BGH, Urt. 13.5.2025 - VI ZR 67/23
Immaterieller Schaden durch bloße rechtswidrige SCHUFA-Einmeldung
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 09/2025
Aus: IT-Rechtsberater, Heft 09/2025
Wenn ein Inkassounternehmen unter Verstoß gegen die DSGVO Daten an eine Wirtschaftsauskunftei übermittelt, liegt bereits darin ein immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO in Form eines Datenkontrollverlusts.
DSGVO Art. 82 Abs. 1
Schadensbegriff:Anspruchsvoraussetzung i.S.v. Art. 82 Abs. 1 DSGVO sei – neben dem ursächlichen DSGVO-Verstoß – der Nachweis negativer Folgen, für die ein gewisser Grad an Erheblichkeit nicht erforderlich sei. Aus beispielhafter Aufzählung der Schadensarten in Erwgrd. 85 Satz 1 der DSGVO gehe hervor, dass der bloße Kontrollverlust über die eigenen Daten auch ohne konkret erfolgten Datenmissbrauch ausreichen könne (Rz. 11 ff. m.w.N.).
Beeinträchtigte Kreditwürdigkeit:Ein immaterieller Schaden in Form einer Schädigung des (wirtschaftlichen) guten Rufs i.S.v. Erwgrd. 75, 85 der DSGVO sei hinreichend dargelegt. Es sei nicht nur auf die abstrakte Geeignetheit der weitergegebenen Daten zur Erschwerung der Teilhabe am Wirtschaftsleben verwiesen worden, sondern es seien mit den erfolgten und angedrohten Kündigungen konkrete Negativauswirkungen benannt worden. Die Bemühungen um Ersatzkarten sprächen gegen die Annahme des Berufungsgerichts, der Betroffene sei wegen u.U. verfügbarer anderweitiger Karten nicht auf die gekündigten Kreditkarten angewiesen gewesen. Diese Spekulation verstoße gegen den Beibringungsgrundsatz. I.Ü. habe sich die durch die Einmeldungen beeinträchtigte Kreditwürdigkeit bereits in den Kündigungen manifestiert. Weitere negative Folgen in Form kompromittierender oder sonstiger persönlichkeitsverletzender Begebenheiten i.R.d. allgemeinen Lebensführung könnten einen Schaden noch vertiefen, seien aber zu dessen Darlegung nicht erforderlich (Rz. 16 ff. m.w.N.).
Schädigende bloße Einmeldung:I.Ü. sei durch das Vorbringen, dass das Inkassounternehmen persönliche Daten unter Verstoß gegen die DSGVO an die SCHUFA übermittelt habe, ein zur Schadensbegründung ausreichender Datenkontrollverlust geltend gemacht worden. Für die Schadensentstehung sei die Zahlung erst nach „einmeldefähiger“ Sollstellung durch Vollstreckungsbescheid unerheblich (Rz. 19 f. m.w.N.).
DSGVO Art. 82 Abs. 1
Das Problem
Eine Forderung wird am Tag der Titulierung durch Vollstreckungsbescheid bei der SCHUFA gemeldet. Der Betroffene hat ausgeführt, dass er beruflich zwingend auf Kreditkarten angewiesen ist, die aufgrund des Negativeintrags gesperrt wurden. Nach dessen Löschung sei die Kreditkartenkündigung aufrechterhalten worden, weil der Betroffene i.R.e. bankeigenen Scorewerts weiterhin als unzureichend kreditwürdig beauskunftet werde. Deswegen sei auch ein mit einem anderen Anbieter geschlossener Kreditkartenvertrag wieder gekündigt worden. Die von der eigenen Bank angedrohte Kündigung der gesamten Geschäftsbeziehung sei mit Fälligstellung von 67.000 € und Lohnpfändung verbunden gewesen. Zwischen Eintragung und Löschung des Negativeintrags habe zudem das Scheitern einer Immobilienfinanzierung gedroht.Die Entscheidung des Gerichts
Die Sache werde zurückverwiesen, weil ein Schadensersatzanspruch nicht ausgeschlossen sei.Schadensbegriff:Anspruchsvoraussetzung i.S.v. Art. 82 Abs. 1 DSGVO sei – neben dem ursächlichen DSGVO-Verstoß – der Nachweis negativer Folgen, für die ein gewisser Grad an Erheblichkeit nicht erforderlich sei. Aus beispielhafter Aufzählung der Schadensarten in Erwgrd. 85 Satz 1 der DSGVO gehe hervor, dass der bloße Kontrollverlust über die eigenen Daten auch ohne konkret erfolgten Datenmissbrauch ausreichen könne (Rz. 11 ff. m.w.N.).
Beeinträchtigte Kreditwürdigkeit:Ein immaterieller Schaden in Form einer Schädigung des (wirtschaftlichen) guten Rufs i.S.v. Erwgrd. 75, 85 der DSGVO sei hinreichend dargelegt. Es sei nicht nur auf die abstrakte Geeignetheit der weitergegebenen Daten zur Erschwerung der Teilhabe am Wirtschaftsleben verwiesen worden, sondern es seien mit den erfolgten und angedrohten Kündigungen konkrete Negativauswirkungen benannt worden. Die Bemühungen um Ersatzkarten sprächen gegen die Annahme des Berufungsgerichts, der Betroffene sei wegen u.U. verfügbarer anderweitiger Karten nicht auf die gekündigten Kreditkarten angewiesen gewesen. Diese Spekulation verstoße gegen den Beibringungsgrundsatz. I.Ü. habe sich die durch die Einmeldungen beeinträchtigte Kreditwürdigkeit bereits in den Kündigungen manifestiert. Weitere negative Folgen in Form kompromittierender oder sonstiger persönlichkeitsverletzender Begebenheiten i.R.d. allgemeinen Lebensführung könnten einen Schaden noch vertiefen, seien aber zu dessen Darlegung nicht erforderlich (Rz. 16 ff. m.w.N.).
Schädigende bloße Einmeldung:I.Ü. sei durch das Vorbringen, dass das Inkassounternehmen persönliche Daten unter Verstoß gegen die DSGVO an die SCHUFA übermittelt habe, ein zur Schadensbegründung ausreichender Datenkontrollverlust geltend gemacht worden. Für die Schadensentstehung sei die Zahlung erst nach „einmeldefähiger“ Sollstellung durch Vollstreckungsbescheid unerheblich (Rz. 19 f. m.w.N.).