Ein Überblick über die rechtlichen Grundlagen und Voraussetzungen – von Valentin Schulte, wissenschaftlicher Mitarbeiter bei Dr. Thomas Schulte, Rechtsanwalt
1. Datenübermittlung und Schadenersatzanspruch
Bei der Übermittlung von Daten an Auskunfteien wie die Schufa stellt sich oft die Frage der Zulässigkeit und der Folgen eines möglichen Datenschutzverstoßes. Mobilfunkanbieter wie Vodafone oder Telekom und andere Vertragspartner übermitteln personenbezogene Daten von Kunden an die Schufa, die sie zur Berechnung des sogenannten Score-Wertes nutzt. Dieser Score-Wert dient der Einschätzung der Kreditwürdigkeit einer Person. Besonders umstritten ist die Übermittlung sogenannter Positivdaten, also Informationen über den Abschluss und die Erfüllung von Verträgen, die keinen negativen Aspekt zur Bonität der betreffenden Person aufweisen.
Die Datenschutz-Grundverordnung (DSGVO) bildet hier die wesentliche Rechtsgrundlage, um die Datenverarbeitung zu regeln und den Schutz der Rechte von betroffenen Personen sicherzustellen. Ein zentraler Aspekt ist dabei der Schadenersatzanspruch gemäß Art. 82 DSGVO. Diese Norm eröffnet betroffenen Personen bei unrechtmäßiger Datenverarbeitung einen Anspruch auf Schadensersatz. Die Frage, ob und unter welchen Umständen ein solcher Anspruch gegen die Schufa bestehen kann, ist durch zahlreiche Urteile geprägt, darunter Entscheidungen des Landgerichts München I und des Landgerichts Frankfurt. Beide Gerichte haben festgestellt, dass die Weitergabe von Positivdaten in bestimmten Fällen gegen die DSGVO verstößt und somit die Möglichkeit eines Schadenersatzanspruchs eröffnet.
2. DSGVO und Schadenersatzanspruch
Art. 82 DSGVO: Voraussetzungen für den Schadenersatzanspruch
Art. 82 DSGVO stellt sicher, dass betroffene Personen bei Verstößen gegen die Datenschutzbestimmungen Schadenersatz verlangen können. Dies betrifft sowohl materielle als auch immaterielle Schäden. Der Anspruch erfordert das Vorliegen einer Aktiv- und Passivlegitimation der Parteien, einen Datenschutzverstoß, einen kausalen Schaden und ein Verschulden des Datenverarbeiters.
Die Voraussetzungen im Detail:
- Aktiv- und Passivlegitimation: Die Aktivlegitimation liegt bei den betroffenen Personen, die durch die Datenverarbeitung in ihren Rechten verletzt wurden. Die Passivlegitimation, also die Verantwortung für den Datenschutzverstoß, liegt beim Datenverarbeitenden, wie im vorliegenden Fall der Schufa oder dem die Daten übermittelnden Vertragspartner.
- Verstoß gegen die DSGVO: Ein Verstoß gegen die Datenschutzvorschriften der DSGVO ist die Voraussetzung für den Anspruch. Bei der Übermittlung von Positivdaten ohne angemessene Rechtsgrundlage sehen die Gerichte einen solchen Verstoß als gegeben an.
- Schaden: Der Schaden kann sowohl materiell als auch immateriell sein, wobei in der Praxis oft immaterielle Schäden geltend gemacht werden. Es genügt nicht allein der Datenschutzverstoß; vielmehr ist ein konkreter Nachweis eines Schadens erforderlich.
- Kausalität und Verschulden: Der Schaden muss kausal auf den Datenschutzverstoß zurückzuführen sein, und der Datenverarbeitende muss sich schuldhaft verhalten haben.
Art. 6 DSGVO: Rechtfertigung für die Datenübermittlung
Die Übermittlung personenbezogener Daten bedarf nach Art. 6 Abs. 1 DSGVO einer rechtlichen Grundlage. Die mögliche Rechtfertigung ergibt sich in der Regel durch eine der folgenden Bedingungen:
- Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 Buchstabe a DSGVO,
- Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchstabe b DSGVO,
- Berechtigtes Interesse des Datenverarbeiters gemäß Art. 6 Abs. 1 Buchstabe f DSGVO.
Insbesondere die Rechtfertigung durch ein „berechtigtes Interesse“ ist oft strittig, da die Interessen des Datenverarbeitenden und die Grundrechte der betroffenen Person gegeneinander abgewogen werden müssen. So entschied die Konferenz der Datenschutzaufsichtsbehörden (DSK), dass die Übermittlung von Positivdaten ohne Einwilligung in Mobilfunkverträgen nicht durch ein berechtigtes Interesse gerechtfertigt sei. Anders sieht es diesbezüglich bei der Übermittlung von negativen Daten (Zahlungsschwierigkeiten) aus, deren Übermittlung grundsätzlich gem. Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt ist. In der Praxis führen die Gerichte jedoch Einzelfallprüfungen durch, sodass eine pauschale Aussage zur Zulässigkeit der Übermittlung nicht immer möglich ist.
3. Gerichtliche Entscheidungen zur Datenübermittlung an die Schufa
Entscheidung des Landgerichts München I
Das Landgericht München I (Urteil vom 25. April 2023, Aktenzeichen 33 O 5976/22) urteilte, dass die Weitergabe von Positivdaten durch Mobilfunkanbieter an die Schufa gegen die DSGVO verstoßen kann, wenn keine ausreichende Rechtsgrundlage vorhanden ist. Das Gericht betonte, dass es mildere Maßnahmen zur Risikominimierung gibt, etwa durch Bonitätsprüfungen mit negativ relevanten Informationen (z.B. Zahlungsverzug). Die pauschale Übermittlung von Positivdaten ohne Anlass stellt nach Ansicht des Gerichts einen unverhältnismäßigen Eingriff in das Recht auf Datenschutz dar und begründet somit einen Datenschutzverstoß.
Entscheidung des Landgerichts Frankfurt
Auch das Landgericht Frankfurt (Urteil vom 19. März 2024, Aktenzeichen 2-10 O 691/23) kam in einem ähnlichen Fall zu dem Schluss, dass ein Schadenersatzanspruch gegen die Schufa besteht, wenn Positivdaten ohne ausreichende Rechtsgrundlage übermittelt wurden. In seinem Urteil wies das Gericht darauf hin, dass allein der Kontrollverlust über die Daten einen Schaden darstellen kann, jedoch kein Anspruch auf Schadenersatz ohne Nachweis eines konkreten immateriellen Schadens besteht. Das Gericht machte deutlich, dass für einen immateriellen Schaden auch „tatsächliche Nachteile“ wie eine Stigmatisierung erforderlich sind.
Europäischer Gerichtshof (EuGH) in der Rechtssache „Österreichische Post“
Der EuGH hat im Zusammenhang mit immateriellem Schadenersatz entschieden, dass eine bloße Verletzung der DSGVO nicht ausreicht, sondern ein konkreter Schaden nachgewiesen wird.
Ein abstrakter Kontrollverlust ohne nachweisbare Beeinträchtigung reicht demnach nicht aus. Die Rechtsprechung des EuGH betont die Notwendigkeit einer Abwägung zwischen dem Interesse der Datenverarbeitenden und den Grundrechten der betroffenen Personen.
4. Anforderungen an den Schadenersatzanspruch
Immaterieller Schaden
Für immaterielle Schäden sieht Art. 82 DSGVO keine Bagatellgrenze vor. Der EuGH stellte jedoch klar, dass ein bloßer Kontrollverlust über die eigenen Daten nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Betroffene konkret darlegen, wie sich der Datenschutzverstoß nachteilig auf ihn ausgewirkt hat. Die deutsche Rechtsprechung folgt dieser Linie und fordert den Nachweis einer tatsächlichen Beeinträchtigung, die über allgemeine Unzufriedenheit oder Ärger hinausgeht.
Beweislast und Kausalität
Die Beweislast für den Schaden trägt grundsätzlich der Betroffene. Er muss zeigen, dass der Verstoß gegen die DSGVO einen konkreten Schaden verursacht hat. Hierbei reicht es nicht aus, pauschal auf mögliche Risiken oder Kontrollverlust hinzuweisen. Die betroffene Person muss darlegen, dass beispielsweise durch den Eintrag bei der Schufa eine Stigmatisierung oder eine wirtschaftliche Beeinträchtigung eingetreten ist.
Berechnung der Schadenshöhe
Die Höhe des Schadenersatzes richtet sich nach dem Grad der Beeinträchtigung. In Fällen wie unrechtmäßigen Schufa-Einträgen tendieren deutsche Gerichte dazu, immaterielle Schäden mit niedrigen Beträgen im Bereich von wenigen hundert Euro zu kompensieren, sofern überhaupt ein Schadenersatzanspruch besteht. Eine Abschreckungsfunktion, wie sie der öffentlich-rechtlichen Sanktion nach Art. 83 DSGVO zukommt, ist nicht vorgesehen.
5. Beispielhafte Fallkonstellation
Ein Verbraucher Holger Meier aus München schließt einen Mobilfunkvertrag ab, der die Übermittlung seiner Positivdaten an die Schufa vorsieht. Er erfährt später, dass seine Informationen über den Vertragsabschluss und die pünktliche Bezahlung der Rechnungen bei der Schufa gespeichert werden. Er empfindet dies als ungerechtfertigten Eingriff in seine Privatsphäre und klagt auf Schadenersatz.
Das Landgericht prüft, ob eine ausreichende Rechtsgrundlage für die Übermittlung der Daten vorliegt. Die Schufa argumentiert, dass ein berechtigtes Interesse nach Art. 6 Abs. 1 Buchstabe f DSGVO besteht, um potenziellen Betrug zu verhindern und die Bonität von Kunden korrekt einschätzen zu können. Der Verbraucher betont jedoch, dass durch den Kontrollverlust über seine Daten ein immaterieller Schaden entstanden sei. Das Gericht gibt ihm teilweise recht, stellt jedoch fest, dass nur ein geringer Schadenersatzanspruch besteht, da er keinen nachweisbaren wirtschaftlichen Nachteil erlitten hat.
Pauschale Aussagen über das Bestehen eines Schadenersatzanspruchs sind somit weiterhin nicht möglich. Vielmehr müssen grundsätzlich die Tatbestandsvoraussetzungen des Art. 82 DSGVO sorgfältig geprüft werden. Betroffene sollten sich diesbezüglich an einen Rechtsanwalt wenden.
Bezüglich des Beispiels würde sich also folgendes Prüfungsschema ergeben:
- Herr Meiers Daten wurden in Gestalt seines Namens und Geburtsdatums durch die Schufa verarbeitet. Eine Aktiv- und Passivlegitimation ist somit gegeben.
- Der oben dargestellten Auffassung in der Rechtsprechung folgt, ist auch keine Rechtfertigung im Sinne von Art. 6 DSGVO gegeben. Die Datenverarbeitung ist somit auch rechtswidrig.
- Es besteht ein immaterieller Schaden, der im Einzelfall gerichtlich festgestellt werden muss.
- Kausalität zwischen Datenschutzverstoß und dem Schaden ist gegeben. Die Schufa hat diesen auch zu verschulden.
Fazit: Wann haben Betroffene Anspruch auf Schufa-Schadenersatz?
Rechtsanwalt Dr. Schulte gibt zu bedenken, dass die Durchsetzung eines Schadenersatzanspruchs gegen die Schufa nicht einfach ist – aber möglich. Vier wichtige Punkte sind dabei entscheidend: Der Anspruch besteht nur, wenn die betroffene Person durch die Verarbeitung ihrer Daten nachweislich geschädigt wurde und die Schufa oder der Datenverarbeitende schuldhaft gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen haben. Zusätzlich müssen konkrete Beeinträchtigungen, die über einen einfachen Kontrollverlust hinausgehen, nachgewiesen werden.
Besonders schwierig ist die Geltendmachung von immateriellen Schäden – pauschale Ärgernisse reichen meist nicht aus. Betroffene sollten die Rechtfertigungsgründe der Schufa genau prüfen und sich im Zweifel rechtliche Unterstützung holen, um die komplexen Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 DSGVO zu erfüllen.