BGH: Positivdaten an die SCHUFA – wann ist die Übermittlung zulässig ist

Behörde: Bundesgerichtshof (VI. Zivilsenat)

Datum der Entscheidung: 14. Oktober 2025
Geschäftszahl: VI ZR 431/24
Quelle (Presseinfo): 12. November 2025, Nr. 209/2025.

Rechtssatz (kurz): Die Übermittlung von Positivdaten (Stammdaten und Information über Beginn/Ende eines Vertrags) an die SCHUFA kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt zulässig sein, wenn sie zur Betrugsprävention erforderlich und verhältnismäßig ist; ein pauschales Verbot greift zu weit.

Sachverhalt

Ein Telekommunikationsunternehmen übermittelte nach Abschluss von Postpaid-Mobilfunkverträgen die zum Identitätsabgleich erforderlichen Stammdaten (z. B. Name) sowie die Information, dass ein Vertrag begründet oder beendet wurde, an die SCHUFA. Zweck war insbesondere die Betrugsprävention (Missbrauch durch falsche Identität bzw. massenhafte Vertragsabschlüsse, um an subventionierte Smartphones zu gelangen). Ein Verbraucherverband klagte auf Unterlassung jeglicher Übermittlung von Positivdaten. LG wies die Klage ab; OLG bestätigte.

Entscheidung

Der BGH wies die Revision zurück: Der Unterlassungsantrag war zu weit gefasst, weil er auch datenschutzrechtlich unbedenkliche Konstellationen umfasst hätte. Zulässig ist insbesondere die Übermittlung der Identitäts-Stammdaten und der Vertrags-Statusinformation (begründet/ beendet) an die SCHUFA auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, sofern sie zur Betrugsprävention erforderlich ist und die Interessenabwägung zugunsten des Verantwortlichen ausfällt. Angesichts potenziell hoher Schäden überwiegt dieses Interesse das entgegenstehende Interesse der Betroffenen, dass diese begrenzten Daten nicht übermittelt werden. Nicht entschieden hat der BGH, ob bzw. wie diese Positivdaten in das Bonitätsscoring der SCHUFA einfließen – dies war aus prozessualen Gründen nicht Gegenstand.

Vorinstanzen: LG Düsseldorf, 6. 3. 2024 – 12 O 128/22; OLG Düsseldorf, 31. 10. 2024 – 20 U 51/24.

Rechtliche Begründung (kompakt)

• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

  • Zweck: Betrugsprävention bei Postpaid-Mobilfunkverträgen.

  • Erforderlichkeit: Übermittlung genau der Stammdaten und der Vertrags-Statusinformation genügt zur Identitäts-/Missbrauchserkennung.

  • Abwägung: Hohe Schadensrisiken bei systematischem Vertragsmissbrauch → Interesse des Verantwortlichen überwiegt.

• Kein “Blankett-Verbot”: Ein genereller Unterlassungsanspruch gegen jede Positivdaten-Übermittlung wäre unverhältnismäßig, weil er auch rechtmäßige, eng begrenzte Datenflüsse für legitime Zwecke verhindern würde.

• Open point: Kein Spruch zur Scoring-Nutzung der Daten durch die SCHUFA (separat zu prüfen, inkl. eigener Rechtsgrundlagen/Transparenz).
  
  

Fazit

Der BGH schafft Praxisnähe: Eng begrenzte Positivdatenübermittlungen an Auskunfteien zur Betrugsprävention sind möglich, wenn sie zweckgebunden, minimal und gut abgewogen erfolgen. Ein Totalverbot ist zu weit.

Schlussfolgerungen & To-dos für Verantwortliche

1. Klarer Zweck “Betrugsprävention”

   • Dokumentieren Sie den konkreten Missbrauchstatbestand (z. B. Identitätstäuschung, Serieneindeckungen).

   • Vermeiden Sie Zweckvermischungen (z. B. “allgemeines Marketing”).

   • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

2. Datenminimierung & Inhalt

   • Nur: Stammdaten zum Identitätsabgleich und “Vertrag begründet/beendet”.

   • Keine weitergehenden Nutzungs-/Zahlungsdetails ohne zusätzliche Rechtfertigung.

   • Bezug: Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung).

3. Transparenz & Widerspruch

   • Information nach Art. 13/14 DSGVO, inkl. Empfänger (Auskunftei), Zweck, Rechtsgrundlage, Speicherdauer.

   • Widerspruchsrecht nach Art. 21 DSGVO klar erläutern; Abwägungsargumente bereithalten.

4. Vertragliche & organisatorische Absicherung

   • Controller-to-Controller-Konstellation prüfen; vertragliche Rahmenbedingungen (Zweckbindung, Sicherheit, Rückmeldewege für Betroffenenrechte).

5. Speicherdauer & Sicherheit

   • Geeignete Löschfristen festlegen; technische/organisatorische Maßnahmen abstimmen (Art. 5 Abs. 1 lit. e, f; Art. 32 DSGVO).

6. Dokumentation

   • LIA (Legitimate Interests Assessment) sauber erstellen und aktuell halten.

   • Verzeichnis von Verarbeitungstätigkeiten aktualisieren (Art. 30 DSGVO).

7. DSFA – falls einschlägig

   • Prüfen, ob Umfang/Systematik eine DSFA erfordert (z. B. großskalige, systematische Auswertung, Risikoprofile). Wenn ja: Art. 35 DSGVO.

8. Scoring (separat!)

   • Wenn eine Auskunftei Positivdaten für Scoring nutzt, ist dies gesondert zu prüfen (Rechtsgrundlage, Transparenz, ggf. automatisierte Entscheidungen, Informationsrechte). Der BGH hat hierzu nicht entschieden.