Kurzbeitrag : Die Meldung sogenannter Positivdaten an Auskunfteien : aus der RDV 6/2024, Seite 330 bis 337
Zugleich Anmerkung zu LG Augsburg (4. Zivilkammer), Endurteil vom 05.07.2024 – 041 O 3703/23*
Mit folgendem Beitrag soll untersucht werden, ob sogenannte Positivdaten an Auskunfteien übermittelt werden dürfen. Diese Frage ist in Rechtsprechung und Literatur umstritten. Anlass des Beitrags ist ein Urteil des LG Augsburg. Es begegnet erheblichen rechtlichen Bedenken.
Es ist zudem exemplarisch für ein Phänomen, das es, soweit ersichtlich, nur im Datenschutzrecht gibt: in wohl keinem anderen Rechtsgebiet muss man damit rechnen, dass Gerichte Rechtssätze, die seit Jahren oder Jahrzehnten gelten, schlicht ignorieren oder immer wieder in Frage stellen.
I. Negativ- und Positivdaten
Auskunfteien wie z.B. die Schufa erhalten von ihren Vertragspartnern Meldungen über Zahlungsverzögerungen und -ausfälle. Solche Vorkommnisse lassen auf mangelnde Zahlungsfähigkeit oder -bereitschaft schließen. Die Informationen hierüber werden „Negativdaten“ genannt. Liegen sie vor, trüben sie offensichtlich das Bild der Bonität des jeweiligen Menschen. Genau das ist ihr Sinn.
Hier ist nicht der Ort, das System der Auskunfteien und ihrer Bonitätsbewertungen insgesamt zu hinterfragen. Akzeptiert man, dass es beide gibt, so ist die Verarbeitung von Negativdaten in diesem Sinne jedenfalls im Grundsatz nicht zu beanstanden: wer Anderen Geld schuldig bleibt, muss damit rechnen, dass er als wenig(er) kreditwürdig gilt.
Sogenannte Positivdaten hingegen belegen für sich genommen kein Fehlverhalten. Es werden alltägliche Verhaltensweisen gemeldet, die für sich genommen nicht zu beanstanden sind.
Es wird z.B. von einem Telekommunikations-Dienste-Anbieter an die Auskunftei gemeldet, dass/wann jemand (was für) einen Vertrag über Mobilfunkleistungen geschlossen hat, welche Raten er dafür zu bezahlen hat usw.[1]Häufen sich allerdings derartige Einträge, so sät dies automatisiertes Misstrauen in der Auskunftei: warum hat dieser Mensch nun den dritten Mobilfunkvertrag geschlossen? Überfordert er sich finanziell? Will er gar betrügen?[2]
Um diese „Positivdaten“ geht es im zu besprechenden Urteil des LG Augsburg.
II. Zum Sachverhalt im Fall des LG Augsburg
Das beklagte Unternehmen bietet offenbar Telekommunikations-Dienstleistungen an. Anlässlich des Vertragsschlusses mit dem Kläger (offenbar ein Verbraucher[3]) hat es „Positivdaten“ an die Schufa übermittelt.
Vermutlich wird es auch personenbezogene Daten abgefragt haben, sich nämlich über die Bonität des Kunden informiert haben. Dies scheint aber nicht streitgegenständlich geworden zu sein. Vielmehr geht es um Übermittlungen der Beklagten an die Schufa. Nach den Feststellungen des Gerichts lag bei Vertragsschluss eine Datenschutzinformation der Beklagten vor, die u.a. lautete:
Unter Ziff. 7 (vgl. Rn. 18):
„Soweit dies für die Erfüllung der oben genannten Zwecke erforderlich ist, haben folgende Empfänger im erforderlichen Umfang Zugriff auf Ihre personenbezogenen Daten: … Auskunfteien“
Unter Ziff. 9 (vgl. Rn. 20):
„Hierzu übermitteln wir die bei Vertragsabschluss angegebenen personenbezogenen Daten (Name, Anschrift, Geburtsdatum und -ort, E-Mail-Adresse, Bankverbindung) zur Bonitätsprüfung und zur Identitätsprüfung (Art. 6 Abs. 1 f) DS-GVO) grundsätzlich an eine oder auch mehrere der oben genannten Auskunfteien.“
„Erstellung eines Servicekontos (SCHUFA)
Wir übermitteln zum Schutz der Marktteilnehmer vor Forderungsausfällen und Risiken personenbezogene Daten über die Beantragung, Aufnahme und Beendigung des Telekommunikationsvertrages (Name, Anschrift, Geburtsdatum, Information über den Abschluss dieses Telekommunikationsvertrags, Referenz zum Vertrag) an die SCHUFA, wenn sich dahingehend aus den Verträgen eine hinreichende Relevanz ergibt (Art. 6 Abs. 1 f) DS-GVO).“
„Für eine zuverlässige Einschätzung der Kreditwürdigkeit ist ein möglichst umfassendes Bild über bestehende finanzielle Verpflichtungen wichtig. Hierzu trägt die Speicherung von Vertragsbeziehungen aus dem Telekommunikationsbereich bei der SCHUFA bei. Sollten Sie die Übermittlung an die SCHUFA nicht wünschen, schreiben Sie bitte an …“
III. Zur Beweislast
Die Urteilsgründe beginnen mit der Feststellung, der Kläger habe eine rechtswidrige Datenverarbeitung nicht beweisen können (Rn. 15). Im Zivilprozess muss zwar grundsätzlich jede Seite das von ihr Vorgetragene und Günstige beweisen.[4] Datenschutzrechtlich muss jedoch die Verantwortliche (Art. 4 Nr. 7 DS-GVO, hier: die Beklagte) die Rechtmäßigkeit ihrer Datenverarbeitung nachweisen können (Art. 5 Abs. 2 DS-GVO).
Wenn die Datenverarbeitung auf einer Einwilligung beruhen soll, muss der Verantwortliche nachweisen, dass sie wirksam erteilt wurde (Art. 7 Abs. 1 DS-GVO).
Ein Beweisproblem hat der Kläger als Betroffener (Art. 4 Nr. 1 DS-GVO) also nicht.
IV. Fallfrage
Im konkreten Fall des LG Augsburg begehrt der Kläger Schadenersatz wegen rechtswidriger Datenverarbeitung. Voraussetzung dafür, dass man über diesen Anspruch nachdenken kann, ist eine rechtswidrige Datenverarbeitung durch die Beklagte (Art. 82 Abs. 1 DS-GVO). Insoweit zutreffend befasst sich das Gericht also mit der Frage, ob die Datenverarbeitung der Beklagten rechtswidrig ist.
Das Gericht prüft nicht, welche Datenverarbeitung stattgefunden hat, sondern orientiert sich an der Datenschutzerklärung der Beklagten. Dort ist von Übermittlung von „Name, Anschrift, Geburtsdatum und -ort, E-Mail-Adresse, Bankverbindung“ (insoweit verständlich) und von „Information über den Abschluss dieses Telekommunikationsvertrags, Referenz zum Vertrag“ die Rede. Was genau diese Informationen und die Referenz ist, bleibt ungeklärt, ebenso wie die Frage, bei welcher Gelegenheit und unter welchen Bedingungen die Datenverarbeitung erfolgt.[5]
Das Gericht beschäftigt sich also undifferenziert mit der Frage, ob es rechtmäßig war, dass die Beklagte „Positivdaten“ an die Auskunftei(en) weitergab.
Genauso undifferenziert ist auch der Meinungsstreit in Literatur, Rechtsprechung und aufsichtsbehördlichen Stellungnahmen. Alle sprechen über „Positivdaten“, als sei das ein Rechtsbegriff. Dabei ist die Bezeichnung erstens unbestimmter und wird zweitens sicherlich nicht einheitlich verwendet. Eine vage Konkretisierung müssen wir den Datenschutz-Hinweisen einzelner Parteien entnehmen. Niemand scheint sich für die Details zu interessieren. Welche Daten genau werden an wen genau übermittelt? Aus welchem Anlass? Wann und wann nicht? Wie lange werden sie dort[6] gespeichert?
Im Folgenden wird deshalb der pauschalen Rechtsfrage nachgegangen, ob es erlaubt ist, „Positivdaten“ an Auskunfteien zu übermitteln. Es darf nicht überraschen, dass diese Prüfung pauschal ausfällt.
Einige darauf aufbauende Gedanken zu einer möglichen differenzierteren Betrachtung soll unten folgen.[7]
V. Rechtliche Würdigung
Das Gericht „prüft“ die Rechtmäßigkeit der Datenverarbeitung, indem es in einem Satz feststellt, der Betroffene habe eingewilligt, und in einem zweiten Satz die Definition des Begriffs „Einwilligung“ i.S.d. Art. 4 Nr. 11 DS-GVO nennt (Rn. 21). Eine Prüfung der Voraussetzungen der Artt. 5, 6 oder gar 7 DS-GVO findet nicht statt.
Dies soll im Folgenden dargestellt und teilweise nachgeholt werden.
Dabei soll der Beitrag auf jene Rechtsgebiete beschränkt bleiben, in denen nicht öffentlich-rechtlich bestimmte Verfahrensweisen vorgeschrieben sind. Ausdrücklich ausgeklammert werden sollen Kreditinstitute.[8]
1. Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO)
Das Gericht dichtet dem Betroffenen an, seine Einwilligung in die streitgegenständliche Datenverarbeitung erteilt zu haben, indem er den Vertrag über Telekommunikations-Dienstleistungen abschloss. Das ist schon im Ansatz nicht vertretbar. Umso weniger, als die beklagte Verantwortliche gar nicht versucht hat, eine Einwilligung zu erhalten, denn sie stützt sich auf ein (angebliches) berechtigtes Interesse i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO.
Indem das Gericht lediglich auf die Begriffsdefinition der Einwilligung abstellt, übersieht es die Tatbestandsvoraussetzungen. Eine Einwilligung muss informiert, freiwillig, vorherig, aktiv, für den konkreten Einzelfall und separat erklärt sowie jederzeit zumutbar widerruflich sein. Ansonsten ist sie unwirksam, die Datenverarbeitung rechtswidrig.[9]
a) Einwilligungsfähigkeit
Einwilligung setzt zudem Einwilligungsfähigkeit voraus. Unterstellen wir mangels anderweitiger Hinweise, dass der Betroffene bei Vertragsschluss einwilligungsfähig war.[10]
b) Informiertheit
Er müsste ausreichend informiert gewesen sein. Die Datenschutzinformation, die die Verantwortliche i.S.d. Artt. 13, 14 DS-GVO vorgehalten hatte, ist keine hinreichende Information. Sie kündigt an, u.a. Auskunfteien Zugang zu personenbezogenen Daten zu gewähren, „soweit dies […] erforderlich ist […] im erforderlichen Umfang“. Weiter heißt es, dass allerlei Daten an die Auskunftei gehen, „wenn sich dahingehend aus den Verträgen eine hinreichende Relevanz ergibt (Art. 6 Abs. 1 f) DS- GVO).“
Ob, wann und in welchem Umfang es im Fall des Klägers erforderlich ist, erfahren wir nicht. In welchen Fällen sich aus „den Verträgen“ eine Relevanz ergibt, ob und welche Daten fließen, bleibt erstens im Dunkeln und zweitens der Willkür der Verantwortlichen überlassen. Und welche Verträge sind mit „den Verträgen“ gemeint? Anlass für die Übermittlung ist doch nur ein einzelner Vertrag.
Auch die Überschrift „Erstellung eines Servicekontos (SCHUFA)“ ist geradezu irreführend. Der Verbraucher bekommt keinen Service. Er wird in seinem Verhalten beobachtet, bewertet und es wird Handel mit den vermeintlichen Erkenntnissen getrieben.
Die zitierten Passagen sind eher Nebelkerze als Information. Auf dieser vagen Grundlage kann niemand (worin auch?) einwilligen.
Zumal wir auch nicht erfahren, in welcher genauen Weise, zu welchem Zeitpunkt,[11] in welchem Umfang und in welcher Aufmachung die vom Gericht nur ausschnittsweise wiedergegebenen Passagen mitgeteilt wurden. Sie werden als Ziff. 7 und 9 bezeichnet. Insoweit kann nicht geprüft werden, ob die Information rechtzeitig kam und zumutbar zur Kenntnis genommen werden konnte.
c) Freiwilligkeit
Eine Einwilligung ist nur wirksam, wenn sie freiwillig erteilt wird. Ja, natürlich wurde der Betroffene nicht mit Gewalt gezwungen, den Vertrag einzugehen. Aber nicht nur darum geht es.
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“, Art. 7 Abs. 4 DS-GVO.
Der Betroffene wollte den Vertrag schließen. Dazu ist es nicht erforderlich, „Positivdaten“ an die Auskunftei zu übermitteln. Wird das eine vom anderen abhängig gemacht, liegt keine Freiwilligkeit vor (Kopplungsverbot).[12]
Menschen sind auf die hier interessierenden Verträge angewiesen. Sie müssen Immobilien bauen, kaufen oder mieten, weil sie sonst obdachlos sind. Sie müssen Smartphones und Internet haben, weil ohne sie nicht mal mehr das eigene Bankkonto funktioniert. Sie brauchen Erdgas, Strom usw. zum nackten Überleben. Wer einen solchen Vertrag also abschließen will, ist nicht in der Situation, seinen freien Willen auszuleben. Für freiwillige Einwilligungen in nicht erforderliche Datenverarbeitung ist kein Platz.[13]
d) Vorherig
Eine Einwilligung ist nur wirksam, wenn sie vorherig erteilt wird. Die Einwilligung muss zeitlich vor der Datenverarbeitung erfolgen.[14] Hier sind keine gegenteiligen Anhaltspunkte ersichtlich. Geprüft hat das Gericht aber zu Unrecht nicht.
e) Aktiv
Eine Einwilligung ist nur wirksam, wenn sie aktiv durch den Betroffenen erteilt wird. Voreingestellte Häkchen oder dergleichen genügen nicht.[15] Der Betroffene mag den Vertrag aktiv angenommen haben, zu einer Einwilligung hat er sich aber nicht geäußert – schon deshalb nicht, weil er gar nicht danach gefragt wurde.
f) Separat
Eine Einwilligung ist nur wirksam, wenn sie separat erteilt wird. Das Eingehen des Vertrages an sich reicht in keinem Fall, um datenschutzrechtlich eine Einwilligung zu erteilen.[16]
g) Zumutbare Widerrufsmöglichkeit
Eine Einwilligung ist nur wirksam, wenn sie durch den Betroffenen in für ihn zumutbarer Weise jederzeit mit Wirkung für die Zukunft widerrufen werden kann und er hierüber belehrt wird. An dieser Möglichkeit scheitert es schon deshalb, weil die beklagte Verantwortliche ihre Datenverarbeitung gar nicht auf eine Einwilligung stützen wollte.
Nach alledem wurde eine Einwilligung weder angefragt noch erteilt, schon gar nicht wirksam erteilt.
2. Abschluss oder die Durchführung des Vertrags, Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO
Der beklagten Verantwortlichen könnte aber die Rechtsgrundlage des Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO erlauben, Daten zu verarbeiten. Dazu müsste die Datenverarbeitung für die Eingehung, Durchführung, Abwicklung usw. eines Vertrages erforderlich sein.
Tatsächlich haben die Parteien einen Vertrag über Telekommunikations-Dienstleistungen geschlossen.
Dazu ist schon die Abfrage der Bonität nicht im strengen Sinne erforderlich:[17] der Anbieter kann dem Kunden auch einfach vertrauen.[18] Ja, dann trägt er das Ausfallrisiko. Dieses Risiko tragen Verbraucher tagtäglich, vgl. nur zuletzt die Insolvenz des Reiseanbieters FTI. Unternehmer singen gerne das hohe Lied vom unternehmerischen Risiko, das es rechtfertige, höhere Gewinne und Risikozuschläge zu erwarten. Zum Tragen dieses Risikos sind sie aber oft nicht bereit. Sie wälzen es gerne auf Verbraucher oder den Staat ab.
Erst recht ist es aber nicht erforderlich, „Positivdaten“ an Auskunfteien zu übermitteln.
Die Verantwortliche hat „Positivdaten“ übermittelt, also mitgeteilt, wer was für eine Art von Vertrag mit ihr geschlossen hat. Ersichtlich soll die Auskunftei und/oder (?) der nächste potenzielle Vertragspartner des Betroffenen dies sehen und in seine Risikobewertung einfließen lassen können.
Es muss aber nicht der Autohändler wissen, welche Handyraten jemand bezahlt oder ob die Waschmaschine abbezahlt ist. Für seine Zahlungsfähigkeit ist in erster Linie der Verbraucher verantwortlich.
Festzuhalten ist, dass das Melden von „Positivdaten“ nicht zur Eingehung, Erfüllung usw. eines Vertrages erforderlich ist.[19] Damit kann die Datenverarbeitung nicht auf Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO gestützt werden.
3. Lebenswichtiges Interesse, Art. 6 Abs. 1 UAbs. 1 lit. d) DS-GVO
Ein lebenswichtiges Interesse[20] i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. d) DS-GVO liegt in den hier untersuchten Fällen offensichtlich nicht vor.
4. Öffentliches Interesse, öffentliche Gewalt, Art. 6 Abs. 1 UAbs. 1 lit. c) und e) DS-GVO
Den hier beteiligten Unternehmen ist weder hoheitliche Gewalt noch Ausübung öffentlichen Interesses übertragen.[21]
Deshalb und wegen des Fehlens[22] öffentlich-rechtlicher Partnervorschriften, die die Übermittlung erlauben würden, scheidet auch die Anwendung der Art. 6 Abs. 1 UAbs. 1 lit. c) und e) DS-GVO aus.[23]Denn diese beiden Rechtsgrundlagen „funktionieren“ nur mit „Partnervorschrift“, Art. 6 Abs. 3 DS-GVO.[24]
5. Berechtigtes Interesse, Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO
Bleibt die Rechtsgrundlage übrig, auf die sich die Beklagte berufen hatte, Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO.
a) Das Bestehen eines berechtigten Interesses
Danach ist nicht behördliche Datenverarbeitung rechtmäßig, soweit „die Verarbeitung […] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Laut der Datenschutz-Information der Verantwortlichen dient die Meldung der „Positivdaten“ dem Zweck „Schutz der Marktteilnehmer vor Forderungsausfällen und Risiken“. Dies ist ausweislich des ErwG 47 vorletzter Halbsatz DS-GVO ein berechtigtes Interesse für Datenverarbeitung im dafür „unbedingt erforderlichen Umfang“.
Das ist einzusehen. Wer Kredite vergibt oder in erheblichem Umfang in Vorleistung geht, hat in der Tat ein berechtigtes Interesse an Absicherung.
Ludwig Thoma lässt den Trödler Michael Klampfer sagen:
„Do kenna S’ de arma Leut schlecht, wenn S’ moanen, de mögen was alt’s. De kaafen si liaba was neu’s und bleiben ’s auf Abzahlung schuldi.“[25]
Schließt etwa ein Mobilfunkanbieter einen Mobilfunkvertrag mit einem Kunden und dieser bezahlt den monatlichen Preis der Flatrate nicht, dann verliert der Anbieter kaum mehr, als wenn er mangels Bonität des Kunden den Vertrag nicht geschlossen hätte. Denn ob der Vertrag besteht und die Leistung genutzt wird oder nicht, wirkt sich bei den Kosten des Anbieters kaum aus. Anders ein Mobilfunkanbieter, der z.B. ein teures Smartphone für angeblich[26] einen Euro verkauft und auf den monatlichen Eingang höherer Raten hofft – er wird um seine Vorleistung gebracht, wenn die Raten ausfallen.
Damit ist nicht aber gesagt, dass jede Datenverarbeitung, die der Prävention von Forderungsausfällen und Risiken dient, erlaubt wäre. Erlaubt ist nur das „unbedingt Erforderliche“ und das auch nur, soweit nicht die gegenläufigen Interessen des Betroffenen überwiegen. Eine Online-Durchsuchung, eine TKÜ oder eine Observation wird man also auch zur Betrugsprävention nicht durchführen dürfen. Der (legitime) Zweck heiligt also nicht jedes Mittel.
b) Überwiegen des gegenläufigen Interesses
Soweit man das Interesse des Verantwortlichen, der Auskunftei oder aller „Marktteilnehmer“ für berechtigt hält, so überwiegt jedenfalls grundsätzlich das Interesse des Verbrauchers, nicht „gläsern“ werden zu müssen. Denn dies führt zu „erheblichen Gefahren“.[27] Dabei mag er sich bei Finanzierung eines Hauses mehr Fragen gefallen lassen müssen als bei Abschluss eines Mobilfunkvertrags.[28] Letztlich geht es um einige Monatsraten, nicht um weltbewegende Beträge.
Zu diesem Zweck auf Vorrat das Kauf- und Finanzierungsverhalten der Verbraucher ihr Leben lang zu durchleuchten, ist nicht angemessen.[29] Die im Folgenden vertretene Auffassung ist umstritten.[30] So werden die Hinweise des LG München I,[31] welche milderen Mittel den Verantwortlichen zur Verfügung stehen, von der überwiegenden Rechtsprechung nicht geteilt.[32] Wichtiger erscheint aber die zutreffende Gewichtung der Belange durch das LG München I.
aa) Negative Wirkung der „Positivdaten“
Offensichtlich falsch ist die Behauptung, aus „Positivdaten“ könnten sich keine negativen Folgen für die Betroffenen ergeben.[33] Das System beruht gerade auf Misstrauen gegenüber dem Betroffenen und ist gegen ihn gerichtet. Es kann sogar abschreckende Wirkung hinsichtlich legalen Verhaltens entfalten.[34]
bb) Belastung der unverdächtigen Allgemeinheit auf Vorrat
Das Melden sogenannter Positivdaten jedes Verbrauchers sein Leben lang belastet diesen erheblich und trägt wenig zur Ausfallsicherheit bei. Das Interesse der Auskunftei an einem möglichst „gläsernen“ Verbraucher wiegt dessen Recht auf informationelle Selbstbestimmung nicht auf.
Die Verantwortliche im Verfahren des LG Augsburg schreibt: „Für eine zuverlässige Einschätzung der Kreditwürdigkeit ist ein möglichst umfassendes Bild über bestehende finanzielle Verpflichtungen wichtig. Hierzu trägt die Speicherung von Vertragsbeziehungen aus dem Telekommunikationsbereich bei der SCHUFA bei.“
Das mag so sein, diese Form des „betreuten Shoppens“ ist aber doch übergriffig. Denn es geht (auch) um Menschen, die keinerlei Zahlungsausfälle in der Vergangenheit zu verantworten hatten (sonst könnte man ihnen die Bonität alleine deshalb schlicht absprechen).
Sondern Menschen, die ihre Verpflichtungen bisher offenbar stets erfüllt haben, werden darauf untersucht, ob ihr Finanzierungsverhalten dem Ideal der Auskunfteien, das diese selbstverständlich für ein Geschäftsgeheimnis halten,[35] gerecht wird.
Wie so oft wird nicht derjenige benachteiligt, der zu Nachteilen durch sein Verhalten Anlass gibt (Betrüger, Bankrotteure usw.), sondern die unverdächtige Allgemeinheit wird unter Generalverdacht gestellt, beobachtet, analysiert, „verraten und verkauft“. Seine „Unschuld“ beweisen zu können sei ja im eigenen Interesse.
cc) Die Auskunftei beschließt: was sie tut, ist im Interesse des Betroffenen
Nicht überzeugend auch ist der Hinweis, die Sammlung der „Positivdaten“ diene dem Interesse des Betroffenen selbst, weil er vor Überschuldung geschützt werde oder von attraktiveren Konditionen profitieren könnte, wenn die „Positivdaten“ tatsächlich positiv seien.[36] Was im Interesse des Betroffenen ist, hat unter Geltung des Grundgesetzes (Recht auf informationelle Selbstbestimmung) und der Artt. 7, 8 GrCh nicht die Auskunftei zu bestimmen, sondern der Betroffene. Aufgedrängte paternalistische „Fürsorge“ – in Wahrheit: Oberaufsicht[37] – wird dem nicht gerecht.
Der Betroffene hat nicht ein Interesse an Datenverarbeitung, sondern an dem Kredit- oder Ratengeschäft. Das Interesse an der Datenverarbeitung ist nicht seins, sondern das der Vertragspartner. Ihr Interesse als seines ausgeben zu wollen,[38] weil sie beschlossen haben, Geschäfte mit dafür eigentlich unnötiger Datenverarbeitung zu koppeln, ist ein Taschenspielertrick.
Mit derselben Logik könnte man behaupten, das Springen durch brennende Reifen sei im Interesse der Zirkustiere, weil sie dann weniger Peitschenhiebe bekommen.
dd) Nicht die Bonität ist vertraulich, sondern das Alltagshandeln
Es geht auch nicht darum, wie Petri meint, die Bonität des Betroffenen vertraulich zu behandeln,[39] sondern darum, nicht jede einzelne wirtschaftliche Betätigung, die die hier interessierende Datenverarbeitung auslösen kann, auf Vorrat für eine unbestimmte Zahl[40] von Empfängern sicht- und handelbar[41] zu machen, die sie dann „mit der Gewalt der allerhöchsten Macht“ nach eigenem Interesse untersuchen.[42]
ee) Notwendigkeit der „Positivdaten“ zur Korrektur verzerrender Negativdaten?
Geradezu den Offenbarungseid des ganzen Systems finden wir in der Annahme, ohne „Positivdaten“ würden die sonst vorhandenen Negativdaten ein verzerrtes Bild über den Betroffenen zeichnen.[43] Entschuldigung, aber dann taugen sie und/oder ihre Interpretation nichts.[44] Dass der Verbraucher die ihn belastenden Wirkungen nicht/verzerrt aussagekräftiger (im Zweifel gegen seinen Willen erhobener) Daten dadurch reparieren soll, dass er sein Leben noch mehr durchleuchten lässt, ist ihm nicht zuzumuten.[45] Zumal diese Logik ihrerseits verzerrend wirkt. Denn wer Kreditgeschäfte grundsätzlich meidet (und sich nur das leistet, was er aus Vermögen oder laufendem Einkommen ohne Kredit finanzieren kann), bei dem fallen „Positivdaten“ gar nicht erst an. Oder nur wenige. Ihn deshalb als weniger kreditwürdig einzustufen,[46] als jemanden, der seine vielen Kredite mühsam abstottert (und deshalb viele „Positivdaten“ liefert), ist absurd.
Kreditwürdigkeit hat nichts zu sein, was man durch Inanspruchnahme vieler Ratenkäufe und Duldung umfassender Ausleuchtung seiner Kaufentscheidungen ein Leben lang erwerben muss.
Vor größeren Investitionen (z.B. Baukredit) mag der Kreditgeber nach der Höhe der Verbindlichkeiten fragen.[47] Welche genau es sind, ist eigentlich schon unerheblich. Und dass das anschließend unbestimmt viele Auskunfteien und womöglich deren Vertragspartner erfahren müssten, ist nicht ersichtlich.
ff) Sachliche Richtigkeit personenbezogener Daten als Erhebungsrechtfertigung?
Dem ist nicht die Verpflichtung des Verantwortlichen entgegenzuhalten, ausschließlich sachlich richtige personenbezogene Daten zu speichern (Art. 5 Abs. 1 lit. d) DS-GVO).[48] Es wäre geradezu eine Pervertierung des Datenschutzrechts, zum Zwecke der Sicherstellung der sachlichen Richtigkeit der vorhandenen Daten einen möglichst gläsernen Betroffenen zu fordern. Es gilt der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO). Nur die insoweit gespeicherten Daten müssen für sich zutreffend sein.[49] Sie müssen und dürfen kein umfassendes Bild der Persönlichkeit des Verbrauchers zeichnen lassen. Derartiges ist der Albtraum des Datenschutzrechts.[50] Wenn Daten unrichtig sind, möge man sie gar nicht erst erheben oder löschen (Art. 5 Abs. 1 lit. d)) DS-GVO). Nach derselben Vorschrift können sie auch berichtigt werden. Das verleiht aber nicht das Recht, weitere Daten zu erheben.[51]
gg) Missbrauchsgefahren und Wettbewerbsfeindlichkeit der Datensammlungen
Wertvoll ist der Hinweis von Assion/Hauck, wonach die Sammlung von „Positivdaten“ auch das Aufspüren von Kunden, die (häufiger) den Anbieter wechseln, ermöglichen kann. Die Autoren unterscheiden berechtigtes von unberechtigtem „Anbieterhopping“.[52] Auch die bloße Anfrage bezüglich möglichen Vertragskonditionen könnte jemand als „Positivdatum“ definieren und melden.[53] Das System erweist sich damit als missbrauchsanfällig und wettbewerbsfeindlich.
hh) Identitätsfeststellung durch Positivdaten
Nicht ohne Weiteres verständlich ist die Behauptung, durch Melden von „Positivdaten“ könne die Identität eines Menschen geklärt und so Identitätsdiebstahl vorgebeugt werden.5[54]„Positivdaten“ bringen erst einmal keine Erkenntnisse im Hinblick auf die Identität. Wer nicht weiß, wessen „Positivdaten“ er meldet, kann offensichtlich keinen Beitrag zur Identitätsklärung leisten. Auch die Existenz eines Kundenkontos bei einem Versandhändler unter einer bestimmten Identität bedeutet nicht, dass die Identität „echt“ ist.[55]
Anders in der Tat z.B. bei Telekomminikations-Anbietern. Sie sind in vielen Fällen gesetzlich verpflichtet, die Identität der Kunden zu prüfen, § 172 TKG.[56] Durch Melden dieser „Positivdaten“ wird die gesetzliche Identifizierungspflicht auf andere Geschäftsbereiche verlängert. Ein Effekt, der mit dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DS-GVO) in erheblichen Konflikt gerät, jedenfalls aber nicht übersehen werden sollte.
ii) Zwischenergebnis
Nach alledem kann die Meldung von „Positivdaten“ jedenfalls grundsätzlich[57] nicht auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO gestützt werden. Da auch andere Rechtsgrundlagen nicht zur Verfügung stehen, ist die Datenverarbeitung rechtswidrig.[58]
VI. Differenziertere Betrachtung und Kompromisssuche
Es ist denkbar, dass es Lösungen gibt, mit denen die genannten Ziele der Auskunfteien und ihrer Vertragspartner gefördert werden können, ohne umfassend alle Nachfrageentscheidungen, die mit Vorleistung, Ratenzahlung u.ä. verbunden sind, auf Vorrat in zentrale Datenbanken mehrerer Anbieter zu streuen. Denkbar ist auch, dass die Anlässe genauer zu definieren sind.[59] Dann kann Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO gegebenenfalls die Rechtsgrundlage sein. Aber pauschal allen Nachfragern, ob Verbraucher oder nicht, eine Betrugsabsicht zu unterstellen, was sie dann unter Duldung ihrer ewigen Durchleuchtung zu entkräften versuchen können, stellt jedenfalls keine geeignete Lösung dar.
Wenn pauschal alle Datenverarbeitungen im Hinblick auf „Positivdaten“ für zulässig erachtet werden, dann ist die pauschal zutreffende rechtliche Bewertung: „nein“.
Für die Zulässigkeit einer Datenverarbeitung können folgende Tendenzen sprechen:
- wenige Anlässe für die Datenverarbeitung;
- wenige personenbezogene Daten involviert;
- Betroffene geben Anlass zu Misstrauen;
- wenige Empfänger;
- geringe Speicherdauer;
- hohes Risiko;
- keine pauschale Auswertung.
So dürfte die Meldung eher zulässig sein, wenn ein hochwertiges Smartphone ratenfinanziert werden soll, als wenn es nur um die Flatrate für das Telefonieren geht.
Um Betrugsversuche zu erkennen, dürfte es nicht nötig sein, Informationen für die Dauer des Bestehens des Vertragsverhältnisses zu speichern. Zumal das nächste Vertragsverhältnis das bisherige ablösen wird, man also lebenslang beobachtet wird. Betrüger wollen im Zweifel schnell Geld „verdienen“. Sie legen sich keine Wiedervorlage für den nächsten Monat an.
Wenn also jemand 17 Smartphones in einer Woche auf Raten bestellt, dann mag das für die Gefahr eines Betrugsversuchs sprechen.
Aber wenn nach der Bestellung eines Smartphones auf Ratenzahlung die erste Rate tatsächlich bezahlt wird (i.d.R. nach spätestens einem Monat) und keine 16 weiteren Smartphones bestellt wurden, dürfte ein Betrugsversuch unwahrscheinlich sein. Die zur Betrugsprävention verarbeiteten Daten können also relativ schnell wieder gelöscht werden.
Derartige Anpassungen können das o.g. pauschale Ergebnis der Abwägung der Belange beeinflussen. Dabei ist dem Minimalprinzip zu folgen, denn unabhängig davon, welche Rechtsgrundlage (Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DS-GVO) greift: grundlegende Voraussetzung ist immer die Erforderlichkeit. Datenverarbeitung, die nicht erforderlich ist, ist per se rechtswidrig (Art. 5 Abs. 1 lit. c), Art. 6 Abs. 1 UAbs. 1 lit. b) bis f ) DS-GVO).
Damit ist nicht gesagt, dass Dieses oder Jenes rechtmäßig wäre. Dies kann erst geprüft werden, wenn das „Gesamtpaket“ der Datenverarbeitung bekannt ist.
Solange aber pauschale Datenverarbeitungshinweise pauschal von der Rechtsprechung abgenickt werden, so lange wird keine differenzierte Datenverarbeitung stattfinden. Und so lange wird man befürchten müssen, dass sie rechtswidrig ist.
VII. Begleitpflichten
Wer personenbezogene Daten verarbeitet, muss den Betroffenen hierüber informieren, Artt. 13, 14 DS-GVO.
Die oben bei der „Informiertheit“ der Einwilligung wiedergegebene Desinformation der Verantwortlichen wird dem im konkreten Fall nicht gerecht, sodass die Datenverarbeitung auch insoweit rechtswidrig ist bzw. unter rechtswidriger Nichterfüllung von Begleitpflichten leidet.[60]
VIII. Weiterverarbeitung in den Auskunfteien
Soweit die Übermittlung an die Auskunfteien rechtswidrig ist, schlägt dieses Ergebnis auf die weitere Verarbeitung (Speicherung, Analyse, Weiterverbreitung usw.) durch die Auskunfteien durch. Denn deren mögliche berechtigte Interessen wurden ja schon oben mitberücksichtigt. Wiegen sie die gegenläufigen Interessen der Betroffenen nicht auf, so ist die Verarbeitung eben auch insoweit rechtswidrig. Bereits erlangte Daten sind zu löschen.
IX. AGB-Recht
AGB-Recht[61] dürfte im Fall des LG Augsburg keine entscheidende Rolle spielen. Die Verantwortliche erklärt lediglich gemäß. Artt. 13, 14 DS-GVO, wie sie personenbezogene Daten zu verarbeiten gedenkt.
Sie macht das nicht zum Vertragsinhalt, insbesondere nicht durch Anforderung einer entsprechenden Einwilligung. Denn sie beruft sich gerade nicht auf Art. 6 Abs. 1 UAbs. 1 lit. a) DS-GVO, sondern auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO.
Allerdings geht das LG Augsburg genau davon aus. Es überrascht, dass es die vermeintliche Klausel nicht am AGB – Recht misst. Hätte es das konsequenterweise getan, hätte es zu dem Ergebnis kommen müssen, dass die oben zitierten Passagen i.S.d. § 305c Abs. 2 BGB unbestimmt sind und damit keine Wirkung entfalten können.
Dann hätte es den Fall zwar auch falsch gelöst, wäre aber wenigstens konsequent zum richtigen Ergebnis (Rechtswidrigkeit der Datenverarbeitung) gekommen.
X. Fazit
Ob „Positivdaten“ an Auskunfteien übermittelt werden dürfen, ist umstritten.
Dabei ist „Positivdatum“ weder ein Rechtsbegriff noch eine zutreffende Wertung. Es ist ein Lobbytrick, der ablenkt von einer differenzierten Prüfung der einzelnen Datenverarbeitungs-Vorgänge.
Die i.d.R. einzige denkbare Rechtsgrundlage für die Übermittlung so grob umrissener Daten ist Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO (berechtigtes Interesse). Ob und inwieweit man die Datenverarbeitung für erlaubt hält, hängt auch von rechtspolitischen Wertungen ab, die Einfluss nehmen auf die Gewichtung der Belange, die gegeneinander abzuwägen sind. Nach hier vertretener Auffassung haben die kritischen Stimmen die besseren Argumente auf ihrer Seite, während die Gegenauffassung wohl zahlenmäßig die Überhand hat. Letzteres aber auch deshalb, weil sich manch Einer für die Zulässigkeit der Übermittlung von „Positivdaten“ in der irrigen Erwartung ausspricht, dies hätte ausschließlich positive Wirkungen für die Betroffenen.[62] Das beschönigende Framing der Lobby wirkt.
Soweit öffentlich-rechtliche Normen fehlen,[63] kommen Art. 6 Abs. 1 UAbs. 1 lit. c) bis e) DS-GVO nicht in Betracht. Und für Vertragsanbahnung, -schluss und -abwicklung sind „Positivdaten“ nicht erforderlich i.S.d. Art. 6 Abs. 1 UAbs. 1 lit. b) DS-GVO.
Geht man von der Rechtmäßigkeit der Datenverarbeitung aus, muss zumindest klar sein, welche Datenverarbeitung in welchen Fällen stattfindet – was im Fall des LG Augsburg augenscheinlich nicht der Fall war.
Völlig unvertretbar ist indes die Auffassung des LG Augsburg, der Kunde willige bei Vertragsschluss in alle vom Anbieter angedrohten Datenverarbeitungen ein. Das ist schon AGB-rechtlich nicht haltbar, ignoriert aber vor allem 50 Jahre Rechtsentwicklung im allgemeinen Datenschutzrecht. Und es ignoriert, dass schwierige Rechtsfragen nicht in einem einzigen Satz, der lediglich die Begriffsdefinition zitiert, zu lösen sind. Ein Blick in Literatur und Rechtsprechung hätte bei der Rechtsfindung geholfen.
**Der Verfasser lehrt und forscht im Bereich des öffentlichen Rechts an der Hochschule für Polizei Baden-Württemberg in Villingen-Schwenningen.
[1] Krämer, NJW 2020, 497, 498
[2] Das übersieht Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019 § 34 Rn. 767.
[3] Im Folgenden wird von Verbrauchern ausgegangen. Auskunfteien halten auch Daten zu Unternehmern bereit. Soweit es sich um Einzelunternehmer oder Ein-Personen-Gesellschaften handelt, sind auch die diesbezüglichen Daten personenbezogen, sodass die Rechtslage ähnlich sein dürfte. Es ist allerdings nicht ausgeschlossen, dass die Meldung von „Positivdaten“ über Unternehmer leichter zu rechtfertigen ist als über Verbraucher, weil es weniger um Entscheidungen privater Lebensführung geht. Zu Einzelunternehmern äußert sich nach früherer Rechtslage Schulz, PinG 2014, 81 passim.
[4] BGH, Urteil vom 13.11.1998 – V ZR 386-97, NJW 1999, 352, 353.
[5] Zur unklaren Datenschutzerklärung der konkreten Beklagten s. unten, V. Rechtliche Würdigung/1. Einwilligung (Art. 6 Abs. 1 UAbs. 1 lit a DS-GVO)/b) Informiertheit.
[6] Wie lange Daten in der empfangenden Auskunftei gespeichert werden, prägt bereits die Rechtmäßigkeitsprüfung der Übermittlung an sie. Denn alle beteiligten Interessen im Drei- oder Vielecksverhältnis sind gegeneinander abzuwägen.
[7] Unten, VI. Differenziertere Betrachtung und Kompromisssuche.
[8] Dazu Hoffmann, Profilbildung unter der DS-GVO, 2020, S. 205
[9] Im Detail Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 191 ff.
[10] Dazu Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 203 f.
[11] „Bei Vertragsschluss“ zitiert das LG Augsburg die Datenschutzinformation. Es müsste jedenfalls „vor“ Vertragsschluss sein.
[12] Sydow/Marsch/Ingold, DS-GVO+BDSG, 3. Aufl. 2022, Art. 7 Rn. 30; Assion/ Hauck, ZD-Beil. 2020, 1, 5; Paal, NJW 2024, 1689, 1690.
[13] Schulz, PinG 2014, 81, 85.
[14] Zilkens, Datenschutz in der Kommunalverwaltung, 4. Aufl. 2014, S. 166 f.
[15] EuGH, Urt. v. 01.10.2018, Rs. C-673/17, Rn. 44-59 (Planet49).
[16] Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 196.
[17] Schulz. RDV 2022, 117, 118.
[18] Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 190.
[19] Paal, NJW 2024, 1689, 1690.
[20] Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 198.
[21] Schulz, RDV 2022, 117, 118.
[22] Vgl. zur Erinnerung der beschränkte Betrachtungsrahmen dieses Beitrags, s. oben, V. Rechtliche Würdigung
[23] Dazu von Lewinski/Pohl, ZD 2018, 17, 18.
[24] Petrlic/Sorge/Ziebarth/Ziebarth, Datenschutz, 2. Aufl. 2022, S. 19 f.; Ziebarth, Polizeiliche und (ordnungs-)behördliche Datenverarbeitung zwischen JI-RL und DS-GVO, 2022, S. 39 f.
[25] Thoma, Der Vertrag, Simplicissimus, 1901, 414, zitiert nach Wikisource, https://de.wikisource.org/wiki/Der_Vertrag.
[26] Solche Angebote sind legal und werden in einigen Fällen ihre Berechtigung haben. Sie können aber Menschen dazu verleiten, sich Dinge zu kaufen, ohne sie sich leisten zu können, und im schlechtesten Fall, ohne zu verstehen, welche Verbindlichkeit sie eingehen. Bleiben dann die Raten ohne Betrugsabsicht aus, wird der Anbieter Opfer seines eigenen, Kosten oft hinter Sternchen verschleiernden, Geschäftsmodells und des durch Werbung erzeugten Konsumdrucks.
[27] Krämer, NJW 2012, 3201.
[28] Nachvollziehbar differenzierend Wolff/Brink/v. Ungern-Sternberg/Krämer, BeckOK Datenschutzrecht, 48. Edition, Stand: 01.05.2024, § 31 BDSG Rn. 47, 48.
[29] LG München I, Urt. v. 25.04.2023 – 33 O 5976/22, ZD 2024, 46, 47 ff. mit zustimmender Anm. Blasek; LG Frankfurt/M., Urt. v. 26.05.2023 – 2-24 O 156/21, ZD 2024, 468; zwei weitere Urteile in ähnlich gelagerten Fällen (man könnte sie und die in Fn. 32 nachgewiesenen Fälle für Parallelfälle halten [zur Klagewelle s. Paal, NJW 2024, 1689]) beschäftigen sich nicht mit der Rechtmäßigkeit der Datenverarbeitung, sondern lassen den eingeklagten Anspruch am fehlenden Schaden scheitern: LG Frankfurt a. M., Urt. v. 24.04.2024 – 2-06 O 30/24, GRUR-RS 2024, 8812 und LG Frankfurt a. M., Urt. v. 24.04.2024 – 2-06 O 30/24, GRUR-RS 2024, 8812.
[30] A.A. z.B. Paal, NJW 2024, 1689, 1691 f. sowie die Nachweise in Fn. 36 und 32.
[31] LG München I, Urt. v. 25.04.2023 – 33 O 5976/22, ZD 2024, 46, Rn. 100 ff. mit zustimmender Anm. Blasek.
[32] Z.B. LG Gießen, Urt. v. 03.04.2024 – 9 O 523/23, GRUR-RS 2024, 7986; LG Duisburg, Urt. v. 28.06.2024 – 1 O 9/24, GRUR-RS 2024, 16550; LG Konstanz, Urt. v. 21.06.2024 – D 2 O 269/23, GRUR-RS 2024, 14360.
[33] So aber Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019 § 34 Rn. 767; zutreffend daher Krämer, NJW 2020, 497, 499.
[34] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Rn. 137.
[35] BGH, Urteil vom 28.01.2014 – VI ZR 156/13, MMR 2014, 489, LS 2 und 3.
[36] So aber Taeger/Gabel/Taeger, DS-GVO, BDSG, TTDSG, § 31 BDSG Rn. 26; Assion/Hauck, ZD-Beil. 2020, 1, 7, und Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019 § 34 Rn. 767; Conrad missversteht indes „Positivdaten“ als „Daten, die eine Einstufung der Kreditwürdigkeit oder das Scoring ausschließlich positiv beeinflussen“ – hier zeigt sich, dass Framing erfolgreich sein kann.
[37] S. Fn. 42.
[38] So aber Schulz, PinG 2014, 81, 84, der meint, der Datenverarbeitung stehe überhaupt kein gegenläufiges Interesse des Betroffenen gegenüber, alles sei „reine Förmelei“ und „Datenschutz um seiner selbst willen“.
[39] Kühling/Buchner/Petri, DS-GVO+BDSG, 4. Aufl. 2024, Art. 6 Rn. 163, 164
[40] Das übersieht Schulz, der meint, es würde nur an „eine“ Auskunftei gemeldet, Schulz, RDV 2022, 117, 121.
[41] Schulz meint, Profit spiele im hier besprochenen Zusammenhang keine Rolle, RDV 2022, 117, 122. Das ist schwer zu glauben. Auf S. 119 sieht er noch, dass das Interesse der Auskunfteien ein wirtschaftliches ist.
[42] Letzteres war das Wesen der fürstlichen Oberaufsicht im absolutistischen Staat, vgl. Pütter, Litteratur des Teutschen Staatsrechts (sic); Teil 3; Göttingen, 1783, § 1080, S. 300.
[43] Paal, NJW 2024, NJW 2024, 1689, 1692 m.w.N.
[44] Freundlicher LG München I, Urt. v. 25.04.2023 – 33 O 5976/22, ZD 2024, 46, 47 (Rn. 103): wenn Negativdaten zu falschen Schlüssen verleiten, dann sind sie insoweit eben nicht zu verwenden.
[45] Schulz, RDV 2022, 117, 122, will die Anreicherung verzerrender Negativdaten mit „Positivdaten“ gar zur Verpflichtung erklären und dies auf Art. 16 DS-GVO stützen
[46] Dieses Vorgehen wird über das Scoring von Gewerbetreibenden berichtet, Schulz, PinG 2014, 81, 83.
[47] § 505a BGB
[48] So aber Kühling/Buchner/Buchner/Petri, DS-GVO+BDSG, 4. Aufl. 2024, Art. 6 Rn. 163, 164; soweit einem Urteil des BGH (BGH, Urt. v. 19.09.1985 – III ZR 213/83, NJW 1986, 46, 47) anderes entnehmen zu sein scheint, beruht dies auf früherer, bereichsspezifischer Rechtslage und wohl auf missverständlicher Formulierung.
[49] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Rn. 137.
[50] Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019, § 34 Rn. 1 ff.
[51] A.A. Schulz, RDV 2022, 117.
[52] Assion/Hauck, ZD-Beil. 2020, 1, 4 einerseits und 7/8 andererseits.
[54] Paal, NJW 2024, 1689, 1690.
[55] Ein „ganz erhebliches Indiz“ für die „Echtheit“ sieht Schulz, RDV 2022, 117, 118
[56] Ähnlich §§ 10, 11 GWG
[57] Nachvollziehbar differenzierend Wolff/Brink/v. Ungern-Sternberg/Krämer, BeckOK Datenschutzrecht, 48. Edition, Stand: 01.05.2024, § 31 BDSG Rn. 47, 48.
[58] Beschluss der DSK vom 11.06.2018, https://www.datenschutzkonferenz-online.de/media/dskb/20180611_dskb_verarbeitung_positivdaten.pdf.
[59] Vgl. die oben gezeigte Unterscheidung zwischen bloßem Mobilfunkvertrag und Mobilfunkvertrag mit subventioniertem Smartphone, das über die Monatsraten abzuzahlen ist.
[60] Im Detail Wolff/Brink/v. Ungern-Sternberg/Schmidt Wudy, BeckOK Datenschutzrecht, 48. Edition, Stand: 01.05.2024, Art. 13 Rn. 17-20.
[61] Zur möglichen Geltung des AGB-Rechts der §§ 305 ff. BGB neben dem allgemeinen Datenschutzrecht vgl. Ziebarth, ZD 2013, 375 m.w.N.
[62] Auer-Reinsdorff/Conrad/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage 2019 § 34 Rn. 767.
[63] Vgl. zur Erinnerung der beschränkte Betrachtungsrahmen dieses Beitrags, s. oben, V. Rechtliche Würdigung.