close

Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Auskunfteien wie die Schufa (Schutzgemeinschaft für allgemeine Kreditsicherung) sammeln und verarbeiten neben Daten über Unternehmen auch personenbezogene Daten von Privatpersonen. Aber was dürfen sie laut DSGVO? Welche Datenschutzrechte können Verbraucher gegenüber der Schufa geltend machen? Wir haben uns die Datenschutzvorgaben für die Schufa und ähnliche Unternehmen genauer angesehen und einen Überblick über die wichtigsten Punkte zusammengestellt.

Das Wichtigste in Kürze

  • Auskunfteien wie die Schufa sammeln Daten über Verbraucher und Unternehmen, die Auskunft über deren Zahlungsfähigkeit geben. 
  • Wenn ein Verbraucher mindestens 18 Jahre alt ist und wirtschaftlich handelt, dann werden seine Daten an die Schufa übermittelt. 
  • Bei der Datenverarbeitung stützt die Schufa sich auf ein berechtigtes Interesse der Anfragenden als Rechtsgrundlage. Um die datenschutzrechtlichen Voraussetzungen zu erfüllen, nutzt die SCHUFA Holding AG ein Stichprobenverfahren, welches das berechtigte Interesse am Abruf der Daten überprüft. Vertraglich ist das Verfahren mit dem Vertragspartner (=dem abfragenden Unternehmen) gem. AGB 1.4 Absatz 2 vom 25. Mai 2018 vereinbart 
  • Dank der DSGVO haben Betroffene nun das Recht, ihren Schufa-Score sowie weitere Informationen kostenlos einzusehen.  
  • Wie weit das berechtigte Interesse der Schufa genau geht und inwiefern die Interessen von Betroffenen (z. B. das Interesse an Wohnraum) diesem entgegenstehen, wird im Einzelfall vor Gericht entschieden.  
  • Der Datenerhebung durch die Schufa jedoch zu entgehen, ist nahezu unmöglich.  

In diesem Beitrag

Wie funktionieren Auskunfteien?

Auskunfteien sind privatwirtschaftliche Unternehmen, die wirtschaftsrelevante Daten über Privatpersonen und Unternehmen sammeln und sie dann an Auftraggeber weitergeben. Dadurch kann die Auskunftei Aussagen über die Zahlungsfähigkeit eines Verbrauchers treffen. So können beispielsweise Kreditunternehmen und Versandhandelsunternehmen vor Abschluss eines Vertrages Informationen über die Auskunftei einholen.  

Eine Auskunftei sammelt vor allem Verbraucherdaten, die sie von Unternehmen erhält (die Schufa sammelt beispielsweise Daten von über 9.000 Vertragspartnern). Darüber ermittelt sie ein sogenanntes Scoring über die Zahlungsfähigkeit. Zum Beispiel wird jeder Kredit bei einer Bank an eine Auskunftei gemeldet. Gibt es keine Unregelmäßigkeiten bei den gemeldeten Krediten und Geschäften, wirkt sich das positiv auf den Score des Verbrauchers aus und die Daten werden nach Ende der Vertragsdauer gelöscht.  

Begleicht der Kreditnehmer seine Verbindlichkeiten jedoch nicht, so führt dies zu einem der gefürchteten negativen Schufa-Einträge. Zum einen sinkt dadurch der Score, zum andere können negative Einträge durch Unternehmen bis zu drei Jahre nach dem Begleichen der Verbindlichkeiten einsehen.  

Schufa & Co.: Welche Auskunfteien sammeln meine Daten?

Die Schufa ist in Deutschland die bekannteste und einflussreichste Auskunftei. Nach eigenen Angaben verfügt die Schufa über 943 Millionen Einzeldaten zu 67,9 Millionen natürlichen Personen und 6 Millionen Unternehmen. Jährlich bearbeitet die Schufa mehr als 165 Millionen Anfragen, darunter rund 2,7 Millionen Anfragen von Verbrauchern, die ihre eigenen Daten einsehen möchten. 

Wenn in Deutschland ein Verbraucher volljährig ist und wirtschaftlich handelt, werden seine Daten an die Schufa übermittelt. Unternehmen und Kreditinstitute, die Vertragspartner der Schufa sind, leiten dieser Informationen zum Zahlungsverhalten ihrer Kunden weiter und rufen umgekehrt auch Informationen ab, um sich ein Bild über die Kreditwürdigkeit eines Verbrauchers zu machen. 

Neben der Schufa gibt es in Deutschland noch andere Wirtschaftsauskunfteien, wie den Verband der Vereine Creditreform, Crif Bürgel oder Arvato Infoscore. Auch Zahlungsdienstleistungsunternehmen wie „it‘s my data“ stellen Bonitätszertifikate aus und sind damit eine Alternative zur Schufa. Allerdings werden die Dienste der branchenführenden Schufa immer noch am häufigsten genutzt. 

Auskunfteien und Datenschutz: Was schreibt die DSGVO vor und wann wird es problematisch?

Da die Schufa und andere Auskunfteien Daten über Verbraucher sammeln und verarbeiten, stellt sich die Frage, inwieweit die DSGVO hier greift. Grundsätzlich unterliegt die Schufa als privatwirtschaftliche Institution den gleichen Regeln wie alle anderen Unternehmen, allerdings gelten einige Sonderbestimmungen.   

Gilt das Recht auf Vergessenwerdenauch für Auskunfteien?  

Nach Artikel 17 DSGVO gilt der Grundsatz, dass personenbezogene Daten zu löschen sind, es sei denn, es gibt eine Rechtsgrundlage für die Aufbewahrung. Wenn aber Verbraucher bei der Schufa ihr Recht auf Löschung geltend machen möchten, ist das oft nicht sofort möglich.  

Das kann zwei Gründe haben: 

  1. Die Schufa unterliegt steuer- und handelsrechtlichen Aufbewahrungsfristen. Daten, die zum Beispiel auf Grundlage einer Einwilligung mitgeteilt werden, stellen für die Schufa steuerrechtlich relevante Vorfälle und Ereignisse dar. Für Daten dieser Art können die Aufbewahrungsfristen unter Umständen 5 bis 15 Jahre betragen.  
  2. Die fortlaufende Datenspeicherung unterliegt einem berechtigten Interesse nach Art. 6 Abs. 1 S.1 lit. f DSGVO – mehr dazu später.

Automatisierte Entscheidungen und Profiling: Was gilt für den Schufa-Score? 

Bei automatisierten Entscheidungen werden personenbezogene Daten durch einen Algorithmus verarbeitet. Auf diese Weise werden etwa beim Profiling Aussagen über die Kreditwürdigkeit von Personen getroffen. Eine spezielle Form des Profilings ist die Scoring-Methode, unter die auch der Schufa-Score fällt: Hier berechnet ein Algorithmus die Wahrscheinlichkeit, mit der ein Vertragspartner seine Verbindlichkeiten begleichen kann/wird. 

Die Frage, ob die Scoring-Methode der Schufa datenschutzrechtlich zulässig ist, regelt § 31 des Bundesdatenschutzgesetzes (BDSG). Scoring und Bonitätsauskünfte sind laut BDSG grundsätzlich zulässig, müssen aber ein paar Bedingungen einhalten. Sie dürfen sich beispielsweise nicht ausschließlich auf Adressdaten stützen und müssen sich „wissenschaftlich anerkannter mathematisch-statistischer Verfahren“ bedienen.  

So weit, so gut. Die Schufa darf also einen Algorithmus verwenden, der einen Schufa-Score vergibt. Übrigens entschied der Bundesgerichtshof im Januar 2014, dass die Schufa diesen Algorithmus sogar als Geschäftsgeheimnis geheim halten darf. 

Doch unter welchen Voraussetzungen darf nun eine automatisierte Entscheidung aufgrund des Profilings getroffen werden – zum Beispiel darüber, ob ein Betroffener den Kredit für den Bau eines Hauses bekommt? Hier kommt die DSGVO mit Artikel 22 ins Spiel. Demnach ist eine automatische Entscheidung auf Basis von Profiling nur zulässig, wenn sie:  

  • für die Erfüllung eines Vertrages zwischen den betroffenen Parteien erforderlich ist,  
  • aufgrund von Rechtsvorschriften zulässig ist und die Rechte und Freiheiten sowie berechtige Interessen der betroffenen Person angemessen gewahrt werden, 
  • oder mit ausdrücklicher Einwilligung der betroffenen Personen erfolgt.  

Bei Schufa-Auskünften liegt meist keine ausdrückliche Einwilligung vor. Die Schufa und viele weitere Anbieter vertreten jedoch den Standpunkt, dass sie nicht selbst anhand ihrer Algorithmen Entscheidungen über Verbraucher treffen. Im Fall der Schufa treffen die Entscheidungen diejenigen, die den Score-Wert einkaufen und ihn dann als Entscheidungsgrundlage nutzen.  

Auch im Alltag sind Verbraucher immer wieder in Situationen verwickelt, die aus datenschutzrechtlicher Sicht zunächst nicht problematisch aussehen. Doch wie ist es zum Beispiel, wenn Ihr Arzt Ihren Namen durch das Wartezimmer ruft? Testen Sie Ihr wissen in unserem Quiz über alltägliche DSGVO-Mythen. 

Jetzt Ihr Wissen testen

Auf welcher Grundlage dürfen Auskunfteien Informationen verarbeiten?

Auskunfteien wie die Schufa benötigen eine Rechtsgrundlage, um die Daten von Privatpersonen zu sammeln und zu verarbeiten. Hierfür gibt es drei mögliche Erlaubnisbestände:  

  • die Einwilligung der Betroffenen  
  • die Verarbeitung zur Erfüllung eines Vertrages 
  • das berechtige Interesse des Verantwortlichen 

Einwilligung 

Rein theoretisch könnte die Schufa ihre Datenverarbeitung auf die Einholung von Einwilligungen durch Betroffene stützen. Allerdings spielt diese Rechtsgrundlage kaum eine Rolle für die Schufa, da eine Umsetzung entsprechend der Anforderung an die Freiwilligkeit von Einwilligungen schwierig wäre.  Stattdessen stützt die Schufa ihre Aktivitäten auf das berechtigte Interesse.  

Berechtigtes Interesse 

Die Schufa stützt ihre Datenverarbeitung auf ein berechtigtes Interesse daran, ihre Vertragspartner vor Zahlungsausfällen zu schützen. Hinzu kommt ein rein wirtschaftliches Interesse aufgrund ihrer Tätigkeit als Auskunftei.  

Problematisch ist, dass die Regelungen der DSGVO in dieser Hinsicht recht allgemein formuliert sind und keine Kriterien zur Abwägung von Interessen in spezifischen Bereichen festlegen. Das berechtigte Interesse eines Datenverarbeiters muss nämlich immer gegen die Interessen der Betroffenen abgewogen werden.  

Findet zum Beispiel ein Betroffener aufgrund seiner Schufa-Einträge keine Wohnung, so kann sein berechtigtes Interesse an Wohnraum stärker wiegen als die Interessen der Schufa. In solchen Einzelfällen entscheidet ein Gericht.  

Der Datenerhebung- und Speicherung durch die Schufa jedoch erfolgreich zu widersprechen bzw. eine Datenlöschung durchzusetzen, ist erfahrungsgemäß schwierig. Bisher gab es nur einen Fall, in dem das Widerspruchsrecht durch einen Betroffenen erstritten werden konnte: Dieser hatte nach einer Restschuldbefreiung die sofortige Löschung seiner Schufa-Einträge gefordert und gewonnen.  

Schufa & Datenschutz: Welche Rechte habe ich?

Datenschutz ist für die Schufa und andere Auskunfteien relevant, weil die Rechte natürlicher Personen bei der Verarbeitung ihrer Daten jederzeit gewahrt sein müssen. Für Verbraucher bedeutet das Folgendes:

Kann ich meine Schufa-Daten löschen lassen?

Nach Artikel 17 DSGVO hat eine natürliche Person das Recht auf Datenlöschung, sofern die gesetzlichen Voraussetzungen dafür gegeben sind. Wie bereits dargelegt, ist die sofortige Löschung der Daten allerdings nicht immer möglich, da sich die Schufa an gesetzliche Aufbewahrungsfristen halten muss und u. U. ein berechtigtes Interesse an der Speicherung der Daten hat. 

Welche Auskunftsrechte habe ich?

Von der Datenverarbeitung durch die Schufa betroffene Personen steht nach Artikel 15 DS-GVO ein sogenanntes Auskunftsrecht zu. Damit ist das Recht gemeint, zu erfahren, ob personenbezogene Daten durch die Schufa verarbeitet werden und wenn ja, wie diese Datenverarbeitet werden. Jede natürliche Person hat somit das Recht, bei der Schufa Auskunft zu bestimmten Informationen anzufordern – etwa zum eigenen Schufa-Score oder zu den Kategorien personenbezogener Daten, die erhoben wurden. Kostenlos geht das direkt über die Website der Schufa. 

Fazit

Insbesondere in puncto Einwilligung und Profiling gerät die Schufa immer wieder in die Kritik. Zwar können Betroffene dank der DSGVO nun kostenlos ihren Schufa-Score abfragen und erhalten dadurch ein Mindestmaß an Transparenz, jedoch herrscht weiterhin große Unklarheit über den Algorithmus, der dem Profiling zugrunde liegt – wie wissenschaftlich dieser wirklich ist und welche Daten wie einfließen. Außerdem ist unklar, wie weit die Rechtsgrundlage des berechtigten Interesses trägt – könnte sie zum Beispiel selbst eine Durchleuchtung von Privatkonten durch die Schufa rechtfertigen? Die Abwägung von Verbraucherinteressen gegen die Interessen der Schufa wird auch in Zukunft für Spannung sorgen. 

Zurück zum Seitenanfang

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close