BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Urteil vom 14.10.2025
VI ZR 431/24

Der BGH hat entschieden, dass die Übermittlung von Positivdaten an die SCHUFA durch Mobilfunkanbieter für den Identitätsabgleich zur Betrugsprävention zulässig und von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gedeckt ist.

Die Pressemitteilung des BGH:
Bundesgerichtshof entscheidet über Zulässigkeit der Übermittlung sogenannter Positivdaten an SCHUFA

Der unter anderem für Rechtsstreitigkeiten aus dem Datenschutzrecht zuständige VI. Zivilsenat hat die Abweisung einer Unterlassungsklage bestätigt, mit der sich ein Verbraucherverband gegen die Übermittlung sogenannter Positivdaten an die SCHUFA gewandt hat.

Sachverhalt und Prozessgeschichte:

Die Beklagte ist ein Telekommunikationsunternehmen, das Mobilfunkdienste erbringt. Bis Oktober 2023 übermittelte sie nach dem Abschluss von Postpaid-Mobilfunkverträgen zumindest die zum Identitätsabgleich notwendigen Stammdaten ihrer Kunden (Name etc.) sowie die Information, dass ein Vertrag mit diesen geschlossen oder beendet wurde, an die SCHUFA Holding AG. Die Übermittlung dieser Positivdaten geschah unter anderem zum Zwecke der Betrugsprävention. Mit seiner Klage hat der Verbraucherverband beantragt, die Beklagte zur Unterlassung der Übermittlung von Positivdaten (also personenbezogenen Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben) an die SCHUFA zu verurteilen. Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen.

Entscheidung des Senats:

Der Senat hat die Revision des Verbraucherverbands zurückgewiesen, die Klageabweisung also bestätigt.

Der Unterlassungsantrag ist unbegründet, weil er auch Verhaltensweisen, die datenschutzrechtlich nicht zu beanstanden sind, erfasst und damit zu weit gefasst ist. Der Antrag ist darauf gerichtet, der Beklagten jede Übermittlung der Positivdaten von verbrauchern an die SCHUFA nach Abschluss eines Telekommunikationsvertrages zu verbieten. Allerdings lässt sich die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, an die SCHUFA gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f Datenschutz-Grundverordnung (DSGVO) durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen. Dabei geht es nach den Feststellungen des Berufungsgerichts um Fälle, in denen Kunden über ihre Identität täuschen und/oder binnen kurzer Zeit bei verschiedenen Anbietern unerklärlich viele Mobilfunkverträge abschließen, insbesondere, um an die mit Abschluss der Verträge überlassenen teuren Smartphones zu gelangen. Im Hinblick auf den hohen Schaden, den solche Betrugsstraftaten bei Postpaid-Mobilfunkverträgen anrichten können, überwiegt das Interesse der Verbraucher daran, dass die genannten Daten nicht an die SCHUFA übermittelt werden, das Interesse der Beklagten an einer hinreichenden Betrugsprävention nicht.

Darüber, wie die SCHUFA die zur Betrugsprävention übermittelten Positivdaten verarbeitet, etwa, ob und wie diese in das Bonitätsscoring einfließen, hatte der Senat aus prozessualen Gründen nicht zu entscheiden.

Vorinstanzen:

Landgericht Düsseldorf - Urteil vom 6. März 2024 - 12 O 128/22

Oberlandesgericht Düsseldorf - Urteil vom 31. Oktober 2024 - 20 U 51/24

Die maßgebliche Vorschrift lautet:

Art. 6 Abs. 1 Unterabs. 1 DSGVO:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

…

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

LG Lübeck
Beschluss vom 04.09.2025
15 O 12/24

Das LG Lübeck hat dem EuGH Fragen zur datenschutzrechtlichen Zuslässigkeit der Übermittlung von Positivdaten von Kunden durch Mobilfunkanbieter an die Schufa zur Vorabentscheidung vorgelegt.

Die Pressemitteilung des Gerichts:
Datenübermittlung an die Schufa:

Landgericht Lübeck ruft Europäischen Gerichtshof an Bundesweit verzeichnen die Gerichte eine Vielzahl von Klagen gegen Mobilfunkunternehmen, die ohne Zustimmung ihrer Kunden deren Vertragsdaten an die Schufa übermittelt hatten. Das Landgericht Lübeck hat jetzt ein derartiges Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt, um ein Urteil sprechen zu können.

Was ist passiert?

Das Mobilfunkunternehmen hatte ohne Einwilligung des Kunden Name, Geburtsdatum, Anschrift, Datum des Vertragsschlusses und Vertragsnummer an die Schufa weitergegeben. Die Schufa hatte ca. 2 Jahre später mitgeteilt, dass die Daten in den von der Schufa berechneten „Bonitätsscore“ eingeflossen waren. Der Betroffene verlangt nun von dem Mobilfunkunternehmen, künftig derartige Datenübermittlungen an Auskunfteien wie die Schufa zu unterlassen. Zudem begehrt er Schadensersatz. Das Mobilfunkunternehmen hingegen argumentiert, die Datenschutzgrundverordnung erlaube die Datenübermittlung an die Schufa.

Wie hat das Gericht entschieden?

Das Gericht hat das Verfahren ausgesetzt und dem Europäischen Gerichtshof mehrere Fragen vorgelegt. Hierzu sind alle europäischen Gerichte berechtigt, wenn sie Zweifel über die Auslegung von europäischem Recht haben.

Konkret möchte das Gericht vom Europäischen Gerichtshof wissen,

1. ob die Bestimmung, auf die sich das Mobilfunkunternehmen beruft, nämlich Art. 6 f.) der Datenschutzgrundverordnung, auf derartige Fälle überhaupt Anwendung findet. Das Gericht hat daran Zweifel, da die massenhafte Übermittlung derartiger Daten an die Schufa die Grundrechte sehr vieler Bürger berühre. Es sei deshalb Aufgabe der Europäischen Union, genau zu regeln, wer was zu welchem Zweck an die Schufa übermitteln dürfe. Das sei bislang nicht geschehen;

2. ob die Übermittlung von Daten an die Schufa jedenfalls dann rechtswidrig sei, wenn die Schufa die Daten zur Profilbildung (sogenanntes Scoring) verwendet;

3. und ob die betroffenen Verbraucher auch dann Schadensersatz verlangen können, wenn sie vor Vertragsschluss zwar nicht nach ihrer Zustimmung gefragt wurden, aber immerhin auf die Datenübermittlung hingewiesen wurden.

Was steht dazu im Gesetz? Wie ist die Rechtslage?

Ob die Datenübermittlung an die Schufa rechtmäßig ist, entscheidet sich anhand von Art. 6 f) DSGVO:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (...)

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Die Fragen des Gerichts zielen darauf ab, zu klären, ob diese Bestimmung hier anwendbar ist und falls ja, wie sie zu verstehen ist.

Der Beschluss vom 4.9.2025 ist unanfechtbar.

Den Volltext der Entscheidung finden Sie hier:

OLG Köln
10.04.2025
15 U 249/24

Das OLG Köln hat entschieden, dass WIrtschaftsauskunfteien wie die Schufa erledigte Zahlungsstörungen unverzüglich löschen muss. Andernfalls hat der Betroffene einen Schadensersatzanspruch aus Art. 82 DSGVO.

Das Gericht hat die Revision zum BGH zugelassen.

Aus den Entscheidungsgründen:
Die Berufung hat teilweise Erfolg. Die mit dem allein noch rechtshängigen Zahlungsantrag geltend gemachten Schadensersatzansprüche sind entgegen der Auffassung des Landgerichts gemäß Art. 82 Abs. 1 DSGVO in dem aus dem Tenor ersichtlichen Umfang gerechtfertigt.

1. Die Beklagte hat gegen die Datenschutz-Grundverordnung verstoßen, indem sie die in den ursprünglichen Klageanträgen genannten Einträge über Zahlungsstörungen des Klägers auch nach dem Ausgleich der Forderungen am 2. Dezember 2020, am 4. November 2021 beziehungsweise im Dezember 2022 für drei beziehungsweise gut zwei Jahre weiterhin gespeichert und für ihre Kunden zum Abruf bereitgehalten hat. Nach der Erfüllung der Forderungen war die fortdauernde Speicherung der - nunmehr zusätzlich mit einem Erledigungsvermerk versehenen - Einträge betreffend die zuvor aufgetretenen Zahlungsstörungen rechtswidrig, weil die in Art. 6 Abs. 1 DSGVO genannten Bedingungen nicht länger erfüllt waren.

a) Dies gilt insbesondere für die in Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO genannte Bedingung. Die von dieser Vorschrift geforderte Beurteilung der Frage, ob die berechtigten Interessen der Beklagten vernünftigerweise nicht durch eine kürzere Dauer der Datenspeicherung erreicht werden können, erfordert eine Abwägung der einander gegenüberstehenden Rechte und Interessen (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 92). Bei dieser Abwägung ist vorliegend in Ermangelung einer gesetzlichen Regelung der für Wirtschaftsauskunfteien maßgeblichen Speicherfristen (vgl. BT-Drucks. 20/10859 S. 34 ff. [Buchstabe f nebst Begründung]) die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO maßgeblich zu berücksichtigen. Danach wird eine Eintragung im Schuldnerverzeichnis auf Anordnung des zentralen Vollstreckungsgerichts gelöscht, wenn diesem die vollständige Befriedigung des Gläubigers nachgewiesen worden ist. Unter Berücksichtigung dieser Wertung hätte die Beklagte die fraglichen Einträge über Zahlungsstörungen des Klägers löschen müssen, nachdem ihr die vollständige Befriedigung der Gläubiger durch entsprechende Meldungen der Gläubiger nachgewiesen worden war.

aa) Der Europäische Gerichtshof hat entschieden, dass Art. 5 Abs. 1 Buchstabe a und Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO einer Praxis privater Wirtschaftsauskunfteien entgegenstehen, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166). Die anderslautende Entscheidung des Senats vom 27. Januar 2022 - 15 U 153/21 - (ZD 2022, 233), die nach Rücknahme der dagegen eingelegten Revision rechtskräftig geworden ist, ist damit ebenso überholt wie die vom Landgericht angeführten Entscheidungen der Oberlandesgerichte Stuttgart (Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691) und Oldenburg (Urteil vom 23. November 2021 - 13 U 63/21, ZD 2022, 103, ausdrücklich aufgegeben im Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik) sowie des Kammergerichts (Urteil vom 15. Februar 2022 - 27 U 51/21, ZD 2022, 335).

bb) Zwar bezieht sich die Entscheidung des Europäischen Gerichtshofs nur auf in einem Insolvenzregister veröffentlichte Informationen über die Erteilung einer Restschuldbefreiung. Für Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO kann aber nichts Anderes gelten (vgl. BeckOK-Datenschutzrecht/Krämer, § 31 BDSG Rn. 77 [Stand: 1. November 2024]), denn zwischen dem Insolvenzregister und dem Schuldnerverzeichnis bestehen keine Unterschiede, die für die vorzunehmende Interessenabwägung von wesentlicher Bedeutung wären. Es ist der Beklagten deshalb verwehrt, aus dem öffentlichen Schuldnerverzeichnis stammende Informationen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit der eingetragenen Schuldner für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik; LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).

Der Europäische Gerichtshof hat bei seiner Entscheidung berücksichtigt, dass die Analyse einer Wirtschaftsauskunftei insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern kann. Andererseits stelle die Verarbeitung von Daten über die Erteilung der Restschuldbefreiung einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person dar, weil solche Daten als negativer Faktor bei der Beurteilung der Kreditwürdigkeit der betroffenen Person dienten; die Weitergabe solcher Daten sei geeignet, die Ausübung ihrer Freiheit erheblich zu erschweren, insbesondere wenn es darum gehe, Grundbedürfnisse zu decken. Zudem seien die Folgen für die betroffene Person umso größer und die Anforderungen an die Rechtmäßigkeit der Speicherung dieser Informationen umso höher, je länger die fraglichen Daten gespeichert würden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 93 bis 95). Diese Erwägungen lassen sich ohne Weiteres auf Eintragungen im Schuldnerverzeichnis gemäß § 882b ZPO übertragen.

Der Europäische Gerichtshof hat bei seiner Entscheidung ferner das Ziel eines öffentlichen Insolvenzregisters berücksichtigt, eine bessere Information der betroffenen Gläubiger und Gerichte zu gewährleisten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 96). Das Schuldnerverzeichnis gemäß § 882b ZPO dient ersichtlich demselben Zweck. Soweit der Europäische Gerichtshof ferner darauf abgestellt hat, dass das Ziel der Erteilung einer Restschuldbefreiung, dem Begünstigten eine erneute Beteiligung am Wirtschaftsleben zu ermöglichen, gefährdet wäre, wenn Wirtschaftsauskunfteien Daten über eine Restschuldbefreiung auch nach einer Löschung aus dem öffentlichen Insolvenzregister speichern und verwenden könnten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 98), steht auch diese Erwägung einer Übertragung der Rechtsprechung auf Eintragungen im Schuldnerverzeichnis nicht entgegen. Es ist kein Grund ersichtlich, warum das Interesse eines im Schuldnerverzeichnis eingetragenen Schuldners, sich nach Befriedigung seiner Gläubiger und nach einer Löschung des Eintrags im Schuldnerverzeichnis am Wirtschaftsleben zu beteiligen, geringeres Gewicht haben sollte, als das Interesse eines Insolvenzschuldners nach Erteilung der Restschuldbefreiung und nach Löschung des entsprechenden Eintrags im Insolvenzregister. Ebenso wie im Falle des Insolvenzregisters müssen deshalb auch beim Schuldnerverzeichnis die vom deutschen Gesetzgeber (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 97) geregelten zeitlichen Beschränkungen für die Datenspeicherung im öffentlichen Register auch für die Speicherung entsprechender Einträge durch die Beklagte maßgeblich sein.

cc) Zwar wird in der obergerichtlichen Rechtsprechung angenommen, bei einer Speicherung und Verarbeitung von Daten durch die Beklagte sei eine dem Schuldnerverzeichnis vergleichbare Situation nicht gegeben (vgl. OLG Frankfurt, Urteil vom 18. Januar 2023 - 7 U 100/22, ZD 2023, 217 Rn. 37 f.; OLG Bremen, Urteil vom 3. Juli 2023 - 1 U 8/22, ZD 2023, 748 Rn. 15; OLG München, Beschlüsse vom 30. Januar 2025 - 37 U 3936/24, Anlage BB 6; vom 20. Februar 2025 - 37 U 4148/24, Anlage BB 7; OLG Koblenz, Beschlüsse vom 5. März 2025 - 5 U 1018/24, Anlage BB 9; vom 10. März 2025 - 5 U 1026/24, Anlage BB 10; OLG Stuttgart, Beschluss vom 4. April 2025 - 9 U 141/24, Anlage zum Schriftsatz vom 7. April 2025). Diese Erwägungen, denen sich das Landgericht angeschlossen hat, überzeugen aber nicht.

Warum der Kreis an potenziell gegenüber der Beklagten Auskunftsberechtigten deutlich geringer sein soll als der Personenkreis, der zu einer Einsicht in das Schuldnerverzeichnis befugt ist, und warum eine Auskunftserteilung durch die Beklagte von höheren Voraussetzungen abhängig sein soll als eine - ebenfalls kostenpflichtige (Nummer 2.3 der Anlage zu § 124 JustG NRW) - Einsicht in das Schuldnerverzeichnis, erschließt sich mit Blick auf § 882f Abs. 1 ZPO nicht (vgl. OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49; OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik).

Vor allem aber kann es darauf nach der Entscheidung des Europäischen Gerichtshofs nicht mehr ankommen. Denn das Insolvenzregister, auf das sich die Entscheidung des Gerichtshofs bezieht, kann - anders als das Schuldnerverzeichnis - sogar von beliebigen Dritten ohne große Schwierigkeiten und ohne Darlegung eines berechtigten Interesses eingesehen werden. Unter anderem deshalb hatte der Senat die Regelung des § 3 InsoBekV in Bezug auf die Speicherung von Daten durch die Beklagte für nicht maßgeblich erachtet (vgl. Senatsurteil vom 27. Januar 2022 - 15 U 153/21, ZD 2022, 233 Rn. 38), woran nach der Entscheidung des Gerichtshofs nicht festgehalten werden kann.

dd) Zur Vermeidung von Wertungswidersprüchen darf die Beklagte Informationen über Zahlungsstörungen, die in das Schuldnerverzeichnis nach § 882b ZPO eingetragen sind oder dort eingetragen werden könnten, auch dann nicht länger speichern als für das Schuldnerverzeichnis vorgesehen, wenn die Beklagte die Informationen nicht durch Einsicht in das Schuldnerverzeichnis, sondern aus anderen Quellen erhalten hat (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Solche aus anderen Quellen stammenden Informationen über Zahlungsstörungen, die auch in das Schuldnerverzeichnis eingetragen werden könnten, muss die Beklagte deshalb nach der gesetzlichen Wertung des § 883e Abs. 3 Nr. 1 ZPO löschen, wenn ihr die vollständige Befriedigung des Gläubigers nachgewiesen wird.

Aus den Gesetzesmaterialien zu dieser Vorschrift ergibt sich, dass ihr die Erwägung zugrunde liegt, dass durch eine vollständige Befriedigung des Gläubigers das Informationsinteresse des Geschäftsverkehrs beseitigt wird (BT-Drucks. 16/10069 S. 40). Diese Wertung des deutschen Gesetzgebers muss ausgehend von der Entscheidung des Europäischen Gerichtshofs auch dann maßgeblich sein, wenn Wirtschaftsauskunfteien wie die Beklagte Informationen über Zahlungsstörungen speichern, die auch in das Schuldnerverzeichnis eingetragen werden könnten (vgl. LG Duisburg, Urteil im Verfahren 4 O 423/23, Anlage zur Berufungsbegründung; LG Berlin II, Urteil vom 24. März 2025 - 61 O 385/24, Anlage zum Schriftsatz des Klägers vom 27. März 2025; für § 882e Abs. 1 ZPO ebenso OLG Stuttgart, Urteil vom 10. August 2022 - 9 U 24/22, ZD 2022, 691 Rn. 49). Denn Wirtschaftsauskunfteien verfolgen mit ihren Datenbanken keine anderen Zwecke als das Schuldnerverzeichnis (vgl. OLG Oldenburg, Beschluss vom 13. März 2024 - 13 W 9/24, Anlage zur Berufungsreplik). Auch dieses soll nach dem Willen des Gesetzgebers und entgegen den Ausführungen der Beklagten nicht nur die Vollstreckung von Forderungen ermöglichen, sondern es hat weitergehend die Funktion eines Auskunftsregisters über die Kreditwürdigkeit einer Person (vgl. BT-Drucks. 16/10069 S. 37). Keinem anderen Zweck dient die Datenbank der Beklagten. Auf die von ihr vorgenommenen statistischen Untersuchungen kann es deshalb nicht ankommen; die Ergebnisse dieser Untersuchungen ändern nichts an der Maßgeblichkeit der gesetzlichen Wertung.

Dass die Eintragung in das Schuldnerverzeichnis nach § 882c ZPO eine Anordnung des Gerichtsvollziehers voraussetzt, während die Datenverarbeitung der Beklagten in der Regel auf einer Meldung des Gläubigers beruht, ist ebenfalls unerheblich. Es ist kein Grund ersichtlich, warum an der Speicherung einer von einem privaten Gläubiger gemeldeten Zahlungsstörung ein größeres Interesse bestehen sollte als an der Speicherung einer vom Gerichtsvollzieher im Rahmen eines Zwangsvollstreckungsverfahrens angeordneten Eintragung. Ferner kann es auch nicht darauf ankommen, dass eine Löschung nach § 882e Abs. 3 Nr. 1 ZPO verfahrensmäßig von einer Anordnung des zentralen Vollstreckungsgerichts abhängt.

ee) Allerdings ist bezüglich der drei Forderungen, die gegen den Kläger gerichtet waren, eine Eintragung in das Schuldnerverzeichnis nicht erfolgt und hätte offenbar auch nicht erfolgen dürfen, weil die Voraussetzungen des § 882c Abs. 1 Satz 1 ZPO nicht vorlagen. Auch dies ändert aber nichts daran, dass die Beklagte die Forderungen löschen musste, nachdem ihr durch entsprechende Meldungen der Gläubiger deren vollständige Befriedigung nachgewiesen worden war. Denn wenn in den in § 882c Abs. 1 Satz 1 ZPO genannten Fällen, in denen (sogar) Vollstreckungsmaßnahmen (Antrag auf Erteilung einer Vermögensauskunft) zunächst nicht zu einer Befriedigung geführt haben, entsprechende Einträge nach der späteren Befriedigung des Gläubigers gelöscht werden müssen, muss dies auch und erst recht gelten, wenn der Schuldner - wie im Streitfall offenbar der Kläger - den Gläubiger einer titulierten beziehungsweise mehrfach angemahnten unstreitigen Forderung ohne den Druck von Vollstreckungsmaßnahmen befriedigt (zutreffend LG München, Urteil vom 19. Juli 2024 - 47 O 16029/23, Anlage zur Berufungsbegründung).

b) Dass nach Ziffer IV. 1 Buchstabe b der vom Hessischen Beauftragten für Datenschutz und Informationsfreiheit genehmigten Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024 auch personenbezogene Daten über ausgeglichene Forderungen für bestimmte Zeiträume gespeichert werden dürfen, ist unerheblich. Denn Verhaltensregeln im Sinne des Art. 40 DSGVO, die zu einer anderen Beurteilung führen würden als derjenigen, die sich nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO ergibt, können bei der Abwägung nach dieser Bestimmung nicht berücksichtigt werden (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22, ZD 2024, 166 Rn. 105). Davon geht die Beklagte auch selbst aus.

2. Entgegen der Auffassung des Landgerichts ist dem Kläger wegen des Verstoßes gegen die Datenschutz-Grundverordnung ein immaterieller Schaden entstanden. Dabei kann es dahinstehen, ob ein Kontrollverlust vorliegt (vgl. OLG Schleswig, Urteil vom 22. November 2024 - 17 U 2/24, juris Rn. 133). Denn jedenfalls hat der Kläger eine Rufschädigung erlitten (vgl. Erwägungsgrund 85 DSGVO). Ob eine Rufschädigung allein daraus folgt, dass die Beklagte die Daten über die Zahlungsstörungen auch nach der Erfüllung der einzelnen Forderungen weiterhin gespeichert hat, kann offenbleiben. Denn jedenfalls hat die Beklagte ausweislich der Einblendung auf Seite 2 der erstinstanzlichen Treplik im Jahr 2023 - also nach der Erfüllung der letzten Forderung - mehreren Banken, einem Energieversorgungsunternehmen und einem Telekommunikationsunternehmen Scorewerte und Erfüllungswahrscheinlichkeiten mitgeteilt, die sie unter Berücksichtigung der Zahlungsstörungen ermittelt hatte. Die fortdauernde Speicherung der Zahlungsstörungen ist somit dafür ursächlich geworden, dass die Beklagte ihren genannten Vertragspartnern gegenüber die Kreditwürdigkeit des Klägers in Zweifel gezogen hat, was sich abträglich auf dessen sozialen Geltungsanspruch ausgewirkt hat (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12; Senatsurteile vom 25. April 2024 - 15 U 204/22; vom 13. Februar 2025 - 15 U 35/24). Dass die genannten Übermittlungen keine weiteren nachteiligen Folgen für den Kläger hatten, steht der Annahme eines immateriellen Schadens in Gestalt einer Rufschädigung nicht entgegen (vgl. OLG Hamburg, Urteil vom 30. August 2023 - 13 U 71/21, juris Rn. 7).

3. Die Haftung der Beklagten ist nicht nach Art. 82 Abs. 3 DSGVO ausgeschlossen. Die Beklagte hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Der Umstand, dass sie sich genehmigten Verhaltensregeln unterworfen hat, schließt ihre Haftung nicht aus (vgl. Bergt in Kühling/Buchner, DS-GVO BDSG, 4. Aufl., Art. 82 DSGVO Rn. 50; Bergt/Pesch, ebd., Art. 40 DSGVO Rn. 43; vgl. auch Art. 42 Abs. 4 DSGVO bei einer Zertifizierung). Denn da die Genehmigung der Verhaltensregeln keine Erlaubniswirkung hat, durfte die Beklagte nicht auf die Richtigkeit der der Genehmigung zugrunde liegenden Rechtsauffassung vertrauen, sondern musste damit rechnen, dass die in den Verhaltensregeln vorgesehenen Speicherfristen im Fall einer gerichtlichen Überprüfung als zu lang angesehen werden. Insbesondere musste sie damit rechnen, dass die für öffentliche Register geltenden Speicherfristen als auch für sie maßgeblich angesehen werden, was in der obergerichtlichen Rechtsprechung bereits lange vor Klageerhebung im November 2023 vertreten worden war (vgl. OLG Schleswig, Urteil vom 2. Juli 2021 - 17 U 15/21, ZD 2021, 584). Die Beklagte kann sich daher nicht mit Erfolg auf einen unvermeidbaren Rechtsirrtum berufen, unabhängig von der Frage, ob ein Rechtsirrtum den Schädiger im Rahmen von Art. 82 Abs. 3 DSGVO überhaupt entlasten kann.

4. Der Höhe nach bemisst der Senat den immateriellen Schaden mit einem Betrag von 500 € (vgl. BGH, Urteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 13).

Nach der neueren Rechtsprechung des Europäischen Gerichtshofs erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen die Datenschutz-Grundverordnung nicht auf die Höhe des Schadensersatzes auswirken kann (vgl. EuGH, Urteile vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 59 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 41; BGH, Urteile vom 18. November 2024 - VI ZR 10/24, NJW 2025, 298 Rn. 25; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 10 f.).

Ausgehend von diesen Grundsätzen erscheint im Streitfall ein Betrag von 500 € erforderlich, aber auch ausreichend, um den vom Kläger erlittenen immateriellen Schaden auszugleichen. Dabei ist zu berücksichtigen, dass die rechtswidrige Datenspeicherung über einen Zeitraum von mehreren Jahren angedauert und - wie unter Ziffer 2 ausgeführt - zu mehreren Übermittlungen von negativen Scorewerten an Vertragspartner der Beklagten geführt hat. Dass diese Übermittlungen weitere negativen Folgen für den Kläger hatten, lässt sich allerdings nicht feststellen. Soweit der Kläger behauptet hat, ihm seien wegen seiner Eintragung bei der Beklagten der Abschluss eines Mobilfunk- und eines Energielieferungsvertrags verwehrt worden, hat das Landgericht diesen Vortrag als nicht erweisen angesehen. Dies greift die Berufung nicht an. Soweit der Kläger sich auf Probleme im Zusammenhang mit einem Umzug und mit einer diesbezüglichen Kreditaufnahme berufen hat, lässt sich nicht feststellen, dass diese Probleme kausal auf einen Verstoß der Beklagten gegen die Datenschutz-Grundverordnung zurückzuführen sind. Denn die Probleme sollen nach dem Vortrag des Klägers bereits im Jahr 2021 und/oder im Oktober 2022 aufgetreten sein. Zu diesem Zeitpunkt war die dritte Forderung noch nicht erledigt und die Beklagte war noch berechtigt, diese Zahlungsstörung zu speichern und bei der Berechnung des Scorewertes zu berücksichtigen. Entsprechendes gilt, soweit der Kläger behauptet hat, er habe eine Stelle nicht erhalten. Der Kläger hat bei seiner persönlichen Anhörung erklärt, dies sei im Frühjahr 2021 oder 2022 gewesen (Seite 1 der Sitzungsniederschrift des Landgerichts vom 31. Mai 2024). Des Weiteren wird die Schwere der Rufschädigung dadurch relativiert, dass die von der Beklagten gespeicherten Zahlungsstörungen tatsächlich aufgetreten waren und die Beklagte der Ermittlung des Scorewertes keinen falschen Sachverhalt zugrunde gelegt hat.

5. Der Zinsanspruch folgt aus den §§ 291, 288 Abs. 1 Satz 2 BGB.

6. Als weiterer materieller Schaden sind die dem Kläger durch das Anwaltsschreiben vom 3. August 2023 entstandenen Kosten ersatzfähig. Ausgehend davon, dass der immaterielle Schaden nur mit 500 € zu bemessen ist, sind die ersatzfähigen Kosten allerdings nicht nach einem Gegenstandswert von 5.500 €, sondern nur nach einem Wert von bis zu 5.000 € zu bemessen. Es errechnet sich ein Betrag von 540,50 € (1,3 Geschäftsgebühren zuzüglich Auslagenpauschale und Umsatzsteuer).
7
7. Die prozessualen Nebenentscheidungen beruhen auf den § 91a Abs. 1 Satz 1, § 92 Abs. 1 Satz 1, § 97 Abs. 1, § 708 Nr. 10, § 711 ZPO. Soweit die Parteien den Rechtsstreit übereinstimmend für erledigt erklärt haben, sind die Kosten der Beklagten aufzuerlegen, weil sie nach den Ausführungen unter Ziffer 1 zum Zeitpunkt der Klageerhebung im November 2023 zur Löschung der fraglichen Einträge verpflichtet war (Art. 17 Abs. 1 Buchstaben a, d DSGVO).

8. Die Entscheidung über die Zulassung der Revision beruht auf § 543 Abs. 2 Satz 1 ZPO. Die Frage, ob die gesetzliche Wertung des § 882e Abs. 3 Nr. 1 ZPO für private Wirtschaftsauskunfteien maßgeblich ist, hat grundsätzliche Bedeutung. Im Übrigen erfordert die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts, weil der Senat mit seiner vorliegenden Entscheidung von der Rechtsprechung mehrerer anderer Oberlandesgerichte abweicht. Nicht geklärt ist im Übrigen auch, ob und unter welchen Voraussetzungen ein Rechtsirrtum einen Haftungsausschluss nach Art. 82 Abs. 3 DSGVO begründen kann. Soweit die Berufung zurückgewiesen wird, liegen die Voraussetzungen für die Zulassung der Revision hingegen nicht vor.

Den Volltext der Entscheidung finden Sie hier:

OLG München
Urteil vom 03.04.2025
6 U 2414/23

Das OLG München hat das Urteil des LG Münchengegen Telefonica / O2 wegen der Weitergabe von Positivdaten an die SCHUFA im Berufungsverfahren aufgehoben.

Aus den Entscheidungsgründen:
2. Jedoch geht aus dem nunmehr in der Berufung noch verfolgten Klagebegehren der Verbotsgegenstand nicht hinreichend bestimmt hervor, § 253 Abs. 2 Nummer 2 ZPO

a) Grundsätzlich darf ein Verbotsantrag nicht derart undeutlich gefasst sein, dass Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und letztlich die Entscheidung darüber, was dem Beklagten verboten ist, dem Vollstreckungsgericht überlassen bleibt (statt vieler BGH GRUR 2003, 958 – Paperboy; BGH GRUR 2005, 604, 605 – Fördermittelberatung; GRUR 2007, 607 Rdnr. 16 – Telefonwerbung für „Individualverträge”).

b) Diesen Anforderungen genügt das vom Kläger in der Berufung verfolgte Verbot nicht.

aa) Zwar ist der im Verbotsantrag verwendete Begriff der Positivdaten hinreichend definiert mit „also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen“.

bb) Der Antrag ist aber im übrigen unbestimmt.

Verbotsziel des Klägers ist vorliegend keine konkrete Verletzungshandlung. Das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 stellt keine konkrete Verletzungshandlung dar. Mit ihm erfüllt die Beklagte lediglich ihre Pflicht gemäß Art. 13, Art. 14 DS-GVO.

Der begehrte Antrag benennt auch nicht das Charakteristische der Verletzungshandlung, insbesondere nicht die tatsächliche Handhabung der Datenweitergabe durch die Beklagte. Zudem ist dem Klägervortrag nicht zu entnehmen, dass er – eventuell hilfsweise – diese tatsächliche Handhabung der Datenweitergabe und insbesondere die tatsächlich von der Beklagten hierfür angewandten Kriterien angreift. Vielmehr hebt der Kläger ausdrücklich hervor, dass er die Unterlassung der Übermittlung von Positivdaten an Auskunfteien begehrt, wenn dies nicht ausnahmsweise datenschutzrechtlich legitimiert ist. Damit verlagert er aber die Entscheidung darüber, was der Beklagten verboten ist, ins Vollstreckungsverfahren.

Letztlich begehrt er damit ein gesetzeswiederholendes Verbot, wie lit. a) seines Unterlassungsantrags mit der Formulierung „auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung)“ zeigt. Denn dies gibt lediglich den Wortlaut des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO wieder. Derartige gesetzeswiederholende Verbote sind grundsätzlich kritisch zu bewerten. Ein Fall, in dem dies ausnahmsweise zulässig wäre (vgl. Köhler/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.40 ff. zu § 12), liegt nicht vor.

Daran ändern auch die in der Berufungsinstanz in den Verbotsantrag eingefügten weiteren Kriterien nichts. So ist unklar, was unter der Datenweitergabe „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. b) des Antrags oder unter „alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen)“ in lit. c des Antrags zu verstehen ist. Der Beklagten wird nicht vor Augen geführt, was ihr verboten werden soll.

II. Die Klage ist hinsichtlich Tenor I. des Ersturteils in der Gestalt, in der der Kläger den Ausspruch verteidigt, zudem unbegründet, so dass es – ungeachtet des bereits in der mündlichen Verhandlung erteilten Hinweises zur Unschlüssigkeit des zunächst gestellten Antrags und der seitens der Beklagten geäußerten Bestimmtheitsbedenken in Bezug auf den zuletzt gestellten Antrag – keines weiteren Hinweises des Senats bedurfte.

1. Es fehlt an der Begehungsgefahr als materielle Voraussetzung für den Unterlassungsanspruch (BGH GRUR 1973, 208, 209 – Neues aus der Medizin; GRUR 1980, 241, 242 – Rechtsschutzbedürfnis; GRUR 1983, 127, 128 – Vertragsstrafeversprechen; GRUR 1992, 318, 319 – Jubiläumsverkauf).

a) Begehungsgefahr liegt vor, wenn entweder die Gefahr eines erstmaligen Wettbewerbsverstoßes drohend bevorsteht (Erstbegehungsgefahr) oder der Anspruchsgegner sich bereits wettbewerbswidrig verhalten hat und Wiederholungsgefahr besteht. Wiederholungsgefahr wird aufgrund einer bereits erfolgten Verletzungshandlung vermutet wird (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.11 f. zu § 8).

Dabei erstreckt sich die durch eine Verletzungshandlung begründete Wiederholungsgefahr grundsätzlich auch auf alle im Kern gleichartigen Verletzungshandlungen (BGH GRUR 1989, 445, 446 – Professorenbezeichnung in der Ärztewerbung II; GRUR 1991, 672, 674 – Anzeigenrubrik I; GRUR 1993, 579, 581 – R3. GmbH; GRUR 1996, 199 – Wegfall der Wiederholungsgefahr I; GRUR 1996, 800, 802 – EDV-Geräte; GRUR 1997, 379, 380 – Wegfall der Wiederholungsgefahr II; GRUR 1999, 509, 511 – Vorratslücken; GRUR 2000, 337, 338 – Preisknaller; GRUR 2000, 907, 909 – Filialleiterfehler; GRUR 2008, 702 Rn. 55 – Internet-Versteigerung III; Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.46 zu § 8). Im Kern gleichartig ist ein Verhalten aber nur, wenn es – ohne identisch zu sein – von der Verletzungshandlung nur unbedeutend abweicht (Bornkamm/Feddersen in: Köhler/Feddersen, UWG, 43. Auflage, Rn. 1.47 zu § 8). Entscheidend ist, dass sich das Charakteristische der Verletzungshandlung wiederfindet.

b) Mit Blick auf diese Grundsätze fehlt es an der Begehungsgefahr für die angegriffene Verhaltensweise. Denn das vom Kläger begehrte Verbot richtet sich gemäß seiner in der Berufungsinstanz aufgenommenen lit. b) und c) gegen die Datenweitergabe soweit dies alleine anhand allgemeiner Kriterien (wie Vertragsart, Laufzeit oder Vertragsvolumen) und ohne Risikoabwägung im Einzelfall erfolgt.

Davon, dass die Beklagte in diesem Sinne keine Risikoabwägung vornimmt, ist nicht auszugehen. Denn tatsächlich gibt die Beklagte Positivdaten nach ihrem Vortrag nur in Bezug auf Dauerschuldverhältnisse mit einer Laufzeit von mindestens 12 Monaten und einer kumulierten Grundgebühr von mehr als 100,- Euro weiter, und nur dann, wenn die betroffene Person selbst Vertragspartner war und ein kreditorisches Risiko bei der der Beklagten besteht. Ein solches Risiko nimmt die Beklagte an bei einer Hardwarefinanzierung oder bei der Nutzung von volumen- oder verbrauchsabhängigen entgeltpflichtigen Mehrwertdiensten, also bei Vorleistung durch die Beklagte. Die Beklagte bietet neben solchen Postpaid-Verträgen, mit denen kreditorische Risiken einhergehen, aber auch Prepaid-Verträge an, bei denen sie keine Vertragsdaten weitergibt. Zudem biete sie Verträge ohne vorfinanzierte Hardware oder ohne sonstige Vorleistung an und gibt diesbezüglich ebenfalls keine Vertragsdaten weiter.

Der diesbezügliche Beklagtenvortrag wurde im Ersturteil als streitig behandelt (LGU, Seite 18/ 19), was hier gemäß § 314 ZPO zugrunde zu legen ist. Er wird vom Kläger aber jedenfalls in der hiesigen Berufungsinstanz nicht mehr in Frage gestellt, so dass § 138 Abs. 3 ZPO greift. Der Kläger hebt nämlich nur hervor, dass diese Kriterien derart niedrigschwellig seien, dass sie von nahezu allen Mobilfunkverträgen erfüllt würden (Berufungserwiderung, Seite 4, Bl. 56 d. Akte des OLG). Einen konkreten Fall, in dem die Beklagte zudem tatsächlich verbotswidrig gehandelt hat, benennt der Kläger ebenfalls nicht.

2. Der in der Berufungsinstanz verfolgte Unterlassungsanspruch ist zudem zu weit gefasst.

Er umfasst auch rechtlich zulässiges Verhalten der Beklagten, insbesondere Verhalten, das unter den Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO fällt. Denn das begehrte Verbot greift auch dann, wenn die Beklagte insbesondere die unter lit. b) des Antrags genannten allgemeinen Kriterien der Datenweitergabe derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind, weil ein berechtigtes Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, nicht verneint werden kann und sich die Verarbeitung im unbedingt erforderlichen Umfang hält.

Spräche man ein solch allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DS-GVO nicht übereinstimmen würde. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DS-GVO eingeräumten Spielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann (so auch OLG Köln GRUR-RS 2023, 34611).

Diesem zu weit gefassten Antrag kann auch nicht im Wege der Auslegung als minus entnommen werden, dass jedenfalls ein konkretes Verhalten verboten werden soll (BGH GRUR 2004, 605, 607 – Dauertiefpreise; GRUR 2008, 702 Rn. 32 – Internetversteigerung III; GRUR 2011, 444 Rn. 13 – Flughafen FrankfurtHahn; GRUR 2011, 82 Rn. 37 – Preiswerbung ohne Umsatzsteuer).

Voraussetzung hierfür wäre nämlich, dass ohne weiteres feststellbar ist, welche konkrete Verletzungsform auf jeden Fall erfasst sein soll. Das ist hier nicht der Fall. Insbesondere stellt weder das in den Antrag einbezogene Datenschutzmerkblatt gemäß Anlage K 3 eine konkrete Verletzungsform dar noch grenzen die übrigen in der Berufung aufgenommenen Einschränkungen gemäß seiner weiteren lit. a) und lit. b) den Antrag derart ein, dass nur unzulässiges Verhalten unter den Antrag fällt. Denn danach soll die Datenübermittlung untersagt werden, soweit sie auf Basis eines berechtigten Interesses (also ohne Einwilligung oder zur Vertragserfüllung) und ohne Risikoabwägung im Einzelfall erfolgt. Damit sind weiterhin auch Fälle erfasst, in denen die Beklagte die genannten allgemeinen Kriterien gemäß lit. c) des Antrags derart ausgestaltet, dass die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO erfüllt sind.

Zudem gilt, dass eine Abspaltung als „minus“ ausscheidet, wenn der Kläger ausdrücklich an seinem Antrag festhält und eine Einschränkung ablehnt. Denn es ist nicht Sache des Gerichts, einen zu weit gefassten Antrag so umzuformulieren, dass er Erfolg hat oder haben könnte (BGH GRUR 1998, 489, 492 – Unbestimmter Unterlassungsantrag III; GRUR 2002, 187, 188 – Lieferstörung). Hier macht der Kläger durch die erfolgte Umstellung nach Hinweis auf die Unschlüssigkeit seines zunächst gestellten Antrags deutlich, dass er sich pauschal dagegen wendet, Daten über den Vertragsabschluss und die Vertragsbeendigung bei Mobilfunkverträgen an die Schufa zu übermitteln. Er begehrt also ein generelles Verbot und hat sich in Bezug auf die Reichweite des Verbots nie auf die tatsächliche Handhabung der Datenübermittlung durch die Beklagte bezogen.

Den Volltext der Entscheidung finden Sie hier:

OLG Hamburg
Urteil vom 10.01.2024
13 U 70/23

Das OLG Hamburg hat entschieden, dass dem Betroffenen 4.000 EURO immaterieller Schadensersatz aus Art. 82 DSGVO wegen zwei unberechtigter Schufameldungen zustehen.

Aus den Entscheidungsgründen:
Der Kläger hat gegen die Beklagte Anspruch auf Ersatz immateriellen Schadens gem. Art. 82 Abs. 1, Abs. 2 S. 1. DSGVO in Höhe von insgesamt 4.000,00.

Die Beklagte hat als „Verantwortlicher" i.S.d. Art. Nr. DSGVO gegen ihre Pflichten aus Art. 5, 6 i.V.m. Art.4 Abs.2 DSGVO verstoßen, indem sie ihre Forderungen gegen den Kläger zweimal an die Schufa gemeldet hat, obwohl die Voraussetzungen hierfür nicht vorlagen. Zur Begründung wird auf die zutreffenden Ausführungen des Landgerichts Bezug genommen, welchen sich das Berufungsgericht vollen Umfangs anschließt.

Hierdurch ist dem Kläger auch ein ersatzfähiger immaterieller Schaden entstanden. Das Landgericht hat sorgfältig und überzeugend begründet, dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens durch die Darstellung als unzuverlässiger Schuldner hinnehmen musste.

Der Kläger hat zudem belegt, dass sich aus der Auskunft der Schufa und der verschlechterten Einschätzung des Bonitätsrisikos konkrete negative Konsequenzen in Bezug auf die Gewährung eines Kredits durch die ING (Anlage K16) sowie die Sperrung seiner Kreditkarte bei der Hanseatic Bank (Anlage 17) ergeben habe.

Bei der Bemessung des danach zuzuerkennenden Schmerzensgeldes sind nach Auffassung des Berufungsgerichts jedoch nicht alle Umstände hinreichend gewichtet worden.

Der EuGH (Urteil vom 4.5.2023, C-300/21, Rz. 51) hat zur Bemessung des geschuldeten Schadenersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person nach Art. 82 DSGVO Anspruch hat, wenn ihr durch einen Verstoß gegen die Verordnung ein Schaden entstanden ist, und dass ... die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes in Ermanglung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedsstaates ist, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Maßgeblich sind hiernach die im deutschen Recht für die Schmerzensgeldbemessung maßgeblichen Kriterien, womit die Höhe des Ersatzanspruchs auf Grund einer Würdigung der Gesamtumstände des Falls unter Berücksichtigung der dem Schmerzensgeld zukommenden Ausgleichs- und Genugtuungsfunktion festzusetzen.

Danach muss zum einen dem Umstand, dass auf Seiten der Beklagten jedenfalls bedingter Vorsatz angenommen werden muss, besondere Bedeutung beigemessen werden. Die Beklagte hat die erste Meldung vorgenommen, obwohl der Kläger die Forderung auf ihren eigenen Hinweis hin, dass eine Meldung an die Schufa (nur dann) erfolgen werde, sofern er die Forderung nicht bestritten habe, mit Schreiben vom 1.12.2019, Anlage 7, ausdrücklich bestritten hat. Auch die zweite Meldung erfolgte trotz weiteren Bestreitens durch den Kläger (Schreiben vom 29.12.2019, Anlage 11), seiner Aufforderung zur Löschung und einer zwischenzeitlich erfolgten Löschung durch die Schufa selbst (Anlage 14). Ein solches Verhalten kann nicht anders gedeutet werden, als dass die Beklagte wissentlich und jedenfalls unter billigender Inkaufnahme des als möglich erkannten pflichtwidrigen Erfolges ihre Pflichten aus der DSGVO verletzt hat. Hinzu kommt, dass die Beklagte sich trotz Aufforderung durch den Kläger und Darlegung der Rechtswidrigkeit der Meldung geweigert hat, den Negativeintrag zu widerrufen.

Unter Berücksichtigung der dargestellten Umstände und im Hinblick auf einen kürzlich vom Senat entschiedenen vergleichbaren Fall, wo es weder zu konkreten Auswirkungen durch die Schufa-Meldung gekommen war noch ein vorsätzliches Vorgehen der Beklagten festgestellt werden konnte (13 71/21) und vom Senat ein Schmerzensgeld in Höhe von 1.000,- je Meldung zuerkannt worden war, wird ein deutlich höherer Betrag in Höhe von 2.000,- je Meldung, mithin insgesamt 4.000,00 als angemessen, aber auch als ausreichend erachtet, so dass die weitergehende Berufung zurückzuweisen ist.

EuGH
Urteil vom 07.12.2023
den verbundenen Rechtssachen
C-26/22 und C-64/22
SCHUFA Holding u. a. (Restschuldbefreiung)

Der EuGH hat entschieden, dass längere Speicherung der Restschuldbefreiung als das öffentliche Insolvenzregister (6 Monate) durch SCHUFA gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
1. Art. 78 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt.

2. Art. 5 Abs. 1 Buchst. a der Verordnung 2016/679 in Verbindung mit Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung ist dahin auszulegen, dass er einer Praxis privater Wirtschaftsauskunfteien entgegensteht, die darin besteht, in ihren eigenen Datenbanken aus einem öffentlichen Register stammende Informationen über die Erteilung einer Restschuldbefreiung zugunsten natürlicher Personen zum Zweck der Lieferung von Auskünften über die Kreditwürdigkeit dieser Personen für einen Zeitraum zu speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht.

3. Art. 17 Abs. 1 Buchst. c der Verordnung 2016/679 ist dahin auszulegen, dass die betroffene Person das Recht hat, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 dieser Verordnung Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen.

4. Art. 17 Abs. 1 Buchst. d der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche verpflichtet ist, personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

[...]

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person stets als negativer Faktor verwendet. Im vorliegenden Fall hat der deutsche Gesetzgeber eine sechsmonatige Speicherung der Daten vorgesehen. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen.

Soweit die Speicherung der Daten nicht rechtmäßig ist, wie dies nach Ablauf der sechs Monate der Fall ist, hat die betroffene Person das Recht auf Löschung dieser Daten, und die Auskunftei ist verpflichtet, sie unverzüglich zu löschen.

Was die parallele Speicherung solcher Informationen durch die SCHUFA während dieser sechs Monate angeht, ist es Sache des vorlegenden Gerichts, die in Rede stehenden Interessen gegeneinander abzuwägen, um die Rechtmäßigkeit dieser Speicherung zu beurteilen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung während der sechs Monate rechtmäßig ist, hat die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung ihrer Daten einzulegen, sowie das Recht auf deren Löschung, es sei denn, die SCHUFA weist das Vorliegen zwingender schutzwürdiger Gründe nach. Schließlich betont der Gerichtshof, dass die nationalen Gerichte jeden rechtsverbindlichen Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung unterziehen können müssen.

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 07.12.2023
C-634/21
SCHUFA Holding (Scoring)

Der EuGH hat entschieden, dass das SCHUFA-Scoring eine "automatisierte Entscheidung im Einzelfall" und damit Profiling im Sinne der DSGVO ist, soweit der Score maßgeblich für Kreditgewährung oder Vertragsschluss ist.

Tenor der Entscheidung:
Art. 22 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.

Aus der Pressemitteilung des EuGH:
Die Datenschutz-Grundverordnung (DSGVO) steht zwei Datenverarbeitungspraktiken von Wirtschaftsauskunfteien entgegen

Während das „Scoring“ nur unter bestimmten Voraussetzungen zulässig ist, steht die längere Speicherung von Informationen über die Erteilung einer Restschuldbefreiung im Widerspruch zur DSGVO.

Mehrere Bürger fochten vor dem Verwaltungsgericht Wiesbaden Bescheide des zuständigen Datenschutzbeauftragten an, mit denen er sich weigerte, gegen bestimmte Tätigkeiten der SCHUFA, einer privaten Wirtschaftsauskunftei, vorzugehen, zu deren Kunden insbesondere Banken zählen. Sie wandten sich konkret gegen das „Scoring“ sowie gegen die Speicherung von aus öffentlichen Registern übernommenen Informationen über die Erteilung einer Restschuldbefreiung.

Das „Scoring“ ist ein mathematisch-statistisches Verfahren, das es ermöglicht, die Wahrscheinlichkeit eines künftigen Verhaltens, wie etwa die Rückzahlung eines Kredits, vorauszusagen. Die Informationen über die Erteilung einer Restschuldbefreiung werden im deutschen öffentlichen Insolvenzregister sechs Monate lang gespeichert, während Verhaltensregeln der deutschen Wirtschaftsauskunfteien für ihre eigenen Datenbanken eine Speicherdauer von drei Jahren vorsehen. Das Verwaltungsgericht ersucht den Gerichtshof, den Umfang des Schutzes der personenbezogenen Daten, wie er von der Datenschutz-Grundverordnung (DSGVO)1 vorgesehen ist, näher zu erläutern.

Der Gerichtshof entscheidet, dass das „Scoring“ als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden ist dies der Fall. Es obliegt diesem Gericht zu beurteilen, ob das deutsche Bundesdatenschutzgesetz im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. Trifft dies zu, wird das Gericht außerdem zu prüfen haben, ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. [...]

Den Volltext der Entscheidung finden Sie hier:

LG München
Urteil vom 25.04.2023
33 O 5976/22

Das LG München hat entschieden, dass die Weitergabe von Positivdaten an die SCHUFA durch den Telekommunikationsanbieter Telefonica / O2 gegen Art. 5 und Art. 6 DSGVO verstößt und somit rechtswidrig ist.

Aus den Entscheidungsgründen:
Die streitgegenständliche Datenübertragung personenbezogener Daten (vgl. Anlage K 3) stellt eine Zuwiderhandlung gegen Art. 5, 6 DSGVO dar. Gem. Art. 6 Abs. 1 DSGVO ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der in Art. 6 DSGVO normierten Bedingungen erfüllt ist. Dies ist vorliegend nicht der Fall. Die Übermittlung der sog. Positivdaten nach Vertragsschluss an Auskunfteien, wie im Streitfall an die SCHUFA (vgl. Anlage K3), erfolgt ohne Rechtsgrundlage.

a. Die Datenverarbeitung ist nicht von Art. 6 Abs. 1 Satz 1 lit. b) DSGVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen kann und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich ist.

Dies ergibt sich bereits daraus, dass auch nach Einstellung der beanstandeten Datenübertragung durch die Beklagte bis zur Klärung der Rechtslage weiterhin entsprechende Verträge geschlossen und abgewickelt werden. Das Vertragsverhältnis steht und fällt auch nicht mit der Übermittlung von Positivdaten an Auskunfteien.

Soweit ein solcher Vertragsschluss unter Weitergabe von Positivdaten schlicht weniger risikobehaftet ist, begründet dies nicht die Erforderlichkeit einer solchen Übermittlung im Rechtssinne.

b. Die Datenverarbeitung ist auch nicht von Art. 6 Abs. 1 Satz 1 lit. f) DSGVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.

aa. Die Kammer legt bei ihrer gem. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO zu treffenden Abwägung zugrunde, dass verschiedene Interessen grundsätzlich auch für die Übermittlung von sog. Positivdaten sprechen.

Allen voran ist insoweit die auch aus Sicht der Beklagten als Verantwortliche im Sinne des Art. 6 Abs. 1 Satz 1 lit. f) DSGVO hervorgehobene Betrugsprävention und die damit verbundene Schadensvermeidung im zweistelligen Millionenbereich zu nennen, welche u. a. durch eine Identitätsprüfung auf der Basis der Positivdaten bzw. die Verhinderung eines Identitätsdiebstahls durch den Abgleich mit Positivdaten erreicht werden soll.

Es kann auch unterstellt werden, dass die Meldung entsprechender Daten bzw. deren Austausch über die Auskunftei der Reduzierung des Kredit- und des Ausfallrisikos der Beklagten und einer frühzeitigen Kundenbindung sowie einer höheren Abschlussquote (wegen gesteigerter Annahmequoten) dient.

Auch kann ein gesamtwirtschaftliches general- und spezialpräventives Interesse an der Betrugsbekämpfung und -prävention, ein Interesse an einer besseren finanziellen Inklusion von finanziell schwächeren Verbrauchern und auch an verbesserten Chancen zum Vertragsabschluss unterstellt werden.

Gleiches gilt für das wirtschaftliche Interesse von Dritten, hier der Auskunftei, deren Geschäftsmodell auf der Einmeldung von Daten im Gegenseitigkeitsprinzip basiert, an der Funktionsfähigkeit von Auskunfteien und der Genauigkeit von Scores.

Auch die von der Beklagten für die Betroffenen angeführten Interessen, etwa günstigere Vertragskonditionen durch eine Verbesserung des Scorewerts der Betroffenen, der Möglichkeit der besseren Gewichtung von Negativeinträgen, einem Schutz vor Überschuldung und einer (erweiterten) Möglichkeit zum Abschluss von Erstverträgen, können für die vorzunehmende Abwägung als gegeben unterstellt werden.

bb. Inwieweit die Meldung von Positivdaten als Mittel zur Wahrung der genannten Interessen tatsächlich geeignet ist, kann im Streitfall dahinstehen, denn zur Wahrung dieser Interessen wählt die Beklagte mit der Übermittlung der Positivdaten jedenfalls nicht das erforderliche und verhältnismäßige Mittel aus, sondern die aus ihrer Sicht effektivste Methode. Dies ist unzulässig.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 27.03.2023
VI ZR 225/21

Der BGH hat das Verfahren hinsichtlich der Frist zur Löschung der Restschuldbefreiung aus der Schufa-Datenbank ausgesetzt, bis der EuGH in einem anderen Verfahren die streitrelaventen Vorgaben der DSGVO geklärt hat.

Die Pressemitteilung des BGH:
Aussetzung des Verfahrens in Sachen VI ZR 225/21 (Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa)

Der unter anderem für Ansprüche nach der EU-Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zuständige VI. Zivilsenat des Bundesgerichtshofes hat darüber zu entscheiden, ob ein Schuldner, dem vom Insolvenzgericht Restschuldbefreiung erteilt worden ist, von der Schufa die Löschung dieser Information in ihrer Datenbank grundsätzlich oder jedenfalls dann verlangen kann, wenn die Frist für die Speicherung dieser Information im öffentlichen bundesweiten Insolvenzportal abgelaufen ist (vgl. im Einzelnen Pressemitteilung Nr. 26/2023 vom 9.2.2023).

Mit Beschluss vom heutigen Tag hat der VI. Zivilsenat das Verfahren bis zu der Entscheidung des Gerichtshofs der Europäischen Union in den dort anhängigen (verbundenen) Verfahren C-26/22 und C-64/22 ausgesetzt.

Vorinstanzen:

LG Kiel - 2 O 10/21 – Urteil vom 12. Februar 2021

OLG Schleswig - 17 U 15/21 – Urteil vom 2. Juli 2021

EuGH-Generalanwalt
Schlussanträge vom 16.03.2023
C-634/21 SCHUFA Holding u. a. (Scoring)
und den verbundenen Rechtssachen
C-26/22 und C-64/22 SCHUFA Holding u. a. (Restschuldbefreiung)

Der EuGH-Generalanwalt kommt in seinen Schlussanträgen zu dem Ergebnis, dass das SCHUFA-Scoring Profiling im Sinne der DSGVO ist. Zudem äußert sich der EuGH-Generalanwalt zur Speicherung der Restschuldbefreiung über 6 Monate hinaus durch Wirtschaftsauskunfteien.

Die Pressemitteilung des EuGH:
Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO

Rechtsverbindliche Beschlüsse einer datenschutzrechtlichen Aufsichtsbehörde müssten gerichtlich umfassend überprüfbar sein

Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege.

Soweit der betroffene Bürger geltend macht, dass die Ablehnung seines Ersuchens durch die SCHUFA gegen Datenschutzrecht verstoße, wird der Gerichtshof vom Verwaltungsgericht Wiesbaden ersucht, über die Beschränkungen zu entscheiden, die die Datenschutz-Grundverordnung (DSGVO) der wirtschaftlichen Tätigkeit von Auskunfteien im Finanzsektor, insbesondere bei der Datenverwaltung, auferlegt, sowie über die Bedeutung, die dem Geschäftsgeheimnis zuzuerkennen ist. Der Gerichtshof wird auch den Umfang der Regelungsbefugnisse zu präzisieren haben, die dem nationalen Gesetzgeber durch einige Bestimmungen der DSGVO abweichend von dem mit diesem Rechtsakt verfolgten allgemeinen Harmonisierungszweck übertragen werden.

In seinen Schlussanträgen führt Generalanwalt Priit Pikamäe zunächst aus, dass die DSGVO ein „Recht“ der betroffenen Person verankere, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.

Der Generalanwalt stellt sodann fest, dass die Voraussetzungen, denen dieses Recht unterliege, erfüllt seien, da:

1. das fragliche Verfahren ein „Profiling“ darstelle,
2. die Entscheidung rechtliche Wirkungen gegenüber der betroffenen Person entfalte oder sie in ähnlicher Weise erheblich beeinträchtige und
3. davon auszugehen sei, dass die Entscheidung ausschließlich auf einer automatisierten Verarbeitung beruhe.

Die Bestimmung der DSGVO, in der dieses Recht vorgesehen sei, sei somit unter Umständen wie denen des Ausgangsverfahrens anwendbar.

Der Generalanwalt unterstreicht, dass die betroffene Person nach einer anderen Bestimmung der DSGVO das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Generalanwalt ist der Ansicht, dass die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen sei, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasst, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von „Entscheidungen“ im Sinne der Bestimmung der DSGVO, in der das Recht verankert sei, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, nützlich seien.

Der Generalanwalt kommt zu dem Schluss, dass diese Bestimmung dahin auszulegen sei, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung darstelle, die der betroffenen Person gegenüber rechtliche Wirkung entfalte oder sie in ähnlicher Weise erheblich beeinträchtige, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt werde und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde lege.

Das Verwaltungsgericht Wiesbaden hat zwei weitere Vorabentscheidungsersuchen zur DSGVO vorgelegt (Rechtssachen C-26/22 und C-64/22). Diese Ersuchen ergehen im Rahmen von zwei Rechtsstreitigkeiten zwischen zwei Bürgern und dem Land Hessen, vertreten durch den HBDI, über Anträge dieser Bürger beim HBDI auf Löschung einer Eintragung betreffend eine Restschuldbefreiung bei der SCHUFA. Im Rahmen der diese Bürger betreffenden Insolvenzverfahren wurde ihnen mit gerichtlichen Beschlüssen eine vorzeitige Restschuldbefreiung erteilt. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die SCHUFA speichert solche veröffentlichten Informationen über vorzeitige Restschuldbefreiungen in ihrem Datenbestand, löscht sie aber erst drei Jahre nach der Eintragung. Die vom nationalen Gericht gestellten Fragen betreffen unter anderem die Rechtsnatur der Entscheidung der mit einer Beschwerde befassten Aufsichtsbehörde sowie den Umfang der gerichtlichen Kontrolle, die das Gericht im Rahmen eines Rechtsbehelfs gegen eine solche Entscheidung ausüben kann. Die Rechtssachen betreffen auch die Frage der Rechtmäßigkeit der Speicherung personenbezogener Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien.

In seinen Schlussanträgen weist Generalanwalt Pikamäe als Erstes darauf hin, dass sich die Rechtmäßigkeit der Verarbeitung aus einer Abwägung der verschiedenen betroffenen Interessen ergeben müsse, wobei die berechtigten Interessen des Verantwortlichen oder eines Dritten überwiegen müssten. Die Aufsichtsbehörde, die nach der DSGVO jede etwaige Beschwerde der betroffenen Person wegen Verletzung ihrer Grundrechte zu behandeln habe, habe zu prüfen, ob die Voraussetzungen für die Verarbeitung erfüllt seien. Sollte diese Person schließlich gemäß der DSGVO einen Rechtsbehelf gegen einen Beschluss der Aufsichtsbehörde einlegen, obliege es den nationalen Gerichten, eine wirksame gerichtliche Kontrolle sicherzustellen. Nach Ansicht des Generalanwalts unterliegt ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer umfassenden gerichtlichen Kontrolle in der Sache, wodurch die Wirksamkeit des Rechtsbehelfs gewährleistet werde.

Als Zweites führt der Generalanwalt aus, dass die Verarbeitung personenbezogener Daten nach der DSGVO unter drei kumulativen Voraussetzungen zulässig sei:

- erstens müsse von dem für die Verarbeitung Verantwortlichen oder von dem oder den Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse wahrgenommen werden,
- zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und
- drittens dürften die Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.

Herr Pikamäe merkt an, dass die erheblichen negativen Folgen, die die Speicherung der Daten für die betroffene Person nach Ablauf des fraglichen Zeitraums von sechs Monaten haben werde, gegenüber dem geschäftlichen Interesse des privaten Unternehmens und seiner Kunden an der Speicherung der Daten nach diesem Zeitraum zu überwiegen scheinen. In diesem Kontext sei hervorzuheben, dass die gewährte Restschuldbefreiung dem Begünstigten ermöglichen solle, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien.

Der Generalanwalt kommt zu dem Schluss, dass die Speicherung der Daten durch eine private Wirtschaftsauskunftei nicht auf der Grundlage der Bestimmung der DSGVO, in der die oben genannten Voraussetzungen aufgeführt sind, rechtmäßig sein könne, wenn die personenbezogenen Daten über eine Insolvenz aus den öffentlichen Registern gelöscht worden seien. Was den Zeitraum von sechs Monaten betrifft, in dem die personenbezogenen Daten auch in öffentlichen Registern verfügbar seien, sei es Sache des vorlegenden Gerichts, die angeführten Interessen und Auswirkungen auf die betroffene Person gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung dieser Daten durch private Wirtschaftsauskunfteien auf dieser Grundlage rechtmäßig sei.

Als Drittes unterstreicht der Generalanwalt, dass die DSGVO vorsehe, dass die betroffene Person das Recht habe, zu verlangen, dass sie betreffende personenbezogene Daten gelöscht werden, wenn sie Widerspruch gegen die Verarbeitung einlege und wenn diese Daten unrechtmäßig verarbeitet worden seien. Nach Ansicht des Generalanwalts hat die betroffene Person in einem solchen Fall daher das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.

Den Volltext der Schlussanträge finden Sie hier:
C634/21
C26/22 und C64/22

OLG Schleswig-Holstein
Urteil vom 03.06.2022
17 U 5/22

Das OLG Schleswig-Holstein hat abermals entschieden, dass ein Verstoß gegen die Vorgaben der DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet als sie im Insolvenzbekanntmachungsportal veröffentlicht werden. Die Revision zum BGH wurde zugelassen.

Die Pressemitteilung des Gerichts:

Der 17. Zivilsenat hält daran fest, dass dem Insolvenzschuldner regelmäßig ein Löschungsanspruch gegen die Schufa Holding AG zusteht, wenn diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Auch bei der Berechnung eines Score-Wertes darf die Schufa die Daten zum Insolvenzverfahren danach nicht mehr berücksichtigen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und am 25. März 2020 wurde das Verfahren durch Beschluss des Amtsgerichts aufgehoben. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa pflegte diese Daten von dort in ihren Datenbestand ein, um diese ihren Vertragspartnern bei laufenden Vertragsbeziehungen und Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte Ende 2020 die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne u.a. nur noch gegen Vorkasse bestellen und keine neue Wohnung anmieten.

Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Schufa und ihre Vertragspartner von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Unterlassung der Verarbeitung der Informationen zu seinem Insolvenzverfahren sechs Monate nach Aufhebung des Insolvenzverfahrens verlangen. Nach Ablauf dieser Frist überwiegen die Interessen und Grundrechte des Klägers gegenüber den berechtigten Interessen der Schufa und ihrer Vertragspartner an einer Verarbeitung, so dass sich die Verarbeitung nicht mehr als rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung darstellt.

Es ist eine konkrete Abwägung zwischen den Interessen der Schufa und ihrer Vertragspartner an der Verarbeitung der Daten und den durch die Verarbeitung berührten Grundrechten und Interessen des Klägers anzustellen. Der Kläger hat ein Interesse daran, möglichst ungehindert am wirtschaftlichen Leben teilnehmen zu können, nachdem die Informationen über sein Insolvenzverfahren aus dem Insolvenzbekanntmachungsportal gelöscht worden sind. Dieses Interesse geht dem eigenen wirtschaftlichen Interesse der Schufa als Anbieterin von bonitätsrelevanten Informationen vor. Auch gegenüber typisierend zu betrachtenden Interessen der Vertragspartner sind die Interessen des Klägers vorrangig, da keine besonderen Umstände in der Person des Klägers oder seines Insolvenzverfahrens erkennbar sind, die eine Vorratsdatenspeicherung bei der Schufa über den Zeitraum der Veröffentlichung im Insolvenzbekanntmachungsportal hinaus rechtfertigen könnten.

Die Schufa kann sich nicht auf die in den Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien genannte Speicherfrist von drei Jahren berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers. Sie vermögen auch keine Abwägung der Interessen vorzuzeichnen oder zu ersetzen. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 3. Juni 2022, Az. 17 U 5/22, Revision ist zugelassen)

Das Bundeskartellamt hat eine Sektoruntersuchung zum Scoring beim Online-Shopping eingeleitet.

Die Pressemitteilung des Bundeskartellamtes:
Bundeskartellamt leitet Sektoruntersuchung zum Scoring beim Online-Shopping ein

Das Bundeskartellamt hat eine verbraucherrechtliche Sektoruntersuchung zum „Scoring“ beim Online-Shopping eingeleitet. Hierbei geht es um die Vorgehensweisen von Händlern zur Überprüfung der Bonität, d. h. der Zahlungsfähigkeit von Verbraucherinnen und Verbrauchern beim Online-Shopping.

Andreas Mundt, Präsident des Bundeskartellamtes: „Vielen Verbraucherinnen und Verbrauchern ist nicht bewusst, dass ihre Bonität beim Online-Shopping unter Zuhilfenahme sogenannter Score-Werte geprüft wird, vor allem beim beliebten „Kauf auf Rechnung“. In unserer Sektoruntersuchung werden wir untersuchen, ob und in welcher Form die Online-Händler hierüber informieren, wie die Prüfungen ablaufen und welche Kriterien der Bonitätsprüfung eigentlich zugrunde liegen. Dabei beziehen wir Unternehmen ein, die für das Scoring relevant sein könnten, z.B. auch Wirtschaftsauskunfteien, die mit der Erstellung von Score-Werten einen wesentlichen Faktor für die Bonitätsprüfungen an die Online-Händler zuliefern.“

Bonitätsprüfungen dienen der Risikominimierung und sollen Vertragspartnern Aufschluss darüber geben, ob eine Person ihren Zahlungsverpflichtungen nachkommen kann. Grundlage für Bonitätsprüfungen bilden dabei häufig individuelle Score-Werte, die von Wirtschaftsauskunfteien unter Berücksichtigung personenbezogener Daten ermittelt werden und ausdrücken, mit welcher Wahrscheinlichkeit eine Käuferin oder ein Käufer die Rechnung bezahlen wird. Die Durchführung von Bonitätsprüfungen ist an enge datenschutzrechtliche Voraussetzungen, wie z. B. eine freiwillige Einwilligung der betroffenen Person, in die Datenverarbeitung geknüpft.

Die Praxis bei der Bestellung von Waren über den Online-Handel ist diesbezüglich uneinheitlich und in vielen Fällen für Verbraucherinnen und Verbraucher nicht ohne Weiteres nachvollziehbar. Transparenz- und Einwilligungsdefizite könnten Verbrau-cherrechtsverstöße auslösen.

Nach Vorgesprächen mit Expertinnen und Experten und Interessenvertretungen wird das Bundeskartellamt zeitnah schriftliche Befragungen von rund 50 ausgewähl-ten Online-Händlern und großen Wirtschaftsauskunfteien durchführen. Die Ergebnisse der Sektoruntersuchung werden nach Abschluss der Ermittlungen in einem Bericht veröffentlicht.

Die vorliegende Sektoruntersuchung Scoring beim Online-Shopping ist die sechste verbraucherrechtliche Sektoruntersuchung des Bundeskartellamts. Das Bundeskartellamt kann verbraucherrechtliche Verstöße feststellen, verfügt aber nicht über Befugnisse, etwaige Verstöße zu ahnden.

VG Wiesbaden
Beschluss vom 01.10.2021
6 K 788/20.WI

Das VG Wiesbaden hat dem EuGH zur Vereinbarkeit des SCHUFA-Scorings mit der DSGVO und § 31 BDSG zu Entscheidung vorgelegt.

Die Pressemitteilung des Gerichts:
Vorlage zum Europäischen Gerichtshof bezüglich des von der SCHUFA Holding AG erstellten „Score-Wertes“

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren der Klägerin, ihrer Auffassung nach falsche Eintragungen bei der SCHUFA zu löschen und ihr Auskunft über die dort gespeicherten Daten zu erteilen.

Die SCHUFA, eine private Wirtschaftsauskunftei, versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sog. Score-Werte. Für die Ermittlung dieses Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale als auch das mathematisch-statistische Verfahren werden von der SCHUFA nicht offengelegt. Diese beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen. Die Klägerin wandte sich in Bezug auf die von ihr begehrte Auskunft und Löschung an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde. Dieser lehnte das Begehren der Klägerin jedoch ab, da die SCHUFA bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im hiesigen Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.10.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) zwei Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte über betroffene Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 Datenschutzgrundverordnung (DS-GVO) unterfällt. Falls ja, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig sei. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DS-GVO bestünden aber durchgreifende Bedenken. Die SCHUFA würde dann rechtsgrundlos handeln, und die Klägerin habe zugleich einen Anspruch gegen den Datenschutzbeauftragten auf aufsichtsbehördliche (Weiter-)Befassung mit ihrem Fall.

Die Erstellung von Score-Werten sei nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling (siehe Art. 4 DS-GVO), sondern gerade eine selbstständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DS-GVO. Es bestünden gewichtige Anhaltspunkte dafür, dass die durch Wirtschaftsauskunfteien vorgenommene automatisierte Erstellung eines Score-Wertes eine eigenständige, auf einer automatisierten Verarbeitung beruhende Entscheidung sei. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, weil zu diesem Stadium des Entscheidungsprozesses eine menschlich gesteuerte Einzelfallentscheidung grundsätzlich noch möglich sei. Diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Der aufgrund automatisierter Verarbeitung erstellte Score-Wert sei eigentlich das entscheidende Kriterium über das Ob und Wie der Vertragseingehung des dritten Verantwortlichen mit der betroffenen Person. Der dritte Verantwortliche müsse seine Entscheidung zwar nicht allein vom Score-Wert abhängig machen, tue es in aller Regel jedoch maßgeblich. Eine Kreditvergabe möge zwar trotz eines grundsätzlich ausreichenden Score-Werts (aus anderen Gründen, wie etwa des Fehlens von Sicherheiten oder Zweifeln am Erfolg einer zu finanzierenden Investition) versagt werden. Ein nicht ausreichender Score-Wert hingegen werde jedenfalls im Bereich der Verbraucherdarlehen in fast jedem Fall und auch dann zur Versagung eines Kredits führen, wenn etwa eine Investition im Übrigen als lohnend erscheine. Score-Werten komme bei der Kreditvergabe und der Gestaltung ihrer Bedingungen die entscheidende Rolle zu. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DS-GVO die betroffene Person aber gerade schützen.

Zudem legte die 6. Kammer eine Frage vor, die dann zu beantworten sei, wenn die 1. Vorlagefrage verneint werde. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DS-GVO falle, so sei die allgemeine Vorschrift des Art. 6 DS-GVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DS-GVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DS-GVO zu messen. Es sei also durch den EuGH zu klären, ob die DS-GVO der Regelung des § 31 BDSG entgegenstehe.
Der Vorlagebeschluss (Az.: 6 K 788/20.WI) ist unanfechtbar.

Anhang
Artikel 4 DS-GVO - Begriffsbestimmungen
(Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[…]

4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

Art. 6 DS-GVO – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Art. 22 DS-GVO – Automatisierte Entscheidung im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) Absatz 1 gilt nicht, wenn die Entscheidung

a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

§ 31 BDSG (Bundesdatenschutzgesetz) – Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn

die Vorschriften des Datenschutzrechts eingehalten wurden,
die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,

die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
die der Schuldner ausdrücklich anerkannt hat,
bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist. Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.

VG Wiesbaden
Beschluss vom 31.08.2021
6 K 226/21.WI

Das VG Wiesbdaden hat dem EuGH zur Entscheidung vorgelegt, ob die Speicherung der Restschuldbefreiung durch die Schufa länger als 6 Monate gegen die DSGVO verstößt.

Die Pressemitteilung des VG Wiesbaden:

Vorlage zum Europäischen Gerichtshof bezüglich der Eintragung einer Restschuldbefreiung bei der SCHUFA Holding AG

Gegenstand des Verfahrens vor dem VG Wiesbaden ist das Begehren des Klägers, die Eintragung einer Restschuldbefreiung aus dem Verzeichnis der SCHUFA Holding AG, einer privaten Wirtschaftsauskunftei, zu löschen. Die Information hinsichtlich der Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach 6 Monaten gelöscht wird. Bei der SCHUFA erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. In Bezug auf die Löschung wandte sich der Kläger mit einer Beschwerde an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit als Aufsichtsbehörde, der auf die Löschung der Eintragung bei der SCHUFA Holding AG hinwirken solle. Dieser lehnte das Begehren des Klägers jedoch ab.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 31.08.2021 entschieden, dem Gerichtshof der Europäischen Union (EuGH) mehrere Fragen zur Klärung vorzulegen.

Zum einen sei zu klären, ob es genüge, wenn sich der Datenschutzbeauftragte wie im Falle einer Petition mit der Beschwerde der betroffenen Person überhaupt befasse und sie innerhalb eines bestimmten Zeitraums über den Stand und das Ergebnis der Beschwerde unterrichte. Es bestünden Zweifel, ob diese Auffassung mit der Datenschutzgrundverordnung (DS-GVO) vereinbar sei, da hierdurch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Aufsichtsbehörde eingeschränkt werde. Es bedürfe einer Klärung, ob die Entscheidung der Aufsichtsbehörde der vollen inhaltlichen Kontrolle der Gerichte unterliege.

Zudem legte die 6. Kammer die Frage vor, ob die Eintragungen aus den öffentlichen Verzeichnissen, beispielsweise aus den Veröffentlichungen der Insolvenzgerichte, eins zu eins in privat geführte Verzeichnisse übertragen werden könnten, ohne dass ein konkreter Anlass zur Datenspeicherung bei der privaten Wirtschaftsauskunftei bestehe. Zweck der Speicherung sei vielmehr, die Daten im Fall einer eventuellen Auskunftsanfrage durch ein Wirtschaftsunternehmen, z.B. eine Bank, verwenden zu können. Ob eine solche Auskunft jemals nachgefragt werde, sei dabei vollkommen offen.

Dies führe letztendlich zu einer Vorratsdatenspeicherung, vor allem dann, wenn in dem nationalen Register die Daten schon wegen Ablaufs der Speicherfrist gelöscht worden seien. Die streitgegenständliche Restschuldenbefreiung sei in dem öffentlichen Register der Insolvenzbekanntmachungen nach 6 Monaten zu löschen, während sie bei den privaten Wirtschaftsauskunfteien jedoch viel länger, ggf. noch weitere 3 Jahre gespeichert und bei Auskünften verarbeitet werden könne.

Es bestünden bereits Zweifel daran, ob eine „Parallelhaltung“ dieser Daten neben den staatlichen Registern bei einer Vielzahl privater Firmen überhaupt zulässig sei. Dabei sei zu beachten, dass die SCHUFA Holding AG nur eine von mehreren Auskunfteien sei und damit die Daten vielfach in Deutschland auf diesem Wege vorgehalten würden. Eine solche „Datenhaltung“ sei gesetzlich nicht geregelt und könne massiv in die wirtschaftliche Betätigung eines Betroffenen eingreifen.

Sollte diese Speicherung jedoch zulässig sein, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Dies mit der Folge, dass Daten, die im öffentlichen Register zu löschen seien, auch bei allen privaten Wirtschaftsauskunfteien, die diese Daten zusätzlich gespeichert hätten, zeitgleich gelöscht werden müssten.

Der Vorlagebeschluss (Az.: 6 K 226/21.WI) ist unanfechtbar.

Anhang:
Artikel 6 DS-GVO
Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Artikel 77 DS-GVO
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

§ 9 InsO (Insolvenzordnung)
Öffentliche Bekanntmachung
(1) Die öffentliche Bekanntmachung erfolgt durch eine zentrale und länderübergreifende Veröffentlichung im Internet; diese kann auszugsweise geschehen. Dabei ist der Schuldner genau zu bezeichnen, insbesondere sind seine Anschrift und sein Geschäftszweig anzugeben. Die Bekanntmachung gilt als bewirkt, sobald nach dem Tag der Veröffentlichung zwei weitere Tage verstrichen sind.

(2) Das Insolvenzgericht kann weitere Veröffentlichungen veranlassen, soweit dies landesrechtlich bestimmt ist. Das Bundesministerium der Justiz und für Verbraucherschutz wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates die Einzelheiten der zentralen und länderübergreifenden Veröffentlichung im Internet zu regeln. Dabei sind insbesondere Löschungsfristen vorzusehen sowie Vorschriften, die sicherstellen, dass die Veröffentlichungen

1.unversehrt, vollständig und aktuell bleiben,

2.jederzeit ihrem Ursprung nach zugeordnet werden können.

(3) Die öffentliche Bekanntmachung genügt zum Nachweis der Zustellung an alle Beteiligten, auch wenn dieses Gesetz neben ihr eine besondere Zustellung vorschreibt.

§ 3 Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet vom 12. Februar 2002
Löschungsfristen
(1) Die in einem elektronischen Informations- und Kommunikationssystem erfolgte Veröffentlichung von Daten aus einem Insolvenzverfahren einschließlich des Eröffnungsverfahrens wird spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens gelöscht. Wird das Verfahren nicht eröffnet, beginnt die Frist mit der Aufhebung der veröffentlichten Sicherungsmaßnahmen.

(2) Für die Veröffentlichungen im Restschuldbefreiungsverfahren einschließlich des Beschlusses nach § 289 der Insolvenzordnung gilt Absatz 1 Satz 1 mit der Maßgabe, dass die Frist mit Rechtskraft der Entscheidung über die Restschuldbefreiung zu laufen beginnt.

(3) Sonstige Veröffentlichungen nach der Insolvenzordnung werden einen Monat nach dem ersten Tag der Veröffentlichung gelöscht

OLG Schleswig-Holstein
Urteil vom 02.07.2021
17 U 15/21

Das OLG Schleswig-Holstein hat entschieden, dass ein Verstoß gegen die DSGVO vorliegt, wenn die Schufa Daten eines Insolvenzschuldners länger verwertet, als sie im Insolvenzbekanntmachungsportal nach der InsoBekVO veröffentlicht werden dürfen

Die Pressemitteilung des Gerichts:

Die Schufa darf Daten eines Insolvenzschuldners nicht länger verwerten als sie im "Insolvenzbekanntmachungsportal" veröffentlicht sein dürfen

Ein Insolvenzschuldner hat einen Löschungsanspruch gegen die Schufa Holding AG, wenn sie diese Daten aus dem Insolvenzbekanntmachungsportal ohne gesetzliche Grundlage länger speichert und verarbeitet als in der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) vorgesehen. Das hat der 17. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts am vergangenen Freitag entschieden.

Zum Sachverhalt: Über das Vermögen des Klägers wurde das Insolvenzverfahren eröffnet und schließlich wurde ihm am 11. September 2019 durch das Amtsgericht die Restschuldbefreiung erteilt. Diese Information wurde im amtlichen Internetportal veröffentlicht. Die Schufa kopierte die Daten von dort und pflegte sie in ihren Datenbestand ein, um Vertragspartnern diese Daten bei Auskunftsanfragen zum Kläger mitzuteilen. Der Kläger begehrte die Löschung der Daten von der Schufa, da die Verarbeitung zu erheblichen wirtschaftlichen und finanziellen Nachteilen bei ihm führe. Eine uneingeschränkte Teilhabe am Wirtschaftsleben sei ihm nicht möglich. Er könne aufgrund des Eintrags kein Darlehen aufnehmen, keinen Mietkauf tätigen und keine Wohnung anmieten. Derzeit könne er nicht einmal ein Bankkonto eröffnen. Die Schufa wies die Ansprüche des Klägers zurück und verwies darauf, dass sie die Daten entsprechend der Verhaltensregeln des Verbandes "Die Wirtschaftsauskunfteien e.V." erst drei Jahre nach Speicherung lösche. Die Daten seien bonitätsrelevante Informationen und daher für die Vertragspartner der Schufa von berechtigtem Interesse. Das Landgericht Kiel hat die Klage abgewiesen. Die hiergegen gerichtete Berufung des Klägers vor dem 17. Zivilsenat des Oberlandesgerichts hatte Erfolg.

Aus den Gründen: Der Kläger kann von der Schufa die Löschung der Daten sechs Monate nach Rechtskraft der Entscheidung des Amtsgerichts über die Restschuldbefreiung verlangen. Nach Ablauf dieser Frist steht die weitere Verarbeitung durch die Schufa im Widerspruch zu § 3 Abs. 2 InsoBekVO und ist daher nicht mehr rechtmäßig im Sinne von Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung. Werden die Daten des Klägers unrechtmäßig verarbeitet, kann er die Löschung dieser Information nach Art. 17 Abs. 1 lit. d) Datenschutz-Grundverordnung von der Schufa verlangen und hat einen Anspruch auf künftige Unterlassung dieser Datenverarbeitung.

Die Schufa kann sich nicht darauf berufen, dass die Datenverarbeitung rechtmäßig sei, da sie ihren oder den berechtigten Interessen von Dritten diene. Ein Interesse kann nur dann berechtigt sein, wenn es nicht im Widerspruch zur Rechtsordnung oder den Grundsätzen von Treu und Glauben steht. Die Verarbeitung durch die Schufa steht aber nach Ablauf der gesetzlichen Löschungsfrist im Widerspruch zur gesetzlichen Wertung von § 3 Abs. 2 InsoBekVO, wonach die Information zur Entscheidung über die Restschuldbefreiung nur sechs Monate im Internetportal zu veröffentlichen ist. Die Verarbeitung und Weitergabe dieser Information an eine breite Öffentlichkeit durch die Beklagte kommt einer Veröffentlichung im Internet gleich und ist daher nach Ablauf der gesetzlichen Löschungsfrist zu unterlassen.

Die Schufa kann sich nicht auf die Verhaltensregeln des Verbandes der Wirtschaftsauskunfteien berufen. Diese Verhaltensregeln entfalten keine Rechtswirkung zulasten des Klägers und stehen im Widerspruch zur gesetzlichen Wertung.

(Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 2. Juli 2021, Az. 17 U 15/21, Revision ist zugelassen)