Im Gastbeitrag erklären die Juristinnen und Juristen Lukas Feiler, Adrian Brandauer und Ariane Müller, warum Unternehmen bei der Datenverarbeitung auch queere Identitäten im Blick haben müssen.

Zwei Personen stehen mit dem Rücken zur Kamera, sie sind mit einer bunten Regenbogenfahne umhüllt.
Dieser Tage demonstrieren queere Personen in aller Welt für Gleichstellung.
IMAGO/Michael Gstettenbauer

Der in diesem Monat international gefeierte Pride Month wirft nicht zuletzt datenschutzrechtliche Fragen auf: Ist die geschlechtliche Identität in der Datenschutzgrundverordnung (DSGVO) geschützt? Und was müssen Unternehmen bei der Datenverarbeitung besonders beachten?

Die DSGVO definiert besonders schützenswerte Informationen als sensible Daten und regelt deren Verarbeitung besonders streng. Wer hofft, dass die geschlechtliche Identität hierunter fällt, wird allerdings enttäuscht werden: Die DSGVO schützt als sensible Daten nur bestimmte personenbezogene Daten – etwa die ethnische Herkunft, die politische Meinung oder die sexuelle Orientierung. Dennoch lässt sich aus der DSGVO ein robuster Schutz der Geschlechtsidentität ableiten.

Unterschied zwischen Biologie und Identität

Dabei muss zwischen der geschlechtlichen Identität und dem biologischen Geschlecht unterschieden werden. Während die geschlechtliche Identität von der Person gewählt wird und daher verlässlich nur bei ihr selbst erhoben werden kann, ist das biologische Geschlecht keine Frage der Selbstidentifikation. Die beiden Datenkategorien müssen getrennt betrachtet werden, um die Zulässigkeit ihrer Verarbeitung beurteilen zu können.

Für die Verarbeitung von Informationen über das biologische Geschlecht fehlt es tatsächlich meist an einem legitimen Verarbeitungszweck. So ist zum Beispiel die Erhebung des biologischen Geschlechts in der Kundendatenbank eines Unternehmens für keinen Zweck erforderlich. Die Erhebung der geschlechtlichen Identität ist hingegen zum Beispiel für die korrekte Anrede einer Person relevant. Entscheidend ist bei der geschlechtlichen Identität, dass diese von der betroffenen Person selbst gewählt und daher jederzeit geändert werden kann. Setzt sich somit ein Unternehmen über die betroffene Person hinweg und verarbeitet über diese eine andere geschlechtliche Identität als jene, die von der betroffenen Person selbst genannt wurde, verletzt es den Grundsatz der Datenrichtigkeit.

Bei Missachtung drohen Strafen

Die meisten Geschäftsprozesse sowie der überwiegende Großteil der verfügbaren Standardsoftware unterscheiden derzeit nicht zwischen geschlechtlicher Identität und biologischem Geschlecht. Das könnte schon für sich betrachtet einen DSGVO-Verstoß darstellen. Die unzureichende Bezeichnung der erhobenen Datenkategorie und die damit geschaffene Unklarheit über den rechtlichen Rahmen für die Verarbeitung dieser Daten könnte nach der DSGVO nämlich sowohl den Grundsatz der Datenrichtigkeit als auch den Grundsatz der Verarbeitung nach Treu und Glauben verletzen.

Unternehmen, die die geschlechtliche Identität unter der Bezeichnung "Geschlecht" erheben, lassen häufig außer Acht, dass es auch Personen gibt, deren geschlechtliche Identität weder weiblich noch männlich ist und es daher möglich sein muss, an dieser Stelle auch eine andere geschlechtliche Identität als weiblich oder männlich anzugeben. Insbesondere verfügt Software, die für die Adressierung von Kunden verwendet wird, typischerweise nur über die Funktionalität, die Kunden als Herr oder Frau anzusprechen, was nicht dem Wesen der geschlechtlichen Identität in seinem modernen Verständnis entspricht.

Nach der DSGVO droht Unternehmen, die die notwendige Unterscheidung zwischen geschlechtlicher Identität und biologischem Geschlecht in ihren Prozessen nicht umsetzen, eine Geldbuße. Dasselbe gilt für Unternehmen, die eine Aufforderung einer Person zur Richtigstellung ihrer geschlechtlichen Identität missachten. Diese Geldbuße kann bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzernumsatzes betragen. Betroffene könnten unter Umständen auch immateriellen Schadenersatz geltend machen.

Vorteile überwiegen

Unternehmen sollten den Pride Month zum Anlass nehmen und sich der Frage stellen, welche der nach wie vor als "Geschlecht" verarbeiteten Daten das biologische Geschlecht und welche die geschlechtliche Identität bezeichnen. Zumindest im Bereich der Kundendatenverarbeitung haben Unternehmen wohl nur für die Verarbeitung der geschlechtlichen Identität einen legitimen Verarbeitungszweck. Daher sollte diese Datenkategorie konsequent als geschlechtliche Identität bezeichnet werden und die Eingabe von anderen Identitäten als nur "weiblich" oder "männlich" ermöglicht werden.

Derartige Änderungen von Geschäftsprozessen und IT-Systemen können mitunter erheblichen Aufwand verursachen. Der unternehmerische Mehrwert von Diversität und Inklusion wiegt etwaigen Mehraufwand aber auch aus wirtschaftlicher Perspektive auf. (Lukas Feiler, Adrian Brandauer, Ariane Müller, 18.6.2023)