Wie lange darf die Schufa wissen, dass jemand früher Rechnungen nicht fristgerecht bezahlt hat? Damit muss sich erneut das Oberlandesgericht Köln (OLG) befassen, nachdem der Bundesgerichtshof ein früheres Urteil des OLG aufgehoben hat. Entgegen der Auffassung des OLG kommt es nämlich auf die Quelle dieser Information an, sowie gegebenenfalls auf „besondere Umstände“. Das Erkenntnis des BGH ist ein Etappensieg für den Bonitätsdienst Schufa.

Kläger ist eine Person, die in den Jahren 2019, 2020 und 2021 jeweils eine zu Recht bestehende Schuld nicht fristgerecht bezahlt hat: zwei Vollstreckungsbescheide und eine mehrfach gemahnte Rechnung. Die Gläubiger meldeten das der Schufa. Der Schuldner beglich die Rechnungen schließlich mit bis zu 21 Monaten Verspätung. Dennoch speicherte die Schufa die gemeldeten Daten weiter; anfragenden Unternehmen teilte sie mit, dass sie die Gefahr eines Zahlungsausfalls als „sehr kritisch“ einstufe.

So irrte das OLG

Die betroffene Person wollte das nicht hinnehmen. Auf eine erfolglose Abmahnung folgte eine Klage auf Schadenersatz. Diese scheiterte zwar beim Landgericht Bonn (Az. 20 O 10/24), doch in der Berufung sprach das OLG Köln 500 Euro Schadenersatz zu (Az. 15 U 249/24).

Es verwies auf eine Vorlageentscheidung des EuGH im Fall C26/22: Werden Daten aus den Insolvenzbekanntmachungen gelöscht, müssen auch Auskunfteien ihre Kopien solcher Daten löschen. Andernfalls laufe die Löschregelung ins Leere.

In diesem Fall geht es zwar nicht um Insolvenzbekanntmachungen, sondern um einfache Schulden. Doch die Systematik sei die gleiche. Weil das öffentliche Schuldnerverzeichnis solche Einträge nach Bezahlung löschen würde, müsse auch die Schufa Angaben zu schlechter Zahlungsmoral nach Bezahlung sofort löschen. Da sie das nicht getan hat, sei sie schadenersatzpflichtig.

BGH: Auf die Quelle kommt es an

Dagegen erhob die Schufa Revision an den BGH. Wie schon beim OLG brachte sie vor, dass sie die konkreten Daten aus keinem öffentlichen Verzeichnis, sondern direkt von den Gläubigern erhalten habe. Diese Unterscheidung überzeugt den BGH-Senat I. „Die Erwägung (des EUGH), dass die für die ursprüngliche Datenspeicherung geltende Löschungsfrist nicht durch eine längere Speicherung an anderer Stelle konterkariert werden soll, greift daher im Streitfall nicht”, fasst die Pressemitteilung des Gerichtshofes zusammen. Er hebt das OLG-Urteil auf und schickt den Fall dorthin zurück.

Es hängt also von der Datenquelle ab. Informationen aus öffentlichen Verzeichnissen müssen Wirtschaftsauskunfteien löschen, sobald die Daten aus den Verzeichnissen gelöscht sind. Bleibt die Frage, wie lange die Schufa Daten speichern darf, die sie aus anderen Quellen erhält. Das beantwortet der BGH nicht konkret, er gibt dem OLG aber einen Wink mit dem Zaunpfahl.

Dem BGH-Senat erscheint es „möglich, bestimmte Speicherungsfristen als Ergebnis einer typisierten Abwägung festzulegen, soweit dabei die Besonderheiten des Einzelfalls hinreichend berücksichtigt werden.” Und dazu, so die BGH-Richter, habe der Hessische Beauftragte für Datenschutz und Informationsfreiheit neue Verhaltensregeln für die deutschen Wirtschaftsauskunfteien herausgegeben, die seit Jahresanfang gelten. Deren Bestimmungen lobt der BGH-Senat als „grundsätzlich angemessenen Interessenausgleich”.

Demnach dürfen personenbezogene Daten zu ausgeglichenen Forderungen drei Jahre gespeichert werden. Weil es ja vorkommen kann, dass auch gute Schuldner einmal eine Rechnung übersehen, gibt es eine Einzelfallregelung: Handelt es sich nur um eine einzelne unbezahlte Forderung, und wird ihre Bezahlung binnen 100 Tagen gemeldet, halbiert sich die Speicherfrist auf 18 Monate, sofern sonst keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen.

So einfach ist das nicht

Ganz reicht aber auch diese Regelung dem BGH nicht: Betroffenen muss zusätzlich möglich sein, „besondere Umstände” vorzubringen. Geht daraus ein „wesentlich überdurchschnittliches” Löschinteresse hervor, könne dies „ausnahmsweise” bewirken, dass „eine noch kürzere Speicherungsdauer” angemessen ist. War die Speicherung zumindest für einen Teil des Zeitraums rechtswidrig, kann das Anspruch auf Schadenersatz auslösen (BGH I ZR 97/25, der Volltext liegt noch nicht vor).

Das OLG Köln muss sich nun damit befassen, ob und gegebenenfalls wann der Kläger „besondere Umstände” vorgebracht hat, die eine ausnahmsweise kürzere Speicherdauer bedingen. Andernfalls wird die Schufa wohl keinen Schadenersatz leisten müssen.

Das freut die Firma naturgemäß. Die Entscheidung habe jedoch Bedeutung über den Einzelfall hinaus, zumal der BGH die Verhaltensregeln bestätigt habe. Außerdem helfe die Datenspeicherung anderen Verbrauchern, betont dioe Schufa: „Stünden diese Daten zum Prüfen der Bonität nicht zur Verfügung, würde das für die Verbraucherinnen und Verbraucher zu weniger Krediten und höheren Zinsen bei deren Aufnahme führen.“

(ds)

Surfen im Web gleicht für viele Nutzer einem Hindernislauf durch ein Dickicht aus Pop-ups und Klick-Labyrinthen. Wer seine Privatsphäre schützen will, muss sich oft mühsam durch kryptische Menüs für Cookies arbeiten. Wer nur schnell an Inhalten kommen will, klickt oft entnervt auf „Alle akzeptieren“ bei den Browser-Dateien. Diesem Zustand der „Einwilligungsmüdigkeit“ will die Berliner Legal-Tech-Firma Law & Innovation Technology nun ein Ende setzen. Vor wenigen Tagen hat das Unternehmen den „Consenter“ veröffentlicht: ein Werkzeug, das die Bundesdatenschutzbehörde als ersten Dienst zur Verwaltung von Cookie-Einwilligungen im Einklang mit den gesetzlichen Vorgaben offiziell anerkannt hat.

Der Startschuss erfolgte zunächst diskret: Die Projektverantwortlichen haben das Browser-Plugin im Rahmen eines sogenannten Silent Release verfügbar gemacht. Aktuell ist der Einwilligungsagent über einen speziellen, nicht öffentlich gelisteten Link im Chrome Store für Googles Browser zu finden. Doch dabei soll es nicht bleiben.

Während Versionen für Safari und Firefox bereits in der Pipeline sind, bereiten die Entwickler die große Bühne vor: Zur offiziellen Veröffentlichungsfeier am 26. Januar in Berlin soll der Dienst öffentlich gelistet und in den darauffolgenden Monaten sukzessive ausgebaut werden.

Consenter versteht sich als „Trust-Plattform“ mit dem Ziel, die digitale Selbstbestimmung aus der Theorie in die Praxis zu führen. Maximilian von Grafenstein, Professor für dieses Thema an der Universität der Künste Berlin (UdK) und Initiator des Projekts, sieht darin eine Brücke zwischen Endnutzern und Webseitenbetreibern.

Der Agent soll es ermöglichen, informierte Entscheidungen über die Datennutzung zentral zu verwalten, ohne dass bei jedem Seitenaufruf ein neues Banner den Lesefluss stört. Einmal in der Browser-Erweiterung festgelegt, werden die Präferenzen automatisch an die besuchten Webseiten übermittelt. Daraufhin verschwinden die lästigen Banner im Idealfall.

Eigener Consent-Banner nötig

Der Weg zur behördlichen Anerkennung war von regulatorischen Hürden geprägt. Von Grafenstein sagte heise medien, dass der Agent aktuell mit einem eigens entwickelten Cookie-Banner zusammenarbeiten müsse. Grund dafür sei eine Diskrepanz in der Rechtsauffassung: Während das höherrangige Recht im Paragraph 26 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) vorschreibe, dass Webseiten solche Signale berücksichtigen müssten, habe das damalige Ministerium für Verkehr und Digitales in seiner Ausführungsverordnung die Freiwilligkeit betont.

Da klassische Consent Management Platforms (CMPs) die Signale kaum freiwillig implementieren, sah sich das Team gezwungen, eine eigene Lösung für die Betreiberseite zu bauen. Der Erfolg des Systems hängt daher massiv davon ab, dass nicht nur Nutzer die Browser-Extension installieren, sondern auch Webseitenbetreiber das entsprechende Banner implementieren.

Dabei bringt der Consenter Betreibern Vorteile. Statt rechtlicher Grauzonen und Nutzerfrust soll ein transparentes Datenschutzniveau als Wettbewerbsvorteil dienen. Das System basiert auf einem interdisziplinären Forschungsprozess, an dem Institutionen wie das Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) sowie das Einstein Center Digital Future (ECDF) der UdK beteiligt waren.

Der Dienst, den das Bundesforschungsministerium gefördert hat, bietet eine automatisierte Risikobewertung für Drittanbieter-Technologien. Diese fungiert als eine Art unabhängige Datenschutzfolgenabschätzung, die es Betreibern erlaubt, ihr Schutzniveau glaubhaft zu kommunizieren. Das soll das Vertrauen der Besucher stärken.

Mit begleitender empirischer Forschung will das Consenter-Team zudem den Beweis erbringen, dass echte Transparenz tatsächlich die Einwilligungsraten erhöhen kann. Für die Zukunft haben die Entwickler auch ehrgeizige Pläne: Consenter soll etwa in die digitale EU-Brieftasche (EUDI-Wallet) integriert werden. Gemeinsam mit einem europäischen Netzwerk aus Forschung und Regulierung wollen sie die digitale Souveränität stärken und Compliance von einer lästigen Pflicht in einen strategischen Marktvorteil verwandeln.

(wpl)

In einer Zeit, in der das papierlose Büro und die digitale Kommunikation mit Behörden zum Standard werden sollen, wirkt das klassische Urkundenrecht oft wie ein Relikt aus der Ära der Wachssiegel. Doch die Frage, was im digitalen Raum als Beweis gilt und was sanktioniert wird, ist hochaktuell. Das Bayerische Oberste Landesgericht (BayObLG) musste sich kürzlich mit einem Fall befassen, der die Grenzen zwischen einer strafbaren Fälschung und einer rechtlich irrelevanten Spielerei mit Bilddateien neu vermisst. Die jetzt vorliegende Entscheidung vom 14. November sorgt für Klarheit in einem Bereich, der durch die zunehmende Akzeptanz von E-Mails als offiziellem Kommunikationsmittel massiv an Bedeutung gewinnt (Az.: 206 StRR 368/25).

Der Ausgangspunkt des Verfahrens liest sich wie eine alltägliche Computer-Bastelei mit fatalen Folgen. Eine Frau hatte ein echtes Schreiben einer Anwaltskanzlei an ihrem Rechner modifiziert, den Text bearbeitet und das Ergebnis ausgedruckt. Dieses manipulierte Dokument fotografierte sie ab und versandte die Bilddatei schließlich via WhatsApp und E-Mail an einen Dritten.

Formale Mängel und die Grenzen der Urkunde

Das Dokument wies dabei eine entscheidende Lücke auf, denn es fehlte jegliche Unterschrift oder eine berufsübliche Grußformel. Lediglich der Briefkopf und der veränderte Textkörper waren zu sehen. Während die Vorinstanzen darin noch eine klassische Urkundenfälschung sahen, sprachen die Richter am BayObLG die Angeklagte frei.

Die Begründung führt tief in die Dogmatik des deutschen Strafrechts. Eine Urkunde im klassischen Sinne erfordert eine verkörperte Gedankenerklärung, die einen Aussteller erkennen lässt und geeignet ist, im Rechtsverkehr einen Beweis zu erbringen. Bei einem anwaltlichen Schreiben gehört die Unterschrift zwingend zum Standardrepertoire der Authentizität.

Fehlen diese Merkmale, handelt es sich aus rechtlicher Sicht lediglich um einen unverbindlichen Entwurf ohne Beweischarakter. Das Gericht stellte klar, dass eine Fotokopie oder ein Scan, der nach außen hin erkennbar als bloße Reproduktion auftritt, keine Urkunde im Sinne des Gesetzes ist.

Digitale Daten und der Schutz des Rechtsverkehrs

Selbst wenn durch Computerbearbeitung der Anschein eines echten Dokuments erweckt wird, müssen die typischen Merkmale des Originals vorhanden sein, um eine ernsthafte Verwechslungsgefahr zu begründen. Ebenso wenig sah das BayObLG den Tatbestand der Fälschung beweiserheblicher Daten gemäß Paragraf 269 Strafgesetzbuch (StGB) erfüllt.

Diese Klausel wurde einst geschaffen, um Manipulationen an nicht physisch verkörperten Datenbeständen wie elektronischen Registern zu ahnden. Die Münchner Richter unterstrichen aber, dass eine Bilddatei, die erkennbar nur das Foto eines Schriftstücks darstellt, lediglich als sekundärer Beleg fungiert. Sie behaupte nicht, selbst die originale Erklärung zu sein, sondern verweis nur auf eine – hier manipulierte – Papierquelle. Damit fehle ihr die Qualität eines originären Erklärungsträgers, die für eine Verurteilung nach dem „Digital-Paragrafen“ zwingend erforderlich wäre.

Diese juristische Differenzierung hat laut dem IT-Rechtler Jens Ferner enorme praktische Auswirkungen, da sie ein Signal gegen eine pauschale Kriminalisierung digitaler Kopien setze. Nutzer bewegten sich im straffreien Raum, solange Anhänge eindeutig als Reproduktionen erkennbar blieben und nicht den Anschein eines „digitalen Originals“ erweckten. Leichtsinn sei aber nicht angebracht. Wer gefälschte Scans einreiche, um sich Vorteile zu erschleichen, könne weiterhin wegen Betrugs belangt werden. Voraussetzung: Ein Vermögensschaden ist nachweisbar. Im vorliegenden Fall war das wegen fehlenden Vorsatzes und Schadens nicht gegeben.

(wpl)