BGH, Urteil vom 14.10.2025, Az. VI ZR 431/24
Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO
Der BGH hat entschieden, dass die Übermittlung personenbezogener Positivdaten (hier: zum Identitätsabgleich erforderliche Stammdaten der Verbraucher sowie die Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde) durch einen Mobilfunkdiensteanbieter an eine Wirtschaftsauskunftei (hier: SCHUFA) durch ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit f DSGVO gerechtfertigt sein kann, weil es der Betrugsprävention dient. Zum Volltext der Entscheidung:
Bundesgerichtshof
Urteil
…
Der VI. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 14.10.2025 durch … für Recht erkannt:
Die Revision gegen das Urteil des 20. Zivilsenats des Oberlandesgerichts Düsseldorf vom 31.10.2024 wird auf Kosten des Klägers zurückgewiesen.
Tatbestand:
Der Kläger nimmt die Beklagte wegen Verstoßes gegen verbraucherschützende Vorschriften im Zusammenhang mit der Übermittlung sogenannter Positivdaten durch die Beklagte an Wirtschaftsauskunfteien auf Unterlassung sowie Auslagenerstattung für ein Abmahnschreiben in Anspruch.
Der Kläger ist gemäß § 4 UKlaG in die Liste der qualifizierten Verbraucherverbände beim Bundesamt für Justiz eingetragen. Nach Ziffer 2 seiner Satzung gehört es zu seinen Aufgaben, die Interessen von Verbrauchern durch Aufklärung und Beratung wahrzunehmen und bei Verstößen gegen das Wettbewerbsrecht, das AGB-Recht und andere Gesetze, soweit durch diese Interessen von Verbrauchern berührt werden, gerichtliche Maßnahmen einzuleiten.
Die Beklagte ist ein Telekommunikationsunternehmen, das unter verschiedenen Marken Mobilfunkdienste erbringt. Zur Marke V. veröffentlichte sie im Internet im Hinblick auf die Übermittlung von personenbezogenen Daten folgende Datenschutzhinweise:
„Bonitätsprüfung und Betrugserkennung
a. Prüfung durch die SCHUFA und CRIF Bürgel
Wir übermitteln im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung des Vertrages wie bspw. Ihr Name, Geburtsdatum und Ihre IBAN sowie Daten über nicht vertragsgemäßes Verhalten oder betrügerisches Verhalten an die CRIF Bürgel GmbH […]. Darüber hinaus übermitteln [… (Name der Beklagten)] und […] die oben genannten Daten an die SCHUFA Holding AG […]. Rechtsgrundlage dieser Übermittlungen sind Art. 6 Abs. 1 b) und Art. 6 Abs. 1 f) DS-GVO in Verbindung mit unserem berechtigten Interesse an der Minimierung des Risikos von Zahlungsausfällen und der Betrugsprävention. […] Die SCHUFA und CRIF Bürgel verarbeiten die erhaltenen Daten und verwenden sie auch zum Zwecke der Profilbildung (Scoring), um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen („Bonitätsscoring“) zu geben. […] Unabhängig vom Bonitätsscoring unterstützt die SCHUFA ihre Vertragspartner durch Profilbildungen bei der Erkennung auffälliger Sachverhalte (z.B. zum Zwecke der Betrugsprävention im Versandhandel). Hierzu erfolgt eine Analyse von Anfragen von Vertragspartnern der SCHUFA, um diese auf potenzielle Auffälligkeiten hin zu prüfen. […]“
Zu den Marken O. und L. veröffentlichte die Beklagte im Internet ähnlich lautende Datenschutzhinweise.
Die Beklagte übermittelte bei Postpaid-Mobilfunkverträgen bis Oktober 2023 sogenannte Positivdaten von Kunden an die SCHUFA Holding AG (im Folgenden: SCHUFA). Hierbei handelte es sich zumindest um die zum Identitätsabgleich erforderlichen Stammdaten (z.B. Name) sowie um die Mitteilung, dass ein Vertragsverhältnis mit dem Verbraucher begründet oder beendet wurde.
Der Kläger mahnte die Beklagte aufgrund der seiner Ansicht nach unzulässigen Übermittlung von Positivdaten sowie wegen der Verwendung der Datenschutzhinweise erfolglos ab.
Mit der Klage hat er beantragt, die Beklagte zu verurteilen,
1. es zu unterlassen, im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern
a) nach Abschluss eines Telekommunikationsvertrages so genannte Positivdaten, also personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen, an Wirtschaftsauskunfteien, namentlich die SCHUFA zu übermitteln, wie in Anlage K 3 – Datenschutzhinweise für die Marke V. – unter der Überschrift „Bonitätsprüfung und Betrugserkennung“, dort „Prüfung durch die SCHUFA-Gruppe“ beschrieben;
hilfsweise zu a) nach Abschluss eines Telekommunikationsvertrages so genannte Positivdaten […(wie Hauptantrag)] zu übermitteln, wie in Anlage K 3 […(wie Hauptantrag)] beschrieben, ohne dass eine Einwilligung des Betroffenen vorliegt, insbesondere nicht auf der Basis von Art. 6 Abs. 1 f) DSGVO;
b) folgende und diesen inhaltsgleiche Klauseln im Rahmen von Datenschutzhinweisen für Mobilfunkverträge zu verwenden:
„Wir übermitteln im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und die Beendigung des Vertrages […] an die SCHUFA […] sowie an die CRIF Bürgel […]. Rechtsgrundlage dieser Übermittlung sind Art. 6 Abs. 1 b) und Art. 6 Abs. 1 f) DSGVO.“ [Auszug aus den Datenschutzhinweisen für die Marken O. und L.]
und/oder
„Wir übermitteln im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung des Vertrages wie bspw. Ihr Name, Geburtsdatum und Ihre IBAN, […] an die CRIF Bürgel […]. Darüber hinaus übermitteln [… (Name der Beklagten)] und […] die oben genannten Daten an die SCHUFA […]. Rechtsgrundlage dieser Übermittlungen sind Art. 6 Abs. 1 b) und Art. 6 Abs. 1 f) DSGVO in Verbindung mit unserem berechtigten Interesse an der Minimierung des Risikos von Zahlungsausfällen und der Betrugsprävention.“ [Auszug aus den Datenschutzhinweisen für die Marke V.]
Ferner hat der Kläger beantragt, ihm die Abmahnkosten nebst Zinsen zu erstatten.
Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger sein Klagebegehren vollumfänglich weiter.
Entscheidungsgründe:
A.
Zur Begründung seiner Entscheidung, die unter anderem in GRUR-RS 2024, 32757 veröffentlicht ist, hat das Berufungsgericht ausgeführt: Der hinreichend bestimmte Klageantrag zu 1.a, der die Unterlassung der Übermittlung der Positivdaten „namentlich“ im Sinne von „nämlich“ an die SCHUFA nach Vertragsabschluss des Kunden mit der Beklagten betreffe, sei unbegründet. Rechtfertigungsgrund könne nur Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DSGVO sein. Die Übermittlung der genannten Positivdaten sei durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention gerechtfertigt. Dieser Gesichtspunkt sei in ErwG 47 DSGVO angesprochen und unterscheide den vorliegenden Fall von entsprechenden Meldungen von Energieversorgern, bei denen Ziel allein das Heraussuchen von „Vertragshoppern“ sein könnte. Die Beklagte habe nachvollziehbar und vom Kläger nicht bestritten dargelegt, dass in den Fällen, in denen potentielle Kunden in kurzer Zeit unerklärlich viele Mobilfunkverträge abschlössen, auf die Absicht des Kunden geschlossen werden könne, an die teure Hardware zu gelangen, und dass die Auskunfteien dazu nähere Bewertungsmethoden entwickelt hätten. Dass die Tatsache des Vertragsschlusses von der Beklagten erst nach dem Abschluss des Mobilfunkvertrags an die SCHUFA gemeldet werde, stehe dem nicht entgegen, da die Zahl der abgeschlossenen Mobilfunkverträge von der Beklagten vor Abschluss des Vertrages bei der SCHUFA abgefragt werde. Name und Geburtsdatum müssten übermittelt werden, damit die Identität des Kunden sicher festgestellt werden könne. Das Interesse der Beklagten überwiege das Interesse der Kunden an einer Geheimhaltung. Bei dem Abschluss von Mobilfunkverträgen handle es sich um ein gewöhnliches Verhalten, das keinerlei Schlussfolgerungen auf persönliche Vorlieben oder Ähnliches zulasse. Bei einer Beschränkung hierauf könne eine großflächige Überwachung des Konsumverhaltens von Kunden nicht erreicht werden. Auch die Tatsache, dass die SCHUFA seit Oktober 2023 keine Positivdaten mehr verarbeite, sie nicht mehr entgegennehme und auch nicht an Dritte (u.a. die Beklagte) weitergebe, führe nicht zum Erfolg des Klageantrags. Da die Beklagte seither nach ihrem unwidersprochen gebliebenen Vortrag die genannten Positivdaten auch nicht mehr an die SCHUFA weiterleite, fehle es an der Wiederholungsgefahr. Soweit die Beklagte gleichzeitig erklärt habe, sie wolle ihre frühere Praxis wiederaufnehmen, wenn die SCHUFA – z.B. nach höchstrichterlicher Klärung der Frage – die Positivdaten wieder entgegennehme und verarbeite, führe dies nicht zu einer Erstbegehungsgefahr, weil die Übermittlung, wie ausgeführt, rechtmäßig wäre.
Auch der Klageantrag zu 1.b, der die Information seitens der Beklagten über die Datenübermittlung an die SCHUFA und die CRIF Bürgel betreffe, sei unbegründet. Es handle sich bei den beanstandeten Passagen aus den Datenschutzhinweisen nicht um Allgemeine Geschäftsbedingungen, sondern um eine Information, zu der die Beklagte gemäß Art. 13 und Art. 14 DSGVO verpflichtet sei. Die Klage sei auch nicht im Hinblick auf Art. 80 DSGVO i.V.m. § 2 Abs. 2 Nr. 13 UKlaG begründet, da die Beklagte ihrer Informationsverpflichtung nach Art. 13 und Art. 14 DSGVO nachgekommen sei. Dass der Kläger die in der Information beschriebene Datenübermittlung für rechtswidrig halte, sei unerheblich, weil Gegenstand der Information allein das sei, was die Beklagte tatsächlich tue. Die Tatsache, dass die Beklagte zur Zeit die Positivdaten nicht an die SCHUFA übermittle, führe nicht zur Begründetheit des Klageantrags, weil der Kläger sich auf diesen Gesichtspunkt nicht stütze.
Da die Abmahnung nicht begründet gewesen sei, seien dem Kläger schließlich auch nicht die Abmahnkosten zu erstatten.
B.
Die Revision ist unbegründet.
I.
Die Zurückweisung der Berufung gegen die Abweisung der Klage auf Un-terlassung der Übermittlung der Positivdaten der Verbraucher seitens der Be-klagten an die SCHUFA (Hauptantrag zu 1.a), jedenfalls wenn keine Einwilligung des Betroffenen vorliegt, „insbesondere nicht auf der Basis von Art. 6 Abs. 1 f) DSGVO“ (Hilfsantrag zu 1.a), ist revisionsrechtlich nicht zu beanstanden.
1. Zu Recht und von der Revisionserwiderung nicht angegriffen hat das Berufungsgericht die hinreichende Bestimmtheit des Klageantrags zu 1.a unter der vom Kläger nicht angegriffenen Prämisse, dass es um die Unterlassung der Übermittlung von Positivdaten allein (namentlich im Sinne von nämlich) an die SCHUFA geht, bejaht.
a) Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prü-fungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht er-kennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidi-gen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letzt-lich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmt-heit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verlet-zungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsge-genständlich ist und der Klageantrag zumindest unter Heranziehung des Klage-vortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den geltend gemachten Verstoß und damit das Unterlassungsgebot liegen soll (vgl. BGH, Urteil vom 11. Februar 2021 – I ZR 126/19, GRUR 2021, 746 Rn. 17 mwN – Dr. Z).
b) Diesen Anforderungen wird der Klageantrag zu 1.a gerecht. Unter Po-sitivdaten versteht der Kläger seinem Klageantrag und dessen Begründung zu-folge personenbezogene Daten des Verbrauchers, die bei der Begründung, Durchführung und Beendigung des Vertrages mit der Beklagten erhoben werden, mit Ausnahme der negativen Daten, also solcher Daten, die sich aus einem ver-tragswidrigen Verhalten des Verbrauchers ergeben. Die Verletzungshandlung, nämlich die Übermittlung der personenbezogenen Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA nach dem Abschluss eines Telekommu-nikationsvertrages, ist hinreichend bestimmt beschrieben. Diese soll dem Haupt-antrag zufolge generell, dem Hilfsantrag zufolge jedenfalls bei fehlender Einwilli-gung der betroffenen Person unterbleiben. Mit der Bezugnahme auf die Daten-schutzhinweise der Beklagten für die Marke V. durch den Zusatz „wie in Anlage K 3 unter der Überschrift ‚Bonitätsprüfung und Betrugserkennung‘ … beschrie-ben“ wird anhand eines Beispiels verdeutlicht, dass die Beklagte die Übermittlung der Positivdaten selbst offenlegt. Zudem ergibt sich aus der Anlage, dass die Übermittlung der Positivdaten unterschiedslos erfolgt, also insbesondere nicht an das Vorliegen konkreter Anhaltspunkte für ein Ausfallrisiko oder einen Betrug im Einzelfall geknüpft ist. Im Übrigen enthält die Bezugnahme auf die Anlage K 3 keine (ebenfalls dem Bestimmtheitsgebot unterliegende) Einschränkung des be-gehrten Verbots; denn in den Hinweisen wird die Übermittlung als solche nicht näher beschrieben. Die in der Anlage ebenfalls thematisierte Verarbeitung der Daten durch die SCHUFA ist nicht Gegenstand des Unterlassungsantrags. Der Umstand, dass das beanstandete Verhalten, auf das sich der Unterlassungsan-trag bezieht, und damit der Antrag selbst weit gefasst sind, ist keine Frage der Bestimmtheit und damit der Zulässigkeit, sondern der Begründetheit des Antrags.
2. Der Kläger ist klagebefugt (vgl. BGH, Urteil vom 27. März 2025 – I ZR 186/17, GRUR 2025, 653 Rn. 25 ff. – App-Zentrum III) und aktivlegitimiert (zur Doppelnatur des § 3 Abs. 1 UKlaG vgl. Köhler/Alexander in Köhler/Feddersen, UKlaG, 43. Aufl., § 3 Rn. 4 mwN). Er ist ein qualifizierter Verbraucherverband im Sinne von § 3 Abs. 1 Satz 1 Nr. 1 UKlaG, dem gemäß § 3 Abs. 1 Satz 1, § 2 Abs. 1 UKlaG ein Unterlassungsanspruch bei Zuwiderhandlungen gegen Ver-braucherschutzgesetze zusteht, zu denen gemäß § 2 Abs. 2 Nr. 13 UKlaG auch die Vorschriften der Datenschutz-Grundverordnung gehören, die für die Verar-beitung von Daten von Verbrauchern durch Unternehmer gelten. Der Kläger ist damit auch befugt, die Beklagte auf Unterlassung einer seines Erachtens rechts-widrigen, insbesondere nicht durch Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigten Weiterleitung der personenbezogenen Daten von Verbrauchern an die SCHUFA in Anspruch zu nehmen. Es handelt sich dabei um eine in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage wegen behaupteter Verletzung von Datenschutzrechten einer betroffenen Person infolge einer Verarbeitung per-sonenbezogener Daten, wobei unschädlich ist, dass der Kläger seine Klage un-abhängig von der konkreten Verletzung von Datenschutzrechten einer betroffe-nen Person und ohne Auftrag einer solchen Person erhoben hat. Erforderlich ist lediglich, dass es sich bei den betroffenen Personen um identifizierbare natürli-che Personen handelt und dass die Verarbeitung, infolge derer die Rechte der betroffenen Person verletzt worden sein sollen, existiert und somit nicht rein hy-pothetischer Natur ist (BGH aaO Rn. 25 ff., insbes. Rn. 34 f., 41; EuGH, Urteile vom 28. April 2022 – C-319/20, ZD 2022, 384 Rn. 63 ff., insbes. Rn. 68-72; vom 11. Juli 2024 – C-757/22, GRUR 2024, 1357 Rn. 40 ff., insbes. Rn. 43 f.). Das ist bei der hier angegriffenen Übermittlung der Positivdaten von Verbrauchern, mit denen die Beklagte Mobilfunkverträge abgeschlossen hat, an die SCHUFA der Fall.
Ob die Klagebefugnis und Aktivlegitimation auch schon bei Klageerhe-bung im Jahr 2022, also vor Inkrafttreten der Neuregelung des § 2 Abs. 2 Nr. 13 UKlaG durch Gesetz vom 8. Oktober 2023 (BGBl. 2023 I Nr. 272) am 13. Oktober 2023 bestand, kann dahinstehen, weil die Neuregelung bereits während des Ver-fahrens vor dem Landgericht in Kraft getreten ist.
3. Entgegen der Ansicht des Berufungsgerichts ist der Klageantrag zu 1.a nicht schon deshalb unbegründet, weil es – bei Unterstellung einer Zuwiderhand-lung der Beklagten gegen Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO – an der Wiederholungsgefahr (vgl. zu diesem Erfordernis Köhler/Alexander in Köh-ler/Feddersen, UWG, 43. Aufl., § 2 UKlaG Rn. 82) fehlen würde. Dies kann ins-besondere nicht darauf gestützt werden, dass die Beklagte in der mündlichen Verhandlung vor dem Berufungsgericht erklärt hat, dass sie seit Oktober 2023 (dem Zeitpunkt, ab dem die SCHUFA keine Positivdaten mehr entgegengenom-men und verarbeitet hat) Positivdaten nicht mehr an die SCHUFA weiterleite. Im Fall einer Verletzungshandlung wird die Wiederholungsgefahr widerleglich ver-mutet. Sie kann in der Regel nur durch eine strafbewehrte Unterlassungserklä-rung ausgeräumt werden (Köhler/Alexander aaO). Daran fehlt es hier. Die Be-klagte hat vielmehr, wie vom Berufungsgericht festgestellt, erklärt, dass sie ihre frühere Praxis (der Übermittlung von Positivdaten) wieder aufnehmen werde, wenn die SCHUFA, z.B. nach höchstrichterlicher Klärung der hier einschlägigen Fragen, ihrerseits Positivdaten wieder entgegennehme und verarbeite. Diese Er-klärung begründet entgegen der Ansicht des Berufungsgerichts im Falle der Rechtswidrigkeit der Übermittlung nicht eine Erstbegehungsgefahr, sondern be-stätigt die Wiederholungsgefahr.
4. Der Klageantrag zu 1.a ist im Haupt- und Hilfsantrag unbegründet, weil er auch datenschutzrechtlich nicht zu beanstandende Verhaltensweisen erfasst und damit zu weit gefasst ist (vgl. BGH, Urteil vom 18. Oktober 2012 – I ZR 137/11, NJW 2013, 1373 Rn. 22 mwN – Steuerbüro; OLG Köln, GRUR-RS 2023, 34611 Rn. 20-23; OLG München, ZD 2025, 463 Rn. 44 ff.; LG Stuttgart, GRUR-RS 2025, 6262 Rn. 24). Der Antrag ist darauf gerichtet, der Beklagten jede Über-mittlung der Positivdaten von Verbrauchern an die SCHUFA nach Abschluss ei-nes Telekommunikationsvertrages zu verbieten, die wie in Anlage K 3 „beschrie-ben“, erfolgt, also insbesondere nicht an das Vorliegen konkreter Anhaltspunkte für ein Ausfallrisiko oder einen Betrug im Einzelfall geknüpft ist (s.o. 1.b; vom Kläger als „anlasslose“, „pauschale“ Übermittlung bezeichnet). Eine Einschrän-kung des Unterlassungsantrags durch die Formulierung von Ausnahmen (vgl. dazu BGH, Urteil vom 18. Oktober 2012 – I ZR 137/11, NJW 2013, 1373 Rn. 21 mwN – Steuerbüro) hat der Kläger nur im Hilfsantrag und dort nur hinsichtlich des Vorliegens einer Einwilligung vorgenommen, und – wie sich aus der Formulierung „insbesondere nicht auf der Basis von Art. 6 Abs. 1 f) DSGVO“ ergibt – ausdrücklich nicht für eine Rechtfertigung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Eine solche hält er im Gegenteil für ausgeschlossen und zwar auch dann, wenn es um die („pauschale“, „anlasslose“) Übermittlung von Positivdaten zum Zwecke der Betrugsprävention geht.
Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält aber dessen Beurteilung, die Übermittlung der hier betroffenen Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA lasse sich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen, der revisionsrechtlichen Nach-prüfung stand. Damit schränkt der Klageantrag zu 1.a den der Beklagten daten-schutzrechtlich eingeräumten Gestaltungsspielraum beim Umgang mit Positivda-ten zu weitgehend ein. Der Hauptantrag ist darüber hinaus auch deshalb unbe-gründet, weil auch eine wirksame Einwilligung des Verbrauchers die Datenüber-mittlung rechtfertigen würde; dies hat der Kläger erst im Hilfsantrag berücksichtigt.
a) Die Rechtmäßigkeit der streitgegenständlichen Datenübermittlung rich-tet sich allein nach der Datenschutz-Grundverordnung, deren zeitlicher (Art. 99 Abs. 2 DSGVO), räumlicher (Art. 3 DSGVO) und sachlicher Anwendungsbereich (Art. 2 Abs. 1 DSGVO) eröffnet ist. Die Übermittlung der personenbezogenen Daten durch die Beklagte als Verantwortliche an die SCHUFA stellt eine Verar-beitung im Sinne von Art. 4 Nr. 2 DSGVO dar. § 31 BDSG ist unabhängig von der umstrittenen Frage, ob diese Regelung unionsrechtskonform ist (offengelas-sen: EuGH, Urteil vom 7. Dezember 2023 – C-634/21, EuGRZ 2023, 642 Rn. 72; verneinend mangels Öffnungsklausel für den nationalen Gesetzgeber: Ehmann in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., § 31 BDSG Rn. 6 ff.; Buchner/Petri in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 6 DSGVO Rn. 161 und Rn. 199 f.), nicht einschlägig, da diese Vorschrift nicht un-mittelbar die Übermittlung von Daten an Auskunfteien (sog. Einmeldung) regelt (Ehmann aaO Rn. 115; Taeger in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 24-26).
b) Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält eine erschöpfende und ab-schließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Da-ten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung un-ter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO dazu für einen oder mehrere bestimmte Zwecke gegeben hat (st. Rspr. des EuGH, vgl. nur Urteil vom 12. September 2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 34 mwN, 36).
Dies berücksichtigt der Hauptantrag, anders als der Hilfsantrag, nicht, so dass das mit dem Hauptantrag erstrebte Unterlassungsgebot schon deshalb zu weit geht.
c) Liegt keine wirksame Einwilligung vor, ist eine Verarbeitung personen-bezogener Daten gleichwohl gerechtfertigt, wenn sie aus einem der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Gründe erforderlich ist, wobei diese Rechtfertigungsgründe eng auszulegen sind (st. Rspr. des EuGH, vgl. Urteil vom 12. September 2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 36 f. mwN).
aa) Nach dem hier allein in Betracht kommenden Rechtfertigungsgrund des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist eine Verarbeitung personen-bezogener Daten rechtmäßig, wenn sie „zur Wahrung der berechtigten Interes-sen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die In-teressen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“. Nach ständiger Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) ist die Verar-beitung personenbezogener Daten nach dieser Bestimmung unter drei kumulati-ven Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenom-men werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwort-lichen oder eines Dritten nicht überwiegen (EuGH, Urteil vom 9. Januar 2025 – C-394/23, NJW 2025, 807 Rn. 45 mwN). Was erstens die Voraussetzung der Wahr-nehmung eines berechtigten Interesses betrifft, ist zu berücksichtigen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer be-troffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr er-hoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht. In Erman-gelung einer Definition des Begriffs „berechtigtes Interesse“ durch die Daten-schutz-Grundverordnung kann ein breites Spektrum von Interessen grundsätz-lich als berechtigt gelten. Insbesondere ist dieser Begriff nicht auf gesetzlich ver-ankerte und bestimmte Interessen beschränkt (EuGH aaO Rn. 46 mwN). Das geltend gemachte berechtigte Interesse muss allerdings rechtmäßig sein (EuGH, Urteil vom 4. Oktober 2024 – C-621/22, NJW 2024, 3769 Rn. 40). Was zweitens die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Da-ten zur Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere in die durch Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wobei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist. Die Vo-raussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemes-sen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (EuGH, Urteil vom 9. Januar 2025 – C-394/23, NJW 2025, 807 Rn. 48 f. mwN). Was schließlich drittens die Voraussetzung betrifft, dass die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten ge-schützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortli-chen oder eines Dritten nicht überwiegen, gebietet diese Voraussetzung eine den nationalen Gerichten obliegende Abwägung der einander gegenüberstehenden Rechte und Interessen, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt. Wie sich aus ErwG 47 DSGVO ergibt, können die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen ins-besondere dann überwiegen, wenn personenbezogene Daten in Situationen ver-arbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit ei-ner solchen Verarbeitung rechnet (EuGH aaO Rn. 49 f.). Zu berücksichtigen ist ferner der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf die betroffene Person (EuGH, Urteil vom 12. September 2024 – C-17/22 und C-18/22, NJW 2024, 3637 Rn. 62).
bb) Nach diesen Grundsätzen lässt sich auf der Grundlage der vom Beru-fungsgericht getroffenen Feststellungen die Übermittlung der zum Identitätsab-gleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, seitens der Be-klagten an die SCHUFA gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen.
(1) Bei dem von der Beklagten den Verbrauchern in den Datenschutzhin-weisen (Anlage K 3) mitgeteilten Interesse an Betrugsprävention handelt es sich um ein berechtigtes, insbesondere rechtmäßiges, wirtschaftliches Interesse der Beklagten. Das Interesse an der Verhinderung von Betrug ist in ErwG 47 DSGVO ausdrücklich als berechtigtes Interesse angeführt. Soweit dort vom für die Ver-hinderung von Betrug „unbedingt erforderlichen Umfang“ die Rede ist, betrifft dies die Frage der Erforderlichkeit.
(2) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellun-gen kann die Übermittlung der hier betroffenen Positivdaten zur Verhinderung von Betrug als unbedingt erforderlich angesehen werden.
(a) Nach den tatbestandlichen Feststellungen des Berufungsgerichts über-mittelte die Beklagte (bis Oktober 2023) nur bei Postpaid-Mobilfunkverträgen Po-sitivdaten von Kunden an die SCHUFA, nämlich zumindest die zum Identitätsab-gleich erforderlichen Stammdaten sowie die Information, dass ein Vertragsver-hältnis mit dem Verbraucher begründet oder beendet wurde. Weiter nimmt das Berufungsurteil konkret Bezug auf den Vortrag der Beklagten zur Betrugspräven-tion in der Klageerwiderung und fasst diesen dahingehend zusammen, dass in den Fällen, in denen potentielle Kunden in kurzer Zeit unerklärlich viele Mobil-funkverträge abschlössen, auf ihre Absicht geschlossen werden könne, an die teure Hardware zu gelangen. Ferner müssten Name und Geburtsdatum übermit-telt werden, um die Identität sicher feststellen zu können. Die Beklagte hat zu ihrem Interesse an Betrugsprävention in der Klageerwiderung näher ausgeführt, dass Betrugsfälle zulasten von Mobilfunkdiensteanbietern bei Postpaid-Mobil-funkverträgen dadurch gekennzeichnet seien, dass die Täter durch „gefälschte existente oder fiktive“ Personendaten ihre Identität verschleierten und über ihr Wollen oder Können täuschten, die entstehenden Forderungen zu bedienen, um einen Vertragsschluss zu erwirken. Ein Indiz für einen möglichen Betrugsversuch könne sein, dass eine Person mittleren Alters wirtschaftlich bislang überhaupt nicht in Erscheinung getreten sei; dies sei statistisch unwahrscheinlich und daher ein Indiz dafür, dass es sich um eine fiktive Identität handle. Ein weiteres typi-sches Indiz für einen Betrugsversuch sei der Abschluss zahlreicher Mobilfunk-verträge in kurzer zeitlicher Abfolge bei verschiedenen Mobilfunkdiensteanbie-tern, z.B. von sechs Verträgen binnen einer Woche. Das wirtschaftliche Interesse der Beklagten an der Nutzung von Positivdaten belaufe sich allein im Hinblick auf den Zweck der Betrugsprävention pro Jahr auf einen siebenstelligen Betrag. In der Vergangenheit habe die Beklagte auf Basis der von den Auskunfteien ge-speicherten Positivdaten eine Vielzahl von Aufträgen wegen des Abschlusses auffällig vieler Verträge mit der Absicht, an die Hardware zu gelangen, oder we-gen fiktiver Identitäten abgelehnt. Der Schaden entstehe durch Hardwareverlust und Serviceerschleichung.
(b) Nach den tatbestandlichen Feststellungen des Berufungsgerichts ist der Vortrag der Beklagten zu Betrugsversuchen bei der Eingehung von Mobil-funkverträgen und dazu, dass die Auskunfteien hierzu nähere Bewertungsme-thoden entwickelt hätten, vom Kläger nicht angegriffen worden. Dem Einwand der Revision, der Kläger habe den Vortrag mit Nichtwissen bestritten, steht schon die Beweiskraft dieser tatbestandlichen Feststellung entgegen (§ 314 ZPO). Ab-gesehen davon verweist die Revision insoweit lediglich darauf, dass der Kläger zum Ausdruck gebracht habe, die pauschale, anlasslose und uneingeschränkte Übermittlung der personenbezogenen Daten sei durch das Interesse der Beklag-ten nicht gerechtfertigt. Dabei handelt es sich aber nicht um ein Bestreiten des tatsächlichen Vortrags der Beklagten mit Nichtwissen, sondern um die Darstel-lung der Rechtsauffassung des Klägers zur Interessenabwägung.
(c) Wie das Berufungsgericht weiter festgestellt hat, ruft die Beklagte ihrem unbestrittenen Vortrag zufolge die Zahl der bereits (mit anderen Mobilfunk-diensteanbietern) abgeschlossenen (und von diesen eingemeldeten) Verträge bei der SCHUFA vor Abschluss des Vertrages mit ihrem Kunden ab. Ihrerseits meldet sie die Positivdaten des Kunden einschließlich der Information über den Vertragsschluss sodann nach Abschluss des Vertrages. Dieses System der Ein-meldung der Positivdaten seitens der Mobilfunkdiensteanbieter bei den Wirt-schaftsauskunfteien erscheint geeignet, die Mobilfunkdiensteanbieter über die genannten Indizien eines Eingehungsbetrugs, insbesondere über eine unge-wöhnliche Anzahl bereits abgeschlossener Mobilfunkverträge binnen kurzer Zeit, zu informieren.
(d) Die Revision weist zwar zu Recht darauf hin, dass die Beklagte die Erforderlichkeit der Einmeldung der Positivdaten für die Betrugsprävention dar-zulegen und zu beweisen hat. Es erschließt sich jedoch nicht, wie das Interesse der Beklagten an der Bekämpfung der genannten Betrugsszenarien in zumutba-rer Weise ebenso wirksam mit milderen Mitteln erreicht werden könnte. Die Ein-holung einer freiwilligen (zu den hohen Anforderungen vgl. Art. 7 Abs. 4 DSGVO) und zudem gemäß Art. 7 Abs. 3 DSGVO jederzeit widerruflichen Einwilligung des Kunden in die Übermittlung der Positivdaten wäre nicht ebenso wirksam, weil der Vertragsschluss von der Einwilligung nicht abhängig gemacht werden dürfte und gerade etwaige Betrüger der Übermittlung der Daten nicht zustimmen oder ihre Zustimmung sofort widerrufen würden (vgl. OLG Koblenz, GRUR-RS 2025, 10143 Rn. 21). Negativdaten, deren Übermittlung an die SCHUFA der Kläger nicht angreift, können zwar unter Umständen ebenfalls auf eine Betrugsabsicht hinweisen, allerdings liegen sie gerade in den Fällen, in denen ein Kunde in kur-zer Zeit außergewöhnlich viele Verträge abschließt, typischerweise noch nicht vor. Zudem schützt ihre Übermittlung nicht vor dem Abschluss eines Vertrages unter falscher Identität. Die Übermittlung der Positivdaten nur bei einem vom Klä-ger geforderten „Anlass“, etwa wenn Auffälligkeiten (welche?) bereits vorliegen, erscheint deshalb nicht ebenso wirksam für die Betrugsprävention, weil es gilt, eben diese Auffälligkeiten rechtzeitig zu ermitteln und zu diesem Zweck Positiv-daten von Anfang an vollständig zusammenzutragen. Der Einwand der Revision, die Übermittlung der Positivdaten sei allenfalls dann erforderlich, wenn Vertrags-gegenstand auch die vom Berufungsgericht angesprochene Überlassung von teurer Hardware (z.B. eines Smartphones) sei, in diesen Fällen könne die Beklagte als milderes Mittel allerdings ihr Geschäftsmodell ändern und reine Mobil-funkleistungen und Abzahlungsgeschäfte über Hardware getrennt anbieten und ihre Zusammenarbeit mit den Wirtschaftsauskunfteien auf die Abzahlungsge-schäfte beschränken, greift nicht durch. Bei der gebotenen Prüfung, ob das be-rechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, ist auf das von dem jeweiligen Verantwortlichen gewählte (legale) Leistungsangebot ab-zustellen. Sie erlaubt es nicht, dem Verantwortlichen unter Missachtung seiner unternehmerischen Freiheit (Art.16 GRCh) den Wechsel zum Angebot anderer Leistungen aufzuerlegen. Zudem ergibt sich aus dem vom Berufungsgericht in Bezug genommenen und oben referierten Vortrag der Beklagten aus der Klage-erwiderung, dass mit der Einmeldung der Positivdaten betrügerisches Verhalten bei der Eingehung eines Postpaid-Mobilfunkvertrags auch, aber nicht nur dann bekämpft werden soll, wenn mit dem Vertrag teure Hardware überlassen wird.
(3) Entgegen der Ansicht der Revision überwiegen die Interessen oder Grundrechte und Grundfreiheiten der Verbraucher, deren oben genannte Posi-tivdaten von der Beklagten bei Postpaid-Mobilfunkverträgen an die SCHUFA ein-gemeldet werden, das berechtigte Interesse der Beklagten an einer hinreichen-den Betrugsprävention nicht.
(a) Die Zulässigkeit der Übermittlung von Positivdaten an Wirtschaftsaus-kunfteien ist umstritten.
(aa) Die überwiegende Meinung in der Rechtsprechung (OLG Koblenz, GRUR-RS 2025, 10143 Rn. 10 ff., 52 ff.; OLG Bamberg, GRUR-RS 2025, 8805 Rn. 9 ff.; OLG Nürnberg, GRUR-RS 2025, 17454 Rn. 41 ff.; beispielhaft aus der Rechtsprechung der Landgerichte: LG Stuttgart, GRUR-RS 2025, 6262 Rn. 17 ff.; LG Bad Kreuznach, GRUR-RS 2025, 1169 Rn. 71 ff.; LG Frankfurt am Main, Urteil vom 18. Dezember 2024 – 2-28 O 33/24, juris Rn. 45 ff; LG Freiburg im Breisgau, GRUR-RS 2024, 30639 Rn. 32 ff.; LG Weiden i. d. OPf., GRUR-RS 2024, 23031 Rn. 44 ff.; weitere umfangreiche Nachweise bei AG Lüdenscheid, GRUR-RS 2025, 17403 Rn. 43) hält die Übermittlung der Positivdaten von Ver-brauchern im Zusammenhang mit dem Abschluss von Telekommunikationsver-trägen, insbesondere Postpaid-Mobilfunkverträgen, an Wirtschaftsauskunfteien zum Zweck der Betrugsprävention für rechtmäßig. Teilweise wird vertreten, dass jedenfalls ein Unterlassungsantrag, der die Ausnahme des berechtigten Interes-ses einer Betrugsprävention nicht aufnehme, zu weit gehe (OLG München, ZD 2025, 463 Rn. 44-46; OLG Köln, GRUR-RS 2023, 34611 Rn. 20-23; LG Köln, GRUR-RS 2023, 9811 Rn. 51; LG Stuttgart, GRUR-RS 2025, 6262 Rn. 24).
Auch Teile der Literatur sprechen sich – allgemein oder für bestimmte Branchen – für die Zulässigkeit der Übermittlung von Positivdaten an Auskunf-teien aus (Paal, NJW 2024, 1689, insbes. Rn. 13-20; Buchner/Petri in Küh-ling/Buchner, DSGVO BDSG, 4. Aufl., Art. 6 DSGVO Rn. 164; Schulz, RDV 2022, 117, 119 ff.; Assion/Hauck, Beilage ZD 12/2020, 1, 5 f.; Taeger in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 26, 52; Conrad in Auer-Reins-dorff/Conrad, Handbuch IT- und Datenschutzrecht, 19. Aufl., § 34 Rn. 767; von Lewinski/Pohl, ZD 2018, 17, 20 f.).
(bb) Aus Sicht der Gegenmeinung, der die Revision folgt, überwiegt das Interesse der Verbraucher am Schutz ihrer personenbezogenen Daten das Inte-resse der die Positivdaten einmeldenden Stelle an einer Betrugsprävention. Sie betont, dass die anlasslos – da erst nach Vertragsschluss und unabhängig von einem eigenen Fehlverhalten des Verbrauchers – erfolgende Vorratsdatensammlung zur Betrugsprävention weit überwiegend Verbraucher betreffe, bei denen weder ein kreditorisches Risiko noch das Risiko eines Identitätsdiebstahls oder eines sonstigen betrügerischen Verhaltens bestehe. Das Interesse der Verbrau-cher am Schutz vor einer anlasslosen und unterschiedslosen Erhebung ihrer per-sonenbezogenen Daten zur Erreichung abstrakt-genereller Ziele, in deren Vorteil sie in der Regel allenfalls mittelbar kommen könnten, überwiege das Interesse des Verantwortlichen erheblich (LG München, ZD 2024, 46 Rn. 114 ff.; LG Lübeck, GRUR-RS 2025, 511 Rn. 39 ff.; ähnlich Ziebarth, RDV 2024, 330, 333 ff.). Eine pauschale und präventive Übermittlung sämtlicher Daten im Zu-sammenhang mit dem Vertragsverhältnis sei weder üblich noch werde sie ver-nünftigerweise erwartet (LG Köln, GRUR-RS 2023, 9811 Rn. 51; LG Stuttgart, GRUR-RS 2024, 28242 Rn. 27). Ein überwiegendes Interesse der Verbraucher wird teilweise auch daraus hergeleitet, dass die Datenübermittlung zum Zwecke der Erstellung eines Persönlichkeitsprofils erfolge, welches in einen Gesamt-score zur Erfassung der Bonität der Betroffenen kulminiere, wobei hierzu eine große Zahl von an sich nicht miteinander verbundenen Datenpunkten nach ei-nem für die Betroffenen weitgehend intransparenten System miteinander verket-tet würden (LG Lübeck, aaO Rn. 45).
(cc) Die Datenschutzkonferenz (Konferenz der unabhängigen Daten-schutzaufsichtsbehörden des Bundes und der Länder, DSK) hat in ihren Be-schlüssen vom 11. Juni 2018 und 22. September 2021 die Ansicht vertreten, dass die Übermittlung und Verarbeitung von Positivdaten an bzw. durch Handels- und Wirtschaftsauskunfteien grundsätzlich nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gestützt werden könne, weil regelmäßig das schutzwürdige Interesse der betroffenen Personen überwiege, selbst über die Verwendung ihrer Daten zu bestimmen. Regelmäßig bedürfe es daher einer wirksamen Einwilli-gung unter Beachtung der hohen Anforderungen an die Freiwilligkeit ihrer Ertei-lung. Im Beschluss vom 22. September 2021 hat die DSK ergänzt, dass dies auch für die Übermittlung und Verarbeitung von Positivdaten zu Verträgen über Mobilfunkverträge und Dauerhandelskonten gelte. Dabei gehe es um längerfris-tige Verträge, die durch Vorausleistungsverpflichtungen oder Finanzierungs- bzw. Stundungselemente als kreditorisches Risiko betrachtet würden, aber keine Vertragsstörungen aufwiesen. Die Daten würden bei der Bildung von Scorewer-ten der betroffenen Personen, die Handel oder Kreditwirtschaft zur Bonitätsprü-fung heranzögen, regelmäßig neben einer Vielzahl weiterer Sachverhalte einbe-zogen. Es bestünden zwar berechtigte Interessen der Mobilfunkdiensteanbieter und der Handelsunternehmen, die Qualität der Bonitätsbewertungen zu verbes-sern und die beteiligten Wirtschaftsakteure vor kreditorischen Risiken zu schüt-zen. Besondere Umstände, die – wie bei Kreditinstituten aufgrund deren spezifi-scher Verpflichtungen nach dem Kreditwesengesetz – ein die Interessen, Grund-rechte und Grundfreiheiten der betroffenen Person überwiegendes Interesse der Verantwortlichen oder Dritter an der Verarbeitung bestimmter Positivdaten ver-mitteln würde, habe die DSK im Rahmen ihrer Überprüfung jedoch nicht feststel-len können. Auch bei Positivdaten zu Verträgen über Mobilfunkdienste und Dau-erhandelskonten komme den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person, selbst darüber zu entscheiden, ob sie die sie betreffenden Positivdaten zur Bonitätsbewertung preisgeben wolle, entscheidende Bedeutung zu. Ansonsten würden unterschiedslos große Datenmengen über übliche Alltags-vorgänge im Wirtschaftsleben erhoben und verarbeitet, ohne dass die betroffenen Personen hierzu Anlass gegeben hätten. Deshalb könnten weder Verant-wortliche noch Dritte ein überwiegendes Interesse an diesen Verarbeitungen gel-tend machen.
(dd) Der aufgrund Art. 68 DSGVO eingerichtete Europäische Datenschutz-ausschuss (EDSA) hat sich bislang zur Zulässigkeit der Übermittlung und Verar-beitung von Positivdaten an Auskunfteien nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, soweit ersichtlich, nicht geäußert.
(b) Der Senat schließt sich auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen für den vorliegenden Fall der herrschenden Meinung insoweit an, als bei einer Übermittlung der oben genannten Positivdaten (zum Identitätsabgleich erforderliche Stammdaten der Verbraucher sowie die Informa-tion, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde) an die SCHUFA zum Zwecke der Betrugsprävention die Rechte und Interessen der betroffenen Verbraucher diejenigen der Beklagten nicht überwiegen.
(aa) Die DSK betrachtet bei ihrer grundsätzlichen Bewertung in den (recht-lich nicht bindenden) Beschlüssen vom 11. Juni 2018 und 22. September 2021 die Übermittlung und Verarbeitung von Positivdaten im Hinblick auf den Zweck der Bonitätsbewertung, bezieht aber den besonderen Zweck der Betrugspräven-tion nicht, jedenfalls nicht ausdrücklich ein. Zudem stellt sie im Rahmen der Be-gründung des Beschlusses vom 22. September 2021 wiederholt darauf ab, dass es an einem überwiegenden Interesse der Verantwortlichen oder Dritter an der Verarbeitung von Positivdaten fehle. Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fällt die Abwägung aber nur dann zugunsten der betroffenen Person aus, wenn deren Interessen, Grundrechte oder Grundfreiheiten überwiegen.
(bb) Den Kritikern der Übermittlung von Positivdaten durch Mobilfunk-diensteanbieter ist darin Recht zu geben, dass sie präventiv, pauschal und inso-fern anlasslos erfolgt, als nicht der Einzelne durch ein Fehlverhalten Anlass zu dieser Maßnahme gegeben haben muss. Anlass besteht allerdings insoweit, als auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen Betrugs-straftaten durch die Täuschung über die Identität und/oder die Zahlungsfähigkeit und -willigkeit von Verbrauchern beim Abschluss von Postpaid-Mobilfunkverträgen mit der Beklagten Wirklichkeit sind und im Hinblick auf deren Vorleistungs-pflicht in dem Dauerschuldverhältnis, das durch den Mobilfunkvertrag begründet wird, auch und gerade, aber nicht nur bei der Überlassung von Hardware (insbe-sondere Smartphones), einen hohen finanziellen Schaden anrichten können. Dem durch Art. 16 GRCh (unternehmerische Freiheit) geschützten Interesse der Beklagten, sich vor einem Vertragsabschluss mit Betrügern zu schützen, kommt vor diesem Hintergrund ein hohes Gewicht zu. Über die Betroffenheit des einzel-nen Anbieters hinaus geht es bei der Betrugsprävention um schutzwürdige sozio-ökonomische Interessen der Telekommunikationsbranche und nicht zuletzt um die wirtschaftlichen Interessen ihrer Kunden, da hohe Betrugsschäden negative Auswirkungen auf die Preisgestaltung haben können. Zudem können Kunden von einem Identitätsdiebstahl durch Dritte betroffen sein und von einer Abfrage bei der SCHUFA daher profitieren.
Der Senat verkennt nicht die grundsätzliche Bedeutung der durch Art. 7 und Art. 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, die durch die Übermittlung der Positivdaten betroffen sind. Geschieht die Datenübermittlung allerdings zur Prävention von Betrugsstraftaten, wie sie nach den Feststellungen des Berufungsgerichts bei Postpaid-Mobilfunkverträgen der Beklagten ernsthaft zu befürchten sind, so überwiegen die genannten Rechte der betroffenen Person die zuvor genannten Interessen der Verantwortlichen nicht. Der Senat teilt die Ansicht des Berufungs-gerichts, dass es sich bei den hier in Rede stehenden Positivdaten – im Ergebnis also bei der Information, dass eine bestimmte Person einen Postpaid-Mobilfunk-vertrag abgeschlossen oder beendet hat – nicht um sensible Daten handelt. Da-mit unterscheiden sie sich wesentlich von Negativdaten (vgl. z.B. EuGH, Urteil vom 7. Dezember 2023 – C-26/22 und C-64/22, EuGRZ 2023, 632 Rn. 94 zur Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung), gegen de-ren Übermittlung an Auskunfteien sich der Kläger nicht wendet. Bei dem Ab-schluss eines Mobilfunkvertrages handelt es sich um einen gewöhnlichen Geschäftsvorgang im Leben eines erwachsenen Verbrauchers. Die Information hier-über an einen begrenzten Empfängerkreis lässt keine Rückschlüsse auf persön-liche Vorlieben zu und gibt keinen Einblick in das sonstige geschäftliche oder gar das private Verhalten des Verbrauchers; er wird dadurch nicht zum „gläsernen Verbraucher“.
(cc) Angesichts des Umstands, dass Mobilfunkdiensteanbieter mit dem Abschluss von Postpaid-Mobilfunkverträgen ein hohes kreditorisches Risiko ein-gehen, insbesondere (aber nicht nur) dann, wenn sie mit Abschluss des Vertra-ges ein Smartphone überlassen, dürfte für einen Verbraucher die Erwartung, dass seine Daten, auch seine Positivdaten, an die SCHUFA übermittelt werden, bei vernünftiger Betrachtung nicht fernliegen. Zudem kann er dies aus den Da-tenschutzhinweisen der Beklagten erkennen.
(dd) Die im Rahmen der Abwägung zu berücksichtigenden Auswirkungen der Übermittlung der Positivdaten seitens der Beklagten an die SCHUFA zum Zwecke der Betrugsprävention könnten auch davon abhängen, wie und in wel-chem Umfang die Daten von der SCHUFA zum Zwecke der Betrugsprävention verarbeitet und an ihre Vertragspartner weitergegeben werden (bzw. bis Oktober 2023 wurden).
Feststellungen hierzu hat das Berufungsgericht nicht getroffen. Das war allerdings auch nicht veranlasst. Denn die „näheren Einzelheiten der Verarbei-tung der Daten durch die Auskunfteien (Bewertung, Löschungsfristen)“ sind, wie das Berufungsgericht tatbestandlich und damit für das Revisionsverfahren bin-dend festgestellt hat, vom Kläger „nicht angegriffen“ worden. Zudem verlangt der Kläger mit der weiten Fassung des Klageantrags zu 1.a die Unterlassung der Übermittlung von Positivdaten unabhängig davon, wie die nicht streitgegenständliche Verarbeitung der Positivdaten bei der SCHUFA gerade im Rahmen der Be-trugsprävention erfolgt, beispielsweise, ob sie in diesem Rahmen überhaupt in das Bonitätsscoring einfließt und wenn ja, wie sie dieses beeinflusst. Dass eine Reaktion seitens der SCHUFA erfolgt, wenn Auffälligkeiten vorliegen, die als In-dizien für einen Betrug zu werten sind, etwa weil außergewöhnlich viele Verträge binnen kurzer Zeit abgeschlossen worden sind, ist gerade Sinn und Zweck der Übermittlung der Positivdaten zur Betrugsprävention und kann deshalb für sich genommen noch nicht zur Rechtswidrigkeit der Übermittlung von Positivdaten zur Betrugsprävention führen. Auf die rechtlichen Anforderungen an die Zulässigkeit des Bonitätsscoring (Profiling) seitens der SCHUFA im Hinblick auf Art. 22 DSGVO (vgl. EuGH, Urteil vom 7. Dezember 2023 – C-634/21, EuGRZ 2023, 642 Rn. 40 ff.) kommt es daher hier nicht an.
(ee) Soweit die Revision schließlich aus der „anlasslosen“, d.h. von einem konkreten Betrugsverdacht im Einzelfall losgelösten, Übermittlung der Positivda-ten die Vermutung herleitet, die Beklagte bezwecke mit den Meldungen auch und in erster Linie das Heraussuchen von „Vertragshoppern“, was sie hinter dem an-geblichen Zweck der Betrugsprävention zu verbergen versuche, sind Feststellun-gen, die diese Annahme stützen würden, nicht getroffen. Die Revision benennt auch keinen diesbezüglichen Vortrag, den das Berufungsgericht gehörswidrig übergangen haben könnte. In der insoweit von ihr in Bezug genommenen Klage-schrift hat der Kläger lediglich auf die Ansicht der DSK in ihrem Beschluss vom 15. März 2021 verwiesen, wonach die Einmeldung der Positivdaten von Verbrau-chern durch Energieversorger mit dem Ziel, „Schnäppchenjäger“ zu identifizie-ren, nicht gerechtfertigt wäre. Dass die Beklagte mit der Einmeldung von Positiv-daten auch oder in erster Linie das Ziel der Identifizierung von „Vertragshoppern“ verfolge, hat er dort nicht behauptet. Im Übrigen ließe sich damit eine Übermitt-lung der Positivdaten zum Zwecke der Betrugsprävention, die aber vom Unter-lassungsantrag erfasst ist, nicht verbieten.
5. Der von der Revision angeregten Aussetzung des Verfahrens analog § 148 ZPO im Hinblick auf die Vorlage des Landgerichts Lübeck vom 4. Septem-ber 2025 -15 O 12/24 (juris) an den Gerichtshof bedarf es nicht. Daran, dass die Prüfung der Zulässigkeit der Übermittlung von Positivdaten an Wirtschaftsaus-kunfteien bei fehlender Einwilligung des Verbrauchers am Maßstab des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zu erfolgen hat (Vorlagefrage 1), bestehen keine Zweifel, auch wenn dies – wie vom Landgericht für bedenklich erachtet, vom Gerichtshof aber in ständiger Rechtsprechung geklärt – zur Folge hat, dass die nach dieser Norm vorzunehmende Abwägung durch das jeweilige nationale Gericht zu erfolgen hat (vgl. nur EuGH, Urteile vom 9. Januar 2025 – C-394/23, NJW 2025, 807 Rn. 50; vom 7. Dezember 2023 – C-26/22 und C-64/22, EuGRZ 2023, 632 Rn. 79 – SCHUFA Holding [Restschuldbefreiung]). Die zweite Vorla-gefrage, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dahingehend auszulegen ist, dass die Bestimmung eine Übermittlung von Positivdaten an Auskunfteien jedenfalls dann nicht zu rechtfertigen vermag, wenn die Auskunfteien die Daten auch zur Profilbildung (Scoring) verwenden, ist hier aus den oben unter 4. c) bb) (3) (b) (dd) genannten Gründen schon nicht entscheidungserheblich.
II.
Die Revision hat auch insoweit keinen Erfolg, als sie sich gegen die Zu-rückweisung der Berufung gegen die Abweisung des Klageantrags zu 1.b wendet.
1. Soweit der Kläger den Unterlassungsantrag auf § 3 Abs. 1 Satz 1 Nr. 1 i.V.m. § 1 UKlaG mit der Begründung stützt, es handle sich bei den von ihm an-gegriffenen Datenschutzhinweisen um unwirksame Allgemeine Geschäftsbedin-gungen, ist sein Antrag, wie vom Berufungsgericht zutreffend gesehen, schon deshalb unbegründet, weil die Hinweise keine Allgemeine Geschäftsbedingun-gen im Sinne von § 305 Abs. 1 BGB darstellen.
a) Gemäß § 305 Abs. 1 Satz 1 BGB sind Allgemeine Geschäftsbedingun-gen alle für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Der Begriff der Allgemeinen Geschäftsbedingung setzt damit eine Erklärung des Verwenders voraus, die den Vertragsinhalt regeln soll. Für die Un-terscheidung von allgemeinen (verbindlichen) Vertragsbedingungen und (unver-bindlichen) Bitten, Empfehlungen oder tatsächlichen Hinweisen ist auf den Emp-fängerhorizont abzustellen. Eine Vertragsbedingung liegt demnach vor, wenn ein allgemeiner Hinweis nach seinem objektiven Wortlaut bei den Empfängern den Eindruck hervorruft, es solle damit der Inhalt eines vertraglichen oder vorvertrag-lichen Rechtsverhältnisses bestimmt werden, wobei auf den rechtlich nicht vor-gebildeten Durchschnittskunden und die dabei typischerweise gegebenen Ver-hältnisse abzustellen ist. Die insoweit erforderliche Auslegung kann der Senat selbst vornehmen (Senatsurteil vom 1. Oktober 2019 – VI ZR 156/18, VersR 2020, 105 Rn. 21; BGH, Urteile vom 27. März 2025 – I ZR 186/17, GRUR 2025, 653 Rn. 87 – App-Zentrum III; vom 9. April 2014 – VIII ZR 404/12, BGHZ 200, 362 Rn. 23-25 mwN).
b) Ausgehend von dem aufgezeigten Maßstab handelt es sich bei den vom Kläger angegriffenen Auszügen aus den Datenschutzhinweisen nicht um eine Vertragsbedingung im Sinne von § 305 Abs. 1 BGB.
Die hier angegriffenen Datenschutzhinweise der Beklagten dienen bei ob-jektiver und verständiger Betrachtung aus Sicht eines durchschnittlichen Ver-brauchers nicht dazu, den Inhalt des Vertrags, insbesondere Rechte der Beklag-ten verbindlich festzulegen, sondern ausschließlich dazu, den sich aus Art. 13 DSGVO ergebenden Informationspflichten der Beklagten nachzukommen (vgl. OLG Köln, GRUR-RS 2023, 34611 Rn. 24 ff.; LG Köln, GRUR-RS 2023, 9811 Rn. 60 f.; vgl. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748; a.A. LG Frankfurt, GRUR-RS 2023, 18081 Rn. 32 ff. im Hinblick u.a. auf die Systema-tik und den Wortlaut der Hinweise im dortigen Fall). Die Beklagte räumt sich mit diesen Hinweisen insbesondere nicht das vertragliche Recht ein, Positivdaten an Wirtschaftsauskunfteien zu übermitteln, sondern sie weist lediglich darauf hin, dass, an wen und zu welchem Zweck sie Positivdaten übermittelt, teilt die (aus ihrer Sicht bestehenden) Rechtsgrundlagen hierfür mit und benennt das (aus ih-rer Sicht bestehende) berechtigte Interesse im Sinne von Art. 6 Abs. 1 Unter-abs. 1 Buchst. f DSGVO. Dabei handelt es sich genau um diejenigen Informatio-nen, die Art. 13 Abs. 1 Buchst. c bis e DSGVO vorschreibt. Derartigen Informati-onen begegnet der durchschnittliche Verbraucher im geschäftlichen Kontakt mit Verantwortlichen spätestens seit Inkrafttreten der Datenschutz-Grundverordnung; bei verständiger Betrachtung ist er in der Lage, diese von verbindlichen Vertragsregelungen zu unterscheiden.
2. Soweit der Kläger geltend macht, die Beklagte verletze mit den ange-griffenen Datenschutzhinweisen zur Übermittlung der Positivdaten ihre Informa-tionspflichten aus Art. 13 Abs. 1 DSGVO, ergibt sich seine Klagebefugnis aus § 3 Abs. 1 Satz 1 Nr. 1 i.V.m. § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG (vgl. dazu BGH, Urteil vom 27. März 2025 – I ZR 186/17, GRUR 2025, 653 Rn. 37 ff. – App-Zentrum III und EuGH, Urteil vom 11. Juli 2024 – C-757/22, GRUR 2024, 1357 Rn. 65 zur Auslegung der Wendung „infolge einer Verarbeitung“ in Art. 80 Abs. 2 DSGVO). Die Klage ist aber auch insoweit unbegründet.
a) Die Revision meint, die Beklagte verletze mit der Angabe, dass „Rechts-grundlage dieser Übermittlungen […] Art. 6 Abs. 1 b) und Art. 6 Abs. 1 f) DSGVO“ seien, ihre Pflicht aus Art. 13 Abs. 1 Buchst. c DSGVO zur Information über die Rechtsgrundlage für die Verarbeitung, weil die Angabe in rechtlicher Hinsicht un-richtig sei. Dies schließt sie aus ihrer zu Klageantrag 1.a vertretenen Ansicht, dass die Beklagte zur Übermittlung der Positivdaten nicht, insbesondere nicht auf der Grundlage des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, berechtigt sei.
aa) Gemäß Art. 13 Abs. 1 Buchst. c DSGVO trifft die Beklagte die Pflicht, der betroffenen Person die Zwecke, für die die personenbezogenen Daten ver-arbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung mitzuteilen. Ge-mäß ErwG 60 DSGVO machen es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich, dass die betroffene Person über die Existenz des Ver-arbeitungsvorgangs und seine Zwecke unterrichtet wird. Das Transparenzgebot ergibt sich aus Art. 5 Abs. 1 Buchst. a DSGVO, wonach personenbezogene Da-ten in einer für die betroffene Person „nachvollziehbaren Weise“ verarbeitet wer-den müssen. Zweck des Art. 13 Abs. 1 Buchst. c DSGVO ist, dass der Betroffene selbst nachprüfen können soll, ob die Datenverarbeitung rechtmäßig ist. Was die Angabe der Rechtsgrundlage angeht, so soll der Betroffene im Vergleich zum Verantwortlichen auf ein identisches Informationsniveau gestellt werden (Schmidt-Wudy in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 52. Ed., Stand 1.5.2025, Art. 14 DSGVO Rn. 46, 46.2). Das spricht dafür, dass der Verantwortliche seiner Informationspflicht auch dann gerecht wird, wenn er eine Rechtsgrundlage angibt, auf Basis derer er die Datenverarbeitung durch-führt, die aber die Datenverarbeitung nicht legitimiert, unabhängig davon, ob die Verarbeitung auf der Grundlage einer anderen Rechtsgrundlage zulässig ist oder nicht (so Schmidt-Wudy aaO Rn. 46.2).
bb) Im Übrigen lässt sich entgegen der Ansicht der Revision die Übermitt-lung der Positivdaten an die SCHUFA nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zum Zwecke der Betrugsprävention rechtfertigen, so dass die Beklagte in ihren Datenschutzhinweisen insoweit auch die richtige Rechtsgrundlage an-gibt. Zudem bezieht sich die Angabe der Rechtsgrundlagen auch auf die Über-mittlung der Negativdaten, die allerdings nicht Gegenstand des Rechtsstreits ist.
b) Die Revision meint, die Beklagte verletze mit den angegriffenen Daten-schutzhinweisen ihre Informationspflichten aus Art. 13 Abs. 1 DSGVO auch des-halb, weil seit Oktober 2023 eine Übermittlung der Positivdaten an die SCHUFA nicht mehr erfolge, die Information also in tatsächlicher Hinsicht falsch geworden sei. Diesen Gesichtspunkt habe das Berufungsgericht – auch ohne Geltendma-chung seitens des Klägers – von sich aus berücksichtigen müssen.
aa) Dies trifft nicht zu, weil es sich bei der vom Berufungsgericht ange-sprochenen und vom Kläger nun erstmals in der Revision geltend gemachten Unrichtigkeit der Hinweise wegen Wegfalls der Datenübermittlung um einen an-deren Streitgegenstand handelt. Zwar wird bei der wettbewerbsrechtlichen Un-terlassungsklage der Streitgegenstand in der Rechtsprechung des I. Zivilsenats mittlerweile weiter gefasst (vgl. grundlegend BGH, Urteil vom 13. September 2012 – I ZR 230/11, BGHZ 194, 314 Rn. 18 ff. – Biomineralwasser) mit der Folge, dass bei der Klage gegen eine konkrete Verletzungsform in dieser Verletzungs-form der Lebenssachverhalt gesehen werden kann, durch den der Streitgegen-stand bestimmt wird (aaO Rn. 24). Vorliegend ergibt sich die mit der Klage ange-griffene konkrete Verletzungsform und damit der den Streitgegenstand bestim-mende Lebenssachverhalt allerdings nicht isoliert aus der Verwendung bestimm-ter Datenschutzhinweise, sondern aus der Verknüpfung dieser Hinweise mit ei-ner bestimmten Datenverarbeitung, nämlich der Übermittlung von Positivdaten unter anderem an die SCHUFA. Die mit dem Klageantrag zu 1.b geltend ge-machte Verletzungshandlung soll ausweislich der Begründung des Klageantrags darin bestehen, dass die Beklagte für eine Datenübermittlung in (vom Kläger als AGB angesehenen) Datenschutzhinweisen eine Rechtsgrundlage angibt, die es im Hinblick auf die aus Sicht des Klägers unzulässige Übermittlung nicht geben soll. Davon zu unterscheiden ist eine Verletzungshandlung, die darin bestehen soll, dass es eine bestimmte Datenverarbeitung (hier Übermittlung der Positivda-ten an die SCHUFA) gerade nicht gibt, aber in den Datenschutzhinweisen der Eindruck ihrer Existenz erweckt wird. Eine solche neue Verletzungshandlung, die es bei Klageerhebung noch nicht gab, weil damals die Datenübermittlung noch erfolgte, hätte der Kläger daher als neuen Lebenssachverhalt mit diesbezügli-chem Vortrag in den Prozess einführen müssen, um sie zum Gegenstand der gerichtlichen Überprüfung machen zu können. Der weitgefasste Streitgegen-standsbegriff darf nicht dazu führen, dass die Beklagte neuen Angriffen des Klä-gers gegenüber schutzlos gestellt oder gezwungen wird, sich von sich aus gegen eine Vielzahl von lediglich möglichen, vom Kläger aber nicht konkret geltend ge-machten Aspekten zu verteidigen (vgl. BGH, Urteil vom 11. Oktober 2017 – I ZR 78/16, GRUR 2018, 431 Rn. 16 mwN – Tiegelgröße). Das gilt erst recht, wenn die Berufung auf diese Aspekte erst im Laufe des Rechtsstreits möglich geworden ist.
bb) Selbst wenn Gegenstand des Klageantrags zu 1.b die Verletzung der Informationspflicht auch wegen Angabe einer tatsächlich nicht erfolgenden Da-tenübermittlung wäre, wäre der Antrag jedenfalls zu weit gefasst und deshalb unbegründet. Denn er würde der Beklagten die Verwendung der angegriffenen Datenschutzhinweise auch dann noch verbieten, wenn die Übermittlung der Po-sitivdaten wieder aufgenommen wird, was nach dem vom Berufungsgericht fest-gestellten Vortrag der Beklagten der Fall sein soll, sobald die SCHUFA, etwa nach höchstrichterlicher Klärung der hier einschlägigen Fragen, Positivdaten wie-der entgegennimmt.
III.
Damit erweist sich schließlich auch die Revision gegen die Zurückweisung der Berufung gegen die Abweisung des Klageantrags auf Erstattung der Ab-mahnkosten als unbegründet.
Vorinstanzen:
LG Düsseldorf, Urteil vom 06.03.2024, Az. 12 O 128/22
OLG Düsseldorf, Urteil vom 31.10.2024, Az. I-20 U 51/24