Schufa: Betrugsprävention gilt als berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit f) DSGVO

Nach der EuGH-Rechtsprechung (Urt. v. 4.7.2023, C-252/21) sind Verarbeitungen personenbezogener Daten nach Art. Art. 6 Abs. 1 lit. f) DSGVO unter drei kumulativen Voraussetzungen rechtmäßig: Was als berechtigtes Interesse zu gelten hat, bestimmt Art. 6 Abs. 1 lit f) DSGVO zwar nicht ausdrücklich näher. Anhalt bietet jedoch der Erwägungsgrund Nr. 47 zur DSGVO. Darin wird die Betrugsprävention ausdrücklich genannt.

Der Sachverhalt:
Der Kläger begehrte Schadensersatz für immaterielle Schäden, Unterlassung und die Feststellung der Ersatzpflicht der Beklagten für künftige materielle und immaterielle Schäden. Die Beklagte hatte nach Abschluss eines sog. Postpaid-Mobiltelefonvertrags mit dem Kläger personenbezogene Positivdaten aus dem Vertrag an die Auskunftei Schufa Holding AG (Schufa) weitergeleitet. Der Kläger sah darin einen Verstoß gegen Regelungen der DSGVO und berief sich explizit auf Ansprüche aus Art. 82 Abs. 1 DSGVO.

Das LG hat die Klage abgewiesen. Das OLG hat die hiergegen gerichtete Berufung des Klägers zurückgewiesen.

Die Gründe:
Der Kläger hat gegen die Beklagten keinen Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO, da die (unstreitig) von der Beklagten vorgenommenen Übermittlung von sog. Positivdaten aus dem Mobilfunkvertrag an die Schufa gerechtfertigt war und damit kein Verstoß gegen Regelungen der DSGVO vorlag.

Zwar ist in der Rechtsprechung und Literatur umstritten, ob die von der Beklagten behaupteten Interessen an der Datenübermittlung, namentlich Betrugsprävention, Überschuldungsprävention und Ermöglichung von Ausfallrisikoprognosen das Recht des Kunden auf informationelle Selbstbestimmung überwiegen und damit der Rechtfertigungsgrund des Art. 6 Abs. 1 lit. f) DSGVO vorliegt. Der Senat schließt sich allerdings der mehrheitlich vertretenen Auffassung an, wonach die mit der Weitergabe der Daten erfolgte Verarbeitung (Art. 4 Nr. 2 DSGVO) nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt war.

Nach der EuGH-Rechtsprechung (Urt. v. 4.7.2023, C-252/21) sind Verarbeitungen personenbezogener Daten nach Art. Art. 6 Abs. 1 lit. f) DSGVO unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Diese Voraussetzungen für eine rechtmäßige Datenübermittlung lagen hier vor. Ein berücksichtigungsfähiges Interesse i.S.d. Art. 6 Abs. 1 lit f) DSGVO lag hier jedenfalls mit dem Ziel der Betrugsprävention vor. Was als berechtigtes Interesse zu gelten hat, bestimmt die Vorschrift zwar nicht ausdrücklich näher. Anhalt bietet jedoch der Erwägungsgrund Nr. 47 zur DSGVO. Der Begriff ist im Ausgangspunkt weit zu verstehen und umfasst jedes von der Rechtsordnung anerkannte Interesse. Damit werden nur solche Interessen ausgenommen, die von der Rechtsordnung abgelehnt werden. Zu den anerkannten Interessen zählen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen. Bloße Allgemeininteressen reichen demgegenüber nicht aus. Insbesondere die Betrugsprävention wird in Erwägungsgrund Nr. 47 ausdrücklich genannt.

Auch ein in milderes Mittel war hier nicht ersichtlich. So ist die Übermittlung von sog. Positivdaten über den Abschluss von Verträgen im Vergleich zu stigmatisierenden Negativdaten regelmäßig als deutlich geringfügiger einzustufen. Dies gilt auch deshalb, weil das Fehlen von Positivdaten als den Score-Wert begünstigende Faktoren zu einem „negative bias“ führen kann. Soweit teilweise vertreten wird, dass eine Betrugsprävention auch durch mildere Maßnahmen erreicht werden könne, etwa durch eine personalintensivere Akquise mit höheren Kontrollschwellen oder durch geänderte Leistungskonzepte, werden diese dem hochautomatisierten Massengeschäft der Telekommunikationsdienstleister nicht gerecht und sind in Folge dessen möglicherweise ein milderes, aber kein geeignetes Mittel zur Erreichung des legitimen Interesses. Somit überwogen die Interessen oder Grundfreiheiten und Grundrechte des Klägers gegenüber den oben dargestellten berechtigten Interessen von Dritten nicht.

Mehr zum Thema:

News
Erledigte Forderungen müssen unverzüglich gelöscht werden
OLG Köln v. 10.4.2025 - 15 U 249/24

Beratermodul Datenschutzrecht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! Das Komplettangebot zum Datenschutzrecht. 4 Wochen gratis nutzen!

Beratermodul IT-Recht
Otto Schmidt Answers optional dazu buchen und die KI 4 Wochen gratis nutzen! Die Answers-Lizenz gilt für alle Answers-fähigen Module, die Sie im Abo oder im Test nutzen. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!