Landgericht Mainz verurteilt Stromanbieter zu 5.000 Euro Schadenersatz wegen rechtswidriger Meldung an SCHUFA

Vorschnelle negative Schufa-Meldungen sind ein erheblicher Schaden für die Kreditfähigkeit eines Betroffenen. Die Voraussetzungen sind daher streng geregelt. Das Landgericht Mainz hat mit Urteil vom 12.11.2021 – Az. 3 O 12/20 einen Stromanbieter u.a. zur Zahlung von 5.000 Euro immateriellem Schadenersatz nach Art. 82 Abs. 1 DSGVO verurteilt, weil dieser vorschnell eine rechtswidrige negative Schufaeinmeldung als „uneinbringlich“ im Laufe eines gerichtlichen Mahnverfahrens veranlasst hatte. Es stellten sich Pannen im Vorverfahren heraus und der Vollstreckungsbescheid war noch nicht rechtskräftig. Der Stromanbieter und spätere Beklagte hatte zwar Mahnungen versendet und ein gerichtliches Mahnverfahren wegen der erfolglos angemahnten Stromrechnung durchgeführt, jedoch den Zugang der Mahnungen und Mahnbescheid sowie die nach § 31 BDSG vorgeschriebene vorherige Ankündigung der negativen Schufa-Einmeldung hatte der betroffene Kläger bestritten und konnte der Stromanbieter nicht beweisen, also wäre eine Einmeldung erst mit einem rechtskräftigen Vollstreckungsbescheid zulässig gewesen. Der Stromanbieter hat aber bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids diese Einmeldung verfrüht und damit rechtswidrig bei der Schufa eingemeldet. Der klägerische Familienvater hatte glaubhaft versichert, dass er die Mahnungen mit Unterrichtung über den drohenden Schufa-Eintrag nicht erhalten hatte; der Mahnbescheid lag ihm auch nicht vor, den hatte wohl das Au-pair-Mädchen seiner Kinder angenommen, ihm aber nicht ausgehändigt. Nach Zustellung des Vollstreckungsbescheids hatte der Kläger die Forderung dann bezahlt, sodass sich er sich zu Recht gegen die Einmeldung als „uneinbringliche Forderung“ gewendet hat. Die Einmeldung war – so das Gericht – nicht aufgrund der Bestimmung des Art. 6 Abs. 1 lit f, Abs. 4 DSGVO zulässig. Zwar besteht ein erhebliches Interesse der Kreditwirtschaft an den Bonitätsdaten und somit ein erhebliches Informationsinteresse der Verkehrsteilnehmer, aber bei der gebotenen Interessenabwägung sind die Wertungen des § 31 BDSG zu berücksichtigen, die sicherstellen sollen, dass bei der Verarbeitung von Bonitätsdaten dem Schuldner vorher rechtliches Gehör gewährt wird und er innerhalb einer angemessenen Karenzzeit die Möglichkeit hat, den Eintrag zu vermeiden und vorher die Schulden zu begleichen. Hier war es so, dass die Stromrechnung von 493,81 € zwar angemahnt worden war, jedoch der Zugang einer vorherigen Ankündigung einer drohenden Schufa-Einmeldung nicht nachgewiesen werden konnte. Gleiches galt für die Zustellung des gerichtlichen Mahnbescheids. Die Einmeldung bereits zum Zeitpunkt des Erlasses des Vollstreckungsbescheids war unter diesen Umständen verfrüht. Mit Fehlern bei der Zustellung muss ein Absender rechnen, wenn ihm kein Zugangsnachweis vorliegt und damit war zur Überzeugung des Gerichts wegen der streitigen Zustellungspannen noch nicht sicher eine hinreichende Karenzzeit verstrichen, in der der klägerische Schuldner die Gelegenheit hatte, die Forderung zu begleichen. Diese Wertungen entnimmt das Gericht der Regelung des § 31 BDSG, weil darin die Voraussetzungen geregelt sind, unter denen Auskunftsdienste wie die SCHUFA AG  Bonitätsdaten nutzen und damit einen Scorewert erstellen und diesen beauskunften dürfen. Die Voraussetzungen des § 31 BDSG waren hier im Zeitpunkt der Einmeldung nicht hinreichend dargetan und bewiesen. Dies hätte der Stromanbieter bei gewissenhafter Prüfung erkennen müssen, insbesondere bei Titulierung mit dem Vollstreckungsbescheid dem Schuldner erst noch eine angemessene Karenzzeit zur Begleichung der Fordlerung einräumen müssen, nachdem er keine Beweise für den fehlerfreien Zugang der Mahnungen, Ankündigungen und des Mahnbescheids des Gericht vorliegen hatte.

Die Höhe des immateriellen Schadenersatzes nach Artikel 82 Abs. 1 DSGVO hat das Gericht hier mit 5.000 Euro bemessen. Aufgrund des Negativ-Eintrags bei der Schufa wurden dem Kläger die Kreditkarten gesperrt, die er beruflich benötigte, und drohte ihm eine Immobilienfinanzierung zu platzen. Deshalb erlitt er einen massiven immateriellen Schaden in Form des Verlusts der Bonität bei Kreditgebern durch einen negativen Scorewert bei der Schufa. Dieser Schaden war nach Ansicht des Gerichts auch zumindest fahrlässig verschuldet, weil nach Art. 82 Abs. 3 DSGVO eine Fahrlässigkeit vermutet wird, wenn nicht der Beklagte als verantwortliches Unternehmen Umstände darlegen und beweisen kann, die ihn entschuldigen. Mangels Beweisen für die behaupteten Mahnungen mit Unterrichtung über die drohende Schufa-Einmeldung und auch mangels Beweis für die Zustellung des Mahnbescheids, den der Kläger bestritten hatte, konnte der Stromanbieter somit das Vorliegen der Voraussetzungen der Einmeldung als „uneinbringliche Forderung“ nicht nachweisen. Eine Einmeldung nach § 31 Abs. 2 Nr. 4 BDSG, der die Voraussetzung der Verarbeitung von Bonitätsdaten durch Auskunftsdienste regelt, darf nur erfolgen wenn entweder nach Nr. 1 ein rechtskräftiges Urteil über eine offene Forderung vorliegt (der Vollstreckungsbescheid war bei Erlass hier noch nicht rechtskräftig, weil dagegen erst noch ein Einspruch zulässig ist) und nach § 31 Abs. 2 Nr. 4 BDSG ohne einen rechtskäftigen gerichtlichen Zahlungstitel folgende Voraussetzungen hätten vorliegen müssen, die hier auch nicht gegeben waren, nämlich:

  • der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
  • die erste Mahnung mindestens vier Wochen zurückliegt,
  • der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
  • der Schuldner die Forderung nicht bestritten hat

Daneben hat das Gericht den Stromanbieter auch verpflichtet, der Schufa Holding AG mitzuteilen, dass derjenige Zustand auch im Hinblick auf die Berechnung von Scorewerten wiederhergestellt werden soll, als habe es den näher bezeichneten Negativeintrag der Beklagten nicht gegeben. Das Urteil vom 12.11.2021 ist noch nicht rechtskräftig.

Wie viel Tage die Karenzzeit dauert, darüber hatte das Gericht hier nicht zu entscheiden. Aber unter Berücksichtigung der Wertungen des § 31 BDSG, auf die das Gericht im Rahmen der Auslegung der Rechtsgrundlage nach Art. 6 Abs. 1 lit.f DSGVO abstellt, hätte die für den Vollstreckungsbescheid vorgeschriebene Einspruchsfrist von 2 Wochen ab dessen Zustellung abgewartet werden müssen oder hätte der Stromanbieter Nachweise für mindestens 2 vorgerichtliche Mahnungen mit den nach § 31 BDSG vorgeschriebenen Zeitabständen und Ankündigung einer Meldung an die Schufa sicherstellen müssen, um Zustellungsfehler auszuschließen. Die 2 Wochen-Notfrist entspricht auch der Einspruchfrist gegen den Vollstreckungsbescheid nach §§ 700 i.V.m. 339 Abs. 1 ZPO, daher ist davon auszugehen, dass die angemessene Karenzzeit bei vorgerichtlichen unbestrittenen Mahnungen 2 x 2 Wochen ist und ansonsten im gerichtlichen Verfahren abgewartet werden muss, ob innerhalb der genannten Fristen Rechtsmittel gegen das Urteil oder den Vollstreckungsbescheid eingelegt wurde.

DSGVO-Schadenersatzklagen nach Datenpanne gegen Verantwortliche nicht rechtsmissbräuchlich

Ich habe am 19.11.2020 mit meinem Mandanten einen Termin vor dem Landgericht Frankfurt wahrgenommen, in dem es um eine Klage wegen unzureichender Auskunft nach Art. 15 DSGVO und Schadenersatz nach Art. 82 Abs. 1 DSGVO gegen die Mastercard Europe SA (mit Sitz in Waterloo, Belgien) ging, die im Sommer 2019 im Rahmen ihres Bonusprogramms Mastercard Priceless Specials eine Datenpanne erlitt. Der Kläger wirft der Beklagten vor, die Pflicht zur Auskunft über die Empfänger nicht konkret erfüllt zu haben, denn nach den bisherigen Informationen war Ursache des Hacks ein leicht zu erratendes Standardpasswort eines Administrators der Plattform für das Bonusprogramm. Das bedeutet, dass pflichtgemäße Penetration Tests, die nach den branchentypischen Sicherheitsstandards (Payment Card Industry Data Security Standards -PCI DSS v.3.2.1 vom Mai 2018) alle 6 Monate hätten stattfinden müssen, die Datenpanne höchstwahrscheinlich verhindert hätten. Die Beklagte hat diese jedoch nicht konkret dargelegt und unter Beweis gestellt. Auch bleibt unklar, wer eigentlich die Vertragspartner und Betreiber des Bonusprogramms waren. Wenn die Muttergesellschaft aus den USA den Dienstleister ausgesucht und unzureichend kontrolliert hat, wäre dies ebenfalls eine Schadensursache, die auf DSGVO Verstößen beruht, weil die DSGVO sowohl die Auslagerung auf eine US-amerikanische Mutter unter dem Vorbehalt einer Rechtsgrundlage und geeigneter Garantien für dieses Outsourcing unterwirft und nach Art. 28 DSGVO der Dienstleister, der personenbezogene Daten verarbeitet, hinreichend schriftlich verpflichtet und kontrolliert wurde.
Die Beklagte hat sich hier u.a. damit verteidigt, die Klage sei rechtsmißbräuchlich, man müsse die Auftragsverarbeiter nicht konkret benennen, und nach den allgemeinen Darlegungs- und Beweislastregeln habe der Kläger zu beweisen, durch welche Pflichtverstöße konkret die Schäden verursacht seien. Der Artikel 82 Abs. 3 DSGVO sei nicht so wörtlich zu nehmen, wenn dort stehe, dass der Verantwortliche nur von einer Haftung frei kommt, wenn er nachweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Ferner seien die Schäden wie der Kontrollverlust über die Risiken für den Kläger nach Meldung der Datenpanne und Veröffentlichung in einer großen Datenbank, die Besorgnis über Identitätsdiebstahl, Profilbildung zum Nachteil des Betroffenen, die Spamnachrichten und Spamanrufe kein ersatzfähiger Schaden. Demgegenüber hatte der Kläger argumentiert: Bei der Produkthaftung oder in Filesharing-Fällen hat die Rechtsprechung ebenfalls die Anforderungen an die Darlegung und Beweislast zu Lasten desjenigen, der die Gefahrenquelle beherrscht, verschoben, daher ist das nicht systemwidrig, sondern erforderlich, um dem Datenschutz wirksam zur Geltung zu verhelfen und die DSGVO normiert klar, dass die Betroffenenrechte wie Auskunft und Schadenersatz wirksam sein müssen und hierbei auch ein immaterieller Schadenersatz z.B. für den Kontrollverlust über seine personenbezogenen Daten bei einer Datenpanne vorsieht.
Den Argumenten der Verteidigung stimmte die erkennende Richterin nach Anhörung des Klägers zu den Spamanrufen und Diskussion in einigen Punkten ausdrücklich nicht zu. Zum einen sei es für sie ganz klar nicht rechtsmißbräuchlich, wenn Betroffene nach einer Datenpanne und Veröffentlichung von Kundendatenbanken ihre Rechte auf Auskunft und Schadenersatz gegen die Verantwortlichen nach der DSGVO geltend machen und sie verstehe nicht, warum denn nicht die Mastercard Europe SA wenigstens pauschal ein Friedensangebot in Höhe von z.B. 150 Euro Entschädigung gemacht habe. Belästigende Spamanrufe, die unmittelbar nach der Veröffentlichung einsetzten und erst vor ca. 3 Monaten wieder aufhörten, scheinen doch recht klar im Zusammenhang mit der Veröffentlichung der Kundendatenbanken aus dem streitgegenständlichen Mastercard Priceless Specials Programm zu stehen und die Beklagte war für die Sicherheit des Bonusprogramms verantwortlich. Ob auch die beantragte Enschädigung für die 950 Coins, die der Kläger ebenfalls in Höhe von 1 Euro je Coin geltend macht, weil inzwischen im Gegensatz zu den Angeboten bekannter Marken vor der Datenpanne nur noch recht wertlose Einlösemöglichkeiten von unbekannten Anbietern angeboten werden, ist noch ungewiss. Wie genau das Gericht entscheiden wird, wird spannend.
Termin zur Verkündung einer Entscheidung ist am 18.01.2021.
Update 03.02.2021: Das Landgericht hat in dieser Sache die Klage – wie ich finde zu Unrecht – abgewiesen, der Beklagte beabsichtigt dagegen Berufung einzulegen. Volltext des Urteils siehe hier.
Please accept [renew_consent]%cookie_types[/renew_consent] cookies to watch this video.