BGH Urteil vom 12.05.2026 – VI ZR 375/24
6. Zivilsenat · ECLI:DE:BGH:2026:120526UVIZR375.24.0
Tenor
Auf die Anschlussrevision des Klägers wird das Urteil des 17. Zivilsenats des Schleswig-Holsteinischen Oberlandesgerichts vom 22. November 2024 in der Fassung des Berichtigungsbeschlusses vom 17. Dezember 2024 im Kostenpunkt und insoweit aufgehoben, als darin zum Nachteil des Klägers erkannt worden ist.
Die Revision der Beklagten gegen das vorgenannte Urteil wird zurückgewiesen.
Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen.
Von Rechts wegen
Tatbestand
Der Kläger nimmt das beklagte Inkassounternehmen nach der Meldung offener Forderungen an die SCHUFA Holding AG (im Folgenden: SCHUFA) auf Widerruf der Meldungen und Ersatz immateriellen Schadens in Anspruch.
Der Kläger bezog im Jahr 2014 Strom von der i.-Energie GmbH. Diese kündigte das Vertragsverhältnis fristlos, weil sich der Kläger mit Abschlagszahlungen in Verzug befunden hatte. Mit einer Schlussrechnung vom 11. Oktober 2014 stellte sie ihm einen Betrag von 529,16 € in Rechnung. In der Folgezeit richtete ein Inkassounternehmen im Auftrag der i.-Energie GmbH Mahnungen an den Kläger. Mit Schreiben vom 29. November 2014 teilte dieser gegenüber der i.-Energie GmbH mit, dass er weder Rechnung noch Mahnungen erhalten habe. Unabhängig davon weise er die Forderung von 529,16 € als "überhöht und überzogen" zurück. Er bat um die Übersendung einer "korrigierten Rechnung". Daraufhin versandte die i.-Energie GmbH am 2. und 9. Dezember 2014 ihre - unveränderte - Schlussrechnung.
Zum 25. November 2019 übernahm die Beklagte die Inkassodienstleistung für die Forderung aus der Schlussrechnung. Am 12. März 2021 veranlasste sie die Aufnahme der Forderung als Negativeintrag in den Datenbestand der SCHUFA. Durch diese Negativmeldung wurde der von der SCHUFA für den Kläger ermittelte Score-Wert beeinträchtigt. Am 18. März 2022 erfolgte eine weitere Meldung an die SCHUFA in Bezug auf die Forderung.
Das Landgericht hat die Beklagte - soweit im Revisionsverfahren von Interesse - verurteilt, den in der Datenbank der SCHUFA enthaltenen Negativeintrag über eine vorliegende Zahlungsstörung und eine zum 12. März 2021 noch offene Forderung von 795 € sowie einen zum 18. März 2022 noch offenen Forderungsbetrag von 817 € zu widerrufen. Weiter hat es dem Kläger ein "Schmerzensgeld" von 500 € sowie vorgerichtliche Rechtsanwaltskosten zugesprochen. Auf die Berufung der Beklagten hat das Berufungsgericht das Schadensersatzbegehren abgewiesen. Im Übrigen hat es die Berufung zurückgewiesen.
Mit ihrer vom Berufungsgericht zugelassenen Revision verfolgt die Beklagte ihr Ziel der vollständigen Klageabweisung weiter. Der Kläger erstrebt mit seiner Anschlussrevision die vollständige Wiederherstellung des landgerichtlichen Urteils.
Entscheidungsgründe
I.
Das Berufungsgericht, dessen Urteil unter anderem in ZIP 2025, 212 veröffentlicht ist, hat zur Begründung seiner Entscheidung - soweit hier von Interesse - im Wesentlichen Folgendes ausgeführt:
Der Kläger könne von der Beklagten den Widerruf des Negativeintrages bei der SCHUFA in entsprechender Anwendung von § 1004 Abs. 1, § 823 Abs. 1 BGB i.V.m. Art. 6 Abs. 1 DSGVO verlangen. Es könne offenbleiben, ob die Datenschutz-Grundverordnung einen eigenen Anspruch auf Unterlassung bzw. Störungsbeseitigung enthalte, denn die Verordnung hindere jedenfalls nicht die Anwendung dieses Anspruchs aus nationalem Recht. Die Einmeldung der streitgegenständlichen Forderungen der Beklagten bei der SCHUFA sei rechtswidrig und begründe einen Beseitigungs- und Unterlassungsanspruch des Klägers gegen die Beklagte dergestalt, dass die rechtswidrige Übermittlung der Daten an die SCHUFA zu widerrufen sei. Als Rechtsgrundlage für die Übermittlung der Daten an die SCHUFA komme mangels einer entsprechenden Einwilligung des Klägers lediglich Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO in Betracht. Die Beweislast für den Nachweis, dass die Verarbeitung von Daten rechtmäßig erfolgt sei, trage die Beklagte. Die Voraussetzungen eines berechtigten Interesses und die Abwägungskriterien für die widerstreitenden Interessen des Betroffenen im Rahmen des Art. 6 DSGVO würden durch § 31 Abs. 2 BDSG konkretisiert bzw. diese Vorschrift könne als Auslegungshilfe bei der Anwendung des Art. 6 DSGVO herangezogen werden. Der Gesetzgeber setze stillschweigend voraus, dass nur Forderungen, die den Anforderungen des § 31 Abs. 2 BDSG entsprächen, berechtigt übermittelt und für die Ermittlung von Score-Werten verwendet würden. Die beiden hier in Betracht kommenden rechtfertigenden Tatbestände des § 31 Abs. 2 Satz 1 Nr. 4 und 5 BDSG setzten die Fälligkeit der einzumeldenden Forderung voraus und stellten weitere Voraussetzungen für die Rechtmäßigkeit der Übermittlung auf. Ebenfalls vorauszusetzen sei selbstverständlich die plausible Darlegung der einzumeldenden Forderung, denn deren Behauptung allein rechtfertige die Einmeldung noch nicht.
Hier sei bereits der Bestand der streitgegenständlichen Forderung zweifelhaft. Bei der eingemeldeten Forderung handele es sich um eine Forderung aus einer Schlussrechnung im Rahmen eines Energieversorgungsvertrages, die sich aus verschiedenen Positionen zusammensetze. Soweit darin ein Zahlungsanspruch auf Vergütung von Versorgungsleistungen geltend gemacht werde, beruhe dieser auf § 433 Abs. 2 BGB. Ein entsprechendes Vertrags- und Versorgungsverhältnis habe zwischen dem Kläger und der i.-Energie GmbH unstreitig bestanden. Auch sei plausibel behauptet, der Kläger habe die danach zu leistenden monatlichen Abschläge nicht wie geschuldet erbracht. Hingegen würden in der Schlussrechnung an Stromentgelten nicht nur verbrauchte 1.306,8 kWh abgerechnet, sondern 1.543,86 kWh, möglicherweise aufgrund einer Pauschalvereinbarung. Die Parteien hätten hierzu trotz Erörterung in der mündlichen Verhandlung nicht weiter vorgetragen. Zudem enthalte die Schlussrechnung neben reinen Stromentgelten auch weitere Forderungen, die aus sich heraus nicht ohne Weiteres verständlich und auch durch die Beklagte im Prozess nicht näher erläutert worden seien. So würden in der Rechnung ein sogenannter "Nichterfüllungsschaden" sowie eine Mahn- und Überweisungsgebühr aufgeführt. Zudem würden zwar zwei von dem Kläger bezahlte Abschläge in Höhe von 79 € und 50 € aufgeführt, dann allerdings sogenannte Verzugskosten in Höhe von 163,47 € und 54,37 € dagegengerechnet, sodass sich im Ergebnis ein Negativsaldo von -88,84 € errechne. Jedenfalls hinsichtlich dieser Rechnungspositionen bestünden deshalb Zweifel schon an der hinreichenden Darlegung der eingemeldeten Forderung.
Auch abseits der Kriterien des Bundesdatenschutzgesetzes ergebe die Abwägung der wechselseitigen Interessen nicht die Rechtmäßigkeit der Datenübermittlung. Es gebe keine Umstände, die entgegen der indiziellen Wirkung des § 31 Abs. 2 BDSG gleichwohl eine Rechtmäßigkeit der Datenübermittlung nahelegen würden. Vielmehr sprächen sowohl die eingetretene Verjährung als auch die fehlende Klarheit der einzelnen eingemeldeten Positionen nochmals gegen ein Interesse an der Übermittlung der Informationen. Zwar sei die später vom Kläger geltend gemachte Verjährungseinrede im Zeitpunkt der Einmeldung noch nicht erhoben gewesen, sodass ein Interesse der Information der Kreditwirtschaft über eine unerfüllt gebliebene Forderung noch nicht entfallen gewesen sein müsse. Gleichwohl erscheine es unter dem Gesichtspunkt der objektiv eingetretenen Verjährung doch als zweifelhaft, ob der Kläger im Jahre 2021 noch damit habe rechnen müssen, dass eine 2014 entstandene Forderung einer Auskunftei gemeldet würde. Dass in der hier vorgelegten Schlussrechnung Entgeltforderungen aus der Stromversorgung mit anderen Forderungen in einer Weise vermischt worden seien, dass der Bestand der eigentlichen Entgeltforderung nicht hinreichend sicher festgestellt werden könne, lasse sich auch als Indiz dafür werten, dass die Beklagte - entgegen Erwägungsgrund 71 zur Datenschutz-Grundverordnung - keine ausreichenden organisatorischen Maßnahmen getroffen habe, um das Risiko von Fehlern im Datenbestand zu minimieren. Sofern die Beklagte durch mangelnde Differenzierung nach der Art der Forderungen keine hinreichende Vorsorge für die Richtigkeit der übermittelten Daten treffe, könne das Interesse an der Datenverarbeitung schon deshalb kein "berechtigtes" im Sinne von Art. 6 Abs. 1 DSGVO sein.
Der Kläger könne von der Beklagten allerdings nicht die Zahlung von Schmerzensgeld beanspruchen. Als Anspruchsgrundlage komme zwar Art. 82 Abs. 1 DSGVO in Betracht. Die Datenübermittlung an die SCHUFA habe gegen die Datenschutz-Grundverordnung verstoßen. Die Beklagte habe sich auch nicht im Sinne des Art. 82 Abs. 3 DSGVO entlastet. Sie könne nicht damit gehört werden, dass sie von den Einzelheiten der Vertragsbeziehung und dem Bestreiten der Forderung seitens des Klägers gegenüber der i.-Energie GmbH keine Kenntnis gehabt habe. Gerade weil die zulässige Einmeldung bei der SCHUFA von Fälligkeit, Bestreiten, Unterrichtung etc. abhängig sei, sei es fahrlässig, die Einmeldung vorzunehmen, ohne sich über solche relevanten Umstände Kenntnis zu verschaffen.
Dem Kläger sei aber aufgrund des Verstoßes kein Schaden entstanden. Es fehle an der hinreichenden Darlegung eines immateriellen Schadens, der durch die rechtswidrige Datenübermittlung entstanden sei. Der Kläger schätze die Auswirkungen der durch die Beklagte veranlassten Eintragung auf seine Bonität als erheblich ein. In den Augen von Gläubigern oder Vertragspartnern gelte er aufgrund dieses Eintrages als zahlungsunfähig und es bestünden massive Beeinträchtigungen im Rahmen der Einschätzung seiner Kreditwürdigkeit durch Dritte. Der Kläger habe seine Einschätzung durch Schriftverkehr unterlegt, aus dem sich ergebe, dass verschiedentlich Vertragsanbahnungen offenbar wegen seiner SCHUFA-Bonitätsbewertung gescheitert seien. Aus den vom Kläger vorgetragenen Fällen ergebe sich indes nicht, dass gerade der durch die Beklagte veranlasste Eintrag bei der SCHUFA zum Scheitern der Vertragsabschlüsse geführt habe. Weder der niedrige Basisscore des Klägers noch die dadurch verursachten Bedenken potentieller Vertragspartner des Klägers könnten allein auf der streitgegenständlichen Meldung der Beklagten beruhen. Der Bonitätsscore des Klägers sei auch und sicher wesentlich durch die weiteren Umstände beeinflusst, dass der Kläger zuvor einmal die Abgabe der Vermögensauskunft verweigert, später die Vermögensauskunft abgegeben, und auch ein Verbraucherinsolvenzverfahren durchlaufen gehabt habe, ohne dass daran die Beklagte beteiligt gewesen sei. Es könne deshalb nicht festgestellt werden, dass die rechtswidrige Datenübermittlung durch die Beklagte an die SCHUFA die Ursache für die Verweigerung von Vertragsabschlüssen seitens eines Telefonanbieters und einer Kfz-Versicherung gewesen sei. Auch die vom Kläger behaupteten weiteren gescheiterten Vertragsanbahnungen mit einem anderen Telefonanbieter und zwei Rechtsschutzversicherungen könnten dementsprechend nicht auf das Verhalten der Beklagten als maßgebliche Ursache zurückgeführt werden.
Schließlich stelle sich auch nicht die Gefahr des Verlusts der Kontrolle über die personenbezogenen Daten des Klägers. Der Empfänger der Daten, die SCHUFA, sei hier bekannt. Die Voraussetzungen, unter denen von dort Auskünfte erteilt würden, seien klar geregelt, und es sei nachvollziehbar, wem gegenüber sie erteilt würden. Die Daten seien auch von eher mittlerer Sensibilität. Überdies könne die Verurteilung zur Beseitigung der Folgen durch Widerruf der Einmeldung bei der SCHUFA ebenfalls Genugtuungsfunktion haben und für die Gewährleistung umfassenden Rechtsschutzes ausreichen.
II.
Die hiergegen gerichtete Revision der Beklagten bleibt ohne Erfolg. Die Verurteilung der Beklagten zum Widerruf der beiden SCHUFA-Meldungen über (behauptete) offene Forderungen von 795 € (zum 12. März 2021) bzw. 817 € (zum 18. März 2022) hält rechtlicher Nachprüfung stand. Das Berufungsgericht ist zu Recht davon ausgegangen, dass die streitgegenständlichen Einmeldungen rechtswidrig waren und dem Kläger daher ein Folgenbeseitigungsanspruch in Form des Widerrufs der Meldungen gegen die Beklagte zusteht.
1. Die Rechtmäßigkeit der streitgegenständlichen Datenübermittlung richtet sich allein nach der Datenschutz-Grundverordnung, deren zeitlicher (Art. 99 Abs. 2 DSGVO), räumlicher (Art. 3 DSGVO) und sachlicher (Art. 2 Abs. 1 DSGVO) Anwendungsbereich eröffnet ist. Die mit den Einmeldungen verbundene Übermittlung der personenbezogenen Daten des Klägers durch die Beklagte an die SCHUFA stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar. § 31 BDSG ist unabhängig von der umstrittenen Frage, ob diese Regelung unionsrechtskonform ist (offengelassen: EuGH, Urteil vom 7. Dezember 2023 - C-634/21, EuGRZ 2023, 642 Rn. 72; verneinend mangels Öffnungsklausel für den nationalen Gesetzgeber: Ehmann in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., § 31 BDSG Rn. 6 ff.; Buchner/Petri in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 6 DSGVO Rn. 161 und Rn. 199 f.), nicht einschlägig, da diese Vorschrift nicht unmittelbar die Übermittlung von Daten an Auskunfteien regelt (vgl. Senatsurteil vom 14. Oktober 2025 - VI ZR 431/24, VersR 2026, 235 Rn. 30 mwN).
2. Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können. Das ist hier nicht der Fall.
a) Nach der - von der Revision nicht angegriffenen - Feststellung des Berufungsgerichts lag eine Einwilligung des Klägers in die Übermittlung von Daten über die streitgegenständlichen Forderungen an die SCHUFA und damit ein Rechtfertigungsgrund nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO nicht vor.
b) Liegt keine wirksame Einwilligung vor, ist eine Verarbeitung personenbezogener Daten gleichwohl gerechtfertigt, wenn sie aus einem der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Gründe erforderlich ist, wobei diese Rechtfertigungsgründe eng auszulegen sind (st. Rspr. des EuGH, vgl. Urteil vom 12. September 2024 - C-17/22 und C-18/22, NJW 2024, 3637 Rn. 36 f. mwN). Nach dem hier allein in Betracht kommenden Rechtfertigungsgrund des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen ...". Nach ständiger Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden: Gerichtshof) ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, Urteil vom 9. Januar 2025 - C-394/23, NJW 2025, 807 Rn. 45 mwN).
Diese Voraussetzungen sind im Hinblick auf die streitgegenständlichen Einmeldungen nicht erfüllt. Zur Wahrnehmung der hier in Betracht kommenden berechtigten Interessen war die Übermittlung der in Rede stehenden personenbezogenen Daten des Klägers bereits nicht erforderlich.
aa) Wirtschaftsauskunfteien wie die SCHUFA werden zur Wahrung von berechtigten Interessen im Sinn von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO tätig (vgl. BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25, NJW 2026, 845 Rn. 15 ff. mwN).
(1) Neben ihren eigenen wirtschaftlichen Interessen nehmen Wirtschaftsauskunfteien die berechtigten Interessen ihrer Kunden (insbesondere potentieller Kreditgeber) wahr (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 Rn. 82 f.). Die Analyse einer Wirtschaftsauskunftei kann insoweit, als sie eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potentiellen Kunden der Vertragspartner der Wirtschaftsauskunftei ermöglicht, Informationsunterschiede ausgleichen und damit Betrugsrisiken und andere Unsicherheiten verringern (EuGH aaO Rn. 93).
(2) Dass Kreditgeber Auskünfte zur Kreditwürdigkeit von Verbrauchern einholen dürfen, ist im europäischen Recht anerkannt (vgl. Art. 8 der Richtlinie 2008/48/EG über Verbraucherkreditverträge, künftig Art. 18 f. der Richtlinie [EU] 2023/2225 über Verbraucherkreditverträge; Art. 18 bis 21 der Richtlinie 2014/17/EU über Wohnimmobilienkreditverträge für Verbraucher; EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 Rn. 84 f.). Die Anforderungen an eine Kreditwürdigkeitsprüfung werden allerdings im nationalen Recht geregelt (vgl. EuGH, Urteil vom 11. Januar 2024 - C-755/22, WM 2024, 340 Rn. 22). Das deutsche Recht erkennt für Allgemein-Verbraucherdarlehensverträge in § 505b Abs. 1 BGB Kreditwürdigkeitsprüfungen bei Wirtschaftsauskunfteien ausdrücklich an. Eine solche Kreditwürdigkeitsprüfung soll auch verhindern, dass der Verbraucher Kreditverbindlichkeiten eingeht, die seine finanzielle Leistungsfähigkeit übersteigen (vgl. BeckOGK/Knops, Stand 15. März 2026, BGB § 505b Rn. 2), und dient damit mittelbar dem Verbraucherschutz (vgl. auch ErwG 54 f. der Richtlinie [EU] 2023/2225). Auch über den Bereich von Verbraucherdarlehensverträgen hinaus liegen Kreditwürdigkeitsprüfungen zur Vermeidung von Zahlungsausfällen im gesamtwirtschaftlichen Interesse (EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, NJW 2024, 417 Rn. 86).
bb) Hinsichtlich der Übermittlung personenbezogener Daten an Wirtschaftsauskunfteien, die für die Verwirklichung dieser Interessen zweckdienlich sind, kommt demnach gleichfalls eine Rechtfertigung nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO in Betracht (vgl. zur Übermittlung von Positivdaten zum Zweck der Betrugsprävention Senatsurteil vom 14. Oktober 2025 - VI ZR 431/24, VersR 2026, 235 Rn. 35 ff.). Entsprechend hat der Bundesgerichtshof zur Rechtslage vor Inkrafttreten der Datenschutz-Grundverordnung ausgeführt, das Informationssystem von Auskunfteien diene sowohl den Interessen von Kreditinstituten und der kreditgebenden gewerblichen Wirtschaft als auch dem Interesse des einzelnen Kreditnehmers (Senatsurteil vom 20. Juni 1978 - VI ZR 66/77, NJW 1978, 2151, juris Rn. 17). Berechtigte Interessen der Allgemeinheit an einem Schutz vor der Kreditgewährung an Zahlungsunfähige oder -unwillige könnten deshalb die Weitergabe von Daten an Auskunfteien rechtfertigen (vgl. BGH, Urteil vom 7. Juli 1983 - III ZR 159/82, NJW 1984, 436, juris Rn. 20; siehe weiter Senatsurteil vom 22. Februar 2011 - VI ZR 120/10, NJW 2011, 2204 Rn. 21; Senatsbeschluss vom 24. Juni 2003 - VI ZR 3/03, NJW 2003, 2904, juris Rn. 6; Senatsurteil vom 17. Dezember 1985 - VI ZR 244/84, NJW 1986, 2505, juris Rn. 16).
cc) Was die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere in die durch Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wobei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist. Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (EuGH, Urteil vom 9. Januar 2025 - C-394/23, NJW 2025, 807 Rn. 48 f. mwN).
dd) Nach diesen Grundsätzen kann die Übermittlung personenbezogener Daten nur als erforderlich angesehen werden, wenn diese geeignet sind, der Verwirklichung des berechtigten Interesses zu dienen. Das kann hinsichtlich der streitgegenständlichen Einmeldungen nicht bejaht werden. Denn den oben unter aa) und bb) dargestellten Zwecken können übermittelte Daten über Forderungen nur dann förderlich sein, wenn aus ihnen aussagekräftige Indizien über die Zahlungsfähigkeit oder den Zahlungswillen des Betroffenen gewonnen werden können. Solche Schlüsse konnten aus den streitgegenständlichen Forderungsdaten aber nicht gezogen werden.
(1) Nach den - von der Revision nicht angegriffenen - Feststellungen des Berufungsgerichts hat der Kläger die den Einmeldungen zugrundeliegende Forderung aus der Schlussrechnung der i.-Energie GmbH mit Schreiben vom 29. November 2014 - d.h. bereits vor der Übermittlung der Daten an die SCHUFA - als "überhöht und überzogen" zurückgewiesen und um die Übersendung einer "korrigierten Rechnung" gebeten. Er hat demnach einen - aus seiner Sicht bestehenden - sachlichen Grund für die Nichtbegleichung der Schlussrechnung geltend gemacht. Dass die geltend gemachte Forderung in eingemeldeter Höhe entgegen der Auffassung des Klägers bestand, hat die Beklagte schon nicht plausibel dargelegt. Für plausibel gehalten hat das Berufungsgericht lediglich, dass sich der Kläger mit der Leistung von Abschlägen im Rückstand befand. Abschlagszahlungen wurden mit der Schlussrechnung jedoch nicht geltend gemacht. Hinsichtlich der in der Schlussrechnung angegebenen Hauptforderung für die Stromlieferungen hat das Berufungsgericht ausgeführt, es werde in der Rechnung nicht der tatsächliche Verbrauch von 1.306,8 kWh, sondern ein Wert von 1.543,86 kWh zugrunde gelegt, möglicherweise aufgrund einer Pauschalvereinbarung. Die Parteien hätten hierzu trotz Erörterung in der mündlichen Verhandlung nicht weiter vorgetragen. Ferner hat das Berufungsgericht festgestellt, die Schlussrechnung enthalte verschiedene, nicht ohne weiteres verständliche und auch durch die Beklagte nicht näher erläuterte (Neben-)Forderungen über einen "Nichterfüllungsschaden", Mahn- und Überweisungsgebühren und zweierlei Beträge an "Verzugskosten", die zum Teil mit den vom Kläger gezahlten Abschlägen verrechnet seien. Die Revisionsbegründung erhebt insoweit keine Verfahrensrüge. Sie macht insbesondere nicht geltend, das Berufungsgericht habe überspannte Anforderungen an die Darlegung der eingemeldeten Forderungen gestellt und deshalb Beweisangebote der Beklagten zu ihrer Berechtigung übergangen.
(2) Die streitgegenständlichen Datenübermittlungen betrafen somit eine nicht titulierte, bestrittene und nicht einmal in ihrer Gesamtheit plausibel gemachte Forderung und waren daher nicht geeignet, eine objektive und zuverlässige Bewertung der Kreditwürdigkeit der potenziellen Kunden der Vertragspartner der Wirtschaftsauskunftei zu ermöglichen. Damit kommt es auf alle weiteren vom Berufungsgericht aufgeworfenen, von der Revision angegriffenen Bedenken gegen die Rechtmäßigkeit der streitgegenständlichen Einmeldungen nicht mehr entscheidend an.
3. Dem Kläger steht aufgrund der rechtswidrigen Übermittlung seiner personenbezogenen Daten, die nach den unangegriffenen Feststellungen des Berufungsgerichts auch weiterhin bei der SCHUFA gespeichert sind, der geltend gemachte Folgenbeseitigungsanspruch in Form des Widerrufs der streitgegenständlichen Einmeldungen gegenüber der SCHUFA zu.
a) Ein solcher Anspruch könnte sich bereits aus den Bestimmungen der Datenschutz-Grundverordnung ergeben. Als Anknüpfungspunkt kommt insoweit Art. 19 Satz 1 DSGVO in Betracht, wonach die Pflicht eines Verantwortlichen besteht, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung dieser Daten oder eine Einschränkung von deren Verarbeitung nach Art. 16, 17 Abs. 1 oder Art. 18 DSGVO mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden (sog. Nachberichtspflicht, vgl. zum Begriff Kamann/Braun in Ehmann/Selmayer, Datenschutz-Grundverordnung, 3. Aufl., DSGVO Art. 19 Rn. 1-3; Dix in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO Art. 19 Rn. 7; jeweils mwN). Mit der Pflicht nach Art. 19 Satz 1 DSGVO korrespondiert ein unmittelbar geltender unionsrechtlicher Anspruch der betroffenen Person auf Mitteilung (Kamann/Braun in Ehmann/Selmayer, aaO Rn. 17). Darüber hinaus hat der Gerichtshof für den Fall, dass ein Betroffener seine Einwilligung in eine Datenverarbeitung gegenüber einem Verantwortlichen widerruft, entschieden, dass der Verantwortliche in Ansehung seiner Pflichten aus Art. 5 Abs. 1 Buchst. a, Abs. 2, Art. 24 Abs. 1 und Art. 19 Satz 1 DSGVO verpflichtet sein kann, jede Person, die ihm die hiervon betroffenen Daten übermittelt hat, sowie die Person, der er seinerseits die Daten übermittelt hat, über den Widerruf zu informieren (vgl. EuGH, Urteil vom 27. Oktober 2022 - C-129/21, CR 2022, 811 Rn. 83 ff.).
b) Es kann jedoch dahinstehen, ob sich danach der im Streitfall gegen die Beklagte als für die rechtwidrige Datenverarbeitung Verantwortliche geltend gemachte Anspruch auf Widerruf der Einmeldungen auf eine unmittelbare Anwendung von Art. 19 Satz 1 i.V.m. Art. 17 Abs. 1 Buchst. d DSGVO stützen lässt (in diese Richtung VG Stuttgart, BeckRS 2023, 8803 Rn. 22; VG Wiesbaden, ZD 2022, 247 Rn. 54, 56) oder ob er sich aus einer entsprechenden Anwendung des Art. 19 Satz 1 DSGVO in Verbindung mit den Rechenschafts- und Compliance-Pflichten (Art. 24 Abs. 1 und Art. 5 Abs. 1 Buchst. a, Abs. 2 DSGVO) der Beklagten ergibt. Denn sollte ein solcher Anspruch auf Folgenbeseitigung nicht aus der Datenschutz-Grundverordnung selbst herzuleiten sein, wäre er aus nationalem Recht in entsprechender Anwendung von § 1004 Abs. 1 Satz 1, § 823 Abs. 1 BGB i.V.m. Art. 1 Abs. 1, Art. 2 Abs. 1 GG wegen der durch die rechtswidrige Datenverarbeitung verursachten Verletzung des allgemeinen Persönlichkeitsrechts des Klägers in seiner Ausprägung als Recht auf informationelle Selbstbestimmung zuzuerkennen. Ob darüber hinaus als Anspruchsgrundlage auch § 1004 Abs. 1 Satz 1 analog, § 823 Abs. 2 BGB i.V.m. Art. 6 DSGVO in Betracht kommt, kann hier dahinstehen.
aa) Nach der zur Rechtslage vor Inkrafttreten der Datenschutz-Grundverordnung ergangenen Rechtsprechung des Bundesgerichtshofs steht dem von einer durch das Datenschutzrecht (damals § 24 BDSG aF) nicht gedeckten Datenübermittlung Betroffenen ein Anspruch auf Widerruf der unzulässig übermittelten Daten durch die übermittelnde Stelle wegen der Verletzung seines allgemeinen Persönlichkeitsrechts jedenfalls dann zu, wenn der Datenempfänger die Daten noch nicht gelöscht hat oder noch nicht rechtskräftig zur Löschung verurteilt ist (vgl. BGH, Urteil vom 7. Juli 1983 - III ZR 159/82, NJW 1984, 436). Im Falle einer nicht von Art. 6 DSGVO gedeckten Datenübermittlung kann nichts anderes gelten.
bb) Die Herleitung des Anspruchs aus dem nationalen Recht wäre für den Fall, dass die Datenschutz-Grundverordnung dem von einer rechtswidrigen Datenübermittlung Betroffenen keinen Folgenbeseitigungsanspruch an die Hand gibt, unionsrechtlich zulässig.
Der Gerichtshof hat bereits entschieden, dass die Datenschutz-Grundverordnung keine Bestimmungen enthält, die ausdrücklich oder implizit vorsehen, dass eine betroffene Person über ein Recht verfügt, präventiv im Wege einer Klage zu verlangen, dass der für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet wird, einen künftigen Verstoß gegen die Bestimmungen dieser Verordnung, insbesondere in Form der Wiederholung einer rechtswidrigen Verarbeitung, zu unterlassen (EuGH, Urteil vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 43). Auch verpflichte keine der Bestimmungen des Kap. VIII DSGVO die Mitgliedstaaten, einen solchen präventiven Rechtsbehelf vorzusehen (aaO Rn. 45). Es sei aber davon auszugehen, dass die Mitgliedstaaten nicht daran gehindert seien, einen solchen präventiven Rechtsbehelf mit dem Ziel vorzusehen, dem Verantwortlichen aufzuerlegen, jede weitere Verletzung dieser Rechte zu unterlassen (aaO Rn. 46-52 unter Verweis auf EuGH, Urteil vom 4. Oktober 2024 - C-21/23, NJW 2025, 33 Rn. 59 f.). Die Datenschutz-Grundverordnung ziele nämlich, wie aus ihrem Erwägungsgrund 10 hervorgehe, unter anderem darauf ab, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten. Außerdem heiße es im Erwägungsgrund 11 dieser Verordnung insbesondere, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen erfordere, die personenbezogene Daten verarbeiteten und darüber entschieden. Die Möglichkeit für die betroffene Person, Klage gegen den Verantwortlichen auf künftige Unterlassung eines Verstoßes gegen die materiellen Bestimmungen der Datenschutz-Grundverordnung zu erheben, beeinträchtige diese Ziele nicht, sondern könne vielmehr die praktische Wirksamkeit dieser Bestimmungen verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau für die betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern (EuGH, Urteil vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 49 f.).
Diese Erwägungen treffen auch auf Beseitigungsansprüche zu, die dem Betroffenen das Recht verleihen, sich gegen eine Beeinträchtigung seines allgemeinen Persönlichkeitsrechts zu wenden, die sich aus der Fortwirkung einer unzulässigen Übermittlung seiner personenbezogenen Daten durch den Verantwortlichen ergibt. Auch solche Ansprüche sind geeignet, die praktische Wirksamkeit der Bestimmungen der Datenschutz-Grundverordnung, namentlich der Pflichten des Verantwortlichen, Daten nur unter den in Art. 6 DSGVO aufgeführten Bedingungen zu verarbeiten, zu verstärken und das von der Verordnung angestrebte hohe Schutzniveau in Bezug auf die Verarbeitung personenbezogener Daten zu verbessern. Die Mitgliedstaaten sind daher unionsrechtlich nicht daran gehindert, die Rechtsschutzmöglichkeiten des Betroffenen durch die Gewährung eines Folgenbeseitigungsanspruchs nach nationalem Recht zu erweitern.
III.
Die zulässige Anschlussrevision des Klägers hat Erfolg. Die Abweisung seines Begehrens auf Ersatz immateriellen Schadens durch das Berufungsgericht hält rechtlicher Nachprüfung nicht stand.
1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Der Beklagten fällt ein solcher Verstoß zur Last. Denn sie hat - wie unter Ziffer II. ausgeführt - der SCHUFA personenbezogene Daten des Klägers übermittelt, ohne hierzu berechtigt gewesen zu sein.
2. Die Beurteilung des Berufungsgerichts, wonach dem Kläger aus der rechtswidrigen Übermittlung der Forderungsdaten an die SCHUFA kein immaterieller Schaden entstanden sei, ist rechtsfehlerhaft.
a) Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (stRspr., vgl. nur EuGH, Urteil vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 55; Senatsurteile vom 11. November 2025 - VI ZR 396/24, GRUR 2026, 95 Rn. 25; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28; jeweils mwN; BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25, NJW 2026, 845 Rn. 56). Dabei soll nach Erwägungsgrund 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (stRspr., vgl. EuGH, Urteil vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 56; Senatsurteile vom 11. November 2025 - VI ZR 396/24, GRUR 2026, 95 Rn. 25; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28; jeweils mwN; BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25, NJW 2026, 845 Rn. 56).
Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 58; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 26; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36; vom 4. Mai 2023 - C-300/21, VersR 2023, 920 Rn. 51). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteile vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 142; vom 20. Juni 2024 - C-590/22, DB 2024, 1676 Rn. 27; vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 36).
b) Hiernach ist dem Kläger ein immaterieller Schaden wegen der Beeinträchtigung seines wirtschaftlichen Rufes (ErwG 75 und 85 DSGVO) entstanden. Die streitgegenständlichen Einmeldungen beeinträchtigten nach den unangegriffenen Feststellungen des Berufungsgerichts den von der SCHUFA für den Kläger ermittelten Score-Wert. Dieser Score-Wert konnte von potentiellen Vertragspartnern des Klägers bei der SCHUFA abgefragt werden und ist nach den weiteren Feststellungen des Berufungsgerichts, welche die Beklagte nicht angegriffen hat, im Zuge mehrerer gescheiterter Vertragsanbahnungen von potentiellen Vertragspartnern des Klägers auch tatsächlich berücksichtigt worden. Damit steht bereits fest, dass die streitgegenständlichen Meldungen der Beklagten die Kreditwürdigkeit und damit den wirtschaftlichen Ruf des Klägers in einer den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründenden Weise beeinträchtigt haben (vgl. Senatsurteile vom 13. Mai 2025 - VI ZR 67/23, CR 2025, 505 Rn. 16 f.; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12; vgl. auch BGH, Urteil vom 18. Dezember 2025 - I ZR 97/25, juris Rn. 59). Anders als das Berufungsgericht offenbar meint, ist hierzu wegen des Fehlens einer Erheblichkeitsschwelle nicht erforderlich, dass der niedrige Score-Wert und die dadurch verursachten Bedenken potentieller Vertragspartner des Klägers allein oder maßgeblich auf den Meldungen der Beklagten beruhten. Ob dies der Fall war, kann lediglich für die Höhe des dem Kläger zustehenden Schadensersatzanspruches eine Rolle spielen.
c) Die Begründung, mit der das Berufungsgericht einen immateriellen Schaden des Klägers wegen eines Verlusts der Kontrolle über seine personenbezogenen Daten verneint hat, ist ebenfalls rechtsfehlerhaft.
Das Berufungsgericht hat festgestellt, dass der Eintrag über die streitgegenständlichen Forderungsdaten auf Ebene der SCHUFA bereits verschiedenen potentiellen Vertragspartnern des Klägers übermittelt worden ist und auch weiterhin übermittelt werden kann. Es meint aber, ein Schaden sei nicht eingetreten, weil im Streitfall die Daten nicht an einen nicht näher identifizierbaren und kaum eingrenzbaren Kreis von Unbefugten gelangt seien und der Betroffene keinen Kontrollverlust im Sinne einer Hilflosigkeit oder eines "Beobachtetwerdens" erlitten habe, der Empfänger der Daten bekannt gewesen und die Voraussetzungen, unter denen von Seiten der SCHUFA Auskünfte erteilt würden, klar geregelt seien.
Für die Bejahung des Eintritts eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO unter dem Gesichtspunkt des Kontrollverlustes genügt es bereits, dass die Beklagte personenbezogene Daten des Klägers an einen Dritten (SCHUFA) übermittelt und dies zur Gefahr weiterer Datenübermittlungen an eine unbestimmte Zahl von Dritten - hier durch etwaige SCHUFA-Abfragen - geführt hat (vgl. Senatsurteile vom 13. Mai 2025 - VI ZR 67/23, CR 2025, 505 Rn. 19; vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 12). Durch die Bereitstellung der personenbezogenen Daten bzw. des durch sie beeinflussten Score-Wertes seitens der SCHUFA zur Abfrage durch Dritte wurden die von der Beklagten rechtswidrig übermittelten Daten bereits missbräuchlich verwendet, so dass sich hier die von der Beklagten für weiterhin klärungsbedürftig gehaltene Frage, ob nach der Rechtsprechung des Gerichtshofs auch ein folgenloser, "bloßer" Kontrollverlust einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellt (vgl. dazu zuletzt Senatsurteil vom 11. November 2025 - VI ZR 396/24, GRUR 2026, 95 Rn. 27 ff.), nicht stellt. Hinzu kommt, dass im Streitfall SCHUFA-Abfragen bezüglich des Klägers sogar schon erfolgt sind. Ein Gefühl der Hilflosigkeit oder eines "Beobachtetwerdens" auf Seiten des Klägers ist für die Feststellung eines solchen immateriellen Schadens nicht erforderlich; besondere Befürchtungen oder Ängste der betroffenen Person wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (vgl. Senatsurteile vom 11. November 2025 - VI ZR 396/24, GRUR 2026, 95 Rn. 33; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 31).
d) Entgegen der Ansicht des Berufungsgerichts kann ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO auch nicht mit der Erwägung verneint werden, dass bereits die Feststellung der Rechtswidrigkeit bzw. die Verurteilung zur Beseitigung der Folgen durch Widerruf der Einmeldung bei der SCHUFA für die Gewährleistung umfassenden Rechtsschutzes ausreiche, weil sie ebenfalls Genugtuungscharakter habe. Nach der Rechtsprechung des Gerichtshofs dient der Schadensersatzanspruch des Art. 82 Abs. 1 DSGVO (allein) dem Ausgleich des erlittenen Schadens. Eine auf Art. 82 DSGVO gestützte Entschädigung muss "vollständig und wirksam" sein, sie muss es also ermöglichen, den aufgrund des Verstoßes gegen die Datenschutz-Grundverordnung konkret erlittenen Schaden in vollem Umfang auszugleichen (vgl. EuGH, Urteil vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 78; Senatsurteil vom 28. Januar 2025 - VI ZR 183/22, NJW 2025, 1059 Rn. 11; jeweils mwN). Als Ausgleich für den immateriellen Schaden, den der Kläger bereits erlitten hat, ist aber die bloße Verurteilung der Beklagten zum Widerruf des Negativeintrags gegenüber der SCHUFA nicht geeignet.
IV.
Die Revision der Beklagten war mithin zurückzuweisen (§ 561 ZPO). Auf die Anschlussrevision war das Berufungsurteil, soweit es dem Kläger nachteilig ist, aufzuheben (§ 562 Abs. 1 ZPO). Die Sache war insoweit zur neuen Verhandlung und Entscheidung, auch über die Kosten des dritten Rechtszugs, an das Berufungsgericht zurückzuverweisen (§ 563 Abs. 1 Satz 1 ZPO).
Seiters Klein Allgayer Böhm Linder