Direkt zum Inhalt wechseln

Die Speicherung und Nutzung von Bonitätsdaten unterliegen strengen datenschutzrechtlichen Vorgaben. Die Nutzung von Bonitätsdaten durch Unternehmen kann dabei in zwei Richtungen erfolgen:

Zum einen greifen Unternehmen auf Bonitätsauskünfte zu, um Risiken bei der Vertragsvergabe abzuschätzen. Zum anderen melden sie selbst Daten an die SCHUFA Holding AG, um das Gesamtsystem mit Informationen zu versorgen.

Exkurs:

Bonitätsdaten sind personenbezogene Daten, die die finanzielle Zuverlässigkeit und Kreditwürdigkeit einer Person oder eines Unternehmens betreffen.

Beispiele:

  • Positive Daten: Verträge mit Kreditinstituten, ordnungsgemäß gezahlte Kredite, usw.
  • Negative Daten: Zahlungsausfälle, gekündigte Kredite, Mahnverfahren, titulierte Forderungen, Privatinsolvenz, usw.

Als Rechtsgrundlagen kommen meist die Art. 6 Abs. 1 lit. a), b) und f) in Betracht. Entweder liegt eine ausdrückliche Einwilligung des Betroffenen vor, oder die Verarbeitung ist notwendig für die Vertragserfüllung oder die Interessen des Unternehmens überwiegen die Interessen des Betroffenen.

I.           Datenabfrage

Unternehmen, die Bonitätsauskünfte bspw. von der SCHUFA einholen und die Daten speichern, müssen sich an die zulässigen Abfragerechte und Speicherfristen halten.

Die SCHUFA darf grundsätzlich auf Anfrage gespeicherten Daten an einen Vertragspartner im Rahmen des berechtigten Interesses am Schutz vor Zahlungsausfällen weitergeben. Dies gilt vornehmlich für Situationen der finalen Risikoabwägung kurz vor Vertragsschluss des Unternehmens mit dem Betroffenen.

Doch was gilt für die Fälle, bei denen noch kein Vertrag mit dem Betroffenen geschlossen wurde, sondern die Parteien sich noch in der Vertragsanbahnung befinden?

Bei dem Umfang der Datenabfrage auf Grundlage von Art. 6 Abs. 1 lit. b) DSGVO muss je nach Phase der Vertragsanbahnung unterschieden werden:

  • Frühe Phase der Vertragsanbahnung (Vorangestellte Prüfung der Vertragsfähigkeit)

Eine Bonitätsprüfung ohne konkrete Vertragsaussicht ist nicht zulässig.

Maßgeblich für die Bewertung des Bestehens einer konkreten Aussicht auf Vertragsschluss ist u.a. das bekundete Kaufinteresse des Betroffenen. Es muss bereits über die wesentlichen Vertragsbestandteile eine Einigung erzielt worden sein.

  • Konkretisierte Vertragsverhandlungen (Individuelles Angebot wird geprüft)

Die Abfrage eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung und Durchführung (oder Beendigung) eines Vertragsverhältnisses mit dieser Person ist zulässig, wenn

    • die grundlegenden datenschutzrechtlichen Vorgaben eingehalten wurden (§ 31 Abs. 1 Nr. 1 BDSG),
    • die Daten dazu dienen das Risiko eines Zahlungsausfalls abzuschätzen (§ 31 Abs. 1 Nr. 2 BDSG) und
    • für die Berechnung nicht lediglich Anschriftendaten genutzt werden (§ 31 Abs. 1 Nr. 3 BDSG).

Unternehmen dürfen dabei nur allgemeine Negativdaten erheben, da diese eine grundlegende Zahlungsfähigkeit betreffen (§ 31 Abs. 2 BDSG).

Die Betroffenen sind außerdem über die beabsichtigte Nutzung dieser Daten zu informieren. Diese Unterrichtung ist zu dokumentieren (§ 31 Abs. 1 Nr. 4 BDSG).

In diesem Stadium dürfen solche Abfragen an die SCHUFA gerichtet werden, die für eine Risikoabschätzung des Unternehmens hinsichtlich des ob eines anvisierten Vertragsschlusses maßgeblich sind.

  • Unmittelbar vor Vertragsschluss (Finale Risikoprüfung)

In dieser finalen Phase dürfen erweitert detaillierte Bonitätsauskünfte eingeholt werden, wenn der Vertragsschluss letztlich nur noch von der Auskunft beeinflusst werden kann.

Insights

Unserer Erfahrung nach unterscheiden auch Aufsichtsbehörden die Rechtmäßigkeit von Bonitätsabfragen je nach Grad der Verhandlungen:

In der Phase der Vertragsanbahnung dürfen personenbezogene Daten auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, da sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind – wenn diese auf Anfrage der betroffenen Person erfolgen. Daten über die Bonität von (Kauf-)Interessenten dürfen vor Vertragsschluss jedoch nur dann erhoben und genutzt werden, wenn die Vertragsverhandlungen weit fortgeschritten sind und der Abschluss des (Kauf-)Vertrages nur noch von der Bonitätsprüfung abhängt. Dabei gilt:

„Je konkreter die Vertragsverhandlungen sind, desto mehr Daten dürfen grundsätzlich erhoben werden.“

Betroffene Personen sind aber jedenfalls gem. Art. 13 und 14 DSGVO von dem abfragenden Unternehmen über die Verarbeitung der Daten aus den SCHUFA-Auskünften zu informieren, insbesondere hinsichtlich des Zwecks, der Rechtsgrundlage und der Dauer der Speicherung dieser Daten.

Speicherdauer

Wird der Vertrag letztlich nicht abgeschlossen, müssen die im Rahmen der Vertragsanbahnung erhobenen Daten unverzüglich gelöscht werden, insbesondere wenn der Betroffene darum bittet. Die Löschpflicht tritt unverzüglich ein sobald feststeht, dass es zu keinem Vertragsverhältnis kommen wird (Art. 17 Abs. 1 lit. a DSGVO).

Stichwort: Löschung von Bonitätsdaten bei gescheiterten Vertragsverhandlungen

Eine längere Speicherung kann nur zulässig sein, wenn das Unternehmen nachweisen kann, dass eine fortgesetzte Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO).

II.         Dateneinmeldung

Ein aktuelles Urteil des LG Lübeck (Urteil v. 23.01.2025 – Az. 15 O 262/23) zeigt, dass auch die Eingabe von Daten in das SCHUFA-System strengen datenschutzrechtlichen Anforderungen unterliegt.

Das LG hat kürzlich entschieden, dass die Übermittlung von Positivdaten durch ein Telekommunikationsunternehmen an die SCHUFA eine unzulässige Verarbeitung personenbezogener Daten darstellt und Schadensersatzansprüche nach Art. 82 DSGVO begründet.

Das Unternehmen hatte Informationen über den Abschluss eines Mobilfunkvertrags ohne ausdrückliche Einwilligung des Kunden an die SCHUFA weitergegeben. Dabei bestand keine tragfähige Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO für die Datenübermittlung:

  • Eine Einwilligung (lit. a) lag nicht vor, da der Kunde keine bewusste Zustimmung gegeben hatte.

Eine wirksame Einwilligung setzt eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person voraus. Das bloße Bereitstellen eines Datenschutzmerkblatts durch das Telekommunikationsunternehmen stellt keine ausdrückliche Einwilligung dar. Es reicht nicht aus, wenn der Kunde durch Passivität oder durch eine vorformulierte Klausel im Vertrag stillschweigend „zustimmt“. Eine stillschweigende Zustimmung oder eine Opt-out-Möglichkeit erfüllen nicht die Anforderungen an eine aktive Einwilligung.

  • Das Berechtigtes Interesse (lit. f) wurde verworfen, weil das Recht auf informationelle Selbstbestimmung der Betroffenen die Interessen des Unternehmens im Rahmen der Abwägung überwiegt.

Es streitet regelmäßig das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs.  GG i.V.m. Art. 1 Abs. 1 GG bzw. das Recht auf den Schutz personenbezogener Daten gem. Art. 8 EU-Grundrechte-Charta des Betroffenen gegen das Recht der Unternehmen auf freie unternehmerische Betätigung und Schutz ihrer finanziellen Interessen gem. Art. 12, 2 Abs. 1 GG. Zwar besteht ein berechtigtes Interesse der Telekommunikationsunternehmen an der Betrugsprävention und Risikobewertung, aber dieses Interesse überwiegt nicht die Grundrechte der betroffenen Personen. Die Einmeldung von Positivdaten kann zur Erstellung umfangreicher Persönlichkeitsprofile führen, was eine erhebliche Beeinträchtigung der informationellen Selbstbestimmung darstellt. Die Einmeldung ist nicht erforderlich, da es mildere Mittel gibt, um das Risiko von Zahlungsausfällen oder Identitätsbetrug zu minimieren (z.B. interne Bonitätsprüfungen). Die Eintragung von Negativmerkmalen ist datenschutzrechtlich oft zulässig, aber die Einmeldung von Positivdaten ohne Einwilligung geht darüber hinaus.

Das LG Lübeck nimmt in seinem Urteil außerdem Bezug auf das LG München I (Urteil v. 25.04.2023 – Az. 33 O 5976/22), welches statuierte, dass auch eine Vertragserfüllung (lit. b) nicht als Rechtsgrundlage greift, weil die Datenübermittlung für die Abwicklung des Vertrags nicht erforderlich war. Die Weitergabe der Positivdaten an die SCHUFA ist für die Erfüllung des Mobilfunkvertrages nicht erforderlich. Der Mobilfunkanbieter kann den Vertrag auch ohne diese Datenübermittlung ordnungsgemäß durchführen. Auch kann ein etwaiger gesetzgeberische Wille zur Datenübertragung von Positivdaten nicht aus dem § 31 BDSG im Sinne eines „Erst-Recht-Schlusses“ abgeleitet werden.

„Denn auch wenn Wirtschaftsauskunfteien mit der Berechnung von Scorewerten auf der Basis von eingemeldeten Negativdaten eine von der Rechtsordnung gebilligte und gesellschaftlich erwünschte Funktion erfüllen (vgl. BGH CR 2020, 405), erfolgt die Übermittlung von Negativdaten anknüpfend an eine etwaiges „Fehlverhalten“ des Betroffen und nicht „anlasslos“, was – anders als im Falle der Positivdaten – in der Abwägung für die Datenverwender zu berücksichtigen ist,“

III.        Fazit

Unternehmen dürfen nicht wahllos Bonitätsdaten abfragen oder einmelden.

Hinsichtlich der Datenabfrage gilt: Je konkreter ein Vertrag in Aussicht steht, desto mehr Informationen sind zulässig.

  • Zunächst dürfen nur grobe Negativmerkmale geprüft werden, während detaillierte Bonitätsprüfungen erst kurz vor Vertragsschluss erlaubt sind.
  • Unternehmen müssen die Erforderlichkeit der Abfrage begründen können und dürfen nicht routinemäßig ohne Anlass prüfen.
  • Bei Scheitern der Vertragsverhandlungen, müssen die erhobenen Daten grundsätzlich unverzüglich gelöscht werden.
  • Bei Verstößen drohen gemäß Art. 83 Abs. 5 DSGVO empfindliche Sanktionen (Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes). Unternehmen sollten daher sorgfältig dokumentieren, wann und warum sie Bonitätsauskünfte einholen.

Eine Einmeldung von Positivdaten an die SCHUFA könnte grundsätzlich nur durch eine ausdrückliche Einwilligung gerechtfertigt werden.