung muss zuerst rechtmäßig (insbesondere notwendig) sein; das Recht, der Datenverarbeitung zu widersprechen kommt erst nachgelagert. Ein Unternehmen kann die Erforderlichkeit seiner Verarbeitung also nicht damit rechtfertigen, dass der Kunde ja widersprechen könnte.

KI-Training und der Wert strukturierter Daten

Isoliert von Datenschutzerwägungen, stellt sich eine noch viel größere Frage – nämlich was bedeutet das alles für das hochaktuelle Thema der Künstlichen Intelligenz (KI)? Viele Unternehmen träumen davon, ihre gesammelten Daten als wertvollen „Datenschatz“ für das Training von KI-Modellen zu nutzen.

Der Konzern Meta möchte beispielsweise nun öffentliche Posts von EU-Nutzern, zum Training seiner KI-Modelle nutzen, gestützt auf das berechtigte Interesse und ein Opt-out-Verfahren. Das OLG Köln (Az. 15 UKl 2/25 v. 23.05.2025) wies kürzlich ein entsprechendes Begehren der Verbraucherzentrale auf einstweiligen Rechtschutz gegen diese Vorgehensweise ab und erlaubt Meta daher die Verarbeitung öffentlicher Daten auf Basis des berechtigten Interesses.

Die wahllose Nutzung aller Daten, unabhängig von ihrer Sensibilität, für Werbezwecke erscheint jedoch unverhältnismäßig und aus Sicht der Entwicklung und Optimierung von Datenmodellen unzweckmäßig. Ohne eine lückenlose Dokumentation, Transparenzanforderungen und menschliche Aufsicht, wird nicht nur die AI Act Compliance zur Herausforderung, sondern man wird ebenso zur Zielscheibe der Datenschutzbehörden. Dabei darf nämlich nicht außer Acht gelassen werden, dass die Prinzipien der Datenminimierung und Verhältnismäßigkeit selbstverständlich auch für das KI-Training gelten und das Urteil des OLG Köln keinen allgemeinen Freibrief darstellt.

Ausblick: Datenschatz voll Klasse statt Masse

Statt unkontrolliert Daten zu sammeln, sollten Unternehmen genau definieren, welche Daten für welche konkreten Verarbeitungssituationen wirklich erforderlich sind und ob die Verarbeitung dafür auf einer soliden Rechtsgrundlage steht. Ein wesentlicher Punkt, der sich aus den Prinzipien der Datenminimierung und Zweckbindung ableitet, ist, dass Datenmüll in der Regel wertlos ist und auch das KI-Training unter Umständen erschweren kann. Unstrukturierte, irrelevante oder unzuverlässige Daten, die nur „gehortet“ werden, weil sie verfügbar sind, verbessern ein KI-Modell nicht; sie können es sogar verzerren, falsche Rückschlüsse zulassen oder zu falschen Outputs führen.

Der „Datenschatz“ für KI-Training ist nur dann wertvoll, wenn er aus relevanten, richtigen und rechtmäßigen Daten besteht, die für einen spezifischen Zweck im Einklang mit den Grundsätzen der DSGVO erhoben wurden. Es geht also hier um Klasse statt Masse.

IDACON Tag 2 | 10:00 - 11:00 Uhr

Interessenabwägung und Erforderlichkeit der Datenverarbeitung – Wenn die Anrede schon zu viel ist

Der Vortrag richtet sich an Datenschutzbeauftragte, Juristen und Projektmanager, die mit der Umsetzung von Kundenkommunikation in Praxis betraut sind.

Ziel des Vortrags ist es, den Zuhörern praxisrelevante Werkzeuge und Erkenntnisse zu vermitteln, die dazu dienen, nicht nur datenschutzkonforme, sondern auch effektive Lösungen in der täglichen Arbeit zu finden.