Urteil : Rechtfertigung der Übermittlung personenbezogener Positivdaten : aus der RDV 1/2026, Seite 52 bis 57

Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält aber dessen Beurteilung, die Übermittlung der hier betroffenen Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA lasse sich gem. Art. 6 Abs. 1 UAbs. 1 lit. f) DS‑GVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen, der revisionsrechtlichen Nachprüfung stand. Damit schränkt der Klageantrag zu 1.a den der Beklagten datenschutzrechtlich eingeräumten Gestaltungsspielraum beim Umgang mit Positivdaten zu weitgehend ein. Der Hauptantrag ist darüber hinaus auch deshalb unbegründet, weil auch eine wirksame Einwilligung des Verbrauchers die Datenübermittlung rechtfertigen würde; dies hat der Kläger erst im Hilfsantrag berücksichtigt.

a) Die Rechtmäßigkeit der streitgegenständlichen Datenübermittlung richtet sich allein nach der DS‑GVO, deren zeitlicher (Art. 99 Abs. 2 DS‑GVO), räumlicher (Art. 3 DS‑GVO) und sachlicher Anwendungsbereich (Art. 2 Abs. 1 DS‑GVO) eröffnet ist. Die Übermittlung der personenbezogenen Daten durch die Beklagte als Verantwortliche an die SCHUFA stellt eine Verarbeitung i.S.v. Art. 4 Nr. 2 DS‑GVO dar. § 31 BDSG ist unabhängig von der umstrittenen Frage, ob diese Regelung unionsrechtskonform ist (offengelassen: EuGH, Urt. v. 7.12.2023 – C-634/21, EuGRZ 2023, 642 Rn. 72; verneinend mangels Öffnungsklausel für den nationalen Gesetzgeber: Simitis/Hornung/Spiecker gen. Döhmann/Ehmann, Datenschutzrecht, 2. Aufl., § 31 BDSG Rn.  6 ff.; Kühling/Buchner/Buchner/Petri, DS‑GVO BDSG, 4. Aufl., Art. 6 DS‑GVO Rn. 161 und Rn. 199 f.), nicht einschlägig, da diese Vorschrift nicht unmittelbar die Übermittlung von Daten an Auskunfteien (sog. Einmeldung) regelt (Ehmann a.a.O. Rn. 115; Taeger/Gabel/Taeger, DS‑GVOBDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 24-26).

b) Art. 6 Abs. 1 UAbs. 1 DS‑GVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können. Nach Art. 6 Abs. 1 UAbs. 1 lit. a) DS‑GVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung i.S.v. Art. 4 Nr. 11 DS‑GVO dazu für einen oder mehrere bestimmte Zwecke gegeben hat (st. Rspr. des EuGH, vgl. nur Urt. v. 12.9.2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 34 m.w.N., 36).

Dies berücksichtigt der Hauptantrag, anders als der Hilfsantrag, nicht, so dass das mit dem Hauptantrag erstrebte Unterlassungsgebot schon deshalb zu weit geht.

c) Liegt keine wirksame Einwilligung vor, ist eine Verarbeitung personenbezogener Daten gleichwohl gerechtfertigt, wenn sie aus einem der in Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DS‑GVO genannten Gründe erforderlich ist, wobei diese Rechtfertigungsgründe eng auszulegen sind (st. Rspr. des EuGH, vgl. Urt. v. 12.9.2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 36 f. m.w.N.).

aa) Nach dem hier allein in Betracht kommenden Rechtfertigungsgrund des Art. 6 Abs. 1 UAbs. 1 lit. f) DS‑GVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“. Nach ständiger Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, Urt. v. 9.1.2025 – C-394/23, NJW 2025, 807 Rn.  45 m.w.N.). Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist zu berücksichtigen, dass es nach Art. 13 Abs. 1 lit. d) DS‑GVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art.  6 Abs.  1 UAbs.  1 lit.  f) DS‑GVO beruht. In Ermangelung einer Definition des Begriffs „berechtigtes Interesse“ durch die DS‑GVO kann ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten. Insbesondere ist dieser Begriff nicht auf gesetzlich verankerte und bestimmte Interessen beschränkt (EuGH a.a.O. Rn. 46 m.w.N.). Das geltend gemachte berechtigte Interesse muss allerdings rechtmäßig sein (EuGH, Urt. v. 4.10.2024 – C-621/22, NJW 2024, 3769 Rn. 40). Was zweitens die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere in die durch Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wo bei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist. Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen, der in Art. 5 Abs.  1 lit.  c) DS‑GVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (EuGH, Urt. v. 9.1.2025 – C-394/23, NJW 2025, 807 Rn. 48 f. m.w.N.). Was schließlich drittens die Voraussetzung betrifft, dass die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen, gebietet diese Voraussetzung eine den nationalen Gerichten obliegende Abwägung der einander gegenüberstehenden Rechte und Interessen, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt. Wie sich aus ErwG 47 DS‑GVO ergibt, können die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet (EuGH a.a.O. Rn. 49 f.). Zu berücksichtigen ist ferner der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf die betroffene Person (EuGH, Urt. v. 12.9.2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 62).

bb) Nach diesen Grundsätzen lässt sich auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, seitens der Beklagten an die SCHUFA gem. Art. 6 Abs. 1 UAbs.  1 lit.  f) DS‑GVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen.

(1) Bei dem von der Beklagten den Verbrauchern in den Datenschutzhinweisen (Anlage K 3) mitgeteilten Interesse an Betrugsprävention handelt es sich um ein berechtigtes, insbesondere rechtmäßiges, wirtschaftliches Interesse der Beklagten. Das Interesse an der Verhinderung von Betrug ist in ErwG 47 DS‑GVO ausdrücklich als berechtigtes Interesse angeführt. Soweit dort vom für die Verhinderung von Betrug „unbedingt erforderlichen Umfang“ die Rede ist, betrifft dies die Frage der Erforderlichkeit.

(2) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen kann die Übermittlung der hier betroffenen Positivdaten zur Verhinderung von Betrug als unbedingt erforderlich angesehen werden.

(a) Nach den tatbestandlichen Feststellungen des Berufungsgerichts übermittelte die Beklagte (bis Oktober 2023) nur bei Postpaid-Mobilfunkverträgen Positivdaten von Kunden an die SCHUFA, nämlich zumindest die zum Identitätsabgleich erforderlichen Stammdaten sowie die Information, dass ein Vertragsverhältnis mit dem Verbraucher begründet oder beendet wurde. Weiter nimmt das Berufungsurteil konkret Bezug auf den Vortrag der Beklagten zur Betrugsprävention in der Klageerwiderung und fasst diesen dahingehend zusammen, dass in den Fällen, in denen potenzielle Kunden in kurzer Zeit unerklärlich viele Mobilfunkverträge abschlössen, auf ihre Absicht geschlossen werden könne, an die teure Hardware zu gelangen. Ferner müssten Name und Geburtsdatum übermittelt werden, um die Identität sicher feststellen zu können. Die Beklagte hat zu ihrem Interesse an Betrugsprävention in der Klageerwiderung näher ausgeführt, dass Betrugsfälle zulasten von Mobilfunkdiensteanbietern bei Postpaid-Mobilfunkverträgen dadurch gekennzeichnet seien, dass die Täter durch „gefälschte existente oder fiktive“ Personendaten ihre Identität verschleierten und über ihr Wollen oder Können täuschten, die entstehenden Forderungen zu bedienen, um einen Vertragsschluss zu erwirken. Ein Indiz für einen möglichen Betrugsversuch könne sein, dass eine Person mittleren Alters wirtschaftlich bislang überhaupt nicht in Erscheinung getreten sei; dies sei statistisch unwahrscheinlich und daher ein Indiz dafür, dass es sich um eine fiktive Identität handle. Ein weiteres typisches Indiz für einen Betrugsversuch sei der Abschluss zahlreicher Mobilfunkverträge in kurzer zeitlicher Abfolge bei verschiedenen Mobilfunkdiensteanbietern, z.B. von sechs Verträgen binnen einer Woche. Das wirtschaftliche Interesse der Beklagten an der Nutzung von Positivdaten belaufe sich allein im Hinblick auf den Zweck der Betrugsprävention pro Jahr auf einen siebenstelligen Betrag. In der Vergangenheit habe die Beklagte auf Basis der von den Auskunfteien gespeicherten Positivdaten eine Vielzahl von Aufträgen wegen des Abschlusses auffällig vieler Verträge mit der Absicht, an die Hardware zu gelangen, oder wegen fiktiver Identitäten abgelehnt. Der Schaden entstehe durch Hardwareverlust und Serviceerschleichung.

(b) Nach den tatbestandlichen Feststellungen des Berufungsgerichts ist der Vortrag der Beklagten zu Betrugsversuchen bei der Eingehung von Mobilfunkverträgen und dazu, dass die Auskunfteien hierzu nähere Bewertungsmethoden entwickelt hätten, vom Kläger nicht angegriffen worden. Dem Einwand der Revision, der Kläger habe den Vortrag mit Nichtwissen bestritten, steht schon die Beweiskraft dieser tatbestandlichen Feststellung entgegen (§ 314 ZPO). Abgesehen davon verweist die Revision insoweit lediglich darauf, dass der Kläger zum Ausdruck gebracht habe, die pauschale, anlasslose und uneingeschränkte Übermittlung der personenbezogenen Daten sei durch das Interesse der Beklagten nicht gerechtfertigt. Dabei handelt es sich aber nicht um ein Bestreiten des tatsächlichen Vortrags der Beklagten mit Nichtwissen, sondern um die Darstellung der Rechtsauffassung des Klägers zur Interessenabwägung.

(c) Wie das Berufungsgericht weiter festgestellt hat, ruft die Beklagte ihrem unbestrittenen Vortrag zufolge die Zahl der bereits (mit anderen Mobilfunkdiensteanbietern) abgeschlossenen (und von diesen eingemeldeten) Verträge bei der SCHUFA vor Abschluss des Vertrages mit ihrem Kunden ab. Ihrerseits meldet sie die Positivdaten des Kunden einschließlich der Information über den Vertragsschluss sodann nach Abschluss des Vertrages. Dieses System der Einmeldung der Positivdaten seitens der Mobilfunkdiensteanbieter bei den Wirtschaftsauskunfteien erscheint geeignet, die Mobilfunkdiensteanbieter über die genannten Indizien eines Eingehungsbetrugs, insbesondere über eine ungewöhnliche Anzahl bereits abgeschlossener Mobilfunkverträge binnen kurzer Zeit, zu informieren.

(d) Die Revision weist zwar zu Recht darauf hin, dass die Beklagte die Erforderlichkeit der Einmeldung der Positivdaten für die Betrugsprävention darzulegen und zu beweisen hat. Es erschließt sich jedoch nicht, wie das Interesse der Beklagten an der Bekämpfung der genannten Betrugsszenarien in zumutbarer Weise ebenso wirksam mit milderen Mitteln erreicht werden könnte. Die Einholung einer freiwilligen (zu den hohen Anforderungen vgl. Art. 7 Abs. 4 DS‑GVO) und zudem gem. Art. 7 Abs. 3 DS‑GVO jederzeit widerruflichen Einwilligung des Kunden in die Übermittlung der Positivdaten wäre nicht ebenso wirksam, weil der Vertragsschluss von der Einwilligung nicht abhängig gemacht werden dürfte und gerade etwaige Betrüger der Übermittlung der Daten nicht zustimmen oder ihre Zustimmung sofort widerrufen würden (vgl. OLG Koblenz, GRUR-RS 2025, 10143 Rn. 21). Negativdaten, deren Übermittlung an die SCHUFA der Kläger nicht angreift, können zwar unter Umständen ebenfalls auf eine Betrugsabsicht hinweisen, allerdings liegen sie gerade in den Fällen, in denen ein Kunde in kurzer Zeit außergewöhnlich viele Verträge abschließt, typischerweise noch nicht vor. Zudem schützt ihre Übermittlung nicht vor dem Abschluss eines Vertrages unter falscher Identität. Die Übermittlung der Positivdaten nur bei einem vom Kläger geforderten „Anlass“, etwa wenn Auffälligkeiten (welche?) bereits vorliegen, erscheint deshalb nicht ebenso wirksam für die Betrugsprävention, weil es gilt, eben diese Auffälligkeiten rechtzeitig zu ermitteln und zu diesem Zweck Positivdaten von Anfang an vollständig zusammenzutragen. Der Einwand der Revision, die Übermittlung der Positivdaten sei allenfalls dann erforderlich, wenn Vertragsgegenstand auch die vom Berufungsgericht angesprochene Überlassung von teurer Hardware (z.B. eines Smartphones) sei, in diesen Fällen könne die Beklagte als milderes Mittel allerdings ihr Geschäftsmodell ändern und reine Mobilfunkleistungen und Abzahlungsgeschäfte über Hardware getrennt anbieten und ihre Zusammenarbeit mit den Wirtschaftsauskunfteien auf die Abzahlungsgeschäfte beschränken, greift nicht durch. Bei der gebotenen Prüfung, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, ist auf das von dem jeweiligen Verantwortlichen gewählte (legale) Leistungsangebot abzustellen. Sie erlaubt es nicht, dem Verantwortlichen unter Missachtung seiner unternehmerischen Freiheit (Art. 16 GRCh) den Wechsel zum Angebot anderer Leistungen aufzuerlegen. Zudem ergibt sich aus dem vom Berufungsgericht in Bezug genommenen und oben referierten Vortrag der Beklagten aus der Klageerwiderung, dass mit der Einmeldung der Positivdaten betrügerisches Verhalten bei der Eingehung eines Postpaid-Mobilfunkvertrags auch, aber nicht nur dann bekämpft werden soll, wenn mit dem Vertrag teure Hardware überlassen wird.

(3) Entgegen der Ansicht der Revision überwiegen die Interessen oder Grundrechte und Grundfreiheiten der Verbraucher, deren oben genannte Positivdaten von der Beklagten bei Postpaid-Mobilfunkverträgen an die SCHUFA eingemeldet werden, das berechtigte Interesse der Beklagten an einer hinreichenden Betrugsprävention nicht. (a) Die Zulässigkeit der Übermittlung von Positivdaten an Wirtschaftsauskunfteien ist umstritten. (aa) Die überwiegende Meinung in der Rechtsprechung (OLG Koblenz, GRUR-RS 2025, 10143 Rn. 10 ff., 52 ff.; OLG Bamberg, GRUR-RS 2025, 8805 Rn. 9 ff.; OLG Nürnberg, GRUR-RS 2025, 17454 Rn.  41 ff.; beispielhaft aus der Rechtsprechung der Landgerichte: LG Stuttgart, GRUR-RS 2025, 6262 Rn. 17 ff.; LG Bad Kreuznach, GRUR-RS 2025, 1169 Rn.  71 ff.; LG Frankfurt am Main, Urt. v. 18.12.2024 – 2-28 O 33/24, juris Rn. 45 ff; LG Freiburg im Breisgau, GRUR-RS 2024, 30639 Rn. 32 ff.; LG Weiden i. d. OPf., GRUR-RS 2024, 23031 Rn. 44 ff.; weitere umfangreiche Nachweise bei AG Lüdenscheid, GRUR-RS 2025, 17403 Rn. 43) hält die Übermittlung der Positivdaten von Verbrauchern im Zusammenhang mit dem Abschluss von Telekommunikationsverträgen, insbesondere Postpaid-Mobilfunkverträgen, an Wirtschaftsauskunfteien zum Zweck der Betrugsprävention für rechtmäßig. Teilweise wird vertreten, dass jedenfalls ein Unterlassungsantrag, der die Ausnahme des berechtigten Interesses einer Betrugsprävention nicht aufnehme, zu weit gehe (OLG München, ZD 2025, 463 Rn. 44- 46; OLG Köln, GRUR-RS 2023, 34611 Rn. 20-23; LG Köln, GRURRS 2023, 9811 Rn. 51;LG Stuttgart, GRUR-RS 2025, 6262 Rn. 24).

Auch Teile der Literatur sprechen sich – allgemein oder für bestimmte Branchen – für die Zulässigkeit der Übermittlung von Positivdaten an Auskunfteien aus (Paal, NJW 2024, 1689, insbes. Rn.  13-20; Kühling/Buchner/Buchner/Petri, DS‑GVO BDSG, 4. Aufl., Art.  6 DS‑GVO Rn.  164; Schulz, RDV 2022, 117, 119 ff.; Assion/Hauck, Beilage ZD 12/2020, 1, 5 f.; Taeger/Gabel/ Taeger, DS‑GVO-BDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 26, 52; Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 19. Aufl., § 34 Rn. 767; von Lewinski/Pohl, ZD 2018, 17, 20 f.).

(bb) Aus Sicht der Gegenmeinung, der die Revision folgt, überwiegt das Interesse der Verbraucher am Schutz ihrer personenbezogenen Daten das Interesse der die Positivdaten einmeldenden Stelle an einer Betrugsprävention. Sie betont, dass die anlasslos – da erst nach Vertragsschluss und unabhängig von einem eigenen Fehlverhalten des Verbrauchers – erfolgende Vorratsdatensammlung zur Betrugsprävention weit überwiegend Verbraucher betreffe, bei denen weder ein kreditorisches Risiko noch das Risiko eines Identitätsdiebstahls oder eines sonstigen betrügerischen Verhaltens bestehe. Das Interesse der Verbraucher am Schutz vor einer anlasslosen und unterschiedslosen Erhebung ihrer personenbezogenen Daten zur Erreichung abstrakt-genereller Ziele, in deren Vorteil sie in der Regel allenfalls mittelbar kommen könnten, überwiege das Interesse des Verantwortlichen erheblich (LG München, ZD 2024, 46 Rn.  114 ff.; LG Lübeck, GRUR-RS 2025, 511 Rn.  39 ff.; ähnlich Ziebarth, RDV 2024, 330, 333 ff.). Eine pauschale und präventive Übermittlung sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis sei weder üblich noch werde sie vernünftigerweise erwartet (LG Köln, GRUR-RS 2023, 9811 Rn.  51; LG Stuttgart, GRUR-RS 2024, 28242 Rn.  27). Ein überwiegendes Interesse der Verbraucher wird teilweise auch daraus hergeleitet, dass die Datenübermittlung zum Zwecke der Erstellung eines Persönlichkeitsprofils erfolge, welches in einen Gesamtscore zur Erfassung der Bonität der Betroffenen kulminiere, wobei hierzu eine große Zahl von an sich nicht miteinander verbundenen Datenpunkten nach einem für die Betroffenen weitgehend intransparenten System miteinander verkettet würden (LG Lübeck, a.a.O. Rn. 45).

(cc) Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, DSK) hat in ihren Beschl. v. 11.6.2018 und 22.9.2021 die Ansicht vertreten, dass die Übermittlung und Verarbeitung von Positivdaten an bzw. durch Handels- und Wirtschaftsauskunfteien grundsätzlich nicht auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS‑GVO gestützt werden könne, weil regelmäßig das schutzwürdige Interesse der betroffenen Personen überwiege, selbst über die Verwendung ihrer Daten zu bestimmen. Regelmäßig bedürfe es daher einer wirksamen Einwilligung unter Beachtung der hohen Anforderungen an die Freiwilligkeit ihrer Erteilung. Im Beschl. v. 22.9.2021 hat die DSK ergänzt, dass dies auch für die Übermittlung und Verarbeitung von Positivdaten zu Verträgen über Mobilfunkverträge und Dauerhandelskonten gelte. Dabei gehe es um längerfristige Verträge, die durch Vorausleistungsverpflichtungen oder Finanzierungs- bzw. Stundungselemente als kreditorisches Risiko betrachtet würden, aber keine Vertragsstörungen aufwiesen. Die Daten würden bei der Bildung von Scorewerten der betroffenen Personen, die Handel oder Kreditwirtschaft zur Bonitätsprüfung heranzögen, regelmäßig neben einer Vielzahl weiterer Sachverhalte einbezogen. Es bestünden zwar berechtigte Interessen der Mobilfunkdiensteanbieter und der Handelsunternehmen, die Qualität der Bonitätsbewertungen zu verbessern und die beteiligten Wirtschaftsakteure vor kreditorischen Risiken zu schützen. Besondere Umstände, die – wie bei Kreditinstituten aufgrund deren spezifischer Verpflichtungen nach dem Kreditwesengesetz – ein die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegendes Interesse der Verantwortlichen oder Dritter an der Verarbeitung bestimmter Positivdaten vermitteln würde, habe die DSK im Rahmen ihrer Überprüfung jedoch nicht feststellen können. Auch bei Positivdaten zu Verträgen über Mobilfunkdienste und Dauerhandelskonten komme den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person, selbst darüber zu entscheiden, ob sie die sie betreffenden Positivdaten zur Bonitätsbewertung preisgeben wolle, entscheidende Bedeutung zu. Ansonsten würden unterschiedslos große Datenmengen über übliche Alltagsvorgänge im Wirtschaftsleben erhoben und verarbeitet, ohne dass die betroffenen Personen hierzu Anlass gegeben hätten. Deshalb könnten weder Verantwortliche noch Dritte ein überwiegendes Interesse an diesen Verarbeitungen geltend machen.

(dd) Der aufgrund Art. 68 DS‑GVO eingerichtete Europäische Datenschutzausschuss (EDSA) hat sich bislang zur Zulässigkeit der Übermittlung und Verarbeitung von Positivdaten an Auskunfteien nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS‑GVO, soweit ersichtlich, nicht geäußert.

(b) Der Senat schließt sich auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen für den vorliegenden Fall der herrschenden Meinung insoweit an, als bei einer Übermittlung der oben genannten Positivdaten (zum Identitätsabgleich erforderliche Stammdaten der Verbraucher sowie die Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde) an die SCHUFA zum Zwecke der Betrugsprävention die Rechte und Interessen der betroffenen Verbraucher diejenigen der Beklagten nicht überwiegen.

(aa) Die DSK betrachtet bei ihrer grundsätzlichen Bewertung in den (rechtlich nicht bindenden) Beschl. v. 11.6.2018 und 22.9.2021 die Übermittlung und Verarbeitung von Positivdaten im Hinblick auf den Zweck der Bonitätsbewertung, bezieht aber den besonderen Zweck der Betrugsprävention nicht, jedenfalls nicht ausdrücklich ein. Zudem stellt sie im Rahmen der Begründung des Beschl. v. 22.9.2021 wiederholt darauf ab, dass es an einem überwiegenden Interesse der Verantwortlichen oder Dritter an der Verarbeitung von Positivdaten fehle. Gem. Art. 6 Abs. 1 UAbs. 1 lit. f) DS‑GVO fällt die Abwägung aber nur dann zugunsten der betroffenen Person aus, wenn deren Interessen, Grundrechte oder Grundfreiheiten überwiegen.

(bb) Den Kritikern der Übermittlung von Positivdaten durch Mobilfunkdiensteanbieter ist darin Recht zu geben, dass sie präventiv, pauschal und insofern anlasslos erfolgt, als nicht der Einzelne durch ein Fehlverhalten Anlass zu dieser Maßnahme gegeben haben muss. Anlass besteht allerdings insoweit, als auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen Betrugsstraftaten durch die Täuschung über die Identität und/oder die Zahlungsfähigkeit und -willigkeit von Verbrauchern beim Abschluss von Postpaid-Mobilfunkverträgen mit der Beklagten Wirklichkeit sind und im Hinblick auf deren Vorleistungspflicht in dem Dauerschuldverhältnis, das durch den Mobilfunkvertrag begründet wird, auch und gerade, aber nicht nur bei der Überlassung von Hardware (insbesondere Smartphones), einen hohen finanziellen Schaden anrichten können. Dem durch Art.  16 GRCh (unternehmerische Freiheit) geschützten Interesse der Beklagten, sich vor einem Vertragsabschluss mit Betrügern zu schützen, kommt vor diesem Hintergrund ein hohes Gewicht zu. Über die Betroffenheit des einzelnen Anbieters hinaus geht es bei der Betrugsprävention um schutzwürdige sozioökonomische Interessen der Telekommunikationsbranche und nicht zuletzt um die wirtschaftlichen Interessen ihrer Kunden, da hohe Betrugsschäden negative Auswirkungen auf die Preisgestaltung haben können. Zudem können Kunden von einem Identitätsdiebstahl durch Dritte betroffen sein und von einer Abfrage bei der SCHUFA daher profitieren.

Der Senat verkennt nicht die grundsätzliche Bedeutung der durch Art. 7 und Art. 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, die durch die Übermittlung der Positivdaten betroffen sind. Geschieht die Datenübermittlung allerdings zur Prävention von Betrugsstraftaten, wie sie nach den Feststellungen des Berufungsgerichts bei Postpaid-Mobilfunkverträgen der Beklagten ernsthaft zu befürchten sind, so überwiegen die genannten Rechte der betroffenen Person die zuvor genannten Interessen der Verantwortlichen nicht. Der Senat teilt die Ansicht des Berufungsgerichts, dass es sich bei den hier in Rede stehenden Positivdaten – im Ergebnis also bei der Information, dass eine bestimmte Person einen Postpaid-Mobilfunkvertrag abgeschlossen oder beendet hat – nicht um sensible Daten handelt. Damit unterscheiden sie sich wesentlich von Negativdaten (vgl. z.B. EuGH, Urt. v. 7.12.2023 – C-26/22 und C-64/22, EuGRZ 2023, 632 Rn. 94 zur Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung), gegen deren Übermittlung an Auskunfteien sich der Kläger nicht wendet. Bei dem Abschluss eines Mobilfunkvertrages handelt es sich um einen gewöhnlichen Geschäftsvorgang im Leben eines erwachsenen Verbrauchers. Die Information hierüber an einen begrenzten Empfängerkreis lässt keine Rückschlüsse auf persönliche Vorlieben zu und gibt keinen Einblick in das sonstige geschäftliche oder gar das private Verhalten des Verbrauchers; er wird dadurch nicht zum „gläsernen Verbraucher“.

(cc) Angesichts des Umstands, dass Mobilfunkdiensteanbieter mit dem Abschluss von Postpaid-Mobilfunkverträgen ein hohes kreditorisches Risiko eingehen, insbesondere (aber nicht nur) dann, wenn sie mit Abschluss des Vertrages ein Smartphone überlassen, dürfte für einen Verbraucher die Erwartung, dass seine Daten, auch seine Positivdaten, an die SCHUFA übermittelt werden, bei vernünftiger Betrachtung nicht fernliegen. Zudem kann er dies aus den Datenschutzhinweisen der Beklagten erkennen.

(dd) Die im Rahmen der Abwägung zu berücksichtigenden Auswirkungen der Übermittlung der Positivdaten seitens der Beklagten an die SCHUFA zum Zwecke der Betrugsprävention könnten auch davon abhängen, wie und in welchem Umfang die Daten von der SCHUFA zum Zwecke der Betrugsprävention verarbeitet und an ihre Vertragspartner weitergegeben werden (bzw. bis Oktober 2023 wurden).

Feststellungen hierzu hat das Berufungsgericht nicht getroffen. Das war allerdings auch nicht veranlasst. Denn die „näheren Einzelheiten der Verarbeitung der Daten durch die Auskunfteien (Bewertung, Löschungsfristen)“ sind, wie das Berufungsgericht tatbestandlich und damit für das Revisionsverfahren bindend festgestellt hat, vom Kläger „nicht angegriffen“ worden. Zudem verlangt der Kläger mit der weiten Fassung des Klageantrags zu 1.a die Unterlassung der Übermittlung von Positivdaten unabhängig davon, wie die nicht streitgegenständliche Verarbeitung der Positivdaten bei der SCHUFA gerade im Rahmen der Betrugsprävention erfolgt, beispielsweise, ob sie in diesem Rahmen überhaupt in das Bonitätsscoring einfließt und wenn ja, wie sie dieses beeinflusst. Dass eine Reaktion seitens der SCHUFA erfolgt, wenn Auffälligkeiten vorliegen, die als Indizien für einen Betrug zu werten sind, etwa weil außergewöhnlich viele Verträge binnen kurzer Zeit abgeschlossen worden sind, ist gerade Sinn und Zweck der Übermittlung der Positivdaten zur Betrugsprävention und kann deshalb für sich genommen noch nicht zur Rechtswidrigkeit der Übermittlung von Positivdaten zur Betrugsprävention führen. Auf die rechtlichen Anforderungen an die Zulässigkeit des Bonitätsscoring (Profiling) seitens der SCHUFA im Hinblick auf Art. 22 DS‑GVO (vgl. EuGH, Urt. v. 7.12.2023 – C-634/21, EuGRZ 2023, 642 Rn. 40 ff.) kommt es daher hier nicht an.

(ee) Soweit die Revision schließlich aus der „anlasslosen“, d.h. von einem konkreten Betrugsverdacht im Einzelfall losgelösten, Übermittlung der Positivdaten die Vermutung herleitet, die Beklagte bezwecke mit den Meldungen auch und in erster Linie das Heraussuchen von „Vertragshoppern“, was sie hinter dem angeblichen Zweck der Betrugsprävention zu verbergen versuche, sind Feststellungen, die diese Annahme stützen würden, nicht getroffen. Die Revision benennt auch keinen diesbezüglichen Vortrag, den das Berufungsgericht gehörswidrig übergangen haben könnte. In der insoweit von ihr in Bezug genommenen Klageschrift hat der Kläger lediglich auf die Ansicht der DSK in ihrem Beschl. v. 15.3.2021 verwiesen, wonach die Einmeldung der Positivdaten von Verbrauchern durch Energieversorger mit dem Ziel, „Schnäppchenjäger“ zu identifizieren, nicht gerechtfertigt wäre. Dass die Beklagte mit der Einmeldung von Positivdaten auch oder in erster Linie das Ziel der Identifizierung von „Vertragshoppern“ verfolge, hat er dort nicht behauptet. Im Übrigen ließe sich damit eine Übermittlung der Positivdaten zum Zwecke der Betrugsprävention, die aber vom Unterlassungsantrag erfasst ist, nicht verbieten. […]