Das dritte Geschlecht im Bereich des Datenschutzes

Ganz offiziell ist das dritte Geschlecht in der Lebenswirklichkeit und in der öffentlichen Wahrnehmung in Deutschland mit dem „Gesetz zur Änderung der in das Geburtenregister einzutragenden Angaben“ angekommen (siehe Online-Beitrag der Tagesschau vom 15.08.2018). Mit diesem Gesetz wurde das Personenstandsgesetz (PStG) Ende 2018 angepasst und damit die entsprechende Entscheidung des Bundesverfassungsgerichts (BVerfG) vom 10. Oktober 2017 umgesetzt (Az.: 1 BvR 2019/16).

Natürliche Personen, die sich weder mit dem weiblichen noch dem männlichen Geschlecht eindeutig identifizieren, haben seit dem 31.12.2018 die Möglichkeit, im Geburtenregister neben den Angaben „männlich“, „weiblich“ sowie dem Offenlassen des Geschlechtseintrags den vom BVerfG in der oben zitierten Entscheidung geforderten weiteren positiven Geschlechtseintrag (so die Wortwahl des BVErfG) zu wählen. Diese offizielle Bezeichnung lautet „divers“ und ist in § 22 Abs. 3 PStG zu finden.

Der § 22 Abs. 3 PStG bestimmt Folgendes:

Kann das Kind weder dem weiblichen noch dem männlichen Geschlecht zugeordnet werden, so kann der Personenstandsfall auch ohne eine solche Angabe oder mit der Angabe „divers“ in das Geburtenregister eingetragen werden.

Personen, bei denen eine Eintragung bereits erfolgt ist, diese aus Sicht der betroffenen Person den Tatsachen jedoch nicht entspricht oder gestrichen werden soll, bietet der § 45b Abs. 1 PStG die Möglichkeit, die bisher registrierte Geschlechtsangabe und auch die Vornamen durch eine Erklärung gegenüber dem Standesamt ändern zu lassen (beispielsweise in „divers“) oder auf die Angabe auch gänzlich zu verzichten.

Die Variante des dritten Geschlechts wird beispielsweise im Bereich des Arbeitsrechts, insbesondere wegen der möglichen Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) als Folge einer Diskriminierung wegen des Geschlechts, schon seit geraumer Zeit berücksichtigt. Deshalb sieht man auch bei Stellenanzeigen nach der Stellenbezeichnung in der Regel den Hinweis „(m/w/d)“. Angesprochen werden sollen danach im Rahmen eines Bewerbungsverfahrens nicht nur Männer und Frauen mit „(m/w)“, sondern auch Menschen, die sich als divers definieren, daher das zusätzliche „d“.

Auf den Bereich des Datenschutzes hatte sich die Entscheidung des BVerfG bislang noch wenig ausgewirkt. Dies könnte sich jetzt, nach dem (wachrüttelnden) Startschuss des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), allerdings ändern.

Was ist konkret vorgefallen? Warum wird man sich insbesondere im Bereich des Datenschutzes mit dem dritten Geschlecht auseinandersetzen müssen und wo wird es aus datenschutzrechtlicher Sicht relevant?

Prüfverfahren des HmbBfDI zum dritten Geschlecht

Im aktuellen Tätigkeitsbericht für das Jahr 2022 informiert der HmbBfDI ab S. 64 über ein Prüfverfahren, welches das dritte Geschlecht betraf und nach unserer Auffassung weitreichende Konsequenzen für viele Unternehmen und Organisationen in Deutschland haben könnte.

Womit musste sich der HmbBfDI nun konkret befassen?

Es gab beim HmbBfDI eine Beschwerde, weil ein Energieversorger mit Sitz in Hamburg eine Auskunft nach Art. 15 DSGVO nicht erteilt hatte. Dies nahm der HmbBfDI zum Anlass, auch die richtige Verarbeitung von Angaben zum Geschlecht zu thematisieren, denn die entsprechenden Informationen verarbeitet der kontaktierte Energieversorger von allen Personen, die mit ihm einen Energieversorgungsvertrag abschließen wollen. Dabei wollte der Energieversorger auf die Angaben zum Geschlecht im Rahmen des Vertragsschlusses nicht gänzlich verzichten.

Wenn Unternehmen oder Organisationen, die personenbezogene Daten verarbeiten, auf die Erhebung des Geschlechts von Personen, zu denen sie in vorvertraglicher oder vertraglicher Beziehung stehen, nicht komplett verzichten wollen, so müssen sie nach Auffassung des  HmbBfDI dafür sorgen, dass die korrekte Verarbeitung der Informationen dazu möglich ist. Begründet wird dies durch den HmbBfDI damit, dass gemäß Art. 5 Abs. 1 lit. d DSGVO die Verantwortlichen den Grundsatz der Datenrichtigkeit beachten müssen. Damit müssen personenbezogene Daten, die durch die Verantwortlichen verarbeitet werden, sachlich richtig sein. Durch das Urteil des BVerfG sowie die entsprechende Anpassung des PStG wurde in der Vergangenheit eindeutig festgelegt, welche Geschlechtereinträge möglich sein müssen, damit die Angabe für alle Personen zutreffend ausgewählt werden kann. Weiterhin sind angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (siehe Art. 16 DSGVO).

Wenn in einem Customer-Management-System (CMS) oder in einem Online-Shop im Rahmen der Bestellung personenbezogene Daten verarbeitet werden und dabei es nur die Möglichkeit gibt, zwischen den Kategorien „männlich“ und „weiblich“ zu wählen, ist das demzufolge aus Sicht des Datenschutzes ein Verstoß gegen den in Art. 5 DSGVO statuierten Grundsatz der Richtigkeit der Verarbeitung, da es auch die Kategorien „divers“ und „keine Angabe“ geben muss. Die Beschränkung der Kategorien auf „männlich“ und „weiblich“ führt dazu, dass eine korrekte Angabe, wie sie im Personenstandsgesetz vorgesehen ist, nicht in allen Fällen möglich ist.

Sollten also Angaben zum Geschlecht verarbeitet werden, müssen nach Auffassung des HmbBfDI zwingend auch Angaben zu den Optionen „divers“ und „keine Angabe“ ermöglicht werden.

Es ist zu beachten, dass, je nachdem, welche Systeme eingesetzt werden, die Umsetzung dieser Vorgaben und die gegebenenfalls erforderliche Anpassung der DV-Systeme mit einigem Aufwand verbunden sein kann.

Abweichende Auffassung der französischen Aufsicht CNIL

Auch die in Frankreich für den Bereich Datenschutz zuständige Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hatte sich mit dieser Frage zu beschäftigen. Sie wies die Beschwerde gegen ein Verkehrsunternehmen zurück, in dessen Onlineshop beim Kauf von Tickets verpflichtend als Anrede „Herr“ oder „Frau“ auszuwählen war.

Die CNIL vertritt damit, im Gegensatz zum HmbBfDI, die Auffassung, dass im Rahmen einer Vertragsanbahnung bzw. Vertragsdurchführung die Ansprache von betroffenen Personen unter Verwendung der nur männlichen oder nur weiblichen Form jeweils der Verkehrssitte im Rahmen der Kommunikation entsprechen würde und daher nicht zu beanstanden sei.

Der Fall ging durch die Instanzen und nun liegt der Rechtsstreit als Vorlage dem Europäischen Gerichtshof (EuGH) vor (siehe hierzu das Arbeitsdokument zur Rechtssache C-394/23). Der EuGH wird darüber entscheiden und verbindlich festlegen müssen, wie solche Fälle in der EU einheitlich zu behandeln sind.

Wir meinen: Die Auffassung der CNIL klingt in der heutigen Zeit etwas antiquiert. Es gab sicherlich mal Zeiten, in denen es in der Tat eher der Verkehrssitte entsprach, dass Menschen ausschließlich mit „Frau“ oder „Herr“ angesprochen wurden. Doch die Zeiten ändern sich und mit ihnen ändern sich auch die Verkehrssitten. Wir sind daher der Auffassung, dass die Entscheidung des HmbBfDI die heutige Lebenswirklichkeit besser abbildet und könnten uns vorstellen, dass der EuGH eine diesbezügliche Entscheidung treffen wird.

Fazit

Sofern Sie als für die Verarbeitung Verantwortlicher den Ausgang des Verfahrens vor dem EuGH nicht abwarten und mögliche Risiken vermeiden möchten, empfehlen wir, auf die Verarbeitung von Geschlechtsangaben entweder gänzlich zu verzichten oder aber die Anforderungen des HmbBfDI umzusetzen. Zudem wäre zu beachten, dass die eingesetzten IT-Systeme, die eingesetzt werden, mit den entsprechenden Optionen umgehen können müssen. Eventuell kann dies mit erforderlichen Anpassungen der IT-Systeme verbunden sein. Im schlimmsten Fall kann es erforderlich sein, eine alternativen Software einzusetzen, die in der Lage ist, den Grundsatz „Datenschutz durch Technikgestaltung“ (in Englisch auch als „Privacy by Design“ bekannt), der in Art. 25 Abs. 1 DSGVO festgelegt ist, umzusetzen.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.