DSGVO & SCHUFA – Alles Wichtige in Kürze

  • neues Datenschutzrecht mit umfangreichen Auskunftsrechten für Betroffene
  • Datensammlung und -verbeitung schon aus berechtigtem Interesse ohne Einwilligung möglich
  • Auskunftpflicht über Informationen und gesammelte Daten und deren Ursprung, aber nicht zur Berechnung der Bonität
  • Löschung von Daten nur nach festgelegten Kriterien

Die DSGVO soll den Schutz personenbezogener Daten verbessern. Eben solche Daten werden von der SCHUFA erhoben und verarbeitet. Unternehmen wie die SCHUFA ermitteln die Daten in der Regel nicht selbst. Informationen werden vom Vertragspartner übermittelt. Gesammelt werden persönliche Daten wie Name, Geburtsdatum und Anschrift, aber auch finanzielle Informationen. So liegen SCHUFA & Co. zum Beispiel Daten zu Bankkonten, Mobilfunk-, Kreditkarten- und Leasingverträgen, Krediten sowie Zahlungsunregelmäßigkeiten vor. Aus all diesen Informationen wird die Bonität anhand eines Scores errechnet. Mit diesem entscheiden Mobilfunkanbieter, Banken oder Leasinggeber, aber auch Vermieter, ob sie mit dem Betroffenen einen Vertrag eingehen wollen.

Unter Umständen hängt vom SCHUFA-Score also viel ab. Einfluss darauf können Betroffene kaum nehmen. Dabei liegt es in deren Interesse, welche Daten erhoben und wie diese verarbeitet werden. Mit der DSGVO, dem neuen Bundesdatenschutzgesetz (BDSG) und den damit einhergehenden Änderungen im Datenschutzrecht wird die Kontrolle über persönliche Daten gestärkt. Doch verbessert das auch die Position gegenüber der SCHUFA und anderen Auskunfteien?


Änderungen beim Datenschutz – Darf die SCHUFA Daten sammeln?

Ob und wie Daten gesammelt und verarbeitet werden können, regelt seit dem 25. Mai 2018 die DSGVO. Wie bisher ist die Erhebung von Informationen mit dem Einverständnis des Betroffenen möglich. Bekannt sind entsprechende Klauseln von den Unterlagen bei Handyverträgen, dem Kreditkartenvertrag oder bei der Kontoeröffnung. Die nun in Kraft getretenen Neuregelungen beinhalten im Fall einer Einwilligung, dass der Betroffene ausführlich über die Datensammlung und -verarbeitung aufzuklären ist. Ob Unternehmen diesen Aufwand in Kauf nehmen und sich dem Risiko unzureichender Aufklärung aussetzen, ist fraglich.

Rechtmäßigkeit von Datenverarbeitung

  • Einwilligung des Betroffenen
  • Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung einer vorvertraglichen Maßnahme
  • Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen

Die DSGVO gibt SCHUFA und Co. allerdings weitere Möglichkeiten zur Datenerhebung. So ist das Sammeln und Verarbeiten von Informationen rechtmäßig, wenn es bei der Vertragserfüllung beziehungsweise bei vorvertraglichen Maßnahmen erforderlich ist oder der Wahrung berechtigter Interessen dient. Diese Regelungen lassen viel Spielraum. Zweifellos ist es ein berechtigtes Interesse von Banken, Vermietern oder Mobilfunkanbietern, die Kreditwürdigkeit der Vertragspartner zu kennen. Die SCHUFA selbst nimmt darauf in ihrer Datenschutzerklärung Bezug. Wo allerdings die Grenzen liegen, bleibt vage.

Neu ist eine derartige Regelung nicht. Entsprechende Möglichkeiten hat schon das BDSG in der alten Fassung gegeben. Durch die erhöhte Informationspflicht bei einer Einwilligung wird das berechtigte Interesse wohl zunehmend als Rechtfertigung für die Datenerhebung dienen. Alles, ohne den Betroffenen darüber in Kenntnis setzten zu müssen, sieht man von der Nennung in Datenschutzerklärungen oder den Allgemeinen Geschäftsbedingungen ab.

Datenerhebung mit Interessensabwägung

So unspezifisch wie die Erlaubnis zur Datenerhebung ist auch deren Begrenzung. Welche Daten erhoben werden, ist durch eine Interessensabwägung zu ermitteln. Diese Abwägung hat dabei einzeln sowohl für das Sammeln als auch für das Verarbeiten von Daten zu erfolgen. Dem Gewinninteresse und der Sicherheit vor Zahlungsausfällen bei Unternehmen steht der Datenschutz sowie die Privatsphäre des Betroffenen entgegen. Vielfach wird zudem ein Schutz des Betroffenen vor Überschuldung in die Abwägung einbezogen. Wie genau diese Interessensabwägung geschieht und ob alle relevanten Punkte entsprechend berücksichtigt werden, bleibt dabei ungewiss. Ohne eine entsprechende Transparenz bleiben Fehler häufig unentdeckt. In der Praxis ändert sich für die Betroffenen durch die DSGVO, trotz der verbesserten Auskunftspflicht, sehr wenig.


DSGVO – Hat die SCHUFA nun die Pflicht zur Herausgabe der Daten und zur Löschung?

Jeder Verbraucher hat das Recht, Auskunft über die bei der SCHUFA und anderen Auskunfteien gespeicherten Daten zu erhalten. Das war bereits vor Inkrafttreten der neuen Regelungen durch §34 in der alten Fassung des BDSG geregelt. Diese Regelung wird nun durch Art. 15 DSGVO ersetzt. Demnach ist die SCHUFA verpflichtet Auskunft darüber zu erteilen, ob und wie persönliche Daten gesammelt und verarbeitet werden.

Worüber Auskunft erteilt wird, ist genau geregelt. Demnach lässt sich erfragen, welche Informationen die SCHUFA von einem hat, allerdings entspricht die entsprechende Auskunft nicht der Bonitäts-Auskunft. Man erhält lediglich die Grundlage. Auch sind SCHUFA und andere Auskunfteien nicht verpflichtet, die Berechnung des jeweiligen Scorings offenzulegen. Das wurde bereits 2014 vom Bundesgerichtshof entschieden.

Recht auf Vergessenwerden mit Einschränkungen

Mit der DSGVO wurde das Recht auf Vergessenwerden im europäischen Datenschutzrecht niedergeschrieben. Nun gibt es ein umfassendes Recht auf die Löschung von gespeicherten Daten. „Umfassend“ bedeutet jedoch nicht, dass die Informationen auf Wunsch vollständig gelöscht werden. Unter welchen Umständen Daten gelöscht werden müssen, zeigt Art 17 DSGVO genau auf:

  • Wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
  • Wenn die betroffene Person ihre Einwilligung widerruft und diese an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt.
  • Wenn die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
  • Wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
  • Wenn die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist.
  • Wenn die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote, wie Medien, Webshops oder Online-Spiele, erhoben wurden.

Somit bleiben selbst bei einem Löschungswunsch die Daten gespeichert, wenn sie für den jeweiligen Zweck notwendig sind oder berechtigte Gründe vorliegen. Hier wird wieder auf die Interessensabwägung abgestellt. Vor dem Hintergrund der Bonitätsauskunft werden SCHUFA und Co. daher auch bei einer Aufforderung zur Löschung weiterhin mit persönlichen Daten arbeiten können. Ein genereller Entzug der Bewertung durch SCHUFA und andere Unternehmen scheint daher wenig umsetzbar.


DSGVO und SCHUFA – Fazit

Mit der DSGVO und dem neuen BDSG erhalten Betroffene mehr Rechte hinsichtlich der Erfassung und Verwendung dieser Daten. Die volle Kontrolle darüber bekommen sie jedoch nicht. SCHUFA und andere Auskunfteien können weiterhin persönliche Daten erheben und verarbeiten. Eine vollständige Löschung lässt sich nicht erreichen.

Verbraucher bleiben somit weiterhin von der Bonitäts-Bewertung durch SCHUFA & Co. abhängig. Ob es einen Kredit, ein Leasing oder einen Handyvertrag gibt, ergibt sich durch das Scoring. Zu den Basisdaten bekommen die Betroffenen Informationen, doch wie sich der Wert genau ergibt, bleibt geheim. So viel Transparenz ergibt sich dann auch durch die DSGVO nicht.

Hier hilft vielleicht das OpenSCHUFA-Projekt weiter. Dieses will herausfinden, wie der SCHUFA-Wert errechnet wird. Im Erfolgsfall könnten sich Betroffene dann entsprechend einstellen, bevor sich SCHUFA und die anderen darauf einstellen. Zumindest wäre es ein Gewinn auf Zeit.

Foto: SCHUFA Holding AG