Die Übermittlung personenbezogener Daten an Wirtschaftsauskunfteien wie die SCHUFA ist ein zentrales Thema des Datenschutzrechts. Besonders umstritten ist die Praxis, sogenannte Positivdaten – also Informationen über den Abschluss oder die Beendigung von Verträgen – ohne konkreten Anlass zu übermitteln. Der Bundesgerichtshof hat in seinem Urteil vom 14. Oktober 2025 (VI ZR 431/24) klargestellt, dass eine solche Datenübermittlung durch Mobilfunkdiensteanbieter unter bestimmten Voraussetzungen zulässig ist. Die Entscheidung zeigt, wie das berechtigte Interesse an der Betrugsprävention gegen das Recht auf informationelle Selbstbestimmung abgewogen wird. Doch wo liegen die Grenzen zwischen zulässiger Risikovorsorge und unzulässiger Vorratsdatensammlung?
Mobilfunkverträge und die Sorge vor Betrug
Ein Verbraucherverband klagte gegen einen Mobilfunkdiensteanbieter, der bei Postpaid-Verträgen Positivdaten seiner Kunden an die SCHUFA übermittelte. Diese Daten umfassten Stammdaten wie Namen und Geburtsdaten sowie die Information, dass ein Vertrag abgeschlossen oder beendet wurde. Der Verband sah darin einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und verlangte Unterlassung. Das Landgericht Düsseldorf und das Oberlandesgericht Düsseldorf wiesen die Klage ab. Der Bundesgerichtshof bestätigte diese Entscheidungen und wies die Revision zurück.
Rechtfertigung nach Art. 6 Abs. 1 Buchst. f DSGVO
Der Bundesgerichtshof stellt klar, dass die Übermittlung von Positivdaten an die SCHUFA durch das berechtigte Interesse des Mobilfunkdiensteanbieters an der Betrugsprävention gerechtfertigt sein kann. Entscheidend ist dabei, dass die Datenübermittlung erforderlich ist, um Betrugsfälle zu verhindern, und dass die Interessen der betroffenen Verbraucher nicht überwiegen.
Zunächst betont der Senat, dass ein Unterlassungsantrag, der auch datenschutzrechtlich zulässige Verhaltensweisen erfasst, zu weit gefasst und damit unbegründet ist. Der Kläger hatte die Übermittlung von Positivdaten pauschal verbieten lassen wollen, ohne Ausnahmen für Fälle zuzulassen, in denen eine Rechtfertigung nach Art. 6 Abs. 1 Buchst. f DSGVO in Betracht kommt. Dies wäre eine unzulässige Einschränkung des Gestaltungsspielraums des Unternehmens.
Die Rechtfertigung nach Art. 6 Abs. 1 Buchst. f DSGVO setzt voraus, dass ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht, die Verarbeitung zur Verwirklichung dieses Interesses erforderlich ist und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen. Der Bundesgerichtshof bejaht diese Voraussetzungen für die Übermittlung von Positivdaten zur Betrugsprävention. Mobilfunkdiensteanbieter gehen bei Postpaid-Verträgen ein hohes kreditorisches Risiko ein, insbesondere wenn sie teure Hardware wie Smartphones überlassen. Betrugsfälle, bei denen Täter durch gefälschte Identitäten oder die Absicht, die Hardware zu behalten, ohne die Verträge zu bedienen, sind real und verursachen erhebliche Schäden. Die Übermittlung der Positivdaten ermöglicht es, auffällige Muster – wie den Abschluss zahlreicher Verträge in kurzer Zeit – zu erkennen und Betrug zu verhindern.
Interessant ist, dass der Bundesgerichtshof die Übermittlung der Daten als erforderlich ansieht, obwohl sie erst nach Vertragsabschluss erfolgt. Die Beklagte hatte dargelegt, dass sie vor Vertragsabschluss die Zahl der bereits abgeschlossenen Verträge bei der SCHUFA abfragt. Die nachträgliche Übermittlung der eigenen Vertragsdaten dient dazu, das System der Betrugsprävention zu vervollständigen. Eine Einwilligung der Kunden wäre hier kein gleichwertiges Mittel, da Betrüger einer solchen Einwilligung nicht zustimmen oder sie sofort widerrufen würden.
Abwägung: Betrugsprävention vs. informationelle Selbstbestimmung
Der Bundesgerichtshof führt eine detaillierte Interessenabwägung durch. Auf der einen Seite steht das wirtschaftliche Interesse des Mobilfunkdiensteanbieters, sich vor Betrug zu schützen. Auf der anderen Seite stehen die Rechte der Verbraucher auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Der Senat kommt zu dem Schluss, dass die Übermittlung der Positivdaten in diesem Fall nicht unverhältnismäßig ist. Die betroffenen Daten – Stammdaten und die Information über den Vertragsabschluss – sind nicht sensibel und lassen keine Rückschlüsse auf persönliche Vorlieben oder das private Verhalten zu. Zudem ist die Übermittlung auf einen begrenzten Empfängerkreis beschränkt und dient einem klar definierten Zweck.
Die Entscheidung steht im Einklang mit der herrschenden Meinung in der Rechtsprechung, die die Übermittlung von Positivdaten zur Betrugsprävention für zulässig hält. Der Bundesgerichtshof weist darauf hin, dass die Datenschutzkonferenz (DSK) zwar eine andere Auffassung vertritt, ihre Beschlüsse jedoch nicht bindend sind. Die DSK hatte argumentiert, dass die Übermittlung von Positivdaten regelmäßig einer Einwilligung bedürfe, da die Interessen der Verbraucher überwiegen würden. Der Bundesgerichtshof sieht dies anders und betont, dass die Betrugsprävention ein legitimes und gewichtiges Interesse darstellt, das die Übermittlung der Daten rechtfertigt.
Klare Regeln für die Praxis
Hier sind praktische Konsequenzen für Mobilfunkdiensteanbieter und andere Unternehmen zu sehen, die Positivdaten an Auskunfteien übermitteln. Es wurde bestätigt, dass eine solche Datenübermittlung zulässig ist, wenn sie der Betrugsprävention dient und die Interessen der Verbraucher nicht unangemessen beeinträchtigt werden. Unternehmen müssen jedoch sicherstellen, dass die Übermittlung auf das notwendige Maß beschränkt bleibt und die Daten ausschließlich für den genannten Zweck verwendet werden.
Gleichzeitig wird Verbraucherverbänden aufgegeben, ihre Unterlassungsanträge präzise zu formulieren. Ein pauschales Verbot der Übermittlung von Positivdaten ist nicht durchsetzbar, solange es Fälle gibt, in denen die Datenübermittlung rechtmäßig ist. Stattdessen müssen sie konkret darlegen, warum die Übermittlung im Einzelfall unzulässig sein soll.
Betrugsprävention als legitimes Ziel
Der Bundesgerichtshof bestätigt mit dieser Entscheidung, dass die Betrugsprävention ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO sein kann, das die Übermittlung von Positivdaten rechtfertigt. Dies gilt insbesondere in Branchen, in denen ein hohes Risiko für Betrugsfälle besteht. Die Entscheidung hebt hervor, dass die DSGVO flexibel angewendet werden kann, um sowohl den Schutz personenbezogener Daten als auch die berechtigten Interessen von Unternehmen zu berücksichtigen. Gleichzeitig unterstreicht sie die Bedeutung einer sorgfältigen Interessenabwägung, die die konkreten Umstände des Einzelfalls berücksichtigt. Im wirtschaftlichen Alltag heisst das, dass Unternehmen ihre Datenverarbeitung transparent gestalten und sicherstellen müssen, dass sie den Anforderungen der DSGVO entspricht. Verbraucher können sich darauf verlassen, dass ihre Daten nur in dem Umfang übermittelt werden, der für die Betrugsprävention erforderlich ist.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Verbot verkleideter Telekommunikationsanlagen und der „Smarte Futterautomat“ - 15. Januar 2026
- Terrorgram-Studie zu “Teenage Terrorists” - 14. Januar 2026
- Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten - 14. Januar 2026
