Pflichtfeld für die Anrede Herr oder Frau verletzt DSGVO-Grundsätze
Wer einen Online-Shop betreibt und bei der Registrierung eine geschlechtsspezifische Anrede als Pflichtfeld abfragt, verstößt gegen die Datenschutz-Grundverordnung. Das hat die österreichische Datenschutzbehörde (DSB) mit Bescheid vom 24. November 2025 festgestellt (GZ: 2025-0.950.759, Verfahrenszahl: DSB-D124.1244/25). Die Entscheidung stützt sich auf die Rechtsprechung des Europäischen Gerichtshofs und betrifft alle Betreiber von Online-Shops, die noch binäre Anredefelder im Registrierungsprozess nutzen.
Der Fall: Keine Anrede ohne Geschlecht
Eine betroffene Person registrierte sich im September 2023 in einem österreichischen Online-Shop. Dabei war die Anrede ein Pflichtfeld. Zur Auswahl standen nur „Herr“ und „Frau“. Eine neutrale Option gab es nicht. Die betroffene Person forderte das Unternehmen daraufhin auf, die Anrede zu ändern und künftig auf geschlechtsspezifische Anreden zu verzichten. Das Unternehmen antwortete, eine technische Umsetzung sei derzeit nicht möglich, man arbeite aber an einer Lösung.
Im Mai 2025 erhielt die betroffene Person einen Newsletter mit der Anrede „Sehr geehrte Frau“. Kurz darauf reichte sie eine Datenschutzbeschwerde bei der DSB ein. Diese prüfte, ob das Unternehmen gegen Art. 5 DS-GVO (Grundsätze der Datenverarbeitung) und Art. 25 DS-GVO (Datenschutz durch Technikgestaltung) verstoßen hat.
Während des Verfahrens stellte das Unternehmen sein IT-System um. Seit September 2025 ist die Registrierung ohne Anredefeld möglich. Das änderte jedoch nichts an der festgestellten Rechtsverletzung in der Vergangenheit.
Rechtliche Bewertung der DSB
Die DSB prüfte zunächst, ob die Verarbeitung des Anrededatums auf Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) gestützt werden kann. Das verneinte sie klar. Für die Abwicklung eines Online-Kaufs, also Auswahl, Bestellung, Lieferung und Bezahlung, ist eine geschlechtsspezifische Anrede schlicht nicht erforderlich. Das bestätigte auch der EuGH in der Rechtssache „Mousse“ (C-394/23) vom 9. Januar 2025: Anrededaten sind für die Vertragserfüllung nicht notwendig.
Auch Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) schied als Rechtsgrundlage aus. Zwar hat ein Unternehmen grundsätzlich ein berechtigtes wirtschaftliches Interesse daran, Kunden persönlich anzusprechen. Die Verarbeitung muss dafür aber auch erforderlich sein. Das Unternehmen hatte selbst nachgewiesen, dass es in zahlreichen anderen Bereichen auf geschlechtsspezifische Anreden bereits verzichtet hatte: bei Newslettern, Rechnungen, Lieferbenachrichtigungen und über das Kontaktformular. Damit stand fest, dass es wirksame Alternativen gibt, die weniger in die Rechte der betroffenen Personen eingreifen.
Die DSB stellte daher eine Verletzung der Grundsätze der Zweckbindung und der Datenminimierung gemäß Art. 5 Abs. 1 lit. b und lit. c DS-GVO fest. Liegt ein gleich wirksames, aber milderes Mittel vor, kann die Datenverarbeitung nicht als erforderlich gelten. Wirtschaftliche Erwägungen oder bloße Zweckmäßigkeit genügen nicht.
Die DSB ergänzte, dass die Beschränkung auf zwei Geschlechtskategorien bereits nach der Entscheidung des österreichischen Verfassungsgerichtshofs aus dem Jahr 2018 problematisch ist. Dieser hatte festgestellt, dass neben „männlich“ und „weiblich“ auch eine dritte Kategorie im Personenstandsregister einzutragen ist und eine starre Begrenzung auf zwei Geschlechter mit Art. 8 EMRK unvereinbar ist.
Separat befasste sich die DSB mit der Frage, ob Art. 25 DS-GVO ein subjektives Recht der betroffenen Person begründet, spezifische datenschutzfreundliche Voreinstellungen einzufordern. Das verneinte sie. Art. 25 DS-GVO verpflichtet den Verantwortlichen zu entsprechenden technischen und organisatorischen Maßnahmen. Ein individuell einklagbarer Anspruch der betroffenen Person auf eine konkrete Systemgestaltung ergibt sich daraus nicht. Dieser Teil der Beschwerde wurde daher abgewiesen.
Unsere Empfehlungen
Unternehmen und KMU
Online-Shops sollten Anredefelder im Registrierungsprozess jetzt überprüfen. Ist die Anrede ein Pflichtfeld und stehen nur „Herr“ und „Frau“ zur Auswahl, besteht ein klares DSGVO-Risiko. Der erste Schritt ist, das Feld entweder ganz zu entfernen oder es als freiwillige Angabe ohne Pflichtcharakter auszugestalten. Wer das Feld behält, sollte zumindest eine neutrale Option oder ein freies Texteingabefeld anbieten. Das Unternehmen im vorliegenden Fall hat selbst gezeigt, wie es geht: Newsletter, Rechnungen und Lieferbenachrichtigungen funktionierten bereits ohne geschlechtsspezifische Anrede.
Wer die eigene Datenschutzerklärung und die Verarbeitungsverzeichnisse bereits angepasst hat, sollte auch prüfen, ob die technische Umsetzung tatsächlich mit den dokumentierten Rechtsgrundlagen übereinstimmt. Eine nachträgliche Systemumstellung heilt die vergangene Rechtsverletzung nicht.
Behörden und öffentliche Stellen
Behördliche Online-Portale und Servicekonten unterliegen denselben Grundsätzen. Wird bei der Registrierung eine Anrede erhoben, muss das zwingend erforderlich sein. Für die meisten Verwaltungsvorgänge gilt das nicht. Behörden sollten ihre Registrierungsformulare auf unnötige Pflichtfelder prüfen und dokumentieren, welche Daten zu welchem Zweck erhoben werden.
Gesundheitseinrichtungen
Patientenportale und digitale Anmeldeformulare enthalten häufig Anredefelder. Soweit diese als Pflichtangabe ausgestaltet sind und keinen medizinischen Zweck erfüllen, gilt dieselbe Anforderung. Die Erhebung sollte auf das tatsächlich Notwendige beschränkt werden.
Kanzleien und Freiberufler
Kanzleien mit Mandantenportalen oder Kontaktformularen sollten prüfen, ob dort geschlechtsspezifische Pflichtfelder verwendet werden. Das gilt auch für Buchungstools und Terminverwaltungssysteme, die über Drittanbieter eingebunden sind. Der Verantwortliche bleibt auch dann für die Datenerhebung verantwortlich, wenn die technische Lösung von außen kommt.
Quelle: Österreichische Datenschutzbehörde (DSB), Bescheid GZ 2025-0.950.759 vom 24. November 2025
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks