DSGVO & SCHUFA – Alles Wichtige in Kürze
- neues Datenschutzrecht mit umfangreichen Auskunftsrechten für Betroffene
- Datensammlung und -verbeitung schon aus berechtigtem Interesse ohne Einwilligung möglich
- Auskunftpflicht über Informationen und gesammelte Daten und deren Ursprung, aber nicht zur Berechnung der Bonität
- Löschung von Daten nur nach festgelegten Kriterien
Die DSGVO soll den Schutz personenbezogener Daten verbessern. Eben solche Daten werden von der SCHUFA erhoben und verarbeitet. Unternehmen wie die SCHUFA ermitteln die Daten in der Regel nicht selbst. Informationen werden vom Vertragspartner übermittelt. Gesammelt werden persönliche Daten wie Name, Geburtsdatum und Anschrift, aber auch finanzielle Informationen. So liegen SCHUFA & Co. zum Beispiel Daten zu Bankkonten, Mobilfunk-, Kreditkarten- und Leasingverträgen, Krediten sowie Zahlungsunregelmäßigkeiten vor. Aus all diesen Informationen wird die Bonität anhand eines Scores errechnet. Mit diesem entscheiden Mobilfunkanbieter, Banken oder Leasinggeber, aber auch Vermieter, ob sie mit dem Betroffenen einen Vertrag eingehen wollen.
Unter Umständen hängt vom SCHUFA-Score also viel ab. Einfluss darauf können Betroffene kaum nehmen. Dabei liegt es in deren Interesse, welche Daten erhoben und wie diese verarbeitet werden. Mit der DSGVO, dem neuen Bundesdatenschutzgesetz (BDSG) und den damit einhergehenden Änderungen im Datenschutzrecht wird die Kontrolle über persönliche Daten gestärkt. Doch verbessert das auch die Position gegenüber der SCHUFA und anderen Auskunfteien?
Änderungen beim Datenschutz – Darf die SCHUFA Daten sammeln?
Ob und wie Daten gesammelt und verarbeitet werden können, regelt seit dem 25. Mai 2018 die DSGVO. Wie bisher ist die Erhebung von Informationen mit dem Einverständnis des Betroffenen möglich. Bekannt sind entsprechende Klauseln von den Unterlagen bei Handyverträgen, dem Kreditkartenvertrag oder bei der Kontoeröffnung. Die nun in Kraft getretenen Neuregelungen beinhalten im Fall einer Einwilligung, dass der Betroffene ausführlich über die Datensammlung und -verarbeitung aufzuklären ist. Ob Unternehmen diesen Aufwand in Kauf nehmen und sich dem Risiko unzureichender Aufklärung aussetzen, ist fraglich.
Rechtmäßigkeit von Datenverarbeitung
- Einwilligung des Betroffenen
- Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung einer vorvertraglichen Maßnahme
- Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen
Die DSGVO gibt SCHUFA und Co. allerdings weitere Möglichkeiten zur Datenerhebung. So ist das Sammeln und Verarbeiten von Informationen rechtmäßig, wenn es bei der Vertragserfüllung beziehungsweise bei vorvertraglichen Maßnahmen erforderlich ist oder der Wahrung berechtigter Interessen dient. Diese Regelungen lassen viel Spielraum. Zweifellos ist es ein berechtigtes Interesse von Banken, Vermietern oder Mobilfunkanbietern, die Kreditwürdigkeit der Vertragspartner zu kennen. Die SCHUFA selbst nimmt darauf in ihrer Datenschutzerklärung Bezug. Wo allerdings die Grenzen liegen, bleibt vage.
Neu ist eine derartige Regelung nicht. Entsprechende Möglichkeiten hat schon das BDSG in der alten Fassung gegeben. Durch die erhöhte Informationspflicht bei einer Einwilligung wird das berechtigte Interesse wohl zunehmend als Rechtfertigung für die Datenerhebung dienen. Alles, ohne den Betroffenen darüber in Kenntnis setzten zu müssen, sieht man von der Nennung in Datenschutzerklärungen oder den Allgemeinen Geschäftsbedingungen ab.
Datenerhebung mit Interessensabwägung
So unspezifisch wie die Erlaubnis zur Datenerhebung ist auch deren Begrenzung. Welche Daten erhoben werden, ist durch eine Interessensabwägung zu ermitteln. Diese Abwägung hat dabei einzeln sowohl für das Sammeln als auch für das Verarbeiten von Daten zu erfolgen. Dem Gewinninteresse und der Sicherheit vor Zahlungsausfällen bei Unternehmen steht der Datenschutz sowie die Privatsphäre des Betroffenen entgegen. Vielfach wird zudem ein Schutz des Betroffenen vor Überschuldung in die Abwägung einbezogen. Wie genau diese Interessensabwägung geschieht und ob alle relevanten Punkte entsprechend berücksichtigt werden, bleibt dabei ungewiss. Ohne eine entsprechende Transparenz bleiben Fehler häufig unentdeckt. In der Praxis ändert sich für die Betroffenen durch die DSGVO, trotz der verbesserten Auskunftspflicht, sehr wenig.
DSGVO – Hat die SCHUFA nun die Pflicht zur Herausgabe der Daten und zur Löschung?
Jeder Verbraucher hat das Recht, Auskunft über die bei der SCHUFA und anderen Auskunfteien gespeicherten Daten zu erhalten. Das war bereits vor Inkrafttreten der neuen Regelungen durch §34 in der alten Fassung des BDSG geregelt. Diese Regelung wird nun durch Art. 15 DSGVO ersetzt. Demnach ist die SCHUFA verpflichtet Auskunft darüber zu erteilen, ob und wie persönliche Daten gesammelt und verarbeitet werden.
Worüber Auskunft erteilt wird, ist genau geregelt. Demnach lässt sich erfragen, welche Informationen die SCHUFA von einem hat, allerdings entspricht die entsprechende Auskunft nicht der Bonitäts-Auskunft. Man erhält lediglich die Grundlage. Auch sind SCHUFA und andere Auskunfteien nicht verpflichtet, die Berechnung des jeweiligen Scorings offenzulegen. Das wurde bereits 2014 vom Bundesgerichtshof entschieden.
Recht auf Vergessenwerden mit Einschränkungen
Mit der DSGVO wurde das Recht auf Vergessenwerden im europäischen Datenschutzrecht niedergeschrieben. Nun gibt es ein umfassendes Recht auf die Löschung von gespeicherten Daten. „Umfassend“ bedeutet jedoch nicht, dass die Informationen auf Wunsch vollständig gelöscht werden. Unter welchen Umständen Daten gelöscht werden müssen, zeigt Art 17 DSGVO genau auf:
- Wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
- Wenn die betroffene Person ihre Einwilligung widerruft und diese an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt.
- Wenn die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
- Wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
- Wenn die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist.
- Wenn die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d. h. Internetangebote, wie Medien, Webshops oder Online-Spiele, erhoben wurden.
Somit bleiben selbst bei einem Löschungswunsch die Daten gespeichert, wenn sie für den jeweiligen Zweck notwendig sind oder berechtigte Gründe vorliegen. Hier wird wieder auf die Interessensabwägung abgestellt. Vor dem Hintergrund der Bonitätsauskunft werden SCHUFA und Co. daher auch bei einer Aufforderung zur Löschung weiterhin mit persönlichen Daten arbeiten können. Ein genereller Entzug der Bewertung durch SCHUFA und andere Unternehmen scheint daher wenig umsetzbar.
DSGVO und SCHUFA – Fazit
Mit der DSGVO und dem neuen BDSG erhalten Betroffene mehr Rechte hinsichtlich der Erfassung und Verwendung dieser Daten. Die volle Kontrolle darüber bekommen sie jedoch nicht. SCHUFA und andere Auskunfteien können weiterhin persönliche Daten erheben und verarbeiten. Eine vollständige Löschung lässt sich nicht erreichen.
Verbraucher bleiben somit weiterhin von der Bonitäts-Bewertung durch SCHUFA & Co. abhängig. Ob es einen Kredit, ein Leasing oder einen Handyvertrag gibt, ergibt sich durch das Scoring. Zu den Basisdaten bekommen die Betroffenen Informationen, doch wie sich der Wert genau ergibt, bleibt geheim. So viel Transparenz ergibt sich dann auch durch die DSGVO nicht.
Hier hilft vielleicht das OpenSCHUFA-Projekt weiter. Dieses will herausfinden, wie der SCHUFA-Wert errechnet wird. Im Erfolgsfall könnten sich Betroffene dann entsprechend einstellen, bevor sich SCHUFA und die anderen darauf einstellen. Zumindest wäre es ein Gewinn auf Zeit.
Foto: SCHUFA Holding AG
Kommentare (18)
Schreiben Kommentar schreibenSpannend fände ich ja, auf welcher Grundlage die goldige Schufa bis zu Euro 6,95 – wohlgemerkt monatlich und mit einer Mindestlaufzeit von einem Jahr zzgl. „Aktivierungsgebühr“ – aufrufen darf? Gelinde gesagt, ein recht mafiöses Geschäftsmodell, das ich mit der DSGVO nicht wirklich in Einklang bringe.
Es gibt wohl ein Misssverständnis hinsichtlich der DSGVO. Die neuen Regelungen dienen nicht dazu, dem Betroffenen die volle Kontrolle über die Daten wiederzugeben. Die Verordnung erhöht die Transparenz, verbessert zum Teil den Schutz vor Missbrauch und vereinheitlicht die Regelungen innerhalb Europas.
Schon vor der DSGVO gab es die Möglichkeit zur Erhebung und der Verarbeitung von Daten. Diese Möglichkeit gibt es weiter. Vor allem wird dabei auf das "berechtigte Interesse" und eine Interessensabwägung abgestellt. Diese wird bei der SCHUFA und anderen Auskunfteien als gegeben erachtet. Daran wird sich nichts ändern.
Letztendlich kann man wohl sagen, dass die DSGVO durchaus den Datenschutz verbesser, mit den Regelungen aber vor allem die "Kleinen" trifft. Kleine Shops, Vereine, Blogger z.B. Große Unternehmen werden dadurch wenig beeinträchtigt.
Spannend fände ich ja, auf welcher Grundlage die goldige Schufa bis zu Euro 6,95 – wohlgemerkt monatlich und mit einer Mindestlaufzeit von einem Jahr zzgl. „Aktivierungsgebühr“ – aufrufen darf? Gelinde gesagt, ein recht mafiöses Geschäftsmodell, das ich mit der DSGVO nicht wirklich in Einklang bringe.
Was für ein Deutsch
was hat die bundesdatenschutzbeauftragte damit zu tun? nichts. die ist für die meisten unternehmen gar nicht zuständig, sondern für die bundesbehörden (und ein paar ausnahmen). fazit: du erzählst quatsch. ;)
Ich hab mich erst an die Landes-Datenschutzbeauftragten gewendet, aber wurde von denen an die Bundesdatenschutzbeauftragte verwiesen. Es ging um z.B. um Mobilfunkanbieter.
Die Bundesdatenschutzbeauftragte ist also sehr wohl zuständig. Wieso weiß ich nicht, das musst du sie selber fragen ;-)
Noch ein wichtiger allgemeiner Tipp zum Thema Bonität, wenn eine Firma einen als Vertragspartner ablehnt (und es angeblich NICHT an Schufa und Co liegt). Das habe ich schon mehrmals (!) erfolgreich so durchgespielt:
1. Anfrage an Firma gemäß Datenschutzgesetz zu gespeicherten Daten und Wahrscheinlichkeitswerten, denn ich muss ja wegen einem von beiden als Vertragspartner abgelehnt worden sein -> die Firma antwortet: nein, keine Daten vorhanden, sondern es war unsere freie Entscheidung, Sie als Geschäftspartner abzulehnen.
2. Das ganze an die Bundesdatenschutzbeauftragte geben, mit der Bitte tätig zu werden -> die wenden sich an die Firma, wollen wissen was da los ist und wieso ich keine Auskunft erhalten habe
3. Die Firma meldet sich bei mir und sagt, dass es nur ein "Fehler" war, und ich jetzt selbstverständlich als Vertragspartner akzeptiert werde ;-)
was hat die bundesdatenschutzbeauftragte damit zu tun? nichts. die ist für die meisten unternehmen gar nicht zuständig, sondern für die bundesbehörden (und ein paar ausnahmen). fazit: du erzählst quatsch. ;)
fakt ist: ihr wisst es nicht. es ist völlig unklar wie sich auskunfteien positionieren. also berichtet einfach nicht drüber, denn alles was ihr schreibt kann richtig aber auch falsch sein.
Es ist ziemlich klar. Jetzt auch mit einem ausführlichen Artikel.
Könnte ich dann nicht auch auf mein "Recht auf Vergessenwerden" gelten machen und die schufa dazu zwingen alle meine Daten zu löschen?
Das wird nicht gehen. Löschungen erfolgen nur nach bestimmten Kriterien. Im Artikel findest du Details
😄
DSGVO dieses Gesetz kotzt mich jetzt schon an, seit Tagen werde ich zu gemüllt mit emails! Naja ein gutes hat es ja ist wie ein Spamfilter der dich von überall abmelden tut, solange du nicht wieder einwilligen tust :D
Könnte ich dann nicht auch auf mein "Recht auf Vergessenwerden" gelten machen und die schufa dazu zwingen alle meine Daten zu löschen?
Das kannst dir abschminken, dann würde in Deutschland die Wirtschaft zusammen brechen!
Die Schufa ist sowieso das kriminellste Pack in Deutschland, sammeln Daten ohne sich Rechtfertigen zu müssen und entscheiden darüber ob du in Deutschland wirtschaftlich existieren darfst. EU und Co labbern immer von Datenschutz und Recht und Ordnung, erlauben dann sowas. Würde mich nicht wundern wenn der Typ von der Schufa ganz dreckige Vettern hat in Machtpositionen.
Noch ein wichtiger allgemeiner Tipp zum Thema Bonität, wenn eine Firma einen als Vertragspartner ablehnt (und es angeblich NICHT an Schufa und Co liegt). Das habe ich schon mehrmals (!) erfolgreich so durchgespielt:
1. Anfrage an Firma gemäß Datenschutzgesetz zu gespeicherten Daten und Wahrscheinlichkeitswerten, denn ich muss ja wegen einem von beiden als Vertragspartner abgelehnt worden sein -> die Firma antwortet: nein, keine Daten vorhanden, sondern es war unsere freie Entscheidung, Sie als Geschäftspartner abzulehnen.
2. Das ganze an die Bundesdatenschutzbeauftragte geben, mit der Bitte tätig zu werden -> die wenden sich an die Firma, wollen wissen was da los ist und wieso ich keine Auskunft erhalten habe
3. Die Firma meldet sich bei mir und sagt, dass es nur ein "Fehler" war, und ich jetzt selbstverständlich als Vertragspartner akzeptiert werde ;-)
Man schon immer seine Schufadaten einmal jährlich kostenlos abfragen.