Mit dem Wachstum des Online-Handels sind auch die rechtlichen Anforderungen an Shop-Betreiber gestiegen. Dies betrifft nicht nur technische und organisatorische Aspekte des Datenschutzes, sondern auch die Gestaltung von Eingabemasken und Formularen. Ein kürzlich veröffentlichter Bescheid der österreichischen Datenschutzbehörde (DSB) zeigt dies anschaulich: Im Mittelpunkt stand die Frage, ob die Auswahl zwischen zwei Geschlechtern ausreichend ist.
Eine Person wollte sich für einen Online-Shop registrieren. Im Registrierungsformular war die Anrede als Pflichtfeld programmiert – zur Auswahl standen ausschließlich "Frau" und "Herr". Eine neutrale Option gab es nicht; ohne Auswahl war die Registrierung nicht möglich. Die Person identifiziert sich mit keinem der beiden Geschlechter und wollte keine Auswahl treffen.
Sie wandte sich an den Shop-Betreiber mit der Bitte, eine geschlechtsneutrale Option einzuführen und künftig auf geschlechtsspezifische Anreden in E-Mails zu verzichten. Der Betreiber zeigte Verständnis, erklärte aber, eine technische Umsetzung sei derzeit nicht möglich. Die Person registrierte sich daraufhin notgedrungen mit der Anrede "Frau" – und erhielt kurz danach eine E-Mail mit der Anrede "Sehr geehrte Frau …".
Die Person erhob Beschwerde bei der DSB und stützte sich auf mehrere Argumente: Die Pflichtangabe einer geschlechtsspezifischen Anrede verstoße gegen den Grundsatz der Zweckbindung (Daten dürfen nur für einen klar definierten Zweck erhoben werden) und die Datenminimierung (es dürfen nur jene Daten erhoben werden, die tatsächlich notwendig sind), was beides als zentrale Grundsätze der DSGVO einzustufen ist. Zusätzlich beantragte die Person, die Anrede in eine neutrale Form zu berichtigen, hilfsweise zu löschen.
Noch während des laufenden Verfahrens überarbeitete der Betreiber seinen Registrierungsprozess und ermöglichte fortan eine Registrierung ohne geschlechtsspezifische Anrede. Die Anträge auf Berichtigung und Löschung wurden damit gegenstandslos.
Die DSB stellte dennoch fest, dass der ursprüngliche Registrierungsprozess gegen die DSGVO verstoßen hat. Sie stützte sich dabei auf ein Urteil des Europäischen Gerichtshofs (EuGH, C-394/23, „Mousse"), in dem dieser klarstellte: Eine geschlechtsspezifische Anrede ist, weder für Bestellung, Lieferung noch Bezahlung, für den Abschluss und die Abwicklung eines Online-Kaufvertrags nicht erforderlich. Es gibt daher keine ausreichende Rechtsgrundlage für ihre verpflichtende Erhebung.
Ergänzend verwies die DSB auf den österreichischen Verfassungsgerichtshof: Bereits 2018 hat dieser entschieden, dass die Beschränkung auf nur zwei Geschlechtskategorien das verfassungsrechtlich geschützte Recht auf Achtung des Privatlebens (Art. 8 EMRK) verletzt.
Die verpflichtende Auswahl zwischen zwei geschlechtsspezifischen Optionen ist sowohl datenschutzrechtlich (DSGVO) als auch verfassungsrechtlich (EMRK) problematisch. Die Lösung ist dabei denkbar einfach: Eine dritte Option, beispielsweise „Divers" oder „Keine Angabe" reicht aus, um rechtskonform zu handeln und eine Beschwerde bei der DSB zu vermeiden.
Doch über die rechtliche Pflicht hinaus geht es um etwas viel Grundlegenderes: alle Kund:innen willkommen zu heißen – unabhängig von Geschlecht und Identität. Und manchmal beginnt Wertschätzung schon beim ersten Formularfeld. Gerade im Pride Month ein starkes Zeichen.
