Schufa Gibt eine Bank Informationen über die finanzielle Lage eines Kunden an Dritte weiter und verletzt ihre Verschwiegenheitspflicht, kann der Kunde Schadenersatzansprüche geltend machen.
Rolf Breuer, Präsident des Bundesverbandes Deutscher Banken und Aufsichtsratsvorsitzender der Deutschen Bank, stellte im Februar 2002 ganz nebenbei in einem Interview die Kreditwürdigkeit der Kirch Gruppe infrage. Seine Aussage war ein Auslöser für die größte Firmenpleite nach dem Zweiten Weltkrieg: Zwei Monate nach dem Interview bei Bloomberg TV meldete KirchMedia, das wichtigstes Unternehmen der Kirch Gruppe, Insolvenz an, weil alte Kredite nicht verlängert worden waren. 5.000 von 11.000 Mitarbeitern der Kirch Gruppe wurden entlassen, der Unternehmer Leo Kirch war um seinen Ruf gebracht.
Kirch war überzeugt, dass Breuer mit seiner unbedachten Äußerung zum Zusammenbruch des Medienkonzerns entscheidend beigetragen habe. Ja, es habe sich sogar um eine gezielte Zerschlagung seines Konzerns gehandelt. Kirch verklagte Breuer und die Deutsche Bank im Mai 2002 wegen Verletzung des Bankgeheimnisses.
Im Februar 2003 verurteilte das Amtsgericht München Breuer zu Schadenersatz. Der ging in Berufung, doch das Urteil des Oberlandesgerichtes München von Dezember 2003 (Az. 21 U 2392/03) wurde im Januar 2006 durch den Bundesgerichtshof (BGH) in der sogenannten „Kirch-Entscheidung“ bestätigt (Az. XI ZR 384/03): Die Deutsche Bank und Breuer seien grundsätzlich für Schäden haftbar, die der Kirch-Tochtergesellschaft Print Beteiligungs GmbH, Kundin der Deutschen Bank, wegen Breuers Interview entstanden seien.
Dies ist nur einer, wenn auch sicher der berühmteste Fall, in dem ein Kunde aufgrund der Weitergabe von Informationen durch die Bank Schadenersatzansprüche geltend machen konnte. Insgesamt lassen sich drei wesentliche Fallgruppen bei der widerrechtlichen Datenweitergabe durch Banken unterscheiden.
Update 2024 bei Schufa und Bankgeheimnis
Der Fall Kirch gegen die Deutsche Bank und Rolf Breuer hatte weitreichende Konsequenzen:
1. Gerichtliche Entscheidungen:
- Im Februar 2003 verurteilte das Amtsgericht München Breuer zu Schadenersatz.
- Das Oberlandesgericht München bestätigte das Urteil im Dezember 2003.
- Der Bundesgerichtshof (BGH) bekräftigte im Januar 2006 in der „Kirch-Entscheidung“, dass die Deutsche Bank und Breuer grundsätzlich für Schäden haftbar seien, die der Kirch-Tochtergesellschaft Print Beteiligungs GmbH entstanden waren.
2. Auswirkungen auf die Kirch-Gruppe:
- Am 8. April 2002 reichte die Kirch-Gruppe beim Amtsgericht München einen Insolvenzantrag für die KirchMedia GmbH & Co KGaA ein.
- KirchMedia hatte zu diesem Zeitpunkt 1,4 Milliarden Euro Schulden und 500 Millionen Euro Verpflichtungen gegenüber amerikanischen Film- und Medienkonzernen.
- Insgesamt wurden 5.000 von 11.000 Mitarbeitern der Kirch-Gruppe entlassen.
- Am 12. Juni 2002 beantragten die letzten Säulen des Konzerns, die TaurusHolding und die KirchBeteiligung, ebenfalls Insolvenz
3. Rechtliche Implikationen:
- Der Fall setzte einen Präzedenzfall für die Haftung von Banken bei Verletzung des Bankgeheimnisses.
- Er verdeutlichte die Bedeutung der Verschwiegenheitspflicht von Banken gegenüber ihren Kunden.
4. Langfristige Folgen:
- Der Fall führte zu einer erhöhten Sensibilität im Umgang mit Kundeninformationen im Bankensektor.
- Er unterstrich die potenziellen rechtlichen und finanziellen Konsequenzen für Banken bei Verletzung ihrer Verschwiegenheitspflicht.
Der Fall Kirch gegen die Deutsche Bank und Rolf Breuer bleibt ein bedeutendes Beispiel dafür, wie die Weitergabe von Kundeninformationen durch Banken zu erheblichen Schadenersatzansprüchen führen kann.
Erster Fall: Öffentliche Angaben über die Bonität des Kunden
Der Vertrag, den man bei Aufnahme eines Darlehens eingeht, verpflichtet die Bank zur Vertraulichkeit. Die Bank darf sich in der Öffentlichkeit nicht über die Bonität des Kunden äußern, soweit sie diese Informationen im Zuge ihrer Banktätigkeit gewonnen hat. Weder die Firmenpleite noch der Lottogewinn dürfen ohne Wissen und Zustimmung des Kunden an Dritte vermeldet werden.
Nach der höchstrichterlichen Rechtsprechung des BGH im Fall Kirch gilt: „Aus einem Darlehensvertrag ergibt sich für die kreditgebende Bank die Nebenpflicht, die Kreditwürdigkeit des Darlehensnehmers weder durch Tatsachenbehauptungen, auch wenn sie wahr sind, noch durch Werturteile oder Meinungsäußerungen zu gefährden.“
Eine Klage gegen die Bank zu führen, das ist nicht nur Wirtschaftsgiganten wie Leo Kirch möglich. Auch Privatkunden werden geschützt: Wenn die Bank ungerechtfertigt Informationen über die Solvenz eines Kunden weitergibt, wirkt das rufschädigend. Beim nächsten Autokauf wird dem Betroffenen womöglich kein Kredit mehr zugestanden, weil die Hausbank des Autohauses den Kunden für zahlungsunfähig hält.
Dem Bankkunden entsteht einklagbarer Schaden, weil andere Banken oder Geschäftspartner den Informationen über seine Zahlungsunfähigkeit Glauben schenkten und ihm keine Kredite mehr gewähren. Hier ist grundsätzlich ein Schadensersatzanspruch gegeben, denn letztlich kann der Verlust der Kreditwürdigkeit ein gesamtes Leben in Schieflage bringen. Wie Leo Kirch muss im schlimmsten Fall auch ein Privathaushalt Insolvenz anmelden.
Zweiter Fall: Verlust der beruflichen Stellung durch Suchanzeige
Der Mediziner Arne W. stand kurz davor, zum Chefarzt einer Bielefelder Klinik ernannt zu werden. Zu diesem Zeitpunkt erschien in der lokalen Zeitung eine Suchanzeige seiner Bank, die Forderungen gegen ihn geltend machen wollte. Sein Karrieretraum zerplatzte: Die Klinikleitung befand ihn als ungeeignet für den Chefarzt-Posten, der mit einer hohen Vertrauensstellung verbunden sei.
Auch die Bewerbung bei andern Kliniken gestaltete sich schwierig. Arne W. stand nun in dem Ruf eines unzuverlässigen, da verschuldeten Menschen. Seine berufliche Laufbahn brach unerwartet ein – und dabei hatte die Bank die korrekten Personendaten des Arztes vorliegen und hätte sich mit ihrer Forderung direkt an ihn wenden können!
Mit einer Schadensersatzklage ist in einem derartigen Zusammenhang dennoch Vorsicht geboten. Anders als etwa im Fall Kirch, in dem das Breuer-Interview im Fernsehen gesendet wurde, hatte die Bank von Arne W. nur eine Anzeige in einer Zeitung mit kleiner Auflage geschaltet. Es wusste nicht „die ganze Welt“ von den Schulden des Arztes.
Arne W. hatte daher eine Schadensminderungspflicht: Er selbst musste in zumutbarer Weise den Schaden gering halten und versuchen, eine andere Position als Chefarzt zu finden und einen Verdienstausfall zu vermeiden. Erst als er nachweisen konnte, dass er trotz gewisser Anstrengungen keine vergleichbare Position gefunden hatte, konnte er den entstandenen finanziellen Schaden einklagen.
In seinem Fall hatte die Fachwelt auch durch die „kleine Zeitung“ umfänglich Wissen über seine finanzielle Lage erhalten und es fiel Arne W. sehr schwer, überhaupt eine neue, geschweige denn eine vergleichbare Stelle zu finden.
In praktisch jeder Berufsgruppe ist ein ähnlicher Vorfall denkbar. Ein Sicherheitsunternehmen könnte einen angestellten Geldtransporteur entlassen, weil es durch die Bank von dessen enorm hohen Schulden gehört hat und nun befürchtet, dass er sich an dem ihm anvertrauten Geld vergreifen könnte. Wenn der ehemalige Geldtransporteur keine neue Anstellung findet, ist auch hier ein Schadensersatzanspruch gegenüber der Bank denkbar.
Es gibt jedoch auch Fälle, in denen die Bank sich an die Öffentlichkeit wenden und die Finanzsituation des Kunden offen legen darf. Gibt ein Kunde etwa eine falsche Adresse an, um ein ausstehendes Darlehen nicht zurückzahlen zu müssen, und ist für die Bank nicht mehr zu erreichen, kann die Bank ihn auch unter Zuhilfenahme der Öffentlichkeit aufsuchen und etwa eine Anzeige schalten. Im Falle Arne W. traf das nicht zu – er hatte einen Anspruch auf Schadensersatz.
Dritter Fall: Unrichtige Übermittlung von Daten an die Schufa – Vorsatz der Bank zu Schädigung
In einem anderen Fall hatte die darlehensgebende Bank falsche Daten an die Schufa übermittelt (OLG Frankfurt 17 U 35/87, 17 U 203/87). Der Kunde hatte einen Kredit aufgenommen und als Sicherheit seine künftigen Gehaltsansprüche abgetreten. Als noch ungefähr 7.000 Euro zur Rückzahlung ausstanden, konnte er den Forderungen nicht mehr nachkommen. Die Bank kündigte darauf den Kredit und stellte ihn fällig. Sodann teilte sie der Schufa mit, dass sie gegen den Kunden einen Mahnbescheid beantragt hätte. Ein Vollstreckungsbescheid sowie ein gerichtlicher Pfändungs- und Überweisungsbeschlusses lägen bereits vor. Tatsächlich aber hatte die Bank den Mahnbescheid später als angegeben beantragt und – entscheidend – der Kunde hatte dagegen fristgerecht Widerspruch eingelegt. Weder ein Vollstreckungsbescheid noch die Zwangsvollstreckung konnten so ergehen.
In einem derartigen Fall hat der Kunde grundsätzlich einen Anspruch auf Schadensersatz. Er kann zum einen, die Kosten zurückverlangen, die die Einschaltung eines Anwaltes zur Wahrung seiner Rechte verursachte. Zum anderen kann der Kunde generell gemäß § 824 BGB fordern, dass ihm die Schäden, die aus der Kreditgefährdung entstanden sind, ersetzt werden: Aufgrund des Schufaeintrages könnte es beispielsweise dazu kommen, dass andere Banken dem Kunden keine Kredite mehr einräumen oder ein Mobilfunkanbieter einen Vertrag verweigern. Auch für diese Schäden kann die Bank herangezogen werden.
So sahen es auch die Frankfurter Richter. In der Urteilsbegründung heißt es sinngemäß: „Werden der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) durch ein Kreditinstitut vorsätzlich unrichtige negative Angaben über ein Kreditverhältnis mitgeteilt, so hat der Kreditnehmer gemäß § 824 BGB auf Löschung der bei der Schufa gespeicherten unrichtigen Daten und auf Ersatz des materiellen Schadens einen Anspruch. Ein Schmerzensgeld wegen Ehrverletzung oder Verletzung seines allgemeinen Persönlichkeitsrechts kann der Kreditnehmer jedoch nicht beanspruchen.“
Das Gericht sah in der Handlung der Bank ein vorsätzliches Verhalten. Die an die Schufa übermittelten Daten waren objektiv falsch: Es bestand gerade kein Pfändungs- und Überweisungsbeschluss gegen den Kunden, seine finanzielle Lage war also besser als behauptet. Aufgrund des fehlerhaften Schufa-Eintrags aber verweigerte ein zweites Kreditinstitut dem Kunden ein Darlehen. Die Bank, die die falschen Daten an die Schufa übermittelt hatte, musste daher nach den Ausführungen des Gerichts bei der Schufa auf eine Korrektur der Angaben hinwirken.
Ein Schmerzensgeldanspruch wurde in diesem Fall vom Gericht jedoch verneint. Die Ehre des Kunden sei nicht im ausreichend hohem Maße geschädigt, da ihm „nur“ Schulden in Höhe von 7.000 Euro nachgesagt wurden. Anders kann der Fall liegen, wenn die Bank einem Kunden zu Unrecht sittenwidrige Wechselreiterei vorwirft. Dann ist unter Umständen auch Schmerzensgeld eine Option.
Vierter Fall Schufameldung ohne Nachdenken für die Folgen des Kunden
Weitere Entscheidungen helfen Opfern von Schufa Meldungen. So hat das OLG Düsseldorf, Urteil vom 14.12.2006 – I-10 U 69/06 unter der Geltung des Bundesdatenschutzgesetzes geurteilt.
Das Urteil des Oberlandesgerichts Düsseldorf vom 14. Dezember 2006 (Az. I-10 U 69/06) behandelt die Frage der unzulässigen Übermittlung von Daten an die Schufa und stärkt dabei den Schutz personenbezogener Daten im Wirtschaftsverkehr. Der Kläger hatte gegen die Weitergabe seiner Daten an die Schufa geklagt und in der Berufung Erfolg. Das Gericht verurteilte die Beklagte, die übermittelten Daten zu widerrufen, und sprach dem Kläger zusätzlich einen Betrag von 68,61 Euro zu. Zudem wurden der Beklagten die Kosten des Rechtsstreits auferlegt.
Im Kern stellte das Gericht fest, dass die Beklagte nicht zur Datenübermittlung befugt war, da die notwendige Interessenabwägung unterblieben war. Hierbei überwogen die schutzwürdigen Belange des Klägers deutlich gegenüber den Interessen der Beklagten und der Schufa. Entscheidende Gründe dafür waren, dass der Kläger keine offensichtlich unbegründeten Einwendungen gegen die Forderung erhoben hatte, die Parteien zuvor eine langjährige konfliktfreie Geschäftsbeziehung gepflegt hatten und der strittige Forderungsbetrag in keinem angemessenen Verhältnis zu den möglichen wirtschaftlichen Nachteilen für den Kläger stand.
Rechtlich stützte das Gericht den Widerrufsanspruch auf § 35 Abs. 2 Satz 2 Nr. 1 des Bundesdatenschutzgesetzes (BDSG) sowie alternativ auf allgemeine zivilrechtliche Vorschriften wie §§ 12, 823 Abs. 1 und 1004 Abs. 1 BGB. Der Schadensersatzanspruch für die durch die Rechtsanwaltskosten entstandenen Schäden wurde ebenfalls auf zivilrechtliche Grundlagen wie §§ 280 Abs. 1 und 241 Abs. 2 BGB bzw. § 823 Abs. 1 BGB gestützt.
Das Urteil betont die Bedeutung einer sorgfältigen und individuellen Interessenabwägung vor der Übermittlung von personenbezogenen Daten an Auskunfteien wie die Schufa. Es setzt damit ein deutliches Signal für den Datenschutz und den Schutz der wirtschaftlichen Integrität von Verbrauchern. Ähnlich hat auch das OLG Frankfurt am Main, Urteil vom 18.06.2008 – 23 U 221/07 entschieden.
Datenschutzgrundverordnung seit 2018 – erhebliche Ausweitung der Rechte von Betroffenen
Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 haben sich die Anforderungen an Banken und Finanzinstitute im Umgang mit personenbezogenen Daten erheblich verschärft. Die DSGVO stellt klare Regeln auf, die sowohl die rechtmäßige Verarbeitung als auch den Schutz dieser Daten betreffen. Banken stehen vor der Herausforderung, die umfangreichen Regelungen einzuhalten und gleichzeitig das Vertrauen ihrer Kunden zu sichern.
Ein zentrales Element der DSGVO ist die Rechtmäßigkeit der Datenverarbeitung, die nur unter bestimmten Voraussetzungen erfolgen darf. Häufig beruft sich der Bankensektor hierbei auf die Erfüllung von Verträgen oder gesetzliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. b und lit. c DSGVO. Eine lückenlose Rechenschaftspflicht erfordert zudem die sorgfältige Dokumentation aller Datenverarbeitungsprozesse. Dies dient nicht nur der internen Kontrolle, sondern auch als Nachweis gegenüber Aufsichtsbehörden.
Die DSGVO hat mit dem Prinzip des Datenschutzes by Design und by Default neue Standards etabliert. Banken müssen Datenschutzmaßnahmen bereits in der Planungsphase technischer Systeme berücksichtigen und sicherstellen, dass nur die für den jeweiligen Zweck notwendigen Daten verarbeitet werden. Ein weiteres Kernelement ist das Löschkonzept, das die rechtzeitige und ordnungsgemäße Löschung personenbezogener Daten regelt, sofern gesetzliche Aufbewahrungsfristen abgelaufen sind.
Aktuelle Entwicklungen verdeutlichen die zunehmende Bedeutung des Datenschutzes. Verstärkte Prüfungen durch Datenschutzaufsichtsbehörden und hohe Bußgelder für Verstöße zeigen, dass die DSGVO nicht nur auf dem Papier existiert. Zudem haben wichtige Gerichtsentscheidungen, wie das Urteil des OLG Düsseldorf (Az. I-10 U 69/06), die Anforderungen an die sorgfältige Interessenabwägung bei der Weitergabe von Daten, beispielsweise an die Schufa, unterstrichen. Betroffene können bei unzulässiger Datenübermittlung nicht nur den Widerruf fordern, sondern auch Schadensersatzansprüche geltend machen.
Die verschärften Anforderungen haben tiefgreifende Konsequenzen für Banken. Sie müssen nicht nur technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen, sondern auch ihre Prozesse und Systeme regelmäßig überprüfen. Transparenz spielt dabei eine entscheidende Rolle: Kunden müssen verständlich und umfassend darüber informiert werden, wie ihre Daten verarbeitet werden. Ergänzend dazu sind regelmäßige Mitarbeiterschulungen erforderlich, um sicherzustellen, dass Datenschutzmaßnahmen in der täglichen Arbeit konsequent umgesetzt werden. Bei risikobehafteten Datenverarbeitungen sind außerdem Datenschutz-Folgenabschätzungen durchzuführen, um mögliche Risiken frühzeitig zu erkennen und zu minimieren.
Insgesamt hat die DSGVO den Datenschutz im Bankensektor auf ein neues Niveau gehoben. Für Finanzinstitute bedeutet dies nicht nur erhöhte Anforderungen, sondern auch die Chance, durch transparente und datenschutzkonforme Prozesse das Vertrauen ihrer Kunden zu stärken und rechtliche Risiken zu minimieren. Der fortlaufende Dialog zwischen Banken, Aufsichtsbehörden und Kunden wird auch in Zukunft entscheidend sein, um den Datenschutz weiterzuentwickeln und an neue Herausforderungen anzupassen.
Fünftens Urteile wegen Schadensersatz nach der Datenschutzgrundverordnung
Heute kommt es nicht mehr auf Vorsatz oder Fahrlässigkeit bei falscher Datenübermittlung an, sondern es gilt der Art. 82 Datenschutzgrundverordnung, der grundsätzlich Schadenersatz zuspricht.
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat sich die Rechtsprechung zu Schadensersatzansprüchen bei Datenschutzverstößen erheblich weiterentwickelt. Ein zentrales Element ist dabei Artikel 82 DSGVO, der betroffenen Personen bei Verstößen gegen die Verordnung einen Anspruch auf Schadensersatz für materielle und immaterielle Schäden gewährt.
Entwicklung der Rechtsprechung:
In den letzten Jahren haben verschiedene Gerichte, einschließlich des Europäischen Gerichtshofs (EuGH), wichtige Entscheidungen zur Auslegung von Artikel 82 DSGVO getroffen:
•EuGH-Urteil vom 4. Mai 2023 (Rechtssache C-300/21): Der EuGH stellte klar, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch begründet. Vielmehr muss ein konkreter materieller oder immaterieller Schaden nachgewiesen werden, der kausal auf den Verstoß zurückzuführen ist. Zudem lehnte der EuGH die Einführung einer Erheblichkeitsschwelle ab, sodass auch geringfügige Beeinträchtigungen ersatzfähig sein können.
•EuGH-Urteil vom 11. April 2024 (Rechtssache C-741/21): In dieser Entscheidung betonte der EuGH, dass ein Verstoß gegen die DSGVO allein nicht ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen. Es muss ein tatsächlicher Schaden nachgewiesen werden, wobei bereits Gefühle wie Ärger oder Frustration als immaterieller Schaden anerkannt werden können.
•EuGH-Urteil vom 20. Juni 2024 (Rechtssachen C-182/22 und C-189/22): Der Gerichtshof entschied, dass die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen ersatzfähigen immateriellen Schaden darstellen kann, sofern diese Befürchtung unter den gegebenen Umständen als begründet angesehen werden kann.
Nationale Rechtsprechung:
Auch nationale Gerichte haben sich mit Schadensersatzansprüchen nach Artikel 82 DSGVO auseinandergesetzt:
•Oberlandesgericht Dresden, Beschluss vom 29. August 2023 (Az. 4 U 1078/23): Das Gericht sprach einem Kläger 1.500 Euro Schmerzensgeld zu, da seine personenbezogenen Daten unrechtmäßig verarbeitet wurden.
•Bundesgerichtshof (BGH), Urteil vom 18. November 2024 (Az. VI ZR 10/24): Der BGH entschied, dass Facebook-Nutzer, deren Daten illegal abgegriffen und im Internet verbreitet wurden, grundsätzlich Anspruch auf Schadensersatz haben. Dabei genügt der Verlust der Kontrolle über die eigenen Daten, ohne dass ein konkreter wirtschaftlicher Schaden nachgewiesen werden muss.
Fazit
Gibt eine Bank ungerechtfertigt Daten von Kunden an Dritte weiter, lohnt es sich für den Betroffenen in den meisten Fällen, entsprechende Schadensersatzansprüche geltend zu machen. Der Geschädigte kann Anwaltskosten zurückfordern und Schäden einklagen, die etwa dadurch entstehen, dass Dritte aufgrund der vermeintlichen Solvenzprobleme des Kunden diesem keinen Kredit mehr gewähren oder den Abschluss eines Vertrags verweigern. Bei triftigen Ehrverletzungen sind sogar Ansprüche auf Schmerzensgeld denkbar. Diese Rechtslage hat sich zu Gunsten der Kunden von Banken wesentlich verbessert. Während ursprünglich nur vorsätzliche Handlungen (Tritt gegen das Knie) vor Gericht diskutiert wurden, führen heute bereits Datenlecks zu Schadenersatzansprüchen.
Dr. Thomas Schulte, Rechtsanwalt in Berlin (Malteserstraße 170, 12277 Berlin, Telefon: 030 – 22 19 220 20, E-Mail: dr.schulte@dr-schulte.de)
Mehr Informationen finden Sie auf der offiziellen Website von Dr. Schulte sowie in seinem Artikel zur Rechtsprechung der Schufa-Einträge. Aktuelle Entwicklungen zur Schufa und Datenschutz können auch auf DSGVO-Portal und Bundesdatenschutzseite nachgelesen werden.
