Unternehmen, die an die SCHUFA Meldungen abgeben, müssen auf die Richtigkeit der Meldung sorgsam achten. Dabei kommt es nicht nur auf den Wahrheitsgehalt an, sondern auch auf die Einhaltung der „Meldevoraussetzungen“ in § 31 BDSG. Wer zu früh meldet, kann sich schadensersatzpflichtig machen – im konkreten Fall wurden dem Betroffenen 5.000 Euro zugesprochen, da die Meldung ohne vorherige Androhung erfolgte. Das Urteil ist ein weiterer Mosaikstein: Zivilrechtliche Schadensersatzklagen wegen Datenschutzverletzungen nehmen zu, und zwar sowohl hinsichtlich der Anzahl als auch hinsichtlich der Höhe der geltend gemachten (und hier zugesprochenen) immateriellen Schadenspositionen.
In einem kürzlich erlassenen Urteil des LG Mainz vom 12.11.2021 – 3 O 12/20 – wurden dem Kläger für eine „zu frühe“ Negativ-Meldung ohne vorherige Androhung 5.000 Euro Schadensersatz zugesprochen. Das beklagte Unternehmen hatte eine Forderung als gegen den Kläger tituliert an die SCHUFA gemeldet und damit ein relevantes Ausfallrisiko für die betreffenden Personen kommuniziert. Eine solche Datenübermittlung des Unternehmens an die SCHUFA kann, so das Gericht, dem Grunde nach aus berechtigten Interessen gem. Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO erlaubt sein. Im konkreten Fall fehlte es aber an einer solchen Verarbeitungserlaubnis. Die Datenübermittlung war damit rechtswidrig, weil der Kläger nicht hinreichend gewarnt worden ist, dass seine Daten und die ausgebliebene Zahlung an die SCHUFA gemeldet werden. Weitere strittige Fragen im Fall, so etwa, ob das Unternehmen eine hinreichende Karenzfrist zwischen der Titulierung seiner Forderung und der Meldung an die SCHUFA eingehalten hat, konnten daher dahinstehen.
Das Gericht zog für die Ermittlung der Voraussetzungen einer Meldung an die SCHUFA § 31 BDSG heran. Es ließ dabei dahinstehen, ob diese Norm überhaupt anwendbar ist oder aber dem EU-Recht weichen muss (es ist umstritten, ob die DSGVO den Mitgliedsstaaten eine solche Regelung, wie sie § 31 BDSG enthält, erlaubt). Denn auch bei einer Interessenabwägung unter Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO wäre das Gericht zum selben Ergebnis gekommen.
Die SCHUFA als solche steht auch noch unter einem anderen Blickwinkel im datenschutzrechtlichen Fokus: Das VG Wiesbaden verpflichtete Ende September (Urt. v. 27.09.2021 – 6 K 549/21) den Hessischen Beauftragten für Datenschutz und Informationsfreiheit zu einem Einschreiten gegenüber der SCHUFA. Die hessische Datenschutzaufsichtsbehörde hatte dies abgelehnt, nachdem sich ein Betroffener an sie gewandt hatte, um die Löschung eines Negativ-Eintrags zu erwirken. Das VG Wiesbaden hielt fest, dass ein Betroffener im Wege der Verpflichtungsklage erzwingen kann, dass die Aufsichtsbehörde tätig wird. Und auch in der Sache kam das VG Wiesbaden zu einer Pflicht des Einschreitens der Aufsichtsbehörde, da vorliegend erhebliche Gründe für eine Löschpflicht der SCHUFA bestanden. Auch in diesem Verfahren ging es um womöglich rechtswidrige Meldungen von Zahlungsaufforderungen, die von Inkasso-Dienstleistern ohne Auftrag der ursprünglichen Forderungsinhaber getätigt worden waren. Vorliegend war die Fallgestaltung auch deshalb so eindeutig, weil die als ausgefallen gemeldete Forderung gerichtlich im Streit stand und das Gerichtsverfahren durch einen Vergleich abgeschlossen wurde.
Für die Praxis auch jenseits der Wirtschaftsauskunfteien sind beide Entscheidungen von Relevanz: Zum einen verdeutlichen sie, dass die Bedeutung von Schadensersatzforderungen aufgrund von DSGVO-Verstößen zunehmend wächst. Die vom LG Mainz zugesprochenen 5.000 Euro Schadensersatz begleichen keinen dem Kläger tatsächlich entstandenen Nachteil, sondern sind ein Schmerzensgeld für die Unannehmlichkeiten, die er erlitten hat. Das Urteil des VG Wiesbaden zeigt schließlich, dass Datenschutzaufsichtsbehörden von Betroffenen auch zu einem Einschreiten gezwungen werden können. Es gelten hier die allgemeinen verwaltungsrechtlichen Grundsätze, auch wenn diese bei den Tätigkeiten der Aufsichtsbehörde bisweilen eher vernachlässigt werden.