Wie lange darf die Schufa wissen, dass jemand früher Rechnungen nicht fristgerecht bezahlt hat? Damit muss sich erneut das Oberlandesgericht Köln (OLG) befassen, nachdem der Bundesgerichtshof ein früheres Urteil des OLG aufgehoben hat. Entgegen der Auffassung des OLG kommt es nämlich auf die Quelle dieser Information an, sowie gegebenenfalls auf „besondere Umstände“. Das Erkenntnis des BGH ist ein Etappensieg für den Bonitätsdienst Schufa.

Kläger ist eine Person, die in den Jahren 2019, 2020 und 2021 jeweils eine zu Recht bestehende Schuld nicht fristgerecht bezahlt hat: zwei Vollstreckungsbescheide und eine mehrfach gemahnte Rechnung. Die Gläubiger meldeten das der Schufa. Der Schuldner beglich die Rechnungen schließlich mit bis zu 21 Monaten Verspätung. Dennoch speicherte die Schufa die gemeldeten Daten weiter; anfragenden Unternehmen teilte sie mit, dass sie die Gefahr eines Zahlungsausfalls als „sehr kritisch“ einstufe.

So irrte das OLG

Die betroffene Person wollte das nicht hinnehmen. Auf eine erfolglose Abmahnung folgte eine Klage auf Schadenersatz. Diese scheiterte zwar beim Landgericht Bonn (Az. 20 O 10/24), doch in der Berufung sprach das OLG Köln 500 Euro Schadenersatz zu (Az. 15 U 249/24).

Es verwies auf eine Vorlageentscheidung des EuGH im Fall C26/22: Werden Daten aus den Insolvenzbekanntmachungen gelöscht, müssen auch Auskunfteien ihre Kopien solcher Daten löschen. Andernfalls laufe die Löschregelung ins Leere.

In diesem Fall geht es zwar nicht um Insolvenzbekanntmachungen, sondern um einfache Schulden. Doch die Systematik sei die gleiche. Weil das öffentliche Schuldnerverzeichnis solche Einträge nach Bezahlung löschen würde, müsse auch die Schufa Angaben zu schlechter Zahlungsmoral nach Bezahlung sofort löschen. Da sie das nicht getan hat, sei sie schadenersatzpflichtig.

BGH: Auf die Quelle kommt es an

Dagegen erhob die Schufa Revision an den BGH. Wie schon beim OLG brachte sie vor, dass sie die konkreten Daten aus keinem öffentlichen Verzeichnis, sondern direkt von den Gläubigern erhalten habe. Diese Unterscheidung überzeugt den BGH-Senat I. „Die Erwägung (des EUGH), dass die für die ursprüngliche Datenspeicherung geltende Löschungsfrist nicht durch eine längere Speicherung an anderer Stelle konterkariert werden soll, greift daher im Streitfall nicht”, fasst die Pressemitteilung des Gerichtshofes zusammen. Er hebt das OLG-Urteil auf und schickt den Fall dorthin zurück.

Es hängt also von der Datenquelle ab. Informationen aus öffentlichen Verzeichnissen müssen Wirtschaftsauskunfteien löschen, sobald die Daten aus den Verzeichnissen gelöscht sind. Bleibt die Frage, wie lange die Schufa Daten speichern darf, die sie aus anderen Quellen erhält. Das beantwortet der BGH nicht konkret, er gibt dem OLG aber einen Wink mit dem Zaunpfahl.

Dem BGH-Senat erscheint es „möglich, bestimmte Speicherungsfristen als Ergebnis einer typisierten Abwägung festzulegen, soweit dabei die Besonderheiten des Einzelfalls hinreichend berücksichtigt werden.” Und dazu, so die BGH-Richter, habe der Hessische Beauftragte für Datenschutz und Informationsfreiheit neue Verhaltensregeln für die deutschen Wirtschaftsauskunfteien herausgegeben, die seit Jahresanfang gelten. Deren Bestimmungen lobt der BGH-Senat als „grundsätzlich angemessenen Interessenausgleich”.

Demnach dürfen personenbezogene Daten zu ausgeglichenen Forderungen drei Jahre gespeichert werden. Weil es ja vorkommen kann, dass auch gute Schuldner einmal eine Rechnung übersehen, gibt es eine Einzelfallregelung: Handelt es sich nur um eine einzelne unbezahlte Forderung, und wird ihre Bezahlung binnen 100 Tagen gemeldet, halbiert sich die Speicherfrist auf 18 Monate, sofern sonst keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen.

So einfach ist das nicht

Ganz reicht aber auch diese Regelung dem BGH nicht: Betroffenen muss zusätzlich möglich sein, „besondere Umstände” vorzubringen. Geht daraus ein „wesentlich überdurchschnittliches” Löschinteresse hervor, könne dies „ausnahmsweise” bewirken, dass „eine noch kürzere Speicherungsdauer” angemessen ist. War die Speicherung zumindest für einen Teil des Zeitraums rechtswidrig, kann das Anspruch auf Schadenersatz auslösen (BGH I ZR 97/25, der Volltext liegt noch nicht vor).

Das OLG Köln muss sich nun damit befassen, ob und gegebenenfalls wann der Kläger „besondere Umstände” vorgebracht hat, die eine ausnahmsweise kürzere Speicherdauer bedingen. Andernfalls wird die Schufa wohl keinen Schadenersatz leisten müssen.

Das freut die Firma naturgemäß. Die Entscheidung habe jedoch Bedeutung über den Einzelfall hinaus, zumal der BGH die Verhaltensregeln bestätigt habe. Außerdem helfe die Datenspeicherung anderen Verbrauchern, betont dioe Schufa: „Stünden diese Daten zum Prüfen der Bonität nicht zur Verfügung, würde das für die Verbraucherinnen und Verbraucher zu weniger Krediten und höheren Zinsen bei deren Aufnahme führen.“

(ds)

In einer Zeit, in der das papierlose Büro und die digitale Kommunikation mit Behörden zum Standard werden sollen, wirkt das klassische Urkundenrecht oft wie ein Relikt aus der Ära der Wachssiegel. Doch die Frage, was im digitalen Raum als Beweis gilt und was sanktioniert wird, ist hochaktuell. Das Bayerische Oberste Landesgericht (BayObLG) musste sich kürzlich mit einem Fall befassen, der die Grenzen zwischen einer strafbaren Fälschung und einer rechtlich irrelevanten Spielerei mit Bilddateien neu vermisst. Die jetzt vorliegende Entscheidung vom 14. November sorgt für Klarheit in einem Bereich, der durch die zunehmende Akzeptanz von E-Mails als offiziellem Kommunikationsmittel massiv an Bedeutung gewinnt (Az.: 206 StRR 368/25).

Der Ausgangspunkt des Verfahrens liest sich wie eine alltägliche Computer-Bastelei mit fatalen Folgen. Eine Frau hatte ein echtes Schreiben einer Anwaltskanzlei an ihrem Rechner modifiziert, den Text bearbeitet und das Ergebnis ausgedruckt. Dieses manipulierte Dokument fotografierte sie ab und versandte die Bilddatei schließlich via WhatsApp und E-Mail an einen Dritten.

Formale Mängel und die Grenzen der Urkunde

Das Dokument wies dabei eine entscheidende Lücke auf, denn es fehlte jegliche Unterschrift oder eine berufsübliche Grußformel. Lediglich der Briefkopf und der veränderte Textkörper waren zu sehen. Während die Vorinstanzen darin noch eine klassische Urkundenfälschung sahen, sprachen die Richter am BayObLG die Angeklagte frei.

Die Begründung führt tief in die Dogmatik des deutschen Strafrechts. Eine Urkunde im klassischen Sinne erfordert eine verkörperte Gedankenerklärung, die einen Aussteller erkennen lässt und geeignet ist, im Rechtsverkehr einen Beweis zu erbringen. Bei einem anwaltlichen Schreiben gehört die Unterschrift zwingend zum Standardrepertoire der Authentizität.

Fehlen diese Merkmale, handelt es sich aus rechtlicher Sicht lediglich um einen unverbindlichen Entwurf ohne Beweischarakter. Das Gericht stellte klar, dass eine Fotokopie oder ein Scan, der nach außen hin erkennbar als bloße Reproduktion auftritt, keine Urkunde im Sinne des Gesetzes ist.

Digitale Daten und der Schutz des Rechtsverkehrs

Selbst wenn durch Computerbearbeitung der Anschein eines echten Dokuments erweckt wird, müssen die typischen Merkmale des Originals vorhanden sein, um eine ernsthafte Verwechslungsgefahr zu begründen. Ebenso wenig sah das BayObLG den Tatbestand der Fälschung beweiserheblicher Daten gemäß Paragraf 269 Strafgesetzbuch (StGB) erfüllt.

Diese Klausel wurde einst geschaffen, um Manipulationen an nicht physisch verkörperten Datenbeständen wie elektronischen Registern zu ahnden. Die Münchner Richter unterstrichen aber, dass eine Bilddatei, die erkennbar nur das Foto eines Schriftstücks darstellt, lediglich als sekundärer Beleg fungiert. Sie behaupte nicht, selbst die originale Erklärung zu sein, sondern verweis nur auf eine – hier manipulierte – Papierquelle. Damit fehle ihr die Qualität eines originären Erklärungsträgers, die für eine Verurteilung nach dem „Digital-Paragrafen“ zwingend erforderlich wäre.

Diese juristische Differenzierung hat laut dem IT-Rechtler Jens Ferner enorme praktische Auswirkungen, da sie ein Signal gegen eine pauschale Kriminalisierung digitaler Kopien setze. Nutzer bewegten sich im straffreien Raum, solange Anhänge eindeutig als Reproduktionen erkennbar blieben und nicht den Anschein eines „digitalen Originals“ erweckten. Leichtsinn sei aber nicht angebracht. Wer gefälschte Scans einreiche, um sich Vorteile zu erschleichen, könne weiterhin wegen Betrugs belangt werden. Voraussetzung: Ein Vermögensschaden ist nachweisbar. Im vorliegenden Fall war das wegen fehlenden Vorsatzes und Schadens nicht gegeben.

(wpl)

Der automatisierte Abgriff öffentlich zugänglicher Informationen (Scraping) beschäftigt die Justiz seit Jahren. Das Oberlandesgericht (OLG) München hat mit einem jetzt veröffentlichten Endurteil von Ende September (Az. 36 U 1368/24 e) ein deutliches Signal an Betreiber sozialer Netzwerke gesendet. Im Kern geht es um den Schutz von Daten, die zwar theoretisch einsehbar sind, aber durch mangelhafte Voreinstellungen zum Ziel massenhafter Sammelei werden. Das OLG sprach einem Betroffenen nicht nur Schadensersatz zu, sondern korrigierte auch eine wesentliche verfahrensrechtliche Hürde zugunsten der Nutzer.

Der Fall führt zurück ins Jahr 2019. Damals wurde bekannt, dass über eine Kontakt-Import-Funktion bei Facebook weltweit rund 533 Millionen Datensätze abgegriffen und später im Darknet veröffentlicht worden waren.

Auch der Kläger war betroffen: Seine Telefonnummer, die er eigentlich nicht öffentlich teilen wollte, wurde mit seinem Profil verknüpft. Grund: Die standardmäßige Suchbarkeitsoption war auf „alle“ voreingestellt. Dritte konnten so über automatisierte Anfragen Listen von Telefonnummern abgleichen und die zugehörigen Profile identifizieren.

Das Landgericht München hatte die Klage ursprünglich abgewiesen. Das höher gestellte OLG sieht die Verantwortlichkeit aber klar beim Plattformbetreiber. Facebook habe gegen den Grundsatz der Datenminimierung und die Pflicht zu datenschutzfreundlichen Voreinstellungen verstoßen. Dass die Nutzer theoretisch die Möglichkeit hätten, ihre Privatsphäre-Einstellungen manuell anzupassen, entlasse den „Herrn der Technik“ nicht aus der Verantwortung.

Eine Standardeinstellung, die eine weltweite Suchbarkeit der Telefonnummer ermögliche, sei für den eigentlichen Vertragszweck – die Vernetzung von Menschen – schlicht nicht erforderlich. Das Gericht monierte zudem das Fehlen technischer Hürden wie Captchas oder effektiver IP-Überprüfungen, die den massenhaften Abgriff hätten erschweren können.

Greifen der DSGVO: „Sekundäre Darlegungslast“

Besondere juristische Relevanz entfaltet das Urteil bei der Frage, wann ein Vorfall zeitlich einzuordnen ist. Da die Datenschutz-Grundverordnung (DSGVO) erst seit Mai 2018 gilt, argumentieren Konzerne häufig, die kritischen Datenabflüsse hätten bereits vor diesem Stichtag begonnen und fielen so in eine rechtliche Grauzone.

Dieser Taktik schiebt das OLG einen Riegel vor: Facebook treffe eine sogenannte sekundäre Darlegungslast, entschied es. Da nur der Betreiber Einblick in die internen technischen Abläufe und Logfiles habe, müsse er detailliert nachweisen, wann genau das Scraping stattfand. Gelingt dieser Nachweis nicht, wird zugunsten des Nutzers die Anwendbarkeit der strengen DSGVO-Regeln unterstellt.

Bei der Bemessung des Schadens folgte das OLG der aktuellen Linie des Europäischen Gerichtshofs und im Kern auch der des Bundesgerichtshofs. Demnach begründet bereits der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden. Dass die Informationen im Darknet auftauchten, manifestiere diesen Verlust dauerhaft. Dem Kläger sprach die Berufungsinstanz dafür 200 Euro zu. Diese an sich überschaubare Summe kann angesichts der Millionen Betroffenen für Meta bei einer Klagewelle schnell bedrohliche Ausmaße annehmen.

Das Urteil unterstreicht dem IT-Rechtler Jens Ferner zufolge einen sich in der Rechtsprechung vollziehenden Paradigmenwechsel: Plattformen hafteten nicht nur für aktive Fehler, sondern auch für strukturelle Designschwächen ihrer Systeme. Der Beschluss mache deutlich, dass die DSGVO kein zahnloser Tiger sei, sondern ein wirksames Instrument des individuellen Rechtsschutzes. Für Firmen bedeute dies, dass datenschutzfreundliche Voreinstellungen („Privacy by Default“) keine bloße Empfehlung seien, sondern eine rechtliche Notwendigkeit.

(wpl)