Übermittlung von Positivdaten an die Schufa – ein Gericht ist skeptisch

Wer einen Mobilfunkvertrag abgeschlossen hat, wird vielleicht auch im Kleingedruckten schon einmal die Information gelesen haben, dass Daten an die Schufa übermittelt werden. Gefühlt kennt die Schufa jeden von uns und weiß, wie es um unsere Finanzen steht. Und genau um dieses Gefühl geht es in einer Vorlagefrage des Landgerichts (LG) Lübeck (Entscheidung vom 04.09.2025, Az.: 15 O 12/24).

Vor dem LG Lübeck klagte ein Verbraucher gegen ein Telekommunikationsunternehmen auf Schmerzensgeld. Hintergrund der Klage ist ein zwischen dem Kläger und dem beklagten Unternehmen geschlossener Mobilfunkvertrag, im Rahmen dessen der Kläger eine SIM-Karte sowie Zugang zum Mobilfunknetz erhielt. Bei Vertragsschluss übermittelte die Beklagte dem Kläger eine Information zur Datenverarbeitung. Darin wurde u. a. darauf hingewiesen, dass sog. „Positivdaten“ – darunter Name, Geburtsdatum, IBAN und Vertragsdaten – an die SCHUFA Holding AG (Schufa) weitergegeben werden. Die Beklagte berief sich dabei auf ein berechtigtes Interesse an der Datenübermittlung, insbesondere zur Minimierung von Zahlungsausfallrisiken und zur Betrugsprävention – so ein entsprechender Passus in der Information. Positivdaten sind solche Informationen, die kein Fehlverhalten erkennen lassen. Im Gegensatz dazu beziehen sich „Negativdaten“ vor allem auf Zahlungsverzug, Mahnungen und ähnliche Sachverhalte. Im vorliegenden Fall geht es also um Daten, die keinen unmittelbaren Rückschluss auf ein Zahlungsausfallrisiko zulassen.

Die Beklagte übermittelte die Positivdaten an die Schufa – ohne, dass eine ausdrückliche Einwilligung des Klägers vorlag.

Ungefähr zwei Jahre später veröffentlichte die Schufa eine Pressemitteilung, in der sie mitteilte, dass Telekommunikationsdaten aus den Konten gelöscht werden. In diesem Zusammenhang erwähnte sie, dass sie über Informationen zu rund 68 Millionen natürlichen Personen verfüge. Die Schufa wies darauf hin, dass Positivdaten in die Berechnung des Bonitätsscores einfließen, da sie das Risiko eines Zahlungsausfalls beeinflussen könnten. Daraufhin verklagte der Mann das Telekommunikationsunternehmen. Er behauptete, nichts von der Übermittlung seiner Vertragsdaten gewusst zu haben und vermutete, dass diese sich negativ auf seinen Schufa-Score ausgewirkt hätten. Dies habe zu Einschränkungen in seiner Lebensgestaltung geführt.

Aus diesem Grund forderte der Kläger die Unterlassung der zukünftigen Übermittlung von Positivdaten an Wirtschaftsauskunfteien ohne seine ausdrückliche Einwilligung, ein Schmerzensgeld in Höhe von mindestens 5.000 Euro, sowie die Ersatzpflicht für sämtliche Folgeschäden, die durch die aus seiner Sicht unbefugte Datenverarbeitung entstanden sind.

Das Gericht hat nun Fragen an den Europäischen Gerichtshof (EuGH) zur Auslegung der DSGVO, da nur der EuGH über die Auslegung von Europarecht entscheiden kann.

Ist Art. 6 Abs. 1 lit. f DSGVO anwendbar?

Das LG Lübeck setzte sich in der mündlichen Verhandlung mit der Frage auseinander, ob Art. 6 Abs. 1 lit. f DSGVO eine taugliche Rechtsgrundlage für die Übermittlung von Positivdaten an die Schufa darstellen kann. Dem Gericht kamen Zweifel, da die Übermittlung solcher Daten einen erheblichen Eingriff in das Grundrecht auf Datenschutz gemäß Art. 8 der EU-Grundrechtecharta darstellt. Nach Auffassung des Gerichts könnte Art. 6 Abs. 1 lit. f DSGVO nicht hinreichend bestimmt sein, um als tragfähige Grundlage für die massenhafte Übermittlung von Positivdaten zu dienen – insbesondere angesichts des damit verbundenen Grundrechtseingriffs. Diese Zweifel stützt das Gericht u. a. auf das Fehlen klarer gesetzlicher Vorgaben hinsichtlich Art und Umfang der übermittelbaren Daten, der Speicherdauer bei der Schufa, zulässiger Verwendungszwecke sowie der Weitergabe an Dritte.

Zudem äußerte das Gericht grundsätzliche Bedenken, ob die komplexe Materie der Datenübermittlung und -verarbeitung allein durch Einzelfallentscheidungen der Gerichte im Wege der Interessenabwägung hinreichend geregelt werden kann. Vielmehr sieht das Landgericht den europäischen Gesetzgeber in der Pflicht, klare und präzise Regelungen zu erlassen – oder dem nationalen Gesetzgeber entsprechende Spielräume zu eröffnen.

Vor diesem Hintergrund legte das LG Lübeck dem EuGH die Frage vor, ob Art. 6 Abs. 1 lit. f DSGVO überhaupt als Rechtsgrundlage für die hier streitgegenständliche Datenübermittlung herangezogen werden kann.

Kann Scoring zulässig sein?

Selbst wenn Art. 6 Abs. 1 lit. f DSGVO als taugliche Rechtsgrundlage für die Datenübermittlung gelten sollte, äußerte das LG Lübeck erhebliche Zweifel an der Zulässigkeit der darauf aufbauenden Profilbildung durch Scoring.

Das Gericht nahm eine grundrechtliche Abwägung vor zwischen dem Interesse der Unternehmen am Schutz ihrer finanziellen Risiken und dem Recht der betroffenen Personen auf Datenschutz gemäß Art. 8 EU-Grundrechtecharta. Zwar erkannte es das wirtschaftliche Interesse der Unternehmen als grundsätzlich berechtigt an. Die Erstellung von Persönlichkeitsprofilen durch sog. Scoring stelle jedoch einen besonders intensiven Eingriff in das Grundrecht auf Datenschutz dar. Denn sie betreffe nicht nur einzelne Datenpunkte, sondern führe zu einer umfassenden Bewertung der betroffenen Person, die erhebliche Auswirkungen auf deren wirtschaftliche Teilhabe haben könne.

Das Gericht hob dabei die Eingriffsintensität hervor – insbesondere vor dem Hintergrund, dass rund 68 Millionen natürliche Personen betroffen sind.

Zwar stellte das Gericht nicht in Abrede, dass auch Positivdaten zur Betrugsprävention beitragen können. Für die betroffenen Personen sei jedoch regelmäßig nicht nachvollziehbar, wie ihr individueller Score zustande komme. Die Erstellung eines Gesamtscores erfolge durch die Verknüpfung einer Vielzahl an sich nicht miteinander verbundenen Datenpunkten, die von einer kaum überschaubaren Zahl datenverarbeitender Akteure gemeldet und von der Schufa in einem intransparenten System verarbeitet würden.

Dieses Informationsdefizit verstärke das strukturelle Ungleichgewicht zwischen Verbraucher und Auskunftei. Das Gericht spricht in diesem Zusammenhang von einem mittelbaren Zwang zur Preisgabe persönlicher Informationen, um eine negative Bewertung zu vermeiden. Dies habe auch einen schwächenden Einfluss auf die Vertragsautonomie natürlicher Personen, die eigentlich die freie Entscheidung über Vertragsabschlüsse gewährleisten soll.

In der Gesamtschau kam das Gericht zu dem Schluss, dass das Zusammenwirken von Schufa und Kreditinstituten auf eine anlasslose Vorratsdatensammlung hinauslaufe – obwohl weder ein konkretes Zahlungsausfallrisiko noch ein Verdacht auf Identitätsdiebstahl oder betrügerisches Verhalten bestehe.

Auch sah das Gericht keine Rechtsgrundlage in § 31 BDSG, da es hier um „Negativdaten“ gehe und nicht um „Positivdaten“. Zuletzt verweist das Gericht auf die Datenschutzkonferenz (DSK), die in ihrem Beschluss vom 11.06.2018 eine Auskunft von Positivdaten nur auf eine wirksame Einwilligung stützen will.

Hinzu komme, dass die Datenerhebung nicht auf ein konkretes Fehlverhalten gestützt sei. Vielmehr erfolge die Übermittlung der Positivdaten pauschal nach Vertragsschluss – unabhängig davon, ob ein Anlass für eine Risikobewertung bestehe. Diese anlasslose Datensammlung betreffe eine Vielzahl von Verbrauchern und erfolge ohne deren aktive Zustimmung.

Das LG Lübeck äußerte erhebliche Zweifel daran, dass die Interessen der datenverarbeitenden Unternehmen – etwa zur Betrugsprävention oder Risikominimierung – die gegenläufigen Grundrechte der betroffenen Personen überwiegen können. Insbesondere bei der Verwendung von Positivdaten zur Profilbildung erscheine eine Interessenabwägung zugunsten der Unternehmen nicht gerechtfertigt. Die Erstellung von Persönlichkeitsprofilen durch Scoring stelle einen besonders intensiven Eingriff in das Recht auf Datenschutz dar. Sie führe zu einer umfassenden Bewertung der betroffenen Person und könne deren wirtschaftliche Teilhabe erheblich beeinflussen.

Vor diesem Hintergrund legt das LG Lübeck dem EuGH die Frage vor, ob die Übermittlung von Positivdaten an die Schufa ohne ausdrückliche Einwilligung der betroffenen Person mit der DSGVO vereinbar ist.

Besteht ein Schaden auch bei kurzzeitigem Kontrollverlust?

Unter der Voraussetzung, dass die Datenübermittlung gegen die DSGVO verstößt, geht das Gericht davon aus, dass auch bei einem kurzzeitigen Kontrollverlust ein Schaden begründet wird und verweist auf die einschlägige Rechtsprechung des Bundesgerichtshofs (BGH-Urteil vom 18.11.2024 – IV ZR 10/24, wir berichteten)

Daher fragt das Landgericht an, ob ein schadensbegründender Kontrollverlust vorliegt, wenn Positivdaten an die Schufa übermittelt und dort erst nach über einem Jahr gelöscht werden.

Fazit

Das Landgericht rüttelt an dem Geschäftsmodell der Schufa. Sollte der EuGH zu dem Ergebnis gelangen, dass die Datenübermittlung gegen geltendes Recht verstößt, ist das Modell hinfällig. Dass der EuGH im Sinne des LG Lübeck urteilen wird, könnte man schon aus dem letzten Fall des EuGH zur Schufa ableiten.

Dass eine Einwilligung tragfähig sein kann, wie die DSK es fordert, scheint das LG Lübeck ebenfalls skeptisch zu sehen, da jede Einwilligung freiwillig sein muss. Das bezweifelt das Gericht aber schon deswegen, weil es derzeit die Vertragsautonomie und damit die Freiheit des Vertragsschlusses durch Verbraucher eingeschränkt sieht.

Wenn die Schufa Bestand haben soll, muss daher wohl der Gesetzgeber tätig werden, um das Geschäftsmodell zu retten.