Hintergrund
Telekommunikationsunternehmen informierten die Schufa bis vor Kurzem darüber, wenn sie einen Vertrag mit einem Kunden abgeschlossen hatten. Diese Informationen wurden von der Schufa zur Berechnung der Bonität genutzt. Kurzzeitig laufende Verträge oder eine als zu hoch eingestufte Anzahl gleichzeitig bestehender Verträge führten zu einer Verringerung des Schufa-Scores. Im Gegensatz dazu wurde die Bonität positiver bewertet, wenn es sich um langfristige Verträge mit einem Anbieter handelte.
Die Übertragung dieser Daten führte dazu, dass Schlussfolgerungen zur Kreditwürdigkeit einer Person gezogen wurden, ausschließlich aufgrund des Bestehens von Vertragsbeziehungen, ohne dabei konkrete Informationen über die tatsächliche Zahlungsfähigkeit der Person zu erfassen.
Bereits seit Einführung der DS-GVO im Jahr 2018 befanden sich Telekommunikationsanbieter und die Schufa in Konflikten mit Datenschutzexperten. Die Datenschutzkonferenz (DSK) hatte mehrfach betont, dass die Verarbeitung von Daten über den Abschluss von Verträgen ohne die Einwilligung der betroffenen Person einen Verstoß gegen die DS-GVO darstelle.
Exkurs: Datenverarbeitung von Auskunfteien
Auskunfteien sind private, gewerbliche Unternehmen, die spezifische Informationen über die Identität, Bonität, Zahlungsfähigkeit und Zahlungsbereitschaft von Einzelpersonen und Unternehmen sammeln. Insbesondere arbeiten Kreditinstitute, Kreditkarten- und Leasinggesellschaften sowie andere Unternehmen, die Vorleistung erbringen und damit ein Kreditrisiko eingehen, mit Auskunfteien zusammen. Informationen zur Kreditwürdigkeit werden aber auch von Versicherungen, Vermietern und Ärzten abgefragt.
Auskunfteien dürfen auf der Grundlage von Art. 6 Abs. 1 lit. f) DS-GVO sogenannte Identifikationsdaten und Negativdaten sammeln und verarbeiten. Identifikationsdaten umfassen beispielsweise Name, Adresse, Geburtsdatum und die frühere Anschrift einer betroffenen Person. Die Verarbeitung dieser Daten zielt darauf ab, die Informationen korrekt zuzuordnen und Personenverwechselungen zu vermeiden. Negativdaten sind Informationen über negative Zahlungserfahrungen, die an eine Auskunftei gemeldet werden dürfen, wenn eines der folgenden Indizien vorliegt:
- Die Forderung wurde durch ein rechtskräftiges oder vorläufig vollstreckbares Urteil festgestellt oder es liegt ein Schuldtitel nach § 794 ZPO vor
- Die Forderung wurde nach § 178 InsO festgestellt und vom Schuldner im Prüfungstermin nicht bestritten
- Die betroffene Person hat die Forderung ausdrücklich anerkannt
- Der betroffenen Person wurde nach Eintritt der Fälligkeit mindestens zweimal schriftlich gemahnt, wobei die erste Mahnung mindestens 4 Monate zurückliegt. Die betroffene Person wurde über eine mögliche Berücksichtigung durch eine Auskunftei informiert und die Forderung wurde nicht bestritten
- Das der Forderung zugrunde liegende Vertragsverhältnis kann aufgrund von Zahlungsrückständen fristlos gekündigt werden und die betroffene Person wurde zuvor über eine mögliche Berücksichtigung durch die Auskunftei informiert
Grundsätzlich können Kreditinstitute gemäß Art. 6 Abs. 1 lit. f) DS-GVO auch sogenannte Positivdaten an Auskunfteien übermitteln. Positivdaten sind dabei Informationen, die bei Vertragsschluss entstehen, wie z.B. die Art des Vertrags, das Datum des Vertragsabschlusses oder die Laufzeit des Vertrages. Es ist wichtig zu betonen, dass diese Daten keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten der betroffenen Person beinhalten.
Im Kontext von Kreditinstituten können Positivdaten beispielsweise Informationen sein, die mit der Begründung, ordnungsgemäßen Durchführung und Beendigung von Kredit- und Giroverträgen sowie Bürgschaften in Verbindung stehen.
Auskunfteien dürfen jedoch Positivdaten in der Regel nicht auf Grundlage von Art. 6 Abs. 1 lit. f) DS-GVO verarbeiten. Dies liegt daran, dass in der Regel das schutzwürdige Interesse der betroffenen Person überwiegt, selbst über die Verwendung der Daten zu bestimmen. Dies gilt auch für die Übermittlung von Daten an Auskunfteien. Möchte eine Auskunftei von einem Unternehmen, das nicht als Kreditinstitut agiert, Positivdaten von Einzelpersonen erheben, ist hierfür eine Einwilligung nach Art. 6 Abs.1 lit. a DS-GVO erforderlich. Die Anforderungen an eine Einwilligung sind jedoch hoch und werden in den meisten Fällen nicht erfüllt.
Auskunfteien dürfen Daten so lange speichern, wie sie für den Zweck, für den sich gespeichert wurden, erforderlich sind. Daher sind Daten zum Zahlungsverkehr spätestens dann zu löschen, wenn sie keine belastbare Aussagekraft mehr für die Bonität haben. Sobald dieser Zeitpunkt eingetreten ist, besteht für die Auskunfteien die Verpflichtung zur Löschung. Um Rechtssicherheit zu gewährleisten, hat der Verband der Auskunfteien Verhaltensregeln zur Speicherdauern im Sinne des Art. 40 DS-GVO (Code of Conduct) formuliert. Demnach sollen Daten zum Zahlungsverhalten drei Jahre nach der Erledigung des gespeicherten Ergebnisses gelöscht werden.
Als Einzelperson kann man Auskunft über die zur eigenen Person gespeicherten Daten, den Zweck und die Dauer der Speicherung, die Herkunft und die Empfänger der Daten bei der Auskunftei verlangen. Darüber hinaus haben betroffene Personen beim Scoring-Verfahren das Recht Auskunft über den vergebenen Score-Wert zu erhalten, einschließlich aussagekräftiger Informationen über die zugrundeliegende Logik. Weiterhin haben betroffene Personen das Recht auf Berichtigung, Einschränkung der Verarbeitung und Löschung (Art. 16, 17, 18 DS-GVO), wenn die Auskunftei unrichtige Informationen führt.1
Urteil des LG München
In einem Urteil (Az. 33 O 5976/22) vom 25.04.2023 hat das LG München I entschieden, dass die Übermittlung von Positivdaten an die Schufa durch den Telekommunikationsanbieter Telefónica/ O2 einen Verstoß gegen Art. 5 und Art. 6 DS-GVO darstelle und daher rechtswidrig sei.
Die Klägerin in diesem Fall war die Verbraucherzentrale Nordrhein-Westfalen, die gegen Telefónica vorging. Der Vorwurf lautete, dass Telefónica Positivdaten an die Schufa weitergegeben habe, ohne die erforderliche Einwilligung der betroffenen Personen einzuholen.
Das Gericht entschied, dass Telefónica die Verarbeitung weder auf die Erforderlichkeit zur Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b) DS-GVO noch auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DS-GVO stützen könne.
Die Datenverarbeitung sei zum einen nicht von Art. 6 Abs. 1 lit. b) DS-GVO gedeckt, da zur Erfüllung des Vertrages bzw. zur Durchführung von vorvertraglichen Maßnahmen keine Übermittlung der Daten erforderlich sei. Das Vertragsverhältnis stehe somit nicht in direktem Zusammenhang mit der Übermittlung von Positivdaten an Auskunfteien. Die bloße Reduzierung von Risiken durch die Weitergabe von Positivdaten begründet nicht die rechtliche Notwendigkeit einer solchen Übermittlung. Des Weiteren sei die Datenverarbeitung auch nicht von Art. 6 Abs. 1 lit. f) DS-GVO gedeckt, da die Interessen der betroffenen Personen an dem Schutz ihrer Daten überwiegen.
Das Urteil des LG München ist jedoch noch nicht rechtskräftig, da Telefónica Berufung gegen das Urteile eingelegt hat.
Die Entscheidung der Schufa
Am 20.10.2023 verkündete die Schufa die Entscheidung, die Daten von 20 Millionen Handynutzern zu löschen, die in Absprache mit den betroffenen Telekommunikationsunternehmen getroffen wurde. Nach Angaben der Schufa wurde die Übermittlung dieser Daten bereits Anfang 2022 gestoppt, jedoch wurden die erhobenen Daten bisher noch nicht gelöscht. Diese Maßnahme könnte nun einen langjährigen Streit beenden.
Es ist jedoch fraglich, ob der Zeitpunkt der Löschung in Verbindung mit der Ankündigung zweier Kölner Anwaltskanzleien steht, die Anfang Oktober angekündigt haben, tausende Klagen gegen Telekommunikationsunternehmen wegen rechtswidriger Datenweitergabe an die Schufa einzureichen.
Um gegen die Telekommunikationsunternehmen klagen zu können, benötigen die Betroffenen eine Datenkopie von der Schufa, aus der hervorgeht, dass ihre Handyvertragsdaten tatsächlich dort gespeichert sind. Es besteht nun die Befürchtung, dass durch die Löschung der Daten seitens der Schufa diese Informationen in Zukunft fehlen könnten und eine Klage nicht mehr möglich ist.
Fazit
Das Urteil des LG München I sendet ein bedeutendes Signal für den Verbraucherschutz, indem es das Recht der Verbraucher auf Privatsphäre stärkt und die unbefugte Weitergabe ihrer Daten unterbindet. Darüber hinaus könnte das Urteil auch Auswirkungen auf andere Branchen, wie etwa die Energiewirtschaft haben, in denen Positivdaten gesammelt und an die Schufa weitergegeben werden.
Unternehmen, die Positivdaten an die Schufa übermitteln, sollten sicherstellen, dass sie die Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 lit. a) DS-GVO einholen. Es ist dabei von besonderer Bedeutung, alle Voraussetzungen für eine rechtswirksame Einwilligung zu erfüllen. In vielen Fällen ist es ratsam, auf die Übermittlung von Positivdaten zu verzichten, um rechtliche Auseinandersetzungen vorzubeugen.
1 Quelle: BfDI (https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Auskunfteien/FAQ-Auskunfteien.html)