Das Landgericht Lüneburg sprach in einer vom Handelsblatt aufgegriffenen Entscheidung dem klagenden Kunden ein Schmerzensgeld in Höhe von 1.000 EUR gegen ein Kreditinstitut zu (Urteil vom 14.07.2020, 9 O 145/19). Eine von dem Institut veranlasste Schufa-Meldung stellte im konkreten Fall eine nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung personenbezogener Daten dar, was zur Verletzung des allgemeinen Persönlichkeitsrechts führe.
Was war geschehen?
Der Bankkunde überzog seinen Dispositionsrahmen. Das Institut teilte mit maschinell erstelltem Schreiben daraufhin mit, dass der Dispokredit nicht mehr zur Verfügung gestellt werden könne. Weitere Mahnungen zur Rückführung des Sollsaldos wurden nach Angabe des Instituts versandt, der Zugang war streitig. Nach auch mehreren Lastschriftrückgaben mangels Deckung wurde die Kontoverbindung gem. Ziffer 19 Abs. 3 der vereinbarten Allgemeinen Geschäftsbedingungen aus wichtigem Grund gekündigt. Rund eine Woche später versandte das Institut eine Meldung an die SCHUFA.
Hintergrund
Nach Nr. 19 (3) AGB-Banken ist eine fristlose Kündigung dann, wenn der wichtige Grund in der Verletzung einer vertraglichen Pflicht besteht, erst nach erfolglosem Ablauf einer zur Abhilfe bestimmten angemessenen Frist oder nach erfolgloser Abmahnung zulässig, es sei denn, dies ist wegen der Besonderheiten des Einzelfalles (§ 323 Abs. 2, 3 BGB) entbehrlich. Wichtig ist deshalb, dass Institute die erforderlichen Mahnungen beachten und sie in einem Verfahren den Zugang der Schreiben nachweisen können. Der Zugang sollte deshalb dokumentiert werden. Falls aus Kostengründen auf Einschreibebriefe verzichtet wird, sollte die Dokumentation anderweitig erfolgen (z.B. telefonische Nachfrage nebst Notiz). Ein Berufen auf den regelmäßigen Postlauf oder andere Indizien hilft – so auch im Fall des LG Lüneburg – regelmäßig nicht.
Bei Eröffnung eines Girokontos verlangen Kreditinstitute regelmäßig, dass Sie die sogenannte SCHUFA-Klausel akzeptieren. Damit erklärt der Kunde sein Einverständnis, dass seine persönlichen Daten an die „Schutzgemeinschaft für allgemeine Kreditsicherung“ (SCHUFA) weitergeleitet werden, z.B. um Bonitätsdaten zu erhalten. Fast alle deutschen Kreditinstitute sind der SCHUFA, einer privatrechtlichen Einrichtung, die nach dem Gegenseitigkeitsprinzip Auskünfte über die Vertragspartner der angeschlossenen Unternehmen sammelt und diesen zum Zwecke der Bonitätsbeurteilung auf Anfrage übermittelt, angeschlossen (vgl. www.bafin.de sowie www.schufa.de). Gespeichert werden von der SCHUFA neben den sog. Positivmerkmalen (Angaben über die Beauftragung, Aufnahme und vertragsgemäße Abwicklung des Geschäftsverkehrs) insbesondere auch Informationen über nicht vertragsgemäßes Verhalten und gerichtliche Vollstreckungsmaßnahmen (Negativmerkmale). Die Weitergabe von Daten an die SCHUFA unterliegt den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der DS-GVO. Die Datenweitergabe wird von Kreditinstituten regelmäßig mit einem berechtigten Interesse nach Art. 6 Abs.1 b und f DS-GVO sowie § 31 Abs. 2 BDSG begründet. Bezogen auf natürliche Personen wurde die Datenverwendung in § 31 Abs. 1 BDSG eingeschränkt.
Entscheidung
Das Landgericht Lüneburg erkannte im Ausgangspunkt einen Anspruch auf Widerruf der an die SCHUFA erfolgten Meldung auf Grundlage von §§ 1004 Abs. 1, 823 BGB analog i.V.m. Art. 6 Abs. 1 DSGVO zu. Eine nicht von den Bestimmungen der DS-GVO gedeckte Übermittlung personenbezogener Daten stelle eine Verletzung des allgemeinen Persönlichkeitsrechts dar, welches als sonstiges Recht im Sinne des § 823 Abs. 1 BGB auch negatorischen Schutz nach allgemeinen Vorschriften genieße. Insofern sei ein Anspruch auf Widerruf der unzulässigen Übermittlung aus entsprechender Anwendung von § 1004 Abs. 1 BGB gegeben.
Eine Rechtswidrigkeit der zugrundeliegenden SCHUFA-Meldung stützte das Gericht gleich auf mehrere Gesichtspunkte. So sei die SCHUFA-Meldung mit Art. 6 Abs. 1 DS-GVO nicht zu vereinbaren. Insbesondere seien die Voraussetzungen des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO nicht gegen. Rechtlich richte sich die Befugnis, Daten von Schuldnern an Auskunfteien zu übermitteln, nach Art. 6 Abs. 1 Satz 1 lit. f und Abs. 4 DS-GVO. Erforderlich für die Übermittlung sei danach die Wahrnehmung eines berechtigten Interesses. Zusätzlich sei eine Abwägung vorzunehmen, ob die schutzwürdigen Interessen der betroffenen Person die Interessen des Datenverwenders im Einzelfall überwiegen.
Das Landgericht vermochte keine überwiegenden Interessen des die SCHUFA-Nachricht übermittelnden Instituts festzustellen. Zur Konkretisierung des Abwägungsmaßstabes stellte das Landgericht – wie schon das LG Bonn in einer früheren Entscheidung – auf die Kriterien des § 31 Abs. 2 BDSG ab, wonach die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer Person vergleichsweise strikten Vorgaben unterliegen. Auch wenn § 31 Abs. 2 BDSG einen anderen Fall bzw. eine andere Situation in den Blick nehme, könnten die Voraussetzungen des § 31 Abs. 2 BSDG in entsprechender Anwendung jedoch als Indiz für die Rechtmäßig- bzw. Rechtswidrigkeit einer Datenübermittlung gewertet werden. Die Information über eine nicht vertragsgemäß abgewickelte fällige Forderung ein in ähnlicher Weise schutzbedürftig wie ein Scorewert. Das Landgericht stellte sodann fest, dass kein Fall von § 31 Abs. 2 BDSG vorlag. Daraus folge bereits ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die SCHUFA. Durch eine Meldung bei der SCHUFA drohe mittelbar eine potenzielle Stigmatisierung, wonach der Gemeldete zahlungsunfähig bzw. nicht kreditwürdig sei. Das Interesse des Klägers, dass seine Daten nicht an die SCHUFA gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, sei besonders schützenswert.
Mit der Zuerkennung eines Anspruchs auf Widerruf ließ es das Landgericht allerdings nicht bewenden. Das Gericht sprach vielmehr einen vom Kläger zusätzlich geltend gemachten Anspruch auf immateriellen Schadensersatz zu. Das Gericht bliebe zwar deutlich hinter dem vom Kläger geltend gemachten Betrag von EUR 10.000,00 zurück, sprach aber gleichwohl einen Betrag von immerhin EUR 1.000,00 zu.
Gemäß Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter, wenn ihm ein solcher auf Grund eines Verstoßes der Beklagten gegen DS-GVO entstanden ist und die Beklagte nicht nachweisen kann, dass sie für diesen Schaden nicht verantwortlich ist. Für die Zuerkennung eines Schadensersatzanspruchs sei die in der bisherigen deutschen Rechtsprechung für Schmerzensgeld geforderte Voraussetzung einer schwerwiegenden Persönlichkeitsverletzung nicht erforderlich; diese vertrage sich nicht mit Art. 82 DS-GVO. Eine solche Voraussetzung sei weder vorgesehen noch Ziel und Entstehungsgeschichte der Norm gedeckt. Der Anspruch sei hiervon grundsätzlich unabhängig. Für diese Ansicht spricht auch Erwägungsgrund 85 Satz 1 der DS-GVO. Danach kann eine Verletzung des Schutzes personenbezogener Daten einen immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten. Für eine weite Auslegung des Schadensbegriffs spreche zudem Erwägungs-grund 146 Satz 6 der DS-GVO, wonach der Betroffene einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten solle. Die schwerwiegende Persönlichkeits-verletzung könne vor diesem Hintergrund auch nicht als untere Grenze einer Schmerzensgeld-höhe eingelesen werden. Vielmehr sei der immaterielle Schaden umfassend zu ersetzen.
Für die Bemessung der Schadenshöhe auf den zuerkannten Betrag in Höhe von EUR 1.000,00 zog das Landgericht ergänzend die Kriterien des Art. 83 Abs. 2 DS-GVO heran bzw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen sei auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht werde, insbesondere wenn eine Kommerzialisierung fehlte.
Anmerkung
Die Entscheidung des Landgerichts ist gleich in zweifacher Hinsicht als Paukenschlag zu bezeichnen.
Zum einen werden Institute und auch sonstige Teilnehmer der Privatwirtschaft, welche mit Auskunfteien zusammenarbeiten, mit Blick auf die vom Gericht herangezogene Regelung des § 31 Abs. 1 BDSG künftig gehalten sein, SCHUFA-Meldungen bzw. entsprechende Meldungen an Auskunfteien sehr sorgfältig unter dem Gesichtspunkt einer hinreichenden Interessenabwägung vorzunehmen haben. Die Anwendung des vergleichsweise strengen § 31 Abs. 2 BDSG ist dabei Fluch und Segen zugleich. Auf der einen Seite stellt die Norm durchaus erhebliche Anforderungen an eine zulässige Meldung. Auf der anderen Seite bietet § 31 Abs. 2 BDSG jedenfalls eine normative Orientierungsgrundlage, um die im Allgemeinen eher konturarme Interessenabwägung auf fundierte Grundlage zu stellen. Im konkreten Fall war das Ergebnis des Landgerichts aufgrund der nicht nachgewiesenen ordnungsgemäßen Kündigung gut vertretbar.
Zum anderen, und das ist der eigentliche Kernpunkt der Entscheidung, die insoweit ganz erhebliche Sprengkraft birgt, hat das Gericht den immateriellen Schadensersatzanspruch Betroffener denkbar weit gefasst, wenn auch die Zuerkennung des Anspruchs der Höhe nach für den konkreten Einzelfall noch zu verschmerzen sein mag. Dabei rückt als besonders problematisch in den Fokus, dass das Landgericht für immateriellen Schadensersatz keinerlei Relevanzschwelle ansetzen möchte. Die bislang wohl überwiegende Rechtsprechung zu Art. 82 Abs. 1 DS-GVO nimmt bislang vielfach eine Begrenzung von Ersatzansprüchen dahingehend vor, dass Verletzungen jedenfalls von einigem Gewicht sein müssen. Dies erscheint auch berechtigt und angemessen, da unter der DS-GVO zwar ein Anspruch auf immateriellen Schadensersatz eröffnet wurde. Das war unter dem „alten“ BDSG nicht der Fall. Das Landgericht scheint vorliegend aber den reinen Gesetzesverstoß mit einem Schaden gleichzusetzen. Dies dürfte zu kurz gegriffen sein. Aus dem Gesetzesverstoß muss erst ein relevanter Schaden entstehen. Ob man einen solchen Schaden – wie offenbar vom Gericht unterstellt – darin sehen kann, dass der Betroffene „die Kontrolle über seine Daten verloren“ habe, erscheint in hohem Maße zweifelhaft. Ungeachtet dessen darf die negative Wirkung, die von Negativeinträgen in Auskunfteien für Betroffene ausgeht nicht unterschätzt werden. Ob dies dann – auch mit Blick auf Art und Umfang – die Grenze zu einem ersatzfähigen immateriellen Schaden überschreitet, bleibt der Bewertung des konkreten Einzelfalls vorbehalten.
Abschließend ist anzumerken, dass ein weiterer Gesichtspunkt, den das Gericht für die Zuerkennung und Bemessung eines immateriellen Schadens herangezogen hat, auch unter rechtsdogmatischen Gesichtspunkten in hohem Maße fragwürdig erscheint. Das Gericht zieht für die Bemessung eines Schadensersatzanspruchs nämlich die für die Bemessung von Bußgeldern vorgesehenen Kriterien gemäß Art. 83 DS-GVO ein. Bußgelder und Schadensersatz sind allerdings zwei völlig verschiedene Paar Schuhe. Das Bußgeld ist Sanktion, der Schadensersatz Kompensation. Insoweit dürfte sich die Einbeziehung von generalpräventiven Gesichtspunkten für die Bemessung von Schadensersatz verbieten.
Im Ergebnis bleibt zu hoffen, dass die Entscheidung des Landgerichts jedenfalls im Hinblick auf die Zuerkennung von Schadensersatz und insbesondere die Bewertung generalpräventiver Gesichtspunkten für die Schadensbezifferung keine Vorbildwirkung entfalten wird. Der Schadensersatzanspruch unter der DS-GVO zielt darauf ab, konkrete Schäden betroffener auszugleichen und nicht die Beteiligten zu erziehen. Dafür sieht die DS-GVO bekanntermaßen ganz andere „Waffen“ vor, die auch völlig ausreichen dürften.
