Die Schufa und der Datenschutz

Eine in Datenschutz-Schulungen häufig gestellte Frage lautet: Warum darf die Schufa Daten so verarbeiten, wie sie es tut, wenn doch die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG) gibt? Wie kann man sich dagegen wehren? – Bedenken gegen die Vorgehensweise von Auskunfteien gibt es genügend. Grund genug eine detaillierte Betrachtung der Schufa – mit Fokus auf den Datenschutz und die betroffenen Personen – vorzunehmen.

Die Schufa oder allgemein Auskunfteien und deren Tätigkeiten

Auskunfteien verfolgen einen Hauptzweck: Risiken von Zahlungsausfällen von Geschäftspartnern und Privatpersonen zu reduzieren. Zu diesem Zweck sammeln Auskunfteien Finanzdaten von Verbrauchern und Unternehmen, werten diese Daten aus und erstellen einen „Score“. Dieser Score entspricht einer Wahrscheinlichkeit, ob ein Kunde in der Zukunft seiner Zahlungsverpflichtung nachkommen wird oder nicht.

Daher entscheidet dieser Score in vielen Fällen darüber, ob eine Privatperson / ein Unternehmen zum Beispiel

  • einen Mobilfunkvertrag abschließen kann,
  • ein Bankkonto eröffnen darf,
  • den „Zuschlag“ für eine Mietwohnung / Geschäftsräume erhält,
  • einen Kredit aufnehmen kann,

Dieser Score hat also durchaus einen hohen Einfluss auf die Zukunft der betroffenen Personen. In Anbetracht dieser – zum Teil gravierenden – Auswirkungen ist die Rolle der Schufa zu betrachten.

Prüfung der Grundsätze der Datenverarbeitung für die Aktivitäten der Schufa

Die Datenschutz-Grundverordnung fordert von jedem Verantwortlichen, die Grundsätze für die Verarbeitung von personenbezogenen Daten einzuhalten. Diese Grundsätze sind in Artikel 5 DS-GVO konkretisiert. Welche Grundsätze sind es Wert, dass man sie genauer betrachtet?

Die Verarbeitung soll auf rechtmäßige Weise und nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise (Art. 5 Abs. 1, lit. a) DS-GVO) verarbeitet werden. Spätestens beim Lesen des letzten Teilsatzes sollte sich beim aufmerksamen und datenschutzaffinen Leser eine Frage stellen: Wie errechnet die Schufa meinen Score-Wert? – Die Enttäuschung folgt sogleich, denn sie beantwortet diese Frage nicht. Die Berechnung des Score-Wertes und die zugrundeliegende Berechnungsmethode musste sie bislang nicht offenlegen. Dies entschied der Bundesgerichtshof im Jahre 2014 (Aktenzeichen: VI ZR 156/13) mit Verweis auf das Geschäftsgeheimnis der Schufa. Ähnlich beurteilte der Hessische Beauftragte für Datenschutz und Informationsfreiheit jüngst die Lage.

à Somit ist der erste Grundsatz der DS-GVO nicht erfüllt ist, da die Nachvollziehbarkeit nicht gegeben ist.

Ein weiteres Problem betrifft die Aktualität und Richtigkeit der Daten. Gemäß Artikel 5 Abs. 1, lit. d) DS-GVO müssen Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein. Gerade in Anbetracht der Auswirkungen auf betroffene Personen, müssen etwaige Nachteile – etwa durch falsche oder veraltete Daten – unbedingt ausgeschlossen werden. Hier ergibt sich die nächste Frage in Bezug auf die Vorgehensweise der Schufa, denn Auskunfteien sind auf die Mitwirkung weiterer Verantwortlicher angewiesen. Die Datenerhebungen beispielsweise zu Zahlungsausfällen oder eben der fristgerechten Tilgung von Krediten erfolgt bei Banken, Sparkassen anderen Zahlungsdienstleistern, Mobilfunkanbietern, Versicherungen etc. die diese Information an die Schufa weitergeben (oder auch nicht). Ob die Daten zu einer betroffenen Person daher aktuell, vollständig und richtig sind, entzieht sich der Einflussnahme durch die Schufa. Sofern beteiligte Unternehmen nur negative Aspekte an die Schufa weiterleiten, entsteht schnell ein sehr verfälschtes Bild.

à Insofern kann der Grundsatz der Richtigkeit zumindest in Zweifel gezogen werden.

Weitere Grundsätze, wie Datenminimierung, Speicherbegrenzung oder Integrität und Vertraulichkeit der Daten sind als Außenstehender nur schwer zu beurteilen und sollen daher an dieser Stelle nicht näher betrachtet werden. Interessanter und relevanter ist die Prüfung der Rechtmäßigkeit der Datenverarbeitung.

Rechtsgrundlagen der Schufa

Gemäß Artikel 6 Abs. 1 DS-GVO ist eine Datenverarbeitung nur rechtmäßig, sofern gewisse Voraussetzung in Form von Rechtsgrundlagen vorhanden sind. Die von der Schufa benannten Rechtsgrundlagen sind der Datenschutzerklärung  der Schufa zu entnehmen:

  1. So ist laut Schufa die Datenverarbeitung per Einwilligung möglich. Eine Einwilligung soll jedoch freiwillig, spezifisch, informiert und unmissverständlich sein. Im Kontext der Schufa ist dies problematisch, da die Schufa im Falle eines Widerrufs die Daten löschen müsste. Daher scheidet die Einwilligung als Rechtsgrundlage für die Schufa in den meisten Fällen aus. Anders verhält sich dies bei der Datenweitergabe durch Banken, Sparkassen etc. an die Schufa. Hier ist eine Datenweitergabe auf Basis einer Einwilligung gang und gäbe.
  2. Neben der Einwilligung beruft sich die Schufa auf Artikel 6 Abs. 1, lit. b) DS-GVO. Also die Erfüllung vertraglicher Pflichten, dessen Vertragspartei die betroffene Person ist. In aller Regel ist jedoch nicht die betroffene Person Vertragspartei der Schufa, sondern der Verantwortliche, der gern Informationen zur Bonität der betroffenen Person erhalten möchte. Diese Rechtsgrundlage kommt daher nur in Betracht, sofern eine betroffene Person selbst Auskunft über die eigene Bonität verlangt, kann jedoch nicht pauschal genutzt werden, um den Score-Wert zu berechnen und zu aktualisieren.
  3. Als weitere Rechtsgrundlage nennt die Schufa das berechtigte Interesse der Schufa, bzw. die berechtigten Interessen eines Dritten (Art. 6 Abs. 1, lit. f) DS-GVO). In Verbindung mit § 31 BDSG, der insbesondere den Schutz des Wirtschaftsverkehrs mittels Scoring und Bonitätsauskünften regelt, könnte eine angemessene Rechtsgrundlage sein. Als berechtigtes Interesse könnte die Schufa zum Beispiel anführen, dass die Auskunftei als privates Unternehmen Gewinne erzielen möchte und die Kooperationspartner vor risikoreichen Geschäftspartnern und Zahlungsausfällen bewahren möchte.

Das berechtigte Interesse kann als Rechtsgrundlage jedoch nur verwendet werden, sofern nicht „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person“ überwiegen. Hier stehen sich die Reduktion des Risikos von Zahlungsausfällen bei den Partnern der Schufa der Zukunft der betroffenen Person, die ggf. von der Gewährung von Krediten abhängig ist, gegenüber. Es werden also teilweise wirtschaftliche Interessen gegen existenzielle Interessen abgewogen. Hier wäre eine konkrete Einzelfallbetrachtung notwendig, die im Rahmen der Interessensabwägung durch die Schufa – höchst wahrscheinlich – nicht stattfindet. Diese Interessensabwägung müsste – meiner Meinung nach – in vielen Fällen zu Gunsten der betroffenen Person ausfallen.

Welche Möglichkeiten haben die betroffenen Personen?

Die Schufa setzt, wie im vorangegangenen Teil beschrieben, größtenteils auf die Interessensabwägung als Rechtsgrundlage. Im Kapitel 3 enthält die DS-GVO die Betroffenenrechte, unter anderem das Recht auf Widerspruch. Dies besagt, dass die betroffene Person das Recht hat, gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 lit. e oder f (Interessensabwägung) erfolgt, Widerspruch einzulegen. Dies kommt zum Tragen, sofern es Gründe gibt, die sich aus der besonderen Situation der betroffenen Person ergeben.

Mit einem Widerspruch gegen die Verarbeitung muss die Auskunftei detailiert prüfen und eine individuelle Bewertung durchführen und prüfen, ob zwingende schutzwürdige Gründe, die für die Verarbeitung sprechen, bestehen. Sofern dies nicht der Fall ist, ist die Verarbeitung einzustellen.

Eine weitere Möglichkeit sich als Betroffener zu wehren, besteht im „Recht auf Vergessen werden“ nach Artikel 17 DS-GVO. Demnach hat der Betroffene das Recht, vom Verantwortlichen die Löschung der eigenen personenbezogenen Daten zu verlangen. Der Verantwortliche ist verpflichtet im Detail zu prüfen, ob und welche Daten weiterhin erforderlich sind, um die Zwecke zu erfüllen. Dies kann z.B. zum Tragen kommen, wenn:

  • eine Einwilligung zur Datenverarbeitung bei der Schufa widerrufen wird,
  • ein begründeter Widerspruch auf Basis des Artikels 21 im Raum steht,
  • die Daten unrechtmäßig verarbeitet werden. Wobei die Verarbeitung auch den Empfang inkludiert. Hier gilt es zu prüfen, auf Basis welcher Rechtsgrundlage die kooperierenden Unternehmen die Bonitätsdaten an die Schufa übermittelt haben. Haben Sie als betroffene Person Einwilligungen bei Ihrer Bank, Mobilfunkanbieter etc. unterzeichnet oder sind derartige Datenübertragung in den Verträgen konkretisiert?

Wie jedes Unternehmen muss auch jede Auskunftei zudem den Informationspflichten nach Art. 13 bzw. Art. 14 DS-GVO nachkommen. Im Kontext der Schufa ist insbesondere Artikel 14 DS-GVO erwähnenswert, der die verantwortliche Stelle (die Auskunftei) dazu verpflichtet, betroffene Personen über etwaige Datenverarbeitungen zu informieren, wenn Daten nicht direkt bei der betroffenen Person erhoben werden. Dies dürfte für die Datenerhebung durch die Schufa in aller Regel der Fall sein. Die Bonitätsdaten werden von diversen Partnern erhoben und an die Schufa übermittelt. Diese verarbeitet sämtliche Daten für die Erstellung des beschriebenen Scorings. Insofern müsste die Auskunftei sämtliche betroffenen Personen über die Datenverarbeitung informieren. Derartige Mitteilungen sind mir nicht bekannt.  

Fazit zur Schufa

Die Rechtmäßigkeit der Schufa kann durchaus an der einen oder anderen Stelle in Frage gestellt werden. Insbesondere die Rechtgrundlage des berechtigten Interesses in Kombination mit §31 BDSG wird weiterhin kritisch betrachtet. Das VG Wiesbaden äußerte bereits Bedenken, was die EU-Rechtskonformität des Paragraphen anbelangt und hat diese Frage an den EuGH weitergereicht. Inwiefern der EuGH der Einschätzung des VG Wiesbaden folgt bleibt abzuwarten.

Das Team der ENSECUR GmbH unterstützt Sie gerne bei sämtlichen Themen rund um das Datenschutzrecht. Kontaktieren Sie uns!

Verfasser: Steven Bösel, 21.03.2022

Bild von gVi5-a-Vi5 auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.