Gründe

A.

17Zur Begründung seiner Entscheidung, die unter anderem in GRUR-RS 2024, 32757 veröffentlicht ist, hat das Berufungsgericht ausgeführt: Der hinreichend bestimmte Klageantrag zu 1.a, der die Unterlassung der Übermittlung der Positivdaten "namentlich" im Sinne von "nämlich" an die SCHUFA nach Vertragsabschluss des Kunden mit der Beklagten betreffe, sei unbegründet. Rechtfertigungsgrund könne nur Art. 6 Abs. 1 Unterabs. 1 Buchst. f) DSGVO sein. Die Übermittlung der genannten Positivdaten sei durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention gerechtfertigt. Dieser Gesichtspunkt sei in ErwG 47 DSGVO angesprochen und unterscheide den vorliegenden Fall von entsprechenden Meldungen von Energieversorgern, bei denen Ziel allein das Heraussuchen von "Vertragshoppern" sein könnte. Die Beklagte habe nachvollziehbar und vom Kläger nicht bestritten dargelegt, dass in den Fällen, in denen potentielle Kunden in kurzer Zeit unerklärlich viele Mobilfunkverträge abschlössen, auf die Absicht des Kunden geschlossen werden könne, an die teure Hardware zu gelangen, und dass die Auskunfteien dazu nähere Bewertungsmethoden entwickelt hätten. Dass die Tatsache des Vertragsschlusses von der Beklagten erst nach dem Abschluss des Mobilfunkvertrags an die SCHUFA gemeldet werde, stehe dem nicht entgegen, da die Zahl der abgeschlossenen Mobilfunkverträge von der Beklagten vor Abschluss des Vertrages bei der SCHUFA abgefragt werde. Name und Geburtsdatum müssten übermittelt werden, damit die Identität des Kunden sicher festgestellt werden könne. Das Interesse der Beklagten überwiege das Interesse der Kunden an einer Geheimhaltung. Bei dem Abschluss von Mobilfunkverträgen handle es sich um ein gewöhnliches Verhalten, das keinerlei Schlussfolgerungen auf persönliche Vorlieben oder Ähnliches zulasse. Bei einer Beschränkung hierauf könne eine großflächige Überwachung des Konsumverhaltens von Kunden nicht erreicht werden. Auch die Tatsache, dass die SCHUFA seit Oktober 2023 keine Positivdaten mehr verarbeite, sie nicht mehr entgegennehme und auch nicht an Dritte (u.a. die Beklagte) weitergebe, führe nicht zum Erfolg des Klageantrags. Da die Beklagte seither nach ihrem unwidersprochen gebliebenen Vortrag die genannten Positivdaten auch nicht mehr an die SCHUFA weiterleite, fehle es an der Wiederholungsgefahr. Soweit die Beklagte gleichzeitig erklärt habe, sie wolle ihre frühere Praxis wiederaufnehmen, wenn die SCHUFA - z.B. nach höchstrichterlicher Klärung der Frage - die Positivdaten wieder entgegennehme und verarbeite, führe dies nicht zu einer Erstbegehungsgefahr, weil die Übermittlung, wie ausgeführt, rechtmäßig wäre.

18Auch der Klageantrag zu 1.b, der die Information seitens der Beklagten über die Datenübermittlung an die SCHUFA und die CRIF Bürgel betreffe, sei unbegründet. Es handle sich bei den beanstandeten Passagen aus den Datenschutzhinweisen nicht um Allgemeine Geschäftsbedingungen, sondern um eine Information, zu der die Beklagte gemäß Art. 13 und Art. 14 DSGVO verpflichtet sei. Die Klage sei auch nicht im Hinblick auf Art. 80 DSGVO i.V.m. § 2 Abs. 2 Nr. 13 UKlaG begründet, da die Beklagte ihrer Informationsverpflichtung nach Art. 13 und Art. 14 DSGVO nachgekommen sei. Dass der Kläger die in der Information beschriebene Datenübermittlung für rechtswidrig halte, sei unerheblich, weil Gegenstand der Information allein das sei, was die Beklagte tatsächlich tue. Die Tatsache, dass die Beklagte zur Zeit die Positivdaten nicht an die SCHUFA übermittle, führe nicht zur Begründetheit des Klageantrags, weil der Kläger sich auf diesen Gesichtspunkt nicht stütze.

19Da die Abmahnung nicht begründet gewesen sei, seien dem Kläger schließlich auch nicht die Abmahnkosten zu erstatten.

B.

20Die Revision ist unbegründet.

I.

21Die Zurückweisung der Berufung gegen die Abweisung der Klage auf Unterlassung der Übermittlung der Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA (Hauptantrag zu 1.a), jedenfalls wenn keine Einwilligung des Betroffenen vorliegt, "insbesondere nicht auf der Basis von Art. 6 Abs. 1 f) DSGVO" (Hilfsantrag zu 1.a), ist revisionsrechtlich nicht zu beanstanden.

221. Zu Recht und von der Revisionserwiderung nicht angegriffen hat das Berufungsgericht die hinreichende Bestimmtheit des Klageantrags zu 1.a unter der vom Kläger nicht angegriffenen Prämisse, dass es um die Unterlassung der Übermittlung von Positivdaten allein (namentlich im Sinne von nämlich) an die SCHUFA geht, bejaht.

23a) Nach § 253 Abs. 2 Nr. 2 ZPO darf ein Unterlassungsantrag nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 Abs. 1 ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine hinreichende Bestimmtheit ist für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den geltend gemachten Verstoß und damit das Unterlassungsgebot liegen soll (vgl. BGH, Urteil vom 11. Februar 2021 - I ZR 126/19, GRUR 2021, 746 Rn. 17 mwN - Dr. Z).

24b) Diesen Anforderungen wird der Klageantrag zu 1.a gerecht. Unter Positivdaten versteht der Kläger seinem Klageantrag und dessen Begründung zufolge personenbezogene Daten des Verbrauchers, die bei der Begründung, Durchführung und Beendigung des Vertrages mit der Beklagten erhoben werden, mit Ausnahme der negativen Daten, also solcher Daten, die sich aus einem vertragswidrigen Verhalten des Verbrauchers ergeben. Die Verletzungshandlung, nämlich die Übermittlung der personenbezogenen Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA nach dem Abschluss eines Telekommunikationsvertrages, ist hinreichend bestimmt beschrieben. Diese soll dem Hauptantrag zufolge generell, dem Hilfsantrag zufolge jedenfalls bei fehlender Einwilligung der betroffenen Person unterbleiben. Mit der Bezugnahme auf die Datenschutzhinweise der Beklagten für die Marke V. durch den Zusatz "wie in Anlage K 3 unter der Überschrift ‚Bonitätsprüfung und Betrugserkennung‘ … beschrieben" wird anhand eines Beispiels verdeutlicht, dass die Beklagte die Übermittlung der Positivdaten selbst offenlegt. Zudem ergibt sich aus der Anlage, dass die Übermittlung der Positivdaten unterschiedslos erfolgt, also insbesondere nicht an das Vorliegen konkreter Anhaltspunkte für ein Ausfallrisiko oder einen Betrug im Einzelfall geknüpft ist. Im Übrigen enthält die Bezugnahme auf die Anlage K 3 keine (ebenfalls dem Bestimmtheitsgebot unterliegende) Einschränkung des begehrten Verbots; denn in den Hinweisen wird die Übermittlung als solche nicht näher beschrieben. Die in der Anlage ebenfalls thematisierte Verarbeitung der Daten durch die SCHUFA ist nicht Gegenstand des Unterlassungsantrags. Der Umstand, dass das beanstandete Verhalten, auf das sich der Unterlassungsantrag bezieht, und damit der Antrag selbst weit gefasst sind, ist keine Frage der Bestimmtheit und damit der Zulässigkeit, sondern der Begründetheit des Antrags.

252. Der Kläger ist klagebefugt (vgl. BGH, Urteil vom 27. März 2025 - I ZR 186/17, GRUR 2025, 653 Rn. 25 ff. - App-Zentrum III) und aktivlegitimiert (zur Doppelnatur des § 3 Abs. 1 UKlaG vgl. Köhler/Alexander in Köhler/Feddersen, UKlaG, 43. Aufl., § 3 Rn. 4 mwN). Er ist ein qualifizierter Verbraucherverband im Sinne von § 3 Abs. 1 Satz 1 Nr. 1 UKlaG, dem gemäß § 3 Abs. 1 Satz 1, § 2 Abs. 1 UKlaG ein Unterlassungsanspruch bei Zuwiderhandlungen gegen Verbraucherschutzgesetze zusteht, zu denen gemäß § 2 Abs. 2 Nr. 13 UKlaG auch die Vorschriften der Datenschutz-Grundverordnung gehören, die für die Verarbeitung von Daten von Verbrauchern durch Unternehmer gelten. Der Kläger ist damit auch befugt, die Beklagte auf Unterlassung einer seines Erachtens rechtswidrigen, insbesondere nicht durch Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigten Weiterleitung der personenbezogenen Daten von Verbrauchern an die SCHUFA in Anspruch zu nehmen. Es handelt sich dabei um eine in Art. 80 Abs. 2 DSGVO vorgesehene Verbandsklage wegen behaupteter Verletzung von Datenschutzrechten einer betroffenen Person infolge einer Verarbeitung personenbezogener Daten, wobei unschädlich ist, dass der Kläger seine Klage unabhängig von der konkreten Verletzung von Datenschutzrechten einer betroffenen Person und ohne Auftrag einer solchen Person erhoben hat. Erforderlich ist lediglich, dass es sich bei den betroffenen Personen um identifizierbare natürliche Personen handelt und dass die Verarbeitung, infolge derer die Rechte der betroffenen Person verletzt worden sein sollen, existiert und somit nicht rein hypothetischer Natur ist (BGH aaO Rn. 25 ff., insbes. Rn. 34 f., 41; EuGH, Urteile vom 28. April 2022 - C-319/20, ZD 2022, 384 Rn. 63 ff., insbes. Rn. 68-72; vom 11. Juli 2024 - C-757/22, GRUR 2024, 1357 Rn. 40 ff., insbes. Rn. 43 f.). Das ist bei der hier angegriffenen Übermittlung der Positivdaten von Verbrauchern, mit denen die Beklagte Mobilfunkverträge abgeschlossen hat, an die SCHUFA der Fall.

26Ob die Klagebefugnis und Aktivlegitimation auch schon bei Klageerhebung im Jahr 2022, also vor Inkrafttreten der Neuregelung des § 2 Abs. 2 Nr. 13 UKlaG durch Gesetz vom 8. Oktober 2023 (BGBl. 2023 I Nr. 272) am 13. Oktober 2023 bestand, kann dahinstehen, weil die Neuregelung bereits während des Verfahrens vor dem Landgericht in Kraft getreten ist.

273. Entgegen der Ansicht des Berufungsgerichts ist der Klageantrag zu 1.a nicht schon deshalb unbegründet, weil es - bei Unterstellung einer Zuwiderhandlung der Beklagten gegen Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO - an der Wiederholungsgefahr (vgl. zu diesem Erfordernis Köhler/Alexander in Köhler/Feddersen, UWG, 43. Aufl., § 2 UKlaG Rn. 82) fehlen würde. Dies kann insbesondere nicht darauf gestützt werden, dass die Beklagte in der mündlichen Verhandlung vor dem Berufungsgericht erklärt hat, dass sie seit Oktober 2023 (dem Zeitpunkt, ab dem die SCHUFA keine Positivdaten mehr entgegengenommen und verarbeitet hat) Positivdaten nicht mehr an die SCHUFA weiterleite. Im Fall einer Verletzungshandlung wird die Wiederholungsgefahr widerleglich vermutet. Sie kann in der Regel nur durch eine strafbewehrte Unterlassungserklärung ausgeräumt werden (Köhler/Alexander aaO). Daran fehlt es hier. Die Beklagte hat vielmehr, wie vom Berufungsgericht festgestellt, erklärt, dass sie ihre frühere Praxis (der Übermittlung von Positivdaten) wieder aufnehmen werde, wenn die SCHUFA, z.B. nach höchstrichterlicher Klärung der hier einschlägigen Fragen, ihrerseits Positivdaten wieder entgegennehme und verarbeite. Diese Erklärung begründet entgegen der Ansicht des Berufungsgerichts im Falle der Rechtswidrigkeit der Übermittlung nicht eine Erstbegehungsgefahr, sondern bestätigt die Wiederholungsgefahr.

284. Der Klageantrag zu 1.a ist im Haupt- und Hilfsantrag unbegründet, weil er auch datenschutzrechtlich nicht zu beanstandende Verhaltensweisen erfasst und damit zu weit gefasst ist (vgl. BGH, Urteil vom 18. Oktober 2012 - I ZR 137/11, NJW 2013, 1373 Rn. 22 mwN - Steuerbüro; OLG Köln, GRUR-RS 2023, 34611 Rn. 20-23; OLG München, ZD 2025, 463 Rn. 44 ff.; LG Stuttgart, GRUR-RS 2025, 6262 Rn. 24). Der Antrag ist darauf gerichtet, der Beklagten jede Übermittlung der Positivdaten von Verbrauchern an die SCHUFA nach Abschluss eines Telekommunikationsvertrages zu verbieten, die wie in Anlage K 3 "beschrieben", erfolgt, also insbesondere nicht an das Vorliegen konkreter Anhaltspunkte für ein Ausfallrisiko oder einen Betrug im Einzelfall geknüpft ist (s.o. 1.b; vom Kläger als "anlasslose", "pauschale" Übermittlung bezeichnet). Eine Einschränkung des Unterlassungsantrags durch die Formulierung von Ausnahmen (vgl. dazu BGH, Urteil vom 18. Oktober 2012 - I ZR 137/11, NJW 2013, 1373 Rn. 21 mwN - Steuerbüro) hat der Kläger nur im Hilfsantrag und dort nur hinsichtlich des Vorliegens einer Einwilligung vorgenommen, und - wie sich aus der Formulierung "insbesondere nicht auf der Basis von Art. 6 Abs. 1 f) DSGVO" ergibt - ausdrücklich nicht für eine Rechtfertigung gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Eine solche hält er im Gegenteil für ausgeschlossen und zwar auch dann, wenn es um die ("pauschale", "anlasslose") Übermittlung von Positivdaten zum Zwecke der Betrugsprävention geht.

29Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält aber dessen Beurteilung, die Übermittlung der hier betroffenen Positivdaten der Verbraucher seitens der Beklagten an die SCHUFA lasse sich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen, der revisionsrechtlichen Nachprüfung stand. Damit schränkt der Klageantrag zu 1.a den der Beklagten datenschutzrechtlich eingeräumten Gestaltungsspielraum beim Umgang mit Positivdaten zu weitgehend ein. Der Hauptantrag ist darüber hinaus auch deshalb unbegründet, weil auch eine wirksame Einwilligung des Verbrauchers die Datenübermittlung rechtfertigen würde; dies hat der Kläger erst im Hilfsantrag berücksichtigt.

30a) Die Rechtmäßigkeit der streitgegenständlichen Datenübermittlung richtet sich allein nach der Datenschutz-Grundverordnung, deren zeitlicher (Art. 99 Abs. 2 DSGVO), räumlicher (Art. 3 DSGVO) und sachlicher Anwendungsbereich (Art. 2 Abs. 1 DSGVO) eröffnet ist. Die Übermittlung der personenbezogenen Daten durch die Beklagte als Verantwortliche an die SCHUFA stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar. § 31 BDSG ist unabhängig von der umstrittenen Frage, ob diese Regelung unionsrechtskonform ist (offengelassen: EuGH, Urteil vom 7. Dezember 2023 - C-634/21, EuGRZ 2023, 642 Rn. 72; verneinend mangels Öffnungsklausel für den nationalen Gesetzgeber: Ehmann in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., § 31 BDSG Rn. 6 ff.; Buchner/Petri in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 6 DSGVO Rn. 161 und Rn. 199 f.), nicht einschlägig, da diese Vorschrift nicht unmittelbar die Übermittlung von Daten an Auskunfteien (sog. Einmeldung) regelt (Ehmann aaO Rn. 115; Taeger in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 24-26).

31b)Art. 6 Abs. 1 Unterabs. 1 DSGVO enthält eine erschöpfende und abschließende Liste der Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können. Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO dazu für einen oder mehrere bestimmte Zwecke gegeben hat (st. Rspr. des EuGH, vgl. nur Urteil vom 12. September 2024 - C-17/22 und C-18/22, NJW 2024, 3637 Rn. 34 mwN, 36).

32Dies berücksichtigt der Hauptantrag, anders als der Hilfsantrag, nicht, so dass das mit dem Hauptantrag erstrebte Unterlassungsgebot schon deshalb zu weit geht.

33c) Liegt keine wirksame Einwilligung vor, ist eine Verarbeitung personenbezogener Daten gleichwohl gerechtfertigt, wenn sie aus einem der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Gründe erforderlich ist, wobei diese Rechtfertigungsgründe eng auszulegen sind (st. Rspr. des EuGH, vgl. Urteil vom 12. September 2024 - C-17/22 und C-18/22, NJW 2024, 3637 Rn. 36 f. mwN).

34aa) Nach dem hier allein in Betracht kommenden Rechtfertigungsgrund des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn sie "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…". Nach ständiger Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (EuGH, Urteil vom 9. Januar 2025 - C-394/23, NJW 2025, 807 Rn. 45 mwN). Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist zu berücksichtigen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht. In Ermangelung einer Definition des Begriffs "berechtigtes Interesse" durch die Datenschutz-Grundverordnung kann ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten. Insbesondere ist dieser Begriff nicht auf gesetzlich verankerte und bestimmte Interessen beschränkt (EuGH aaO Rn. 46 mwN). Das geltend gemachte berechtigte Interesse muss allerdings rechtmäßig sein (EuGH, Urteil vom 4. Oktober 2024 - C-621/22, NJW 2024, 3769 Rn. 40). Was zweitens die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere in die durch Art. 7 und 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, wobei eine solche Verarbeitung innerhalb der Grenzen dessen erfolgen muss, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist. Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem Grundsatz der Datenminimierung zu prüfen, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind (EuGH, Urteil vom 9. Januar 2025 - C-394/23, NJW 2025, 807 Rn. 48 f. mwN). Was schließlich drittens die Voraussetzung betrifft, dass die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen, gebietet diese Voraussetzung eine den nationalen Gerichten obliegende Abwägung der einander gegenüberstehenden Rechte und Interessen, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt. Wie sich aus ErwG 47 DSGVO ergibt, können die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet (EuGH aaO Rn. 49 f.). Zu berücksichtigen ist ferner der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf die betroffene Person (EuGH, Urteil vom 12. September 2024 - C-17/22 und C-18/22, NJW 2024, 3637 Rn. 62).

35bb) Nach diesen Grundsätzen lässt sich auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen die Übermittlung der zum Identitätsabgleich erforderlichen Stammdaten der Verbraucher sowie der Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde, seitens der Beklagten an die SCHUFA gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO durch das Interesse der Beklagten an einer hinreichenden Betrugsprävention rechtfertigen.

36(1) Bei dem von der Beklagten den Verbrauchern in den Datenschutzhinweisen (Anlage K 3) mitgeteilten Interesse an Betrugsprävention handelt es sich um ein berechtigtes, insbesondere rechtmäßiges, wirtschaftliches Interesse der Beklagten. Das Interesse an der Verhinderung von Betrug ist in ErwG 47 DSGVO ausdrücklich als berechtigtes Interesse angeführt. Soweit dort vom für die Verhinderung von Betrug "unbedingt erforderlichen Umfang" die Rede ist, betrifft dies die Frage der Erforderlichkeit.

37(2) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen kann die Übermittlung der hier betroffenen Positivdaten zur Verhinderung von Betrug als unbedingt erforderlich angesehen werden.

38(a) Nach den tatbestandlichen Feststellungen des Berufungsgerichts übermittelte die Beklagte (bis Oktober 2023) nur bei Postpaid-Mobilfunkverträgen Positivdaten von Kunden an die SCHUFA, nämlich zumindest die zum Identitätsabgleich erforderlichen Stammdaten sowie die Information, dass ein Vertragsverhältnis mit dem Verbraucher begründet oder beendet wurde. Weiter nimmt das Berufungsurteil konkret Bezug auf den Vortrag der Beklagten zur Betrugsprävention in der Klageerwiderung und fasst diesen dahingehend zusammen, dass in den Fällen, in denen potentielle Kunden in kurzer Zeit unerklärlich viele Mobilfunkverträge abschlössen, auf ihre Absicht geschlossen werden könne, an die teure Hardware zu gelangen. Ferner müssten Name und Geburtsdatum übermittelt werden, um die Identität sicher feststellen zu können. Die Beklagte hat zu ihrem Interesse an Betrugsprävention in der Klageerwiderung näher ausgeführt, dass Betrugsfälle zulasten von Mobilfunkdiensteanbietern bei Postpaid-Mobilfunkverträgen dadurch gekennzeichnet seien, dass die Täter durch "gefälschte existente oder fiktive" Personendaten ihre Identität verschleierten und über ihr Wollen oder Können täuschten, die entstehenden Forderungen zu bedienen, um einen Vertragsschluss zu erwirken. Ein Indiz für einen möglichen Betrugsversuch könne sein, dass eine Person mittleren Alters wirtschaftlich bislang überhaupt nicht in Erscheinung getreten sei; dies sei statistisch unwahrscheinlich und daher ein Indiz dafür, dass es sich um eine fiktive Identität handle. Ein weiteres typisches Indiz für einen Betrugsversuch sei der Abschluss zahlreicher Mobilfunkverträge in kurzer zeitlicher Abfolge bei verschiedenen Mobilfunkdiensteanbietern, z.B. von sechs Verträgen binnen einer Woche. Das wirtschaftliche Interesse der Beklagten an der Nutzung von Positivdaten belaufe sich allein im Hinblick auf den Zweck der Betrugsprävention pro Jahr auf einen siebenstelligen Betrag. In der Vergangenheit habe die Beklagte auf Basis der von den Auskunfteien gespeicherten Positivdaten eine Vielzahl von Aufträgen wegen des Abschlusses auffällig vieler Verträge mit der Absicht, an die Hardware zu gelangen, oder wegen fiktiver Identitäten abgelehnt. Der Schaden entstehe durch Hardwareverlust und Serviceerschleichung.

39(b) Nach den tatbestandlichen Feststellungen des Berufungsgerichts ist der Vortrag der Beklagten zu Betrugsversuchen bei der Eingehung von Mobilfunkverträgen und dazu, dass die Auskunfteien hierzu nähere Bewertungsmethoden entwickelt hätten, vom Kläger nicht angegriffen worden. Dem Einwand der Revision, der Kläger habe den Vortrag mit Nichtwissen bestritten, steht schon die Beweiskraft dieser tatbestandlichen Feststellung entgegen (§ 314 ZPO). Abgesehen davon verweist die Revision insoweit lediglich darauf, dass der Kläger zum Ausdruck gebracht habe, die pauschale, anlasslose und uneingeschränkte Übermittlung der personenbezogenen Daten sei durch das Interesse der Beklagten nicht gerechtfertigt. Dabei handelt es sich aber nicht um ein Bestreiten des tatsächlichen Vortrags der Beklagten mit Nichtwissen, sondern um die Darstellung der Rechtsauffassung des Klägers zur Interessenabwägung.

40(c) Wie das Berufungsgericht weiter festgestellt hat, ruft die Beklagte ihrem unbestrittenen Vortrag zufolge die Zahl der bereits (mit anderen Mobilfunkdiensteanbietern) abgeschlossenen (und von diesen eingemeldeten) Verträge bei der SCHUFA vor Abschluss des Vertrages mit ihrem Kunden ab. Ihrerseits meldet sie die Positivdaten des Kunden einschließlich der Information über den Vertragsschluss sodann nach Abschluss des Vertrages. Dieses System der Einmeldung der Positivdaten seitens der Mobilfunkdiensteanbieter bei den Wirtschaftsauskunfteien erscheint geeignet, die Mobilfunkdiensteanbieter über die genannten Indizien eines Eingehungsbetrugs, insbesondere über eine ungewöhnliche Anzahl bereits abgeschlossener Mobilfunkverträge binnen kurzer Zeit, zu informieren.

41(d) Die Revision weist zwar zu Recht darauf hin, dass die Beklagte die Erforderlichkeit der Einmeldung der Positivdaten für die Betrugsprävention darzulegen und zu beweisen hat. Es erschließt sich jedoch nicht, wie das Interesse der Beklagten an der Bekämpfung der genannten Betrugsszenarien in zumutbarer Weise ebenso wirksam mit milderen Mitteln erreicht werden könnte. Die Einholung einer freiwilligen (zu den hohen Anforderungen vgl. Art. 7 Abs. 4 DSGVO) und zudem gemäß Art. 7 Abs. 3 DSGVO jederzeit widerruflichen Einwilligung des Kunden in die Übermittlung der Positivdaten wäre nicht ebenso wirksam, weil der Vertragsschluss von der Einwilligung nicht abhängig gemacht werden dürfte und gerade etwaige Betrüger der Übermittlung der Daten nicht zustimmen oder ihre Zustimmung sofort widerrufen würden (vgl. OLG Koblenz, GRUR-RS 2025, 10143 Rn. 21). Negativdaten, deren Übermittlung an die SCHUFA der Kläger nicht angreift, können zwar unter Umständen ebenfalls auf eine Betrugsabsicht hinweisen, allerdings liegen sie gerade in den Fällen, in denen ein Kunde in kurzer Zeit außergewöhnlich viele Verträge abschließt, typischerweise noch nicht vor. Zudem schützt ihre Übermittlung nicht vor dem Abschluss eines Vertrages unter falscher Identität. Die Übermittlung der Positivdaten nur bei einem vom Kläger geforderten "Anlass", etwa wenn Auffälligkeiten (welche?) bereits vorliegen, erscheint deshalb nicht ebenso wirksam für die Betrugsprävention, weil es gilt, eben diese Auffälligkeiten rechtzeitig zu ermitteln und zu diesem Zweck Positivdaten von Anfang an vollständig zusammenzutragen. Der Einwand der Revision, die Übermittlung der Positivdaten sei allenfalls dann erforderlich, wenn Vertragsgegenstand auch die vom Berufungsgericht angesprochene Überlassung von teurer Hardware (z.B. eines Smartphones) sei, in diesen Fällen könne die Beklagte als milderes Mittel allerdings ihr Geschäftsmodell ändern und reine Mobilfunkleistungen und Abzahlungsgeschäfte über Hardware getrennt anbieten und ihre Zusammenarbeit mit den Wirtschaftsauskunfteien auf die Abzahlungsgeschäfte beschränken, greift nicht durch. Bei der gebotenen Prüfung, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen, ist auf das von dem jeweiligen Verantwortlichen gewählte (legale) Leistungsangebot abzustellen. Sie erlaubt es nicht, dem Verantwortlichen unter Missachtung seiner unternehmerischen Freiheit (Art.16 GRCh) den Wechsel zum Angebot anderer Leistungen aufzuerlegen. Zudem ergibt sich aus dem vom Berufungsgericht in Bezug genommenen und oben referierten Vortrag der Beklagten aus der Klageerwiderung, dass mit der Einmeldung der Positivdaten betrügerisches Verhalten bei der Eingehung eines Postpaid-Mobilfunkvertrags auch, aber nicht nur dann bekämpft werden soll, wenn mit dem Vertrag teure Hardware überlassen wird.

42(3) Entgegen der Ansicht der Revision überwiegen die Interessen oder Grundrechte und Grundfreiheiten der Verbraucher, deren oben genannte Positivdaten von der Beklagten bei Postpaid-Mobilfunkverträgen an die SCHUFA eingemeldet werden, das berechtigte Interesse der Beklagten an einer hinreichenden Betrugsprävention nicht.

43(a) Die Zulässigkeit der Übermittlung von Positivdaten an Wirtschaftsauskunfteien ist umstritten.

44(aa) Die überwiegende Meinung in der Rechtsprechung (OLG Koblenz, GRUR-RS 2025, 10143 Rn. 10 ff., 52 ff.; OLG Bamberg, GRUR-RS 2025, 8805 Rn. 9 ff.; OLG Nürnberg, GRUR-RS 2025, 17454 Rn. 41 ff.; beispielhaft aus der Rechtsprechung der Landgerichte: LG Stuttgart, GRUR-RS 2025, 6262 Rn. 17 ff.; LG Bad Kreuznach, GRUR-RS 2025, 1169 Rn. 71 ff.; LG Frankfurt am Main, Urteil vom 18. Dezember 2024 - 2-28 O 33/24, juris Rn. 45 ff; LG Freiburg im Breisgau, GRUR-RS 2024, 30639 Rn. 32 ff.; LG Weiden i. d. OPf., GRUR-RS 2024, 23031 Rn. 44 ff.; weitere umfangreiche Nachweise bei AG Lüdenscheid, GRUR-RS 2025, 17403 Rn. 43) hält die Übermittlung der Positivdaten von Verbrauchern im Zusammenhang mit dem Abschluss von Telekommunikationsverträgen, insbesondere Postpaid-Mobilfunkverträgen, an Wirtschaftsauskunfteien zum Zweck der Betrugsprävention für rechtmäßig. Teilweise wird vertreten, dass jedenfalls ein Unterlassungsantrag, der die Ausnahme des berechtigten Interesses einer Betrugsprävention nicht aufnehme, zu weit gehe ( LG Köln, GRUR-RS 2023, 9811 Rn. 51;LG Stuttgart, GRUR-RS 2025, 6262 Rn. 24).

45Auch Teile der Literatur sprechen sich - allgemein oder für bestimmte Branchen - für die Zulässigkeit der Übermittlung von Positivdaten an Auskunfteien aus (Paal, NJW 2024, 1689, insbes. Rn. 13-20; Buchner/Petri in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 6 DSGVO Rn. 164; Schulz, RDV 2022, 117, 119 ff.; Assion/Hauck, Beilage ZD 12/2020, 1, 5 f.; Taeger in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., § 31 BDSG Rn. 26, 52; Conrad in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 19. Aufl., § 34 Rn. 767; von Lewinski/Pohl, ZD 2018, 17, 20 f.).

46(bb) Aus Sicht der Gegenmeinung, der die Revision folgt, überwiegt das Interesse der Verbraucher am Schutz ihrer personenbezogenen Daten das Interesse der die Positivdaten einmeldenden Stelle an einer Betrugsprävention. Sie betont, dass die anlasslos - da erst nach Vertragsschluss und unabhängig von einem eigenen Fehlverhalten des Verbrauchers - erfolgende Vorratsdatensammlung zur Betrugsprävention weit überwiegend Verbraucher betreffe, bei denen weder ein kreditorisches Risiko noch das Risiko eines Identitätsdiebstahls oder eines sonstigen betrügerischen Verhaltens bestehe. Das Interesse der Verbraucher am Schutz vor einer anlasslosen und unterschiedslosen Erhebung ihrer personenbezogenen Daten zur Erreichung abstrakt-genereller Ziele, in deren Vorteil sie in der Regel allenfalls mittelbar kommen könnten, überwiege das Interesse des Verantwortlichen erheblich (LG München, ZD 2024, 46 Rn. 114 ff.; LG Lübeck, GRUR-RS 2025, 511 Rn. 39 ff.; ähnlich Ziebarth, RDV 2024, 330, 333 ff.). Eine pauschale und präventive Übermittlung sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis sei weder üblich noch werde sie vernünftigerweise erwartet (LG Köln, GRUR-RS 2023, 9811 Rn. 51; LG Stuttgart, GRUR-RS 2024, 28242 Rn. 27). Ein überwiegendes Interesse der Verbraucher wird teilweise auch daraus hergeleitet, dass die Datenübermittlung zum Zwecke der Erstellung eines Persönlichkeitsprofils erfolge, welches in einen Gesamtscore zur Erfassung der Bonität der Betroffenen kulminiere, wobei hierzu eine große Zahl von an sich nicht miteinander verbundenen Datenpunkten nach einem für die Betroffenen weitgehend intransparenten System miteinander verkettet würden (LG Lübeck, aaO Rn. 45).

47(cc) Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, DSK) hat in ihren Beschlüssen vom 11. Juni 2018 und 22. September 2021 die Ansicht vertreten, dass die Übermittlung und Verarbeitung von Positivdaten an bzw. durch Handels- und Wirtschaftsauskunfteien grundsätzlich nicht auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gestützt werden könne, weil regelmäßig das schutzwürdige Interesse der betroffenen Personen überwiege, selbst über die Verwendung ihrer Daten zu bestimmen. Regelmäßig bedürfe es daher einer wirksamen Einwilligung unter Beachtung der hohen Anforderungen an die Freiwilligkeit ihrer Erteilung. Im Beschluss vom 22. September 2021 hat die DSK ergänzt, dass dies auch für die Übermittlung und Verarbeitung von Positivdaten zu Verträgen über Mobilfunkverträge und Dauerhandelskonten gelte. Dabei gehe es um längerfristige Verträge, die durch Vorausleistungsverpflichtungen oder Finanzierungs- bzw. Stundungselemente als kreditorisches Risiko betrachtet würden, aber keine Vertragsstörungen aufwiesen. Die Daten würden bei der Bildung von Scorewerten der betroffenen Personen, die Handel oder Kreditwirtschaft zur Bonitätsprüfung heranzögen, regelmäßig neben einer Vielzahl weiterer Sachverhalte einbezogen. Es bestünden zwar berechtigte Interessen der Mobilfunkdiensteanbieter und der Handelsunternehmen, die Qualität der Bonitätsbewertungen zu verbessern und die beteiligten Wirtschaftsakteure vor kreditorischen Risiken zu schützen. Besondere Umstände, die - wie bei Kreditinstituten aufgrund deren spezifischer Verpflichtungen nach dem Kreditwesengesetz - ein die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegendes Interesse der Verantwortlichen oder Dritter an der Verarbeitung bestimmter Positivdaten vermitteln würde, habe die DSK im Rahmen ihrer Überprüfung jedoch nicht feststellen können. Auch bei Positivdaten zu Verträgen über Mobilfunkdienste und Dauerhandelskonten komme den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person, selbst darüber zu entscheiden, ob sie die sie betreffenden Positivdaten zur Bonitätsbewertung preisgeben wolle, entscheidende Bedeutung zu. Ansonsten würden unterschiedslos große Datenmengen über übliche Alltagsvorgänge im Wirtschaftsleben erhoben und verarbeitet, ohne dass die betroffenen Personen hierzu Anlass gegeben hätten. Deshalb könnten weder Verantwortliche noch Dritte ein überwiegendes Interesse an diesen Verarbeitungen geltend machen.

48(dd) Der aufgrund Art. 68 DSGVO eingerichtete Europäische Datenschutzausschuss (EDSA) hat sich bislang zur Zulässigkeit der Übermittlung und Verarbeitung von Positivdaten an Auskunfteien nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, soweit ersichtlich, nicht geäußert.

49(b) Der Senat schließt sich auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen für den vorliegenden Fall der herrschenden Meinung insoweit an, als bei einer Übermittlung der oben genannten Positivdaten (zum Identitätsabgleich erforderliche Stammdaten der Verbraucher sowie die Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde) an die SCHUFA zum Zwecke der Betrugsprävention die Rechte und Interessen der betroffenen Verbraucher diejenigen der Beklagten nicht überwiegen.

50(aa) Die DSK betrachtet bei ihrer grundsätzlichen Bewertung in den (rechtlich nicht bindenden) Beschlüssen vom 11. Juni 2018 und 22. September 2021 die Übermittlung und Verarbeitung von Positivdaten im Hinblick auf den Zweck der Bonitätsbewertung, bezieht aber den besonderen Zweck der Betrugsprävention nicht, jedenfalls nicht ausdrücklich ein. Zudem stellt sie im Rahmen der Begründung des Beschlusses vom 22. September 2021 wiederholt darauf ab, dass es an einem überwiegenden Interesse der Verantwortlichen oder Dritter an der Verarbeitung von Positivdaten fehle. Gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fällt die Abwägung aber nur dann zugunsten der betroffenen Person aus, wenn deren Interessen, Grundrechte oder Grundfreiheiten überwiegen.

51(bb) Den Kritikern der Übermittlung von Positivdaten durch Mobilfunkdiensteanbieter ist darin Recht zu geben, dass sie präventiv, pauschal und insofern anlasslos erfolgt, als nicht der Einzelne durch ein Fehlverhalten Anlass zu dieser Maßnahme gegeben haben muss. Anlass besteht allerdings insoweit, als auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen Betrugsstraftaten durch die Täuschung über die Identität und/oder die Zahlungsfähigkeit und -willigkeit von Verbrauchern beim Abschluss von Postpaid-Mobilfunkverträgen mit der Beklagten Wirklichkeit sind und im Hinblick auf deren Vorleistungspflicht in dem Dauerschuldverhältnis, das durch den Mobilfunkvertrag begründet wird, auch und gerade, aber nicht nur bei der Überlassung von Hardware (insbesondere Smartphones), einen hohen finanziellen Schaden anrichten können. Dem durch Art. 16 GRCh (unternehmerische Freiheit) geschützten Interesse der Beklagten, sich vor einem Vertragsabschluss mit Betrügern zu schützen, kommt vor diesem Hintergrund ein hohes Gewicht zu. Über die Betroffenheit des einzelnen Anbieters hinaus geht es bei der Betrugsprävention um schutzwürdige sozio-ökonomische Interessen der Telekommunikationsbranche und nicht zuletzt um die wirtschaftlichen Interessen ihrer Kunden, da hohe Betrugsschäden negative Auswirkungen auf die Preisgestaltung haben können. Zudem können Kunden von einem Identitätsdiebstahl durch Dritte betroffen sein und von einer Abfrage bei der SCHUFA daher profitieren.

52Der Senat verkennt nicht die grundsätzliche Bedeutung der durch Art. 7 und Art. 8 GRCh garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, die durch die Übermittlung der Positivdaten betroffen sind. Geschieht die Datenübermittlung allerdings zur Prävention von Betrugsstraftaten, wie sie nach den Feststellungen des Berufungsgerichts bei Postpaid-Mobilfunkverträgen der Beklagten ernsthaft zu befürchten sind, so überwiegen die genannten Rechte der betroffenen Person die zuvor genannten Interessen der Verantwortlichen nicht. Der Senat teilt die Ansicht des Berufungsgerichts, dass es sich bei den hier in Rede stehenden Positivdaten - im Ergebnis also bei der Information, dass eine bestimmte Person einen Postpaid-Mobilfunkvertrag abgeschlossen oder beendet hat - nicht um sensible Daten handelt. Damit unterscheiden sie sich wesentlich von Negativdaten (vgl. z.B. EuGH, Urteil vom 7. Dezember 2023 - C-26/22 und C-64/22, EuGRZ 2023, 632 Rn. 94 zur Verarbeitung von Daten über die Erteilung einer Restschuldbefreiung), gegen deren Übermittlung an Auskunfteien sich der Kläger nicht wendet. Bei dem Abschluss eines Mobilfunkvertrages handelt es sich um einen gewöhnlichen Geschäftsvorgang im Leben eines erwachsenen Verbrauchers. Die Information hierüber an einen begrenzten Empfängerkreis lässt keine Rückschlüsse auf persönliche Vorlieben zu und gibt keinen Einblick in das sonstige geschäftliche oder gar das private Verhalten des Verbrauchers; er wird dadurch nicht zum "gläsernen Verbraucher".

53(cc) Angesichts des Umstands, dass Mobilfunkdiensteanbieter mit dem Abschluss von Postpaid-Mobilfunkverträgen ein hohes kreditorisches Risiko eingehen, insbesondere (aber nicht nur) dann, wenn sie mit Abschluss des Vertrages ein Smartphone überlassen, dürfte für einen Verbraucher die Erwartung, dass seine Daten, auch seine Positivdaten, an die SCHUFA übermittelt werden, bei vernünftiger Betrachtung nicht fernliegen. Zudem kann er dies aus den Datenschutzhinweisen der Beklagten erkennen.

54(dd) Die im Rahmen der Abwägung zu berücksichtigenden Auswirkungen der Übermittlung der Positivdaten seitens der Beklagten an die SCHUFA zum Zwecke der Betrugsprävention könnten auch davon abhängen, wie und in welchem Umfang die Daten von der SCHUFA zum Zwecke der Betrugsprävention verarbeitet und an ihre Vertragspartner weitergegeben werden (bzw. bis Oktober 2023 wurden).

55Feststellungen hierzu hat das Berufungsgericht nicht getroffen. Das war allerdings auch nicht veranlasst. Denn die "näheren Einzelheiten der Verarbeitung der Daten durch die Auskunfteien (Bewertung, Löschungsfristen)" sind, wie das Berufungsgericht tatbestandlich und damit für das Revisionsverfahren bindend festgestellt hat, vom Kläger "nicht angegriffen" worden. Zudem verlangt der Kläger mit der weiten Fassung des Klageantrags zu 1.a die Unterlassung der Übermittlung von Positivdaten unabhängig davon, wie die nicht streitgegenständliche Verarbeitung der Positivdaten bei der SCHUFA gerade im Rahmen der Betrugsprävention erfolgt, beispielsweise, ob sie in diesem Rahmen überhaupt in das Bonitätsscoring einfließt und wenn ja, wie sie dieses beeinflusst. Dass eine Reaktion seitens der SCHUFA erfolgt, wenn Auffälligkeiten vorliegen, die als Indizien für einen Betrug zu werten sind, etwa weil außergewöhnlich viele Verträge binnen kurzer Zeit abgeschlossen worden sind, ist gerade Sinn und Zweck der Übermittlung der Positivdaten zur Betrugsprävention und kann deshalb für sich genommen noch nicht zur Rechtswidrigkeit der Übermittlung von Positivdaten zur Betrugsprävention führen. Auf die rechtlichen Anforderungen an die Zulässigkeit des Bonitätsscoring (Profiling) seitens der SCHUFA im Hinblick auf Art. 22 DSGVO (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-634/21, EuGRZ 2023, 642 Rn. 40 ff.) kommt es daher hier nicht an.

56(ee) Soweit die Revision schließlich aus der "anlasslosen", d.h. von einem konkreten Betrugsverdacht im Einzelfall losgelösten, Übermittlung der Positivdaten die Vermutung herleitet, die Beklagte bezwecke mit den Meldungen auch und in erster Linie das Heraussuchen von "Vertragshoppern", was sie hinter dem angeblichen Zweck der Betrugsprävention zu verbergen versuche, sind Feststellungen, die diese Annahme stützen würden, nicht getroffen. Die Revision benennt auch keinen diesbezüglichen Vortrag, den das Berufungsgericht gehörswidrig übergangen haben könnte. In der insoweit von ihr in Bezug genommenen Klageschrift hat der Kläger lediglich auf die Ansicht der DSK in ihrem Beschluss vom 15. März 2021 verwiesen, wonach die Einmeldung der Positivdaten von Verbrauchern durch Energieversorger mit dem Ziel, "Schnäppchenjäger" zu identifizieren, nicht gerechtfertigt wäre. Dass die Beklagte mit der Einmeldung von Positivdaten auch oder in erster Linie das Ziel der Identifizierung von "Vertragshoppern" verfolge, hat er dort nicht behauptet. Im Übrigen ließe sich damit eine Übermittlung der Positivdaten zum Zwecke der Betrugsprävention, die aber vom Unterlassungsantrag erfasst ist, nicht verbieten.

575. Der von der Revision angeregten Aussetzung des Verfahrens analog § 148 ZPO im Hinblick auf die Vorlage des Landgerichts Lübeck vom 4. September 2025 -15 O 12/24 (juris) an den Gerichtshof bedarf es nicht. Daran, dass die Prüfung der Zulässigkeit der Übermittlung von Positivdaten an Wirtschaftsauskunfteien bei fehlender Einwilligung des Verbrauchers am Maßstab des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zu erfolgen hat (Vorlagefrage 1), bestehen keine Zweifel, auch wenn dies - wie vom Landgericht für bedenklich erachtet, vom Gerichtshof aber in ständiger Rechtsprechung geklärt - zur Folge hat, dass die nach dieser Norm vorzunehmende Abwägung durch das jeweilige nationale Gericht zu erfolgen hat (vgl. nur EuGH, Urteile vom 9. Januar 2025 - C-394/23, NJW 2025, 807 Rn. 50; vom 7. Dezember 2023 - C-26/22 und C-64/22, EuGRZ 2023, 632 Rn. 79 - SCHUFA Holding [Restschuldbefreiung]). Die zweite Vorlagefrage, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dahingehend auszulegen ist, dass die Bestimmung eine Übermittlung von Positivdaten an Auskunfteien jedenfalls dann nicht zu rechtfertigen vermag, wenn die Auskunfteien die Daten auch zur Profilbildung (Scoring) verwenden, ist hier aus den oben unter 4. c) bb) (3) (b) (dd) genannten Gründen schon nicht entscheidungserheblich.

II.

58Die Revision hat auch insoweit keinen Erfolg, als sie sich gegen die Zurückweisung der Berufung gegen die Abweisung des Klageantrags zu 1.b wendet.

591. Soweit der Kläger den Unterlassungsantrag auf § 3 Abs. 1 Satz 1 Nr. 1 i.V.m. § 1 UKlaG mit der Begründung stützt, es handle sich bei den von ihm angegriffenen Datenschutzhinweisen um unwirksame Allgemeine Geschäftsbedingungen, ist sein Antrag, wie vom Berufungsgericht zutreffend gesehen, schon deshalb unbegründet, weil die Hinweise keine Allgemeine Geschäftsbedingungen im Sinne von § 305 Abs. 1 BGB darstellen.

60a) Gemäß § 305 Abs. 1 Satz 1 BGB sind Allgemeine Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Der Begriff der Allgemeinen Geschäftsbedingung setzt damit eine Erklärung des Verwenders voraus, die den Vertragsinhalt regeln soll. Für die Unterscheidung von allgemeinen (verbindlichen) Vertragsbedingungen und (unverbindlichen) Bitten, Empfehlungen oder tatsächlichen Hinweisen ist auf den Empfängerhorizont abzustellen. Eine Vertragsbedingung liegt demnach vor, wenn ein allgemeiner Hinweis nach seinem objektiven Wortlaut bei den Empfängern den Eindruck hervorruft, es solle damit der Inhalt eines vertraglichen oder vorvertraglichen Rechtsverhältnisses bestimmt werden, wobei auf den rechtlich nicht vorgebildeten Durchschnittskunden und die dabei typischerweise gegebenen Verhältnisse abzustellen ist. Die insoweit erforderliche Auslegung kann der Senat selbst vornehmen (Senatsurteil vom 1. Oktober 2019 - VI ZR 156/18, VersR 2020, 105 Rn. 21; BGH, Urteile vom 27. März 2025 - I ZR 186/17, GRUR 2025, 653 Rn. 87 - App-Zentrum III; vom 9. April 2014 - VIII ZR 404/12, BGHZ 200, 362 Rn. 23-25 mwN).

61b) Ausgehend von dem aufgezeigten Maßstab handelt es sich bei den vom Kläger angegriffenen Auszügen aus den Datenschutzhinweisen nicht um eine Vertragsbedingung im Sinne von § 305 Abs. 1 BGB.

62Die hier angegriffenen Datenschutzhinweise der Beklagten dienen bei objektiver und verständiger Betrachtung aus Sicht eines durchschnittlichen Verbrauchers nicht dazu, den Inhalt des Vertrags, insbesondere Rechte der Beklagten verbindlich festzulegen, sondern ausschließlich dazu, den sich aus Art. 13 DSGVO ergebenden Informationspflichten der Beklagten nachzukommen (vgl. OLG Köln, GRUR-RS 2023, 34611 Rn. 24 ff.; LG Köln, GRUR-RS 2023, 9811 Rn. 60 f.; vgl. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748; a.A. LG Frankfurt, GRUR-RS 2023, 18081 Rn. 32 ff. im Hinblick u.a. auf die Systematik und den Wortlaut der Hinweise im dortigen Fall). Die Beklagte räumt sich mit diesen Hinweisen insbesondere nicht das vertragliche Recht ein, Positivdaten an Wirtschaftsauskunfteien zu übermitteln, sondern sie weist lediglich darauf hin, dass, an wen und zu welchem Zweck sie Positivdaten übermittelt, teilt die (aus ihrer Sicht bestehenden) Rechtsgrundlagen hierfür mit und benennt das (aus ihrer Sicht bestehende) berechtigte Interesse im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO. Dabei handelt es sich genau um diejenigen Informationen, die Art. 13 Abs. 1 Buchst. c bis e DSGVO vorschreibt. Derartigen Informationen begegnet der durchschnittliche Verbraucher im geschäftlichen Kontakt mit Verantwortlichen spätestens seit Inkrafttreten der Datenschutz-Grundverordnung; bei verständiger Betrachtung ist er in der Lage, diese von verbindlichen Vertragsregelungen zu unterscheiden.

632. Soweit der Kläger geltend macht, die Beklagte verletze mit den angegriffenen Datenschutzhinweisen zur Übermittlung der Positivdaten ihre Informationspflichten aus Art. 13 Abs. 1 DSGVO, ergibt sich seine Klagebefugnis aus § 3 Abs. 1 Satz 1 Nr. 1 i.V.m. § 2 Abs. 1, Abs. 2 Nr. 13 UKlaG (vgl. dazu BGH, Urteil vom 27. März 2025 - I ZR 186/17, GRUR 2025, 653 Rn. 37 ff. - App-Zentrum III und EuGH, Urteil vom 11. Juli 2024 - C-757/22, GRUR 2024, 1357 Rn. 65 zur Auslegung der Wendung "infolge einer Verarbeitung" in Art. 80 Abs. 2 DSGVO). Die Klage ist aber auch insoweit unbegründet.

64a) Die Revision meint, die Beklagte verletze mit der Angabe, dass "Rechtsgrundlage dieser Übermittlungen […] Art. 6 Abs. 1 b) und Art. 6 Abs. 1 f) DSGVO" seien, ihre Pflicht aus Art. 13 Abs. 1 Buchst. c DSGVO zur Information über die Rechtsgrundlage für die Verarbeitung, weil die Angabe in rechtlicher Hinsicht unrichtig sei. Dies schließt sie aus ihrer zu Klageantrag 1.a vertretenen Ansicht, dass die Beklagte zur Übermittlung der Positivdaten nicht, insbesondere nicht auf der Grundlage des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, berechtigt sei.

65aa) Gemäß Art. 13 Abs. 1 Buchst. c DSGVO trifft die Beklagte die Pflicht, der betroffenen Person die Zwecke, für die die personenbezogenen Daten verarbeitet werden, sowie die Rechtsgrundlage für die Verarbeitung mitzuteilen. Gemäß ErwG 60 DSGVO machen es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Das Transparenzgebot ergibt sich aus Art. 5 Abs. 1 Buchst. a DSGVO, wonach personenbezogene Daten in einer für die betroffene Person "nachvollziehbaren Weise" verarbeitet werden müssen. Zweck des Art. 13 Abs. 1 Buchst. c DSGVO ist, dass der Betroffene selbst nachprüfen können soll, ob die Datenverarbeitung rechtmäßig ist. Was die Angabe der Rechtsgrundlage angeht, so soll der Betroffene im Vergleich zum Verantwortlichen auf ein identisches Informationsniveau gestellt werden (Schmidt-Wudy in BeckOK Datenschutzrecht, Wolff/Brink/v. Ungern-Sternberg, 52. Ed., Stand 1.5.2025, Art. 14 DSGVO Rn. 46, 46.2). Das spricht dafür, dass der Verantwortliche seiner Informationspflicht auch dann gerecht wird, wenn er eine Rechtsgrundlage angibt, auf Basis derer er die Datenverarbeitung durchführt, die aber die Datenverarbeitung nicht legitimiert, unabhängig davon, ob die Verarbeitung auf der Grundlage einer anderen Rechtsgrundlage zulässig ist oder nicht (so Schmidt-Wudy aaO Rn. 46.2).

66bb) Im Übrigen lässt sich entgegen der Ansicht der Revision die Übermittlung der Positivdaten an die SCHUFA nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zum Zwecke der Betrugsprävention rechtfertigen, so dass die Beklagte in ihren Datenschutzhinweisen insoweit auch die richtige Rechtsgrundlage angibt. Zudem bezieht sich die Angabe der Rechtsgrundlagen auch auf die Übermittlung der Negativdaten, die allerdings nicht Gegenstand des Rechtsstreits ist.

67b) Die Revision meint, die Beklagte verletze mit den angegriffenen Datenschutzhinweisen ihre Informationspflichten aus Art. 13 Abs. 1 DSGVO auch deshalb, weil seit Oktober 2023 eine Übermittlung der Positivdaten an die SCHUFA nicht mehr erfolge, die Information also in tatsächlicher Hinsicht falsch geworden sei. Diesen Gesichtspunkt habe das Berufungsgericht - auch ohne Geltendmachung seitens des Klägers - von sich aus berücksichtigen müssen.

68aa)Dies trifft nicht zu, weil es sich bei der vom Berufungsgericht angesprochenen und vom Kläger nun erstmals in der Revision geltend gemachten Unrichtigkeit der Hinweise wegen Wegfalls der Datenübermittlung um einen anderen Streitgegenstand handelt. Zwar wird bei der wettbewerbsrechtlichen Unterlassungsklage der Streitgegenstand in der Rechtsprechung des I. Zivilsenats mittlerweile weiter gefasst (vgl. grundlegend BGH, Urteil vom 13. September 2012 - I ZR 230/11, BGHZ 194, 314 Rn. 18 ff. - Biomineralwasser) mit der Folge, dass bei der Klage gegen eine konkrete Verletzungsform in dieser Verletzungsform der Lebenssachverhalt gesehen werden kann, durch den der Streitgegenstand bestimmt wird (aaO Rn. 24). Vorliegend ergibt sich die mit der Klage angegriffene konkrete Verletzungsform und damit der den Streitgegenstand bestimmende Lebenssachverhalt allerdings nicht isoliert aus der Verwendung bestimmter Datenschutzhinweise, sondern aus der Verknüpfung dieser Hinweise mit einer bestimmten Datenverarbeitung, nämlich der Übermittlung von Positivdaten unter anderem an die SCHUFA. Die mit dem Klageantrag zu 1.b geltend gemachte Verletzungshandlung soll ausweislich der Begründung des Klageantrags darin bestehen, dass die Beklagte für eine Datenübermittlung in (vom Kläger als AGB angesehenen) Datenschutzhinweisen eine Rechtsgrundlage angibt, die es im Hinblick auf die aus Sicht des Klägers unzulässige Übermittlung nicht geben soll. Davon zu unterscheiden ist eine Verletzungshandlung, die darin bestehen soll, dass es eine bestimmte Datenverarbeitung (hier Übermittlung der Positivdaten an die SCHUFA) gerade nicht gibt, aber in den Datenschutzhinweisen der Eindruck ihrer Existenz erweckt wird. Eine solche neue Verletzungshandlung, die es bei Klageerhebung noch nicht gab, weil damals die Datenübermittlung noch erfolgte, hätte der Kläger daher als neuen Lebenssachverhalt mit diesbezüglichem Vortrag in den Prozess einführen müssen, um sie zum Gegenstand der gerichtlichen Überprüfung machen zu können. Der weitgefasste Streitgegenstandsbegriff darf nicht dazu führen, dass die Beklagte neuen Angriffen des Klägers gegenüber schutzlos gestellt oder gezwungen wird, sich von sich aus gegen eine Vielzahl von lediglich möglichen, vom Kläger aber nicht konkret geltend gemachten Aspekten zu verteidigen (vgl. BGH, Urteil vom 11. Oktober 2017 - I ZR 78/16, GRUR 2018, 431 Rn. 16 mwN - Tiegelgröße). Das gilt erst recht, wenn die Berufung auf diese Aspekte erst im Laufe des Rechtsstreits möglich geworden ist.

69bb) Selbst wenn Gegenstand des Klageantrags zu 1.b die Verletzung der Informationspflicht auch wegen Angabe einer tatsächlich nicht erfolgenden Datenübermittlung wäre, wäre der Antrag jedenfalls zu weit gefasst und deshalb unbegründet. Denn er würde der Beklagten die Verwendung der angegriffenen Datenschutzhinweise auch dann noch verbieten, wenn die Übermittlung der Positivdaten wieder aufgenommen wird, was nach dem vom Berufungsgericht festgestellten Vortrag der Beklagten der Fall sein soll, sobald die SCHUFA, etwa nach höchstrichterlicher Klärung der hier einschlägigen Fragen, Positivdaten wieder entgegennimmt.

III.

70Damit erweist sich schließlich auch die Revision gegen die Zurückweisung der Berufung gegen die Abweisung des Klageantrags auf Erstattung der Abmahnkosten als unbegründet.

Seiters                         von Pentz                         Oehler

                 Müller                               Linder