Der Bundesgerichtshof hat entschieden: Unternehmen dürfen unter bestimmten Voraussetzungen Positivdaten zur Betrugsprävention an Auskunfteien übermitteln. Dieses Urteil schafft Rechtssicherheit für Branchen mit hohem Identitäts- und Betrugsrisiko.
Das Kernurteil (Az. VI ZR 431/24)
Die Übermittlung von Positivdaten (z.B. Vertragsabschluss) an Auskunfteien wie die SCHUFA ist gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig, wenn sie der Betrugsprävention dient und ein berechtigtes Interesse besteht. Eine Einwilligung ist nicht zwingend erforderlich.
Berechtigtes Interesse
Betrugsversuche verursachen massive wirtschaftliche Schäden. Unternehmen müssen wissen, ob Kunden Scheinvertäge abschließen oder Identitäten fälschen. Dies ist ein legitimes Unternehmensinteresse.
Erforderlichkeit
Mildere Mittel reichen nicht aus. Einwilligungen werden von Betrügern oft verweigert. Negativdaten (Zahlungsausfälle) liegen zum Zeitpunkt des Betrugsversuchs meist noch nicht vor.
Interessenabwägung
Positivdaten sind keine sensiblen Daten. Da Vertragsabschlüsse alltägliche Vorgänge sind, überwiegt das Schutzinteresse des Unternehmens gegenüber dem Geheimhaltungsinteresse des Verbrauchers.
Rechtssicherheit
Schluss mit der Grauzone. Wenn Zweck, Datenumfang und Transparenz stimmen, ist die Verarbeitung DSGVO-konform.
Keine AGB
Datenschutzhinweise sind reine Informationen (Art. 13 DSGVO) und keine AGB-Klauseln. Dies gewährt Gestaltungssicherheit.
Unternehmerische Freiheit
Das Urteil stärkt die wirtschaftliche Handlungsfähigkeit (Art. 16 GRCh) und den Schutz vor finanziellem Schaden.
📱 Telekommunikation
Erkennung von „Schubladenverträgen“: Wenn eine Person binnen Tagen mehrere teure Smartphones bestellt, schlägt das System Alarm.
🛒 E-Commerce
Schutz beim Rechnungskauf: Validierung von Identitätsdaten bei hochwertigen Warenkörben zur Vermeidung von Bestellbetrug.
🏦 Finanzdienstleister
Kreditvergabe & Ratenkauf: Nutzung von Positivdaten zur Prüfung der Identitätskonsistenz und Risikobewertung.
- Datenflüsse dokumentieren: Erfassen Sie genau, welche Daten zu welchem Zweck übermittelt werden.
- Transparenz erhöhen: Passen Sie Ihre Datenschutzhinweise an – verständlich und vollständig.
- Berechtigtes Interesse begründen: Dokumentieren Sie die Notwendigkeit der Betrugsprävention juristisch sauber.
- Datenminimierung: Übermitteln Sie nur das, was zur Risikoprüfung absolut notwendig ist.
- KI-Modelle prüfen: Integrieren Sie diese Erkenntnisse in Ihre automatisierten Betrugserkennungssysteme.
BGH, Urteil vom 14.10.2025 – VI ZR 431/24
Hier können Sie den vollständigen Entscheidungstext direkt beim Bundesgerichtshof abrufen.
Zum UrteilWas sind eigentlich „Positivdaten“?
Positivdaten sind Informationen, die kein negatives Zahlungsverhalten (wie Schulden) beinhalten. Dazu gehören Stammdaten (Name, Adresse), Geburtsdatum sowie Informationen über den Beginn und das Ende von Vertragsverhältnissen (z.B. Eröffnung eines Girokontos oder Abschluss eines Mobilfunkvertrags).
Benötige ich jetzt keine Einwilligung mehr?
Für die Übermittlung von Positivdaten zum Zwecke der Betrugsprävention ist nach diesem Urteil keine Einwilligung erforderlich, sofern ein berechtigtes Interesse nachgewiesen werden kann und die Informationspflichten erfüllt sind. Für andere Zwecke (z.B. Marketing) gelten weiterhin andere Regeln.
Gilt das Urteil für alle Branchen?
Das Urteil bezog sich konkret auf Mobilfunkanbieter, die Grundsätze sind jedoch auf alle Branchen übertragbar, die ein kreditorisches Risiko tragen oder Vorleistungen erbringen (z.B. Energieversorger, E-Commerce mit Rechnungskauf, Banken), sofern ein vergleichbares Betrugsrisiko besteht.
Was bedeutet „Art. 16 GRCh“?
Art. 16 GRCh steht für die unternehmerische Freiheit gemäß der Charta der Grundrechte der Europäischen Union. Das Gericht hat dieses Grundrecht herangezogen, um das Interesse der Unternehmen zu stärken, sich vor wirtschaftlichen Schäden durch Betrug zu schützen und ihr Geschäftsmodell abzusichern.
