Schufaeintrag und Auswirkungen des Artikels 21 DSGVO: Wie man sich gegen ungerechtfertigte „Schulnoten“ im Wirtschaftsleben wehren kann? Urteile lassen aufmerken. Von Dr. Thomas Schulte, Rechtsanwalt in Berlin
Die Schufa Holding AG ist ein privates Unternehmen, das sich über die Jahre eine beachtliche Machtposition erarbeitet hat. Ursprünglich als „Schutzgemeinschaft für allgemeine Kreditsicherung“ gegründet, fungiert die Schufa heute wie ein strenger Lehrer, der den Verbrauchern „Noten“ verteilt. Wer eine schlechte Bewertung erhält, sieht sich oft mit harten Konsequenzen konfrontiert: kein Kredit, kein Mietvertrag, kein Autoleasing, nicht einmal ein Handyvertrag. Die rechtliche Grundlage für die Schufa und ähnliche Auskunfteien findet sich in der Datenschutz-Grundverordnung (DSGVO). Laut Artikel 6 Absatz 1 lit. f DSGVO ist die Verarbeitung von Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen (hier die Schufa) oder eines Dritten erforderlich ist, es sei denn, die Interessen oder Grundrechte der betroffenen Person überwiegen. Die DSGVO ist ein europäisches Datenschutzrecht und regelt streng den Umgang mit personenbezogenen Daten.
Wem gehören welche Daten? Rechtskultur der Daten von Privaten
Grundsätzlich gilt wohl global, dass in manchen Rechtssystemen wie China die Daten dem Staat gehören, in den USA gehören die Daten den Unternehmen und in Europa gehören die Daten den jeweiligen Personen. Diese unterschiedliche Bewertung führt vielfach zu Konflikten, weil die Struktur des Internets von amerikanischen Konzernen gebildet wird. Die Schufa unterliegt allerdings deutschem Recht. Bei Verstößen gegen die DSGVO drohen Unternehmen erhebliche finanzielle Konsequenzen. Die Aufsichtsbehörden verhängen inzwischen regelmäßig Bußgelder in Millionenhöhe. Zusätzlich können betroffene Personen Schadensersatzansprüche geltend machen. Da DSGVO-Verstöße oft große Datenmengen betreffen, besteht das Risiko einer Vielzahl von Einzelansprüchen, die sich zu beträchtlichen Summen addieren können. Die Kombination aus behördlichen Sanktionen und zivilrechtlichen Forderungen stellt für Unternehmen ein erhebliches finanzielles Risiko dar. Die Schufa stellt sich den Herausforderungen und versucht im Rahmen der Vorgaben, rechtskonforme Lösungen zu schaffen. Da die Schufa allerdings millionenfach Daten speichert, sind Konflikte und Fehler alltäglich. Rechtlich umstritten sind besonders automatisierte Verfahren und Löschfristen.
Lösung durch Art. 21 DSGV?
Art. 21 DSGVO regelt das Widerspruchsrecht betroffener Personen gegen die Verarbeitung ihrer personenbezogenen Daten. Dieses Recht ist ein wichtiges Instrument zum Schutz der Privatsphäre, unterliegt jedoch bestimmten Voraussetzungen und Einschränkungen. Die Norm lautet: Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen. Betroffene haben also das Recht, wegen Besonderheiten Widerspruch einzulegen, um so Gerechtigkeit zu schaffen. Voraussetzung ist allerdings eine Besonderheit. Dieses Vorliegen der Besonderheit ist rechtlich überprüfbar. Besonderheiten sind unter anderem individuelle Gefährdungslage, nachgewiesene Datenschutzverletzung in der Vergangenheit mit Wiederholungsgefahr (z.B. Nötigung), bestehende vertragliche Geheimhaltungsvereinbarung oder Besonderheiten persönlicher und wirtschaftlicher Natur. Die Europäische Union formuliert bei der Einführung der Datenschutzgrundverordnung so schön und so vage: “Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen.” Dementsprechend klärt ein französisches Gericht vor dem höchsten europäischen Gericht, ob die Speicherung von Mann und Frau zulässig ist (Schlussanträge 11. Juli 2024 Rechtssache C‑394/23 EuGH). Zudem hat der EuGH unter Bezugnahme auf die Speicherdauer von Insolvenzdaten entschieden, dass diese bei der Schufa nicht länger als öffentlich gespeichert werden dürfen (EuGH, Urteil vom 7.12.2023 – C-26/22, C-64/22, UF (C‑26/22), AB (C‑64/22) gegen Land Hessen). Es gibt also einige Entscheidungen von Relevanz in Bezug auf Art. 21 DSGVO als Rettungsnorm bei speziellen Situationen.
Prüfungsmaßstab vor Gericht des Art. 21 DSGV
Voraussetzung der Prüfung ist, dass die Datenverarbeitung gemäß Art. 6 DSGV erst einmal zulässig ist. So schreibt das Oberlandesgericht Karlsruhe (Oberlandesgericht Karlsruhe Urteil vom 23.02.2021 – 14 U 3/19) zur Datenverarbeitung bei einem Betrugsverdacht schulmäßig: “… erfordert Art. 21 Abs. 1 DSGVO, dass die Gründe aufseiten der Datenverarbeitenden überwiegen, wobei diese die Beweislast trifft. Die oben ausgeführten Erwägungen begründen indessen jedoch nicht nur eine Gleichwertigkeit der Interessen, sondern, auch unter dem Gesichtspunkt der Einstellung des Strafverfahrens, ein deutliches Überwiegen der zwingenden schutzwürdigen Gründe aufseiten …” des Beschwerdeführers. …” insbesondere die Betrugsbekämpfung kann ein solcher, überwiegend schutzwürdiger Grund sein …”
Verdachtsmomente können also für die Datenverarbeitung ausreichen
Das Landgericht Augsburg (LG Augsburg, Urteil v. 11.06.2024 – 092 O 2439/23) erläutert, dass es keine Geringwertigkeitsschwelle im Sinne des Art. 21 DSGV gibt. So heißt es: “Bei der Bonitätsbewertung kann keine Geringfügigkeitsschwelle angesetzt werden. Auch das Zahlungsverhalten hinsichtlich überschaubarer Beträge lässt bei statistischer Betrachtung Aussagen über die Wahrscheinlichkeit des künftigen Zahlungsverhaltens eines Schuldners zu. Eine derartige Bewertung könnte die Beklagte nicht vornehmen, wenn ihr die Speicherung von Datensätzen hinsichtlich kleinerer Beträge verwehrt wäre (vgl. OLG Frankfurt, Beschluss vom 07.03.2024 – 19 U 161/22 S. 8).”
Konsens besteht auch, dass es keine “Pfenniggrenze“ (Geringwertigkeit) gibt. Für die Rechtsordnung gilt: “Wer den Pfennig nicht ehrt, ist des Talers nicht wert.”
Das besondere Widerspruchsrecht “setzt gemäß Art. 21 DS-GVO eine besondere Situation des Betroffenen voraus, ist also sich von den üblichen Beeinträchtigungen unterscheidenden atypischen Konstellationen von besonders schutzwürdigen persönlichen Interessen vorbehalten. Andernfalls würde die Wertung des Art. 6 Abs. 1f DS-GVO ausgehöhlt …. Eine derartige besondere Situation des Klägers liegt vorliegend, wie bereits dargestellt, nicht vor. Bei den vom Kläger behaupteten beruflichen und privaten Nachteilen handelt es sich nicht um eine atypische, sondern vielmehr um eine erwartbare Konsequenz einer Bonitätsauskunft. Diese soll potenziellen Vertragspartnern ja gerade ermöglichen, zu prüfen, ob sie mit dem Betroffenen einen Vertrag eingehen wollen oder nicht.” Als in dem Fall verspätet wertet das Gericht die Besonderheit, dass ein Immobilienkredit nicht gewährt wurde.
Es genügt also nicht zu sagen, ich fühle mich falsch behandelt, sondern die Rechtsordnung verlangt besondere Gründe, die nach den Lebenswegen und Herausforderungen besonders sein müssen. So formuliert das für die Schufa-Auskunft zuständige Oberlandesgericht (OLG) Frankfurt a.M., Urteil vom 18.01.202 – 7 U 100/22,
“Der Widerspruch dient als Korrektur, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet. Um die Wertung des Art. 6 Abs. 1 Buchstabe f DSGVO nicht auszuhöhlen, muss eine atypische Situation rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen. Es müssen konkrete Umstände des Einzelfalls eine besondere Schutzwürdigkeit des Betroffenen begründen.”
Der Begriff „besondere Gründe“ bezieht sich also auf spezifische und individualisierte Umstände, die über das hinausgehen, was in einer allgemeinen Widerspruchssituation vorliegen würde. Die Voraussetzungen sind bisher nicht ganz genau geklärt. Das heißt aber keinesfalls, dass das Recht auf Widerspruch nicht geltend gemacht werden sollte, zumal es gerichtlich überprüfbar ist.
