Unerlaubte Datenweitergabe an die Schufa

Die Übermittlung der Daten erfolgte unrechtmäßig, da sie ohne Rechtsgrundlage erfolgte.

Eine Übermittlung kann nicht über den bestehenden Vertrag gem. Art. 6 Abs. 1 lit. b) DS-GVO gerechtfertigt werden, weil die Übermittlung der Daten an die SCHUFA Holding AG für die Erfüllung des Vertrages nicht erforderlich gewesen ist.

Zudem kann die Rechtmäßigkeit der Verarbeitung nicht auf ein berechtigtes Interesse gestützt werden. Gemäß Art. 6 Abs. 1 lit. f) DSGVO ist eine Verarbeitung dann rechtmäßig, wenn diese zur Wahrnehmung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Ein entsprechendes Interesse ist dem vorliegenden Sachverhalt nicht zu entnehmen. Die Übermittlung personenbezogener Daten an die SCHUFA kann nur dann möglicherweise im berechtigten Interesse des Datenverarbeiters liegen, wenn die rechtsgeschäftlichen Pflichten durch die Vertragspartei nicht eingehalten wurden. Wie allgemein bekannt, erstellt die SCHUFA aus solchen „negativen Daten“ ein SCHUFA-Scoring. Der Score der SCHUFA zeigt auf einer Skala von 0 bis 100 % die Kreditwürdigkeit einer Privatperson an. Zahlt beispielsweise ein Vertragspartner über mehrere Monate das vereinbarte Entgelt nicht, kann dies Aufschluss darüber geben, wie diese Person in der Zukunft mit Blick auf seine Kreditwürdigkeit einzuschätzen ist. In einem solchen Fall ist es jedenfalls denkbar, dass für den Datenverarbeiter und direkten Vertragspartner ein berechtigtes Interesse bezüglich der Übermittlung der Daten an die SCHUFA gegeben ist.

Im streitgegenständlichen Fall hat die Mandantschaft jedoch stets die vereinbarten Entgelte fristgerecht entrichtet, sodass für die Gegenseite kein Grund bestand, die personenbezogenen Daten des Klägers an die SCHUFA zu übermitteln.

Bezüglich der übermittelten Daten durch die Gegenseite an die SCHUFA liegen all diese aufgeführten möglichen berechtigten Interessen ersichtlich nicht vor. Bei den übermittelten Positivdaten handelt es sich, wie bereits ausgeführt, um Informationen, die weder negative Zahlungserfahrungen noch sonstiges nicht vertragsgemäßes Verhalten betreffen, sondern lediglich die Information darüber, dass ein Vertrag überhaupt abgeschlossen wurde.

Zudem haben mehrere Gerichte bereits die Übermittlung von Positivdaten von Mobilfunkunternehmen an die Gegenseite als rechtswidrig eingestuft (LG Köln, Urt. v. 23.03.2023 – 33 O 376/22 sowie Landgericht München I, Urt. v. 25.04.2023 – 33 O 5976/22). In diesen Verfahren wurde festgestellt, dass bereits die Übermittlung von Positivdaten an die Gegenseite ohne Rechtsgrundlage erfolgt, insbesondere ohne berechtigtes Interesse. Da das berechtigte Interesse nach dem Wortlaut von Art. 6 Abs. 1 lit. f) DS-GVO beim Verantwortlichen oder einem Dritten vorliegen kann, ergibt sich aus diesen Entscheidungen, dass auch die SCHUFA als Dritte kein solches berechtigtes Interesse an den Positivdaten der Mobilfunkunternehmen hat.

Eine pauschale Übermittlung sämtlicher (Positiv-)Daten im Zusammenhang mit einem Vertragsverhältnis ist im Wirtschaftsverkehr ohne Einwilligung weder üblich noch wird sie erwartet.

Eine Einwilligung zur Datenübermittlung im Sinne von Art. 6 Abs. 1 lit. a) DS-GVO liegt ebenfalls nicht vor. Eine Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, Art. 4 Nr. 11 DS-GVO.

Eine Einwilligung in Bezug auf die Übermittlung von Positivdaten an die SCHUFA Holding AG durch die Gegenseite, liegt nicht vor.

Ausweislich der Schufa-Auskunft hat der Mobilfunkanbieter rechtswidrig personenbezogene Daten an die Schufa Holding AG weitergegeben. Dabei ist Ihrem VN auch ein Schaden entstanden.

Der Begriff des Schadens ist nach ErwGr 146 zur DS-GVO im Lichte der Rechtsprechung des EuGH zwingend weit auszulegen. Gemäß dem Wortlaut werden sowohl materielle als auch immaterielle Schäden erfasst. Der Schaden muss nicht über einer sog. Erheblichkeitsschwelle liegen.
Selbstverständlich ist dabei auch schon die Meldung von sog. Positivdaten als Schaden anzusehen. Da die Schufa Holding AG den Algorithmus zur Bonitätsbestimmung nicht offenlegt, ist nicht ausgeschlossen, dass auch die sog. Positivdaten das Endergebnis negativ beeinflussen.

Die Bonität einer Person ist gleichbedeutend mit der Kreditwürdigkeit oder Zahlungsfähigkeit einer Person. Dabei gilt immer: Je höher der Score, desto besser die Bonität. Damit hat die gesamte Datenverarbeitungstätigkeit bei der Schufa Holding AG durchweg eine sehr hohe Relevanz im Alltags- und Berufsleben. Ohne eine Schufa-Auskunft kann kein Kredit aufgenommen, kaum ein Vertrag abgeschlossen oder eine Wohnung angemietet werden.

Dabei kommt es bei den Schufa-Einträgen offensichtlich nicht darauf an, ob diese Negativeinträge darstellen oder ob es sich um die Verarbeitung von Positivdaten handelt. Denn die Schufa Holding AG legt gar nicht offen, nach welchen Maßstäben und in welchem Umfang und Verhältnis zueinander sie welche Einträge bewertet. Ihre Berechnungsformel zur Ermittlung des für Ihren VN und jede andere Privatperson in Deutschland) so wichtigen Schufa-Score schützt sie als Betriebsgeheimnis. Der BGH hat bereits 2014 entschieden, dass die Beklagte dieses Berechnungsmodell nicht offenlegen muss (BGH, Urteil vom 28.01.2014, VI ZR 156/13). Es kann beispielsweise sein, dass der Algorithmus einen Vertrag mit der Telekom anders einstuft als einen Vertrag mit Vodafone. Zudem ist unklar, inwiefern ein häufiger Wechsel des Anbieters Einfluss auf den Schufa-Score hat.

Wie die Datenschutzkonferenz bereits festgestellt hat, verstößt es gegen das Recht auf informationelle Selbstbestimmung, solche Daten ohne explizite Einwilligung der betroffenen Person zu verarbeiten:

„Auch bei Positivdaten zu Verträgen über Mobilfunkdienste und Dauerhandelskonten kommt den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person, selbst darüber zu bestimmen, ob sie die sie betreffenden Positivdaten für eine Übermittlung durch Mobilfunkdienstleister und Handelsunternehmen und eine Verarbeitung durch Auskunfteien zur Bonitätsbewertung preisgeben will, entscheidende Bedeutung zu. Hierbei fällt besonders ins Gewicht, dass ansonsten unterschiedslos große Datenmengen über übliche Alltagsvorgänge im Wirtschaftsleben erhoben und verarbeitet würden, ohne dass die betroffenen Personen hierzu Anlass gegeben haben. Deshalb können weder Verantwortliche noch Dritte ein überwiegendes Interesse an diesen Verarbeitungen geltend machen.“ (Datenschutzkonferenz, Beschluss vom 22. September 2021, S. 2)

Mag eine rechtmäßige Übermittlung personenbezogener Daten zur Ermittlung des SCHUFA-Scores noch als gerecht angesehen werden – was durchaus diskutabel ist und auch vor dem EuGH aktuell angezweifelt wird – so dürfen in diese „Black Box“ jedenfalls erst recht keine rechtswidrig übermittelten Daten gelangen.

Auch tritt ein in Deutschland etabliertes System der Bonitätsprüfung durch ein Privatunternehmen sicher nicht hinter den Vorgaben der DS-GVO als unmittelbar geltende EU-rechtliche Verordnung zurück

Die Mandantschaft hat somit einen Schaden i.S. des Art. 82 DSGVO erlitten.

In den ErwGr 75 und 85 zur DS-GV werden beispielhaft als Schäden bezeichnet Identitätsdiebstahl oder –betrug, Aufhebung der Pseudonymisierung, etwa wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.

Den Kontrollverlust nennt ErwGr 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden. Des Weiteren stellen etwa Ängste, Stress, Komfort- und Zeiteinbußen – allesamt wie vorliegend – ebenfalls einen immateriellen Schaden dar.

Die erkennbaren Auswirkungen der bestehenden Ängste, des Stresses, der Komfort- und Zeiteinbußen liegen darin, dass sich die Mandantschaft mit der unberechtigten Übermittlung der Daten durch die Gegenseite auseinandersetzen musste. Allein dieser Umstand ist geeignet, zu einem belastenden Eindruck des Kontrollverlusts zu führen. Dass die benannten Daten von einem geschätzten Vertragspartner, der Gegenseiten, weitergegeben wurde, verstärkt das Gefühl.

So auch in Kühling/Buchner/Bergt DS-GVO Art. 82 Rn. 18b

„Der Schaden kann auch bereits etwa in dem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, insbesondere wenn nicht ausgeschlossen ist, dass die Daten unbefugt weiterverwendet werden – ja bereits in der Ungewissheit, ob personenbezogene Daten an Unbefugte gelangt sind. Unbefugte Datenverarbeitungen können zu einem Gefühl des Beobachtetwerdens und der Hilfslosigkeit führen, was die betroffenen Personen letztlich zu einem reinen Objekt der Datenverarbeitung degradiert. Den Kontrollverlust nennt EG 75 ausdrücklich als „insbesondere“ zu erwartenden Schaden; denknotwendig kann es sich dabei regelmäßig nur um einen immateriellen Schaden handeln. Spezifische Angaben, wie konkret sich der Kontrollverlust auf die Persönlichkeit und auf das Leben der betroffenen Person ausgewirkt hat, sind nicht erforderlich“

Insbesondere die Verletzung von Persönlichkeitsrechten zeichnet sich gerade dadurch aus, dass nicht zwangsläufig eine bilanzierungsfähige Vermögensminderung auf Seiten des Verletzten eintritt, sondern oft ausschließlich seelischer oder moralischer Unbill und Aufwendung der Ressource Zeit wie vorliegend (vgl. OLG Frankfurt/M., Urteil von 14.4.2022 – 3 U 21/20).

Ein immaterieller Schaden entsteht nicht nur in den „auf der Hand liegenden Fällen“, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren.

Der Schmerzensgeldbetrag in Höhe von 5.000,00 Euro ist angemessen. Für die Bemessung der Schadenshöhe können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden bzw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Vorliegend handelt es sich um einen Datenschutzverstoß, der planmäßig und auf Dauer von der Gegenseite durchgeführt worden ist und schwere Auswirkungen für unsere Mandantschaft hat.
Es ist allgemein bekannt, dass die SCHUFA-Auskunft und die darin ausgewiesene Bonität einen immensen Stellenwert im Alltags- und Wirtschaftsleben genießt. Eine Veränderung des sog. SCHUFA-Scores, der als Ergebnis der SCHUFA-Berechnungen Auskunft über die Vertragstreue und Solvenz unserer Mandantschaft geben soll, hat immense Folgen für Vertragsabschlüsse in der Zukunft. Da davon ein schlichter Mobilfunkvertrag betroffen sein kann aber auch eine Kreditfinanzierung oder ein Mietvertrag steigert sich das allgemeine Unwohlsein unserer Mandantschaft bis zu einer schieren Existenzsorge.

Begründet liegt dies darin, dass unsere Mandantschaft weder weiß noch in Zukunft wissen wird, in welcher Form, ob und wann eine unmittelbare oder mittelbare Konfrontation mit den Folgen dieses SCHUFA-Eintrags stattfindet. Sicher ist nur, dass der SCHUFA-Eintrag, den die Gegenseite durch die Übermittlung verursachte, Einfluss auf den SCHUFA-Score hat. Damit bleiben Stress, Unruhe und ein allgemeines Unwohlsein tagtäglich zurück.

Diese Auswirkungen behindern die freie Entscheidung unserer Mandantschaft im Hinblick auf neue Vertragsabschlüsse und untergraben damit die freien Entfaltungsmöglichkeiten bei der weiteren Gestaltung des eigenen Lebens. Das sorgt für das ständige Gefühl von Zwang, sich ggfs. nach einem nicht bekannten Vorbild konform verhalten zu müssen. Beispielsweise in Bezug auf die Wahl des Telekommunikationsanbieters, des Providers oder des Vertragsformats, das von der SCHUFA Holding AG als werthaltiger bewertet wird als das jeweils andere.

Mithin geht es um die Kreditwürdigkeit, das gesellschaftlichen Standing, eine Wohnungsvergabe, eine Zusammenarbeit mit Banken, eine Bestellung im Internet und unzähligen weitere Beispielen. Um das alles zu kompensieren, ist ein Betrag in Höhe von 5.000,00 Euro durchaus angemessen.

Letztlich wird der genaue Betrag aber auch in das Ermessen des zuständigen Gerichts gestellt.
So sprach bereits das LG Mainz einen Betrag in Höhe von 5.000,00 Euro nach einer unberechtigten Datenweitergabe an die Schufa Holding AG zu (LG Mainz, Urteil vom Urteil vom 12. November 2021 – 3 O 12/20, GRUR-RS 2021, 34695 (juris)). Ebenfalls 5.000,00 Euro sprach das OLG Dresden für eine unberechtigte Datenweitergabe zu (OLG Dresden, Urteil vom 30. November 2021 – 4 U 1158/21).

Bei einer Weitergabe höchstpersönlicher Daten sind sogar 15.000,00 Euro angemessen, wie das AG Stuttgart entschied (Urteil vom 27. September 2023 zur Aufrechterhaltung eines Versäumnisurteils – 12 Ca 359/21 15.000 Euro).

Festgestellt werden soll, dass Gegenseite, der Mandantschaft alle künftigen Schäden zu ersetzen, die der Klägerseite durch die unbefugte Verarbeitung personenbezogener Daten entstanden sind und/oder noch entstehen werden.

Aus der Verpflichtung der Gegenseite zur Leistung von Schadensersatz aus dem dargestellten Schadensereignis folgt auch die Pflicht, zukünftige Schäden, die auf Grund unrechtmäßigen Datenübermittlung entstehen, zu tragen.

So kann zum jetzigen Zeitpunkt noch nicht abgesehen werden, ob und inwieweit aus der Übermittlung künftige Schäden resultieren werden. Um einen zukünftigen Prozess zu vermeiden, kann bereits jetzt mit Feststellungsinteresse iSd. § 256 ZPO festgestellt werden, dass die Beklagte für die aus dem Schadensereignis kausal entstehenden Schäden einzustehen hat (vgl. BGH, Urt. v. 20. 3. 2001 – VI ZR 325/99, NJW 2001, 3414). Ihrem Wesen nach zeigen sich die Folgen von Datenschutzverletzungen erst spät, oft bleiben sie lange unerkannt. Es ist deshalb im Interesse der Mandantschaft und der allgemeinen Rechtssicherheit, eine Haftung der Gegenseite schon jetzt festzustellen, um später auf Grund des Zeitablaufs entstehende Unsicherheiten zu vermeiden.

Der Mandantschaft steht gemäß §§ 280 I, 241 II BGB und §§ 1004 analog, 823 Abs. 1 und aus Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DS-GVO sowie Art. 17 DS-GVO gegen die Gegenseite ein Anspruch auf Unterlassung zu, seine personenbezogenen Daten in Zukunft unbefugt, d.h. konkret ohne Vorliegen einer Rechtsgrundlage nach Art. 6 DS-GVO zu speichern, erheben, nutzen und weiterzugeben.

a. Die Parteien sind mittels Vertrag miteinander verbunden.
Beide Vertragsparteien sind daher nicht nur zu den Leistungen verpflichtet, die sie sich gegenseitig schulden. Der § 241 II BGB normiert, dass auch Schutz- und Rücksichtnahmepflichten zu beachten sind. Demnach müssen die Vertragsparteien Rücksicht auf die Interessen des anderen nehmen, sie dürfen insbesondere die Rechtsgüter des anderen nicht verletzen. Dazu gehört insbesondere auch der rechtskonforme Umgang mit den bekannt gewordenen personenbezogenen Daten des jeweiligen Vertragspartners.
Durch die unrechtmäßige Datenübermittlung hat die Gegenseite gegen ihre Schutz- und Rücksichtnahmepflichten verstoßen.

b. Die DS-GVO ist ein Schutzgesetz i. S. d. § 823 Abs. 2 BGB, da sie Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten zum Gegenstand hat. Grundsätzlich kann Verstößen gegen die DS-GVO also im Wege eines Unterlassungsanspruchs entgegengetreten werden (Umfassend Leibold/Laoutoumai, ZD-Aktuell 2021, 05583 mwN.). Die Gegenseite hat gegen Art. 6 DS-GVO verstoßen, indem sie unrechtmäßig personenbezogene Daten der Mandantschaft verarbeitet hat. Hierzu wird auf die obigen Ausführungen unter 1. a) verwiesen. Die Rechtsgrundlosigkeit der Verarbeitung entfällt auch nicht aufgrund § 1004 Abs. 2 BGB. Eine Duldungspflicht der Mandantschaft ist unter keinem Gesichtspunkt erkennbar.

Die personenbezogenen Daten der Mandantschaft wurden unrechtmäßig weitergegeben und damit weiterverarbeitet. Damit besteht eine gegenwärtige Beeinträchtigung des Rechts auf informationelle Selbstbestimmung. Weitere Beeinträchtigungen durch die Weitergabe der personenbezogenen Daten drohen.

Datenschutzrechtliche Ansprüche können im Wege des Unterlassungsanspruches geltend gemacht werden. Solche Ansprüche sind nicht aufgrund von Art. 79 DSGVO gesperrt (vgl. BGH, Urt. v. 12.10.2021 – VI ZR 488/19; LG Frankfurt a.M., Urt. v. 15. 10. 2020; LG Frankfurt a.M., Urt. v. 13.09. 2018 – 2-03 O 283/18).

Die Wiederholungsgefahr wird durch die Rechtsverletzung indiziert.

An den Wegfall der Wiederholungsgefahr sind grundsätzlich nach der ständigen Rechtsprechung des BGH (BGHZ 140, 1, 10; BGHZ 14, 163, 167) strenge Anforderungen zu stellen. Im Fall eines rechtswidrigen Eingriffs in ein geschütztes Rechtsgut des Betroffenen besteht nach ständiger Rechtsprechung des Bundesgerichtshof eine tatsächliche Vermutung für das Vorliegen der Wiederholungsgefahr, sodass die Verantwortliche diese Vermutung zu widerlegen hat. Eine bloße Absichtserklärung der Verantwortlichen, die zu unterlassende Verhaltensweise einzustellen und zukünftig nicht mehr vorzunehmen, genügt nicht für den Wegfall der Wiederholungsgefahr (RGZ 103, 174, 177; BayObLG NJW-RR 1987, 463. 464).

Wie im Wettbewerbsrecht (stRspr. BGH NJW 1996, 723, 724; BGH NJW 1999, 3638, 3649) und im Äußerungsrecht (BGHZ 14, 163, 167) bedarf es auch im Rahmen des Unterlassungsanspruches datenschutzrechtlicher Verstöße nach § 1004 BGB grundsätzlich einer ernsthaften, hinreichend strafbewerten Unterlassungserklärung. Dabei muss die Erklärung eine dem Umfang des gesetzlichen Anspruchs entsprechende Verpflichtung enthalten (BeckOK BGB/Fritzsche BGB § 1004 Rn. 93, 94). Wie im Wettbewerbsrecht bereits höchstrichterlich entschieden (BGHZ 14, 163, 168; BGH GRUR 1972, 550 f. – Spezialsalz II; BGH GRUR 1990, 617, 624 – Metro III; BGH GRUR 2008, 1108 Rn. 23 – Haus & Grund III) kann der Verletzter, hier die Gegenseite als Verantwortliche nach der DSGVO, die zu vermutenden Wiederholungsgefahr nach einem Verstoß gegen die Rechtsordnung nur durch eine strafbewehrte Unterlassungserklärung beseitigen. Die jahrzehntelange ständige höchstrichterliche Rechtsprechung findet ebenfalls auf die Voraussetzungen eines Unterlassungsanspruch im Rahmen datenschutzrechtlicher Verstöße Anwendung.

Die Gegenseite hat vorliegend keine Unterlassungserklärung gegenüber dem Gläubiger des Unterlassungsanspruchs, also der Mandantschaft, abgegeben.

Nein, wie den obigen Ausführungen zu entnehmen ist, ist der Schaden bereits eingetreten und der unrechtmäßige Zustand besteht weiterhin.

Der Streitwert liegt bei 15.000,00 Euro. Dieser setzt sich aus den geltend gemachten Ansprüchen zusammen. Zunächst der Schadensersatzanspruch mit 5.000,00 Euro. Der Feststellungsantrag ist mit 2.500,00 Euro zu berücksichtigen. Der Streitwert des Feststellungsantrags liegt üblicherweise unterhalb des begehrten Schmerzensgelds (vgl. OLG Hamm, Beschluss vom 21.01.2016 – 32 SA 69/15).

Der Unterlassungsanspruch ist mit 7.500,00 Euro anzusetzen. Der Streitwert bei nicht vermögensrechtlichen Streitigkeiten ist anhand aller Umstände des Einzelfalls, insbesondere auch anhand der Einkommensverhältnisse und der Bedeutung der Sache, zu bemessen. Die Bedeutung der Sache ist auf Grund der schwerwiegenden Folgen für die Mandantschaft gravierend, sodass ein Streitwert von 7.000 Euro angemessen ist. (Ähnlich LG Frankfurt, Beschluss vom 15.10.2020 2-03 O 356/20; LG Dresden, Beschluss vom 23.01.2013, 4 W 1363/12).