6 Min

Schufa und Co.: Was gilt für Auskunfteien in Sachen Datenschutz?

Auskunfteien wie die Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) sammeln und verarbeiten neben Daten über Unternehmen auch personenbezogene Daten von Privatpersonen. Aber was dürfen sie laut DSGVO? Welche Datenschutzrechte können Verbraucher gegenüber der Schufa geltend machen? Wir haben uns die Datenschutzvorgaben für die Schufa und ähnliche Unternehmen genauer angesehen und einen Überblick über die wichtigsten Punkte zusammengestellt.

 

Das Wichtigste in Kürze

  • Auskunfteien wie die Schufa sammeln Daten über Verbraucher und Unternehmen, die Auskunft über deren Zahlungsfähigkeit geben.
  • Wenn ein Verbraucher mindestens 18 Jahre alt ist und wirtschaftlich handelt, dann werden seine Daten an die Schufa übermittelt.
  • Bei der Datenverarbeitung stützt die Schufa sich auf ein berechtigtes Interesse der Anfragenden als Rechtsgrundlage. Um die datenschutzrechtlichen Voraussetzungen zu erfüllen, nutzt die SCHUFA Holding AG ein Stichprobenverfahren, welches das berechtigte Interesse am Abruf der Daten überprüft. Vertraglich ist das Verfahren mit dem Vertragspartner (=dem abfragenden Unternehmen) gem. AGB 1.4 Absatz 2 vom 25. Mai 2018 vereinbart
  • Dank der DSGVO haben Betroffene nun das Recht, ihren Schufa-Score sowie weitere Informationen kostenlos einzusehen.
  • Wie weit das berechtigte Interesse der Schufa genau geht und inwiefern die Interessen von Betroffenen (z. B. das Interesse an Wohnraum) diesem entgegenstehen, wird im Einzelfall vor Gericht entschieden.
  • Der Datenerhebung durch die Schufa jedoch zu entgehen, ist nahezu unmöglich.

In diesem Beitrag

Wie funktionieren Auskunfteien?

Auskunfteien sind privatwirtschaftliche Unternehmen, die wirtschaftsrelevante Daten über Privatpersonen und Unternehmen sammeln und sie dann an Auftraggeber weitergeben. Dadurch kann die Auskunftei Aussagen über die Zahlungsfähigkeit eines Verbrauchers treffen. So können beispielsweise Kreditunternehmen und Versandhandelsunternehmen vor Abschluss eines Vertrages Informationen über die Auskunftei einholen.

Eine Auskunftei sammelt vor allem Verbraucherdaten, die sie von Unternehmen erhält (die Schufa sammelt beispielsweise Daten von über 9.000 Vertragspartnern). Darüber ermittelt sie ein sogenanntes Scoring über die Zahlungsfähigkeit. Zum Beispiel wird jeder Kredit bei einer Bank an eine Auskunftei gemeldet. Gibt es keine Unregelmäßigkeiten bei den gemeldeten Krediten und Geschäften, wirkt sich das positiv auf den Score des Verbrauchers aus und die Daten werden nach Ende der Vertragsdauer gelöscht.

Begleicht der Kreditnehmer seine Verbindlichkeiten jedoch nicht, so führt dies zu einem der gefürchteten negativen Schufa-Einträge. Zum einen sinkt dadurch der Score, zum andere können negative Einträge durch Unternehmen bis zu drei Jahre nach dem Begleichen der Verbindlichkeiten einsehen.

Schufa & Co.: Welche Auskunfteien sammeln meine Daten?

Die Schufa ist in Deutschland die bekannteste und einflussreichste Auskunftei. Nach eigenen Angaben verfügt die Schufa über 943 Millionen Einzeldaten zu 67,9 Millionen natürlichen Personen und 6 Millionen Unternehmen. Jährlich bearbeitet die Schufa mehr als 165 Millionen Anfragen, darunter rund 2,7 Millionen Anfragen von Verbrauchern, die ihre eigenen Daten einsehen möchten.

Wenn in Deutschland ein Verbraucher volljährig ist und wirtschaftlich handelt, werden seine Daten an die Schufa übermittelt. Unternehmen und Kreditinstitute, die Vertragspartner der Schufa sind, leiten dieser Informationen zum Zahlungsverhalten ihrer Kunden weiter und rufen umgekehrt auch Informationen ab, um sich ein Bild über die Kreditwürdigkeit eines Verbrauchers zu machen.

Neben der Schufa gibt es in Deutschland noch andere Wirtschaftsauskunfteien, wie den Verband der Vereine Creditreform, Crif Bürgel oder Arvato Infoscore. Auch Zahlungsdienstleistungsunternehmen wie „it‘s my data“ stellen Bonitätszertifikate aus und sind damit eine Alternative zur Schufa. Allerdings werden die Dienste der branchenführenden Schufa immer noch am häufigsten genutzt.

Auskunfteien und Datenschutz: Was schreibt die DSGVO vor und wann wird es problematisch?

Da die Schufa und andere Auskunfteien Daten über Verbraucher sammeln und verarbeiten, stellt sich die Frage, inwieweit die DSGVO hier greift. Grundsätzlich unterliegt die Schufa als privatwirtschaftliche Institution den gleichen Regeln wie alle anderen Unternehmen, allerdings gelten einige Sonderbestimmungen.

Gilt das Recht auf Vergessenwerdenauch für Auskunfteien?

Nach Artikel 17 DSGVO gilt der Grundsatz, dass personenbezogene Daten zu löschen sind, es sei denn, es gibt eine Rechtsgrundlage für die Aufbewahrung. Wenn aber Verbraucher bei der Schufa ihr Recht auf Löschung geltend machen möchten, ist das oft nicht sofort möglich.

Das kann zwei Gründe haben:

  1. Die Schufa unterliegt steuer- und handelsrechtlichen Aufbewahrungsfristen. Daten, die zum Beispiel auf Grundlage einer Einwilligung mitgeteilt werden, stellen für die Schufa steuerrechtlich relevante Vorfälle und Ereignisse dar. Für Daten dieser Art können die Aufbewahrungsfristen unter Umständen 5 bis 15 Jahre betragen.
  2. Die fortlaufende Datenspeicherung unterliegt einem berechtigten Interesse nach Art. 6 Abs. 1 S.1 lit. f DSGVO – mehr dazu später.

Automatisierte Entscheidungen und Profiling: Was gilt für den Schufa-Score?

Bei automatisierten Entscheidungen werden personenbezogene Daten durch einen Algorithmus verarbeitet. Auf diese Weise werden etwa beim Profiling Aussagen über die Kreditwürdigkeit von Personen getroffen. Eine spezielle Form des Profilings ist die Scoring-Methode, unter die auch der Schufa-Score fällt: Hier berechnet ein Algorithmus die Wahrscheinlichkeit, mit der ein Vertragspartner seine Verbindlichkeiten begleichen kann/wird.

Die Frage, ob die Scoring-Methode der Schufa datenschutzrechtlich zulässig ist, regelt § 31 des Bundesdatenschutzgesetzes (BDSG). Scoring und Bonitätsauskünfte sind laut BDSG grundsätzlich zulässig, müssen aber ein paar Bedingungen einhalten. Sie dürfen sich beispielsweise nicht ausschließlich auf Adressdaten stützen und müssen sich „wissenschaftlich anerkannter mathematisch-statistischer Verfahren“ bedienen.

So weit, so gut. Die Schufa darf also einen Algorithmus verwenden, der einen Schufa-Score vergibt. Übrigens entschied der Bundesgerichtshof im Januar 2014, dass die Schufa diesen Algorithmus sogar als Geschäftsgeheimnis geheim halten darf.

Doch unter welchen Voraussetzungen darf nun eine automatisierte Entscheidung aufgrund des Profilings getroffen werden – zum Beispiel darüber, ob ein Betroffener den Kredit für den Bau eines Hauses bekommt? Hier kommt die DSGVO mit Artikel 22 ins Spiel. Demnach ist eine automatische Entscheidung auf Basis von Profiling nur zulässig, wenn sie:

  • für die Erfüllung eines Vertrages zwischen den betroffenen Parteien erforderlich ist,
  • aufgrund von Rechtsvorschriften zulässig ist und die Rechte und Freiheiten sowie berechtige Interessen der betroffenen Person angemessen gewahrt werden,
  • oder mit ausdrücklicher Einwilligung der betroffenen Personen erfolgt.

Bei Schufa-Auskünften liegt meist keine ausdrückliche Einwilligung vor. Die Schufa und viele weitere Anbieter vertreten jedoch den Standpunkt, dass sie nicht selbst anhand ihrer Algorithmen Entscheidungen über Verbraucher treffen. Im Fall der Schufa treffen die Entscheidungen diejenigen, die den Score-Wert einkaufen und ihn dann als Entscheidungsgrundlage nutzen.

Auch im Alltag sind Verbraucher immer wieder in Situationen verwickelt, die aus datenschutzrechtlicher Sicht zunächst nicht problematisch aussehen. Doch wie ist es zum Beispiel, wenn Ihr Arzt Ihren Namen durch das Wartezimmer ruft? Testen Sie Ihr wissen in unserem Quiz über alltägliche DSGVO-Mythen.

Jetzt Ihr Wissen testen

Auf welcher Grundlage dürfen Auskunfteien Informationen verarbeiten?

Auskunfteien wie die Schufa benötigen eine Rechtsgrundlage, um die Daten von Privatpersonen zu sammeln und zu verarbeiten. Hierfür gibt es drei mögliche Erlaubnisbestände:

  • die Einwilligung der Betroffenen
  • die Verarbeitung zur Erfüllung eines Vertrages
  • das berechtige Interesse des Verantwortlichen

Einwilligung

Rein theoretisch könnte die Schufa ihre Datenverarbeitung auf die Einholung von Einwilligungen durch Betroffene stützen. Allerdings spielt diese Rechtsgrundlage kaum eine Rolle für die Schufa, da eine Umsetzung entsprechend der Anforderung an die Freiwilligkeit von Einwilligungen schwierig wäre. Stattdessen stützt die Schufa ihre Aktivitäten auf das berechtigte Interesse.

Berechtigtes Interesse

Die Schufa stützt ihre Datenverarbeitung auf ein berechtigtes Interesse daran, ihre Vertragspartner vor Zahlungsausfällen zu schützen. Hinzu kommt ein rein wirtschaftliches Interesse aufgrund ihrer Tätigkeit als Auskunftei.

Problematisch ist, dass die Regelungen der DSGVO in dieser Hinsicht recht allgemein formuliert sind und keine Kriterien zur Abwägung von Interessen in spezifischen Bereichen festlegen. Das berechtigte Interesse eines Datenverarbeiters muss nämlich immer gegen die Interessen der Betroffenen abgewogen werden.

Findet zum Beispiel ein Betroffener aufgrund seiner Schufa-Einträge keine Wohnung, so kann sein berechtigtes Interesse an Wohnraum stärker wiegen als die Interessen der Schufa. In solchen Einzelfällen entscheidet ein Gericht.

Der Datenerhebung- und Speicherung durch die Schufa jedoch erfolgreich zu widersprechen bzw. eine Datenlöschung durchzusetzen, ist erfahrungsgemäß schwierig. Bisher gab es nur einen Fall, in dem das Widerspruchsrecht durch einen Betroffenen erstritten werden konnte: Dieser hatte nach einer Restschuldbefreiung die sofortige Löschung seiner Schufa-Einträge gefordert und gewonnen.

Schufa & Datenschutz: Welche Rechte habe ich?

Datenschutz ist für die Schufa und andere Auskunfteien relevant, weil die Rechte natürlicher Personen bei der Verarbeitung ihrer Daten jederzeit gewahrt sein müssen. Für Verbraucher bedeutet das Folgendes:

Kann ich meine Schufa-Daten löschen lassen?

Nach Artikel 17 DSGVO hat eine natürliche Person das Recht auf Datenlöschung, sofern die gesetzlichen Voraussetzungen dafür gegeben sind. Wie bereits dargelegt, ist die sofortige Löschung der Daten allerdings nicht immer möglich, da sich die Schufa an gesetzliche Aufbewahrungsfristen halten muss und u. U. ein berechtigtes Interesse an der Speicherung der Daten hat.

Welche Auskunftsrechte habe ich?

Von der Datenverarbeitung durch die Schufa betroffene Personen steht nach Artikel 15 DS-GVO ein sogenanntes Auskunftsrecht zu. Damit ist das Recht gemeint, zu erfahren, ob personenbezogene Daten durch die Schufa verarbeitet werden und wenn ja, wie diese Datenverarbeitet werden. Jede natürliche Person hat somit das Recht, bei der Schufa Auskunft zu bestimmten Informationen anzufordern – etwa zum eigenen Schufa-Score oder zu den Kategorien personenbezogener Daten, die erhoben wurden. Kostenlos geht das direkt über die Website der Schufa.

Fazit

Insbesondere in puncto Einwilligung und Profiling gerät die Schufa immer wieder in die Kritik. Zwar können Betroffene dank der DSGVO nun kostenlos ihren Schufa-Score abfragen und erhalten dadurch ein Mindestmaß an Transparenz, jedoch herrscht weiterhin große Unklarheit über den Algorithmus, der dem Profiling zugrunde liegt – wie wissenschaftlich dieser wirklich ist und welche Daten wie einfließen. Außerdem ist unklar, wie weit die Rechtsgrundlage des berechtigten Interesses trägt – könnte sie zum Beispiel selbst eine Durchleuchtung von Privatkonten durch die Schufa rechtfertigen? Die Abwägung von Verbraucherinteressen gegen die Interessen der Schufa wird auch in Zukunft für Spannung sorgen.

Zurück zum Seitenanfang

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren