In einem wegweisenden Urteil (Az.: VI ZR 183/22) hat der Bundesgerichtshof entschieden, dass Unternehmen für unberechtigte SCHUFA-Einträge schadenersatzpflichtig werden können. Der Fall zeigt exemplarisch, welche datenschutzrechtlichen Konsequenzen unsorgfältiges Handeln für Unternehmen haben kann und wie Betroffene ihre Rechte durchsetzen können.
Streit führte zu Negativeinträgen
Im Kern des Rechtsstreits stand eine Kundin, die mit ihrem Mobilfunkanbieter über eine Tarifänderung in einen günstigeren Tarif verhandelte. Der Anbieter behauptete Zahlungsrückstände und veranlasste daraufhin einen negativen SCHUFA-Eintrag. Besonders problematisch: Obwohl das Unternehmen bereits zehn Tage später erkannte, dass die rechtlichen Voraussetzungen für diesen Eintrag nicht vorlagen und eine Löschung beantragte, blieb der Eintrag für etwa zehn Monate bestehen. Dies führte zu konkreten Nachteilen für die Betroffene – unter anderem hielt ihre Hausbank eine beantragte Kreditvergabe zeitweilig an.
DSGVO als Grundlage für Schadensersatz
Der BGH stützt seine Entscheidung auf Artikel 82 der Datenschutz-Grundverordnung (DSGVO), der bei Datenschutzverstößen sowohl materiellen als auch immateriellen Schadenersatz vorsieht. Diese Entscheidung reiht sich ein in die jüngste Rechtsprechung des BGH zu den sogenannten Facebook-Scraping-Fällen (Az.: VI ZR 10/24), bei denen der BGH bereits klarstellte, dass schon der bloße Kontrollverlust über persönliche Daten einen immateriellen Schaden darstellen kann.
Veränderter Kurs in der Rechtsprechung
Bemerkenswert ist der Wandel in der Rechtsprechung deutscher Gerichte. In der Vergangenheit wurden Klagen auf immateriellen Schadenersatz häufig abgewiesen, weil die Gerichte eine konkrete Darlegung persönlicher Nachteile über den bloßen Kontrollverlust hinaus forderten. Diese Haltung vertraten beispielsweise das OLG Oldenburg (Az.: 13 U 59/23 und 13 U 79/23), das OLG Stuttgart (Az.: 4 U 17/23) sowie das OLG Hamm (Az.: 7 U 19/23 und 7 U 137/23).
Der BGH begrenzt nun die Anforderungen an die Darlegungslast der Betroffenen deutlich: Weder eine konkrete missbräuchliche Verwendung der Daten noch sonstige spürbare negative Folgen müssen nachgewiesen werden, um einen Anspruch auf immateriellen Schadenersatz geltend zu machen.
Entschädigung fällt gering aus
In Bezug auf die Höhe der Entschädigung hielt der BGH die von der Vorinstanz zugesprochenen 500 Euro für angemessen, obwohl die Kundin 6.000 Euro gefordert hatte. Für die Bemessung waren laut BGH sowohl die erhebliche Dauer des SCHUFA-Eintrags (zehn Monate) als auch dessen immaterielle Folgen entscheidend – insbesondere die ständig drohende negative Einstufung der Bonität.
Wichtig ist die Klarstellung des BGH, dass der Entschädigungsanspruch keine Straffunktion hat. Der BGH folgt damit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) in seinen Urteilen vom 20.6.2024 (Az.: C-182/22 und C-189/22), wonach bei der Bemessung des immateriellen Schadenersatzes weder eine Straf- und Genugtuungsfunktion noch Aspekte der Generalprävention berücksichtigt werden dürfen.
EuGH-Rechtsprechung als Grundlage
Die Entscheidung basiert auf mehreren grundlegenden Urteilen des EuGH zur Auslegung des Begriffs des immateriellen Schadens nach der DSGVO:
- Die betroffene Person trägt die Darlegungslast für eingetretene Schäden und muss immaterielle Schäden hinreichend konkretisieren (Az.: C-300/21).
- Bereits die begründete Befürchtung eines Datenmissbrauchs kann einen ersatzfähigen immateriellen Schaden darstellen (Az.: C-340/21).
- Auch geringe Schäden sind zu ersetzen, da der Schadensbegriff keine Erheblichkeitsschwelle oder Bagatellgrenze beinhaltet.
- Die Bemessung der Schadenshöhe obliegt den nationalen Gerichten unter Beachtung der unionsrechtlichen Grundsätze.
- Ein rein hypothetisches Risiko eines Datenmissbrauchs genügt nicht – eine individuelle Betroffenheit muss dargelegt werden (Az.: C-687/21).
Bedeutung für die Praxis
Diese Entscheidung hat erhebliche praktische Bedeutung für Unternehmen und Verbraucher. Unternehmen müssen bei der Veranlassung von SCHUFA-Einträgen besondere Sorgfalt walten lassen, da schon der vorschnelle und unberechtigte Eintrag ausreichen kann, um Schadenersatzansprüche auszulösen. Für Verbraucher bedeutet das Urteil eine Stärkung ihrer Rechtsposition: Sie können sich gegen unberechtigte Datenverarbeitung wirksam zur Wehr setzen und Entschädigungen verlangen, ohne komplexe Nachweise über konkrete Folgeschäden führen zu müssen.
Die Entscheidung unterstreicht die wachsende Bedeutung des Datenschutzrechts im wirtschaftlichen Alltag und die zunehmende Harmonisierung der nationalen Rechtsprechung mit den Vorgaben des EuGH zur DSGVO.