Auszug aus dem 43 Seiten langem Urteil
Mobilfunkanbieter dürfen Kundendaten (insb. auch Positivdaten) nicht ohne Zustimmung an die Schufa weitergeben, sagt das Landgericht München (LG München I vom 25.04.2023 (33 O 5976/22)).
Schadenersatz? Urteil Landgericht München zum Datenschutz und Kundendatenweitergabe: eine ausdrückliche Einwilligung der Kunden ist erforderlich, auch für Mobilfunkanbieter von positiven Kundendaten von Mobilfunkverträgen – Betroffene können Schadensersatz geltend machen.
Datenschutz ist heilig – auch Lob darf nicht gesammelt werden.
In einem datenschutzrechtlich guten Urteil hat das Landgericht München entschieden, dass Kundendaten aus Mobilfunkverträgen nicht ohne ausdrückliche Einwilligung an die Schufa weitergegeben werden dürfen. Dieses Urteil hat erhebliche Auswirkungen für Mobilfunkanbieter in ganz Deutschland, da es einen Präzedenzfall schafft, an den sie sich in Zukunft halten müssen.
Hintergrund – Handyvertrag an die Schufa gemeldet
Mobilfunkanbieter in Deutschland haben traditionell bei Vertragsabschluss Kundendaten an die Schufa weitergegeben. Diese Daten, die sogenannten Positivdaten, enthalten Informationen über den Vertrag, die Person und andere relevante Details. Wichtig ist, dass diese Daten auch dann an die Schufa gemeldet werden, wenn es keine Zahlungsverzögerungen oder Außenstände gibt. In dem aktuellen Fall ging es um einen Vertrag von mit der Telefonica Germany GmbH & Co. OHG – o2 Telefónica – , einem der größten Mobilfunkanbieter in Deutschland. Die rechtlichen Auswirkungen dieses Urteils gelten jedoch für alle Mobilfunkanbieter in Deutschland.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Die Klage und das Urteil
Die Verbraucherzentrale hatte gegen den Mobilfunkanbieter geklagt und vor dem Landgericht München obsiegt. Das Gericht entschied, dass allein der Abschluss eines Vertrages und die Meldung dieser positiven Daten an die Schufa gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Der Mobilfunkanbieter argumentierte, er habe ein berechtigtes Interesse an der Meldung dieser Daten, um sich vor möglichem Betrug zu schützen. Das Gericht stellte jedoch fest, dass der Schutz der Verbraucher vor willkürlicher Datenweitergabe das Interesse des Anbieters an der Betrugsbekämpfung überwiegt.
Auswirkungen und Entschädigung (Schadensersatz)
Dieses Urteil hat weitreichende Folgen für Mobilfunkanbieter, da es bestätigt, dass die Weitergabe positiver Daten ohne Zustimmung einen Verstoß gegen die Datenschutzgrundverordnung darstellt. Es legt auch fest, dass die betroffenen Personen das Recht haben, eine Entschädigung für die unbefugte Verarbeitung und Meldung ihrer Daten an die Schufa zu verlangen. Wer glaubt, dass seine Daten verletzt wurden, kann seine kostenlose Schufa-Selbstauskunft gem. Art. 15 DSGVO überprüfen, die einmal im Jahr auf der Schufa-Website abrufbar ist. Sind dort Handyverträge aufgeführt, obwohl keine Zahlungsverzögerungen oder Außenstände vorliegen, deutet dies auf eine Datenschutzverletzung hin. In solchen Fällen haben Betroffene Anspruch auf Entschädigung. Mit dem aktuellen Urteil des Landgerichts München wurde ein Präzedenzfall im Datenschutzrecht geschaffen, der es Mobilfunkanbietern untersagt, Kundendaten ohne ausdrückliche Einwilligung an die Schufa weiterzugeben. Dieses Urteil gilt für alle Mobilfunkanbieter in Deutschland und unterstreicht die Bedeutung des Schutzes von Verbraucherdaten vor willkürlicher Weitergabe. Betroffene können Schadenersatz für die unberechtigte Verarbeitung und Weitergabe ihrer Daten verlangen. Für Verbraucher ist es wichtig, sich über ihre Rechte zu informieren und die notwendigen Schritte zum Schutz ihrer persönlichen Daten zu unternehmen.
Dr. Thomas Schulte hilft als Rechtsanwalt Betroffenen, Schufa-Einträge zu löschen und Schadenersatz zu erhalten.
Datenübermittlung und Schadenersatzanspruch
Bei der Übermittlung von Daten an Auskunfteien wie die Schufa stellt sich oft die Frage der Zulässigkeit und der Folgen eines möglichen Datenschutzverstoßes. Mobilfunkanbieter wie Vodafone oder Telekom und andere Vertragspartner übermitteln personenbezogene Daten von Kunden an die Schufa, die sie zur Berechnung des sogenannten Score-Wertes nutzt. Dieser Score-Wert dient der Einschätzung der Kreditwürdigkeit einer Person. Besonders umstritten ist die Übermittlung sogenannter Positivdaten, also Informationen über den Abschluss und die Erfüllung von Verträgen, die keinen negativen Aspekt zur Bonität der betreffenden Person aufweisen.
Die Datenschutz-Grundverordnung (DSGVO) bildet hier die wesentliche Rechtsgrundlage, um die Datenverarbeitung zu regeln und den Schutz der Rechte von betroffenen Personen sicherzustellen. Ein zentraler Aspekt ist dabei der Schadenersatzanspruch gemäß Art. 82 DSGVO. Diese Norm eröffnet betroffenen Personen bei unrechtmäßiger Datenverarbeitung einen Anspruch auf Schadensersatz. Die Frage, ob und unter welchen Umständen ein solcher Anspruch gegen die Schufa bestehen kann, ist durch zahlreiche Urteile geprägt, darunter Entscheidungen des Landgerichts München I und des Landgerichts Frankfurt. Beide Gerichte haben festgestellt, dass die Weitergabe von Positivdaten in bestimmten Fällen gegen die DSGVO verstößt und somit die Möglichkeit eines Schadenersatzanspruchs eröffnet.
DSGVO und Schadenersatzanspruch
Art. 82 DSGVO: Voraussetzungen für den Schadenersatzanspruch
Art. 82 DSGVO stellt sicher, dass betroffene Personen bei Verstößen gegen die Datenschutzbestimmungen Schadenersatz verlangen können. Dies betrifft sowohl materielle als auch immaterielle Schäden. Der Anspruch erfordert das Vorliegen einer Aktiv- und Passivlegitimation der Parteien, einen Datenschutzverstoß, einen kausalen Schaden und ein Verschulden des Datenverarbeiters.
Die Voraussetzungen im Detail:
- Aktiv- und Passivlegitimation: Die Aktivlegitimation liegt bei den betroffenen Personen, die durch die Datenverarbeitung in ihren Rechten verletzt wurden. Die Passivlegitimation, also die Verantwortung für den Datenschutzverstoß, liegt beim Datenverarbeitenden, wie im vorliegenden Fall der Schufa oder dem die Daten übermittelnden Vertragspartner.
- Verstoß gegen die DSGVO: Ein Verstoß gegen die Datenschutzvorschriften der DSGVO ist die Voraussetzung für den Anspruch. Bei der Übermittlung von Positivdaten ohne angemessene Rechtsgrundlage sehen die Gerichte einen solchen Verstoß als gegeben an.
- Schaden: Der Schaden kann sowohl materiell als auch immateriell sein, wobei in der Praxis oft immaterielle Schäden geltend gemacht werden. Es genügt nicht allein der Datenschutzverstoß; vielmehr ist ein konkreter Nachweis eines Schadens erforderlich.
- Kausalität und Verschulden: Der Schaden muss kausal auf den Datenschutzverstoß zurückzuführen sein, und der Datenverarbeitende muss sich schuldhaft verhalten haben.
Art. 6 DSGVO: Rechtfertigung für die Datenübermittlung
Die Übermittlung personenbezogener Daten bedarf nach Art. 6 Abs. 1 DSGVO einer rechtlichen Grundlage. Die mögliche Rechtfertigung ergibt sich in der Regel durch eine der folgenden Bedingungen:
- Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 Buchstabe a DSGVO,
- Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchstabe b DSGVO,
- Berechtigtes Interesse des Datenverarbeiters gemäß Art. 6 Abs. 1 Buchstabe f DSGVO.
Insbesondere die Rechtfertigung durch ein „berechtigtes Interesse“ ist oft strittig, da die Interessen des Datenverarbeitenden und die Grundrechte der betroffenen Person gegeneinander abgewogen werden müssen. So entschied die Konferenz der Datenschutzaufsichtsbehörden (DSK), dass die Übermittlung von Positivdaten ohne Einwilligung in Mobilfunkverträgen nicht durch ein berechtigtes Interesse gerechtfertigt sei. Anders sieht es diesbezüglich bei der Übermittlung von negativen Daten (Zahlungsschwierigkeiten) aus, deren Übermittlung grundsätzlich gem. Art. 6 Abs. 1 Buchstabe f DSGVO gerechtfertigt ist. In der Praxis führen die Gerichte jedoch Einzelfallprüfungen durch, sodass eine pauschale Aussage zur Zulässigkeit der Übermittlung nicht immer möglich ist.
Gerichtliche Entscheidungen zur Datenübermittlung an die Schufa
Entscheidung des Landgerichts München I
Das Landgericht München I (Urteil vom 25. April 2023, Aktenzeichen 33 O 5976/22) urteilte, dass die Weitergabe von Positivdaten durch Mobilfunkanbieter an die Schufa gegen die DSGVO verstoßen kann, wenn keine ausreichende Rechtsgrundlage vorhanden ist. Das Gericht betonte, dass es mildere Maßnahmen zur Risikominimierung gibt, etwa durch Bonitätsprüfungen mit negativ relevanten Informationen (z.B. Zahlungsverzug). Die pauschale Übermittlung von Positivdaten ohne Anlass stellt nach Ansicht des Gerichts einen unverhältnismäßigen Eingriff in das Recht auf Datenschutz dar und begründet somit einen Datenschutzverstoß.
Entscheidung des Landgerichts Frankfurt
Auch das Landgericht Frankfurt (Urteil vom 19. März 2024, Aktenzeichen 2-10 O 691/23) kam in einem ähnlichen Fall zu dem Schluss, dass ein Schadenersatzanspruch gegen die Schufa besteht, wenn Positivdaten ohne ausreichende Rechtsgrundlage übermittelt wurden. In seinem Urteil wies das Gericht darauf hin, dass allein der Kontrollverlust über die Daten einen Schaden darstellen kann, jedoch kein Anspruch auf Schadenersatz ohne Nachweis eines konkreten immateriellen Schadens besteht. Das Gericht machte deutlich, dass für einen immateriellen Schaden auch „tatsächliche Nachteile“ wie eine Stigmatisierung erforderlich sind.
Europäischer Gerichtshof (EuGH) in der Rechtssache „Österreichische Post“
Der EuGH hat im Zusammenhang mit immateriellem Schadenersatz entschieden, dass eine bloße Verletzung der DSGVO nicht ausreicht, sondern ein konkreter Schaden nachgewiesen wird.
Ein abstrakter Kontrollverlust ohne nachweisbare Beeinträchtigung reicht demnach nicht aus. Die Rechtsprechung des EuGH betont die Notwendigkeit einer Abwägung zwischen dem Interesse der Datenverarbeitenden und den Grundrechten der betroffenen Personen.
Anforderungen an den Schadenersatzanspruch
Immaterieller Schaden
Für immaterielle Schäden sieht Art. 82 DSGVO keine Bagatellgrenze vor. Der EuGH stellte jedoch klar, dass ein bloßer Kontrollverlust über die eigenen Daten nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Betroffene konkret darlegen, wie sich der Datenschutzverstoß nachteilig auf ihn ausgewirkt hat. Die deutsche Rechtsprechung folgt dieser Linie und fordert den Nachweis einer tatsächlichen Beeinträchtigung, die über allgemeine Unzufriedenheit oder Ärger hinausgeht.
Beweislast und Kausalität
Die Beweislast für den Schaden trägt grundsätzlich der Betroffene. Er muss zeigen, dass der Verstoß gegen die DSGVO einen konkreten Schaden verursacht hat. Hierbei reicht es nicht aus, pauschal auf mögliche Risiken oder Kontrollverlust hinzuweisen. Die betroffene Person muss darlegen, dass beispielsweise durch den Eintrag bei der Schufa eine Stigmatisierung oder eine wirtschaftliche Beeinträchtigung eingetreten ist.
Berechnung der Schadenshöhe
Die Höhe des Schadenersatzes richtet sich nach dem Grad der Beeinträchtigung. In Fällen wie unrechtmäßigen Schufa-Einträgen tendieren deutsche Gerichte dazu, immaterielle Schäden mit niedrigen Beträgen im Bereich von wenigen hundert Euro zu kompensieren, sofern überhaupt ein Schadenersatzanspruch besteht. Eine Abschreckungsfunktion, wie sie der öffentlich-rechtlichen Sanktion nach Art. 83 DSGVO zukommt, ist nicht vorgesehen.
Beispielhafte Fallkonstellation
Ein Verbraucher Holger Meier aus München schließt einen Mobilfunkvertrag ab, der die Übermittlung seiner Positivdaten an die Schufa vorsieht. Er erfährt später, dass seine Informationen über den Vertragsabschluss und die pünktliche Bezahlung der Rechnungen bei der Schufa gespeichert werden. Er empfindet dies als ungerechtfertigten Eingriff in seine Privatsphäre und klagt auf Schadenersatz.
Das Landgericht prüft, ob eine ausreichende Rechtsgrundlage für die Übermittlung der Daten vorliegt. Die Schufa argumentiert, dass ein berechtigtes Interesse nach Art. 6 Abs. 1 Buchstabe f DSGVO besteht, um potenziellen Betrug zu verhindern und die Bonität von Kunden korrekt einschätzen zu können. Der Verbraucher betont jedoch, dass durch den Kontrollverlust über seine Daten ein immaterieller Schaden entstanden sei. Das Gericht gibt ihm teilweise recht, stellt jedoch fest, dass nur ein geringer Schadenersatzanspruch besteht, da er keinen nachweisbaren wirtschaftlichen Nachteil erlitten hat.
Pauschale Aussagen über das Bestehen eines Schadenersatzanspruchs sind somit weiterhin nicht möglich. Vielmehr müssen grundsätzlich die Tatbestandsvoraussetzungen des Art. 82 DSGVO sorgfältig geprüft werden. Betroffene sollten sich diesbezüglich an einen Rechtsanwalt wenden.
Bezüglich des Beispiels würde sich also folgendes Prüfungsschema ergeben:
- Herr Meiers Daten wurden in Gestalt seines Namens und Geburtsdatums durch die Schufa verarbeitet. Eine Aktiv- und Passivlegitimation ist somit gegeben.
- Der oben dargestellten Auffassung in der Rechtsprechung folgt, ist auch keine Rechtfertigung im Sinne von Art. 6 DSGVO gegeben. Die Datenverarbeitung ist somit auch rechtswidrig.
- Es besteht ein immaterieller Schaden, der im Einzelfall gerichtlich festgestellt werden muss.
- Kausalität zwischen Datenschutzverstoß und dem Schaden ist gegeben. Die Schufa hat diesen auch zu verschulden.
Fazit: Wann haben Betroffene Anspruch auf Schufa-Schadenersatz?
Rechtsanwalt Dr. Schulte gibt zu bedenken, dass die Durchsetzung eines Schadenersatzanspruchs gegen die Schufa nicht einfach ist – aber möglich. Vier wichtige Punkte sind dabei entscheidend: Der Anspruch besteht nur, wenn die betroffene Person durch die Verarbeitung ihrer Daten nachweislich geschädigt wurde und die Schufa oder der Datenverarbeitende schuldhaft gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen haben. Zusätzlich müssen konkrete Beeinträchtigungen, die über einen einfachen Kontrollverlust hinausgehen, nachgewiesen werden.
Besonders schwierig ist die Geltendmachung von immateriellen Schäden – pauschale Ärgernisse reichen meist nicht aus. Betroffene sollten die Rechtfertigungsgründe der Schufa genau prüfen und sich im Zweifel rechtliche Unterstützung holen, um die komplexen Voraussetzungen für einen Schadenersatzanspruch nach Art. 82 DSGVO zu erfüllen.
