Das OLG Frankfurt am Main (13.06.2010, Az. 19 W 33/10) hat entschieden, dass die Übermittlung von Daten zu einer rechtskräftig titulierten Forderung an die SCHUFA regelmäßig nach § 28 Abs. 1 Nr. 2 BDSG (a.F.) zulässig ist. Die Entscheidung behandelt zudem einige weitere interessante Aspekte des Datenschutzrechts.
In dem der Entscheidung zugrunde liegenden Fall hatte eine Privatperson einen Kreditvertrag mit einer Bank geschlossen. Im Verlauf der Vertragsdurchführung erwirkte die betreffende Bank eine rechtskräftig titulierte Forderung gegen ihren Kunden. Die Bank informierte daraufhin die SCHUFA über diese Forderung. Der Kunde meinte, dass er in diese Übertragung seiner Daten an die SCHUFA nicht eingewilligt habe und diese daher rechtswidrig sei. Aus demselben Grund sei auch die Datenspeicherung durch die SCHUFA sowie eine Datenübermittlung von der SCHUFA an andere Banken seiner Ansicht nach unzulässig. Der Kunde forderte daher im Rahmen eines einstweiligen Verfügungsverfahrens gegen die SCHUFA die Sperrung seines Datenbestandes.
Das OLG Frankfurt am Main wies diesen Antrag auch in zweiter Instanz ab. Der Bankkunde habe nicht darlegen können, dass er in die Übermittlung seiner Daten an die SCHUFA tatsächlich nicht eingewilligt habe. Vielmehr sei der Kreditvertrag so auszulegen, dass die Daten auch an Dritte weitergegeben werden dürften. Aber selbst bei Unwirksamkeit der Einwilligungserklärung des Kunden wäre eine Datenübermittlung und -speicherung nach § 28 Abs. 1 Nr. 2 BDSG (a.F.) zulässig, so das Gericht. Nach § 28 Abs. 1 Nr. 2 BDSG (a.F.) ist die Übermittlung personenbezogener Daten zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stellen erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiegt. Nach Ansicht des Gerichts beträfen die bei der SCHUFA gespeicherten Daten des Antragstellers die rechtskräftig titulierte Forderung der Bank aus dem Kreditvertrag und somit so genannte „harte Negativmerkmale“. Insoweit sei eine Datenübermittlung regelmäßig auch zulässig. Die Meldung an die SCHUFA diente nach Ansicht des Gerichts nämlich insbesondere der Wahrung der berechtigten Belange sowohl der SCHUFA als auch der Allgemeinheit. Die SCHUFA habe die Aufgabe, ihren Vertragspartnern Informationen zu verschaffen, um sie vor Verlusten im Kreditgeschäft mit Konsumenten zu schützen und ihnen gleichzeitig die Möglichkeit zu geben, ihren Kunden durch Beratung vor übermäßiger Verschuldung zu bewahren (vgl. nur OLG Koblenz, 23.09.2009, Az. 2 U 423/09).
Die Entscheidung bezieht sich noch auf die alte Rechtslage. Im Rahmen der BDSG-Novelle I ist zum 01. April 2010 zwischenzeitlich der neue § 28a BDSG in Kraft getreten, der unter den in Abs. 1 genannten Voraussetzungen nun ausdrücklich die Übermittlung personenbezogener Daten über Forderungen an Auskunfteien wie die SCHUFA legitimiert. Eine Frage, die aber durch die Novellierung nicht explizit geklärt wurde und die auch das OLG Frankfurt am Main nur streift, betrifft die Befreiung vom Bankgeheimnis. Diese Verpflichtung der Banken besteht nämlich grundsätzlich neben der Verpflichtung zur Beachtung datenschutzrechtlicher Bestimmungen. Eine datenschutzrechtliche Befugnis zur Übermittlung von Daten berechtigt allein noch nicht zur Durchbrechung des Bankgeheimnisses. Dies wird auch durch ein Urteil des BGH (27.02.2007, Az. XI ZR 195/05) bestätigt. Nach Ansicht des BGH kommt dem BDSG nach dessen Konzeption nämlich kein Vorrang vor dem Bankgeheimnis zu. Das Verhältnis zwischen Datenschutz und Bankgeheimnis werde maßgeblich von § 1 Abs. 3 Satz 2 BDSG bestimmt. Danach bleibt die Verpflichtung zur Wahrung von Berufsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, von den Bestimmungen des BDSG unberührt. Dies bedeutet insbesondere, so der BGH weiter, dass Datenschutz und Bankgeheimnis nebeneinander gelten. Auch wenn das OLG Frankfurt am Main hier wohl stillschweigend davon ausgeht, dass das Bankgeheimnis der Datenübermittlung nicht entgegensteht, empfiehlt es sich in der Praxis dennoch, für Banken und Geheimnisträger nach § 203 StGB Datenübermittlungen an die SCHUFA nur aufgrund einer Einwilligung des Kunden vorzunehmen.
Im Hinblick auf die datenschutzrechtliche Rechtfertigung der Datenübermittlung scheint das OLG Frankfurt am Main einen Weg einzuschlagen, der bislang noch umstritten ist. Die meisten Datenschutzaufsichtsbehörden vertreten nämlich die Ansicht, dass bei Beschreiten des Zulässigkeitsweges über eine datenschutzrechtliche Einwilligung ein Rückgriff auf gesetzliche Erlaubnistatbestände nicht mehr möglich sei. Diese Möglichkeit bejaht hingegen das Gericht in dieser Entscheidung, indem es sich für den Fall der Unwirksamkeit der Einwilligung die Datenweitergabe auf einen gesetzlichen Erlaubnistatbestand stützt. Diesem Ansatz ist zuzustimmen. Er ermöglicht den verantwortlichen Stellen, Datenverwendungen, deren Zulässigkeit nicht eindeutig beurteilt werden kann, im Zweifel von einer Einwilligungserklärung mit abzudecken, ohne die etwaige Rechtfertigung durch gesetzliche Erlaubnistatbestände zu gefährden.