Datenschutzkonformität der Schufa
4. März 202120. Juni 2022
2
In Compliance, Fakten

Datenschutzkonformität der Schufa

Im folgenden Beitrag wird die Schufa im Kontext mit dem geltenden Datenschutzrecht beleuchtet. Bei der Schufa Holding AG handelt es sich um eine privatwirtschaftliche deutsche Wirtschaftsauskunftei. In erster Linie liegt der Geschäftszweck der Schufa darin, Zahlungserfahrungen von Unternehmen aufzunehmen und zu speichern, um ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter zu versorgen. Die Schufa selbst agiert als Datensammelstelle und erhebt selbst keine Daten. Die Daten erhält sie in der Regel von ihren Vertragspartnern, wie beispielsweise Banken, Leasinggesellschaften, Vermietern oder Telekommunikationsunternehmen. Zudem erhält die Schufa Daten aus der Auswertung der Schuldnerverzeichnisse der deutschen Amtsgerichte.

Vorausgesetzt ein Verbraucher möchte beispielsweise einen Kredit beantragen, einen Miet- oder Mobilfunkvertrag abschließen, kommt dem sog. Schufa-Score eine tragende Rolle zu. Gesetzlich geregelt ist das Scoring in § 31 Abs. 1 BDSG und gilt mit seinen wissenschaftlich anerkannten, statistischen Methoden als rechtlich zulässig. Der Score-Wert kann zwischen 1 bis 100 liegen und trifft eine Aussage darüber, wie die Bonität eines Verbrauchers oder Unternehmens einzustufen und wie hoch das Risiko des Zahlungsausfalles ist. Die Berechnung des Score-Wertes erfolgt alle drei Monate neu, wobei dies in einem automatisierten Rechenverfahren geschieht und eine Vielzahl verschiedener Informationen bei der Berechnung berücksichtigt werden. Die Berechnungsformel, wie die einzelnen Informationen gewichtet und bewertet werden, ist der Allgemeinheit von der Schufa nicht offengelegt worden, da es sich hierbei um ein Geschäftsgeheimnis handelt. Im Hinblick auf das Scoring greift Art. 22 Abs. 1 DSGVO, welcher besagt, dass bei wichtigen Entscheidungen grundsätzlich keine Algorithmen das letzte Wort haben sollen, wobei Abs. 2 des Gesetzes auch Ausnahmen zulässt.

Durch die Sammlung von Informationen zum Zahlungsverhalten von Verbrauchern sollen primär Sicherheit und Vertrauen im Wirtschaftsverkehr geschaffen und eine Überschuldung von Verbrauchern verhindert werden. Im Zuge dessen stellt sich die Frage, wie der Datenschutz von der Schufa eingehalten wird. Bevor die Schufa-Einträge im Hinblick auf das geltende Datenschutzrecht beleuchtet werden können, muss zunächst analysiert werden, welche Daten die Schufa sammelt. Neben den personenbezogenen Daten wie dem Namen, der Anschrift, dem Geburtsort oder dem Geburtstag sammelt die Schufa viele weitere Informationen. Hierbei handelt es sich insbesondere um

  • Informationen über Bank- und Girokonten
  • Kreditkarten
  • laufende Kredite
  • Leasingverträge
  • Mobilfunkverträge
  • vereinbarte Ratenzahlungen
  • Versandhandelskonten
  • Bürgschaften
  • Zahlungsausfälle in der Vergangenheit
  • Vollstreckungsmaßnahmen

Angaben zu Familienstand, Beruf, Einkommen, Vermögen, Kaufverhalten, religiösen oder politischen Einstellungen werden von der Schufa hingegen nicht gespeichert.

Für die Verarbeitung der soeben genannten, äußerst sensiblen Daten benötigt die Schufa eine rechtliche Grundlage, welche ihr die rechtmäßige Datenverarbeitung ermöglicht. Eine Rechtsgrundlage kann sich hierbei explizit aus der DSGVO ergeben. Die bis Mai 2018 in §§ 28 a und 29 BDSG (aF) geltenden Regelungen wurden mit der Einführung der DSGVO und dem neuen BDSG abgelöst. Die neue Rechtsgrundlage bildet Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Hiernach ist die Verarbeitung der Daten rechtmäßig, sofern dies zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, wobei die Interessen und Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordert (insbesondere Kinder) nicht überwiegen. Bei der Interessenabwägung kommt im Rahmen der Rechtsgrundlage auch dem oben bereits erläuterten Scoring nach § 31 BDSG eine starke Indizwirkung zu, da die Vorschrift vorsieht, unter welchen Voraussetzungen die Informationen durch die Datenmeldung an die Schufa durch Auskunfteien genutzt werden dürfen.

Folglich ist die Verarbeitung von Finanzdaten der Verbraucher durch die Schufa rechtmäßig, vorausgesetzt es dient der Wahrung berechtigten Interesses. Das berechtigte Interesse der Schufa an der Verarbeitung der Daten kann unter anderem in dem Schutz ihrer Vertragspartner vor Zahlungsausfällen, der Senkung der Ausfallquote, in der Gewinnerzielung der Kreditgeber oder in der Handlungs- oder Gewerbefreiheit zu sehen sein.  Diesem Interesse steht der Verbraucherschutz entgegen, welcher besagt, dass die Schufa-Einträge niemanden ungerechtfertigt benachteiligen dürfen. Wiegen die Interessen und Rechte des Verbrauchers also nicht schwerer als die der Schufa, ist eine Datenverarbeitung datenschutzrechtlich gestattet.

Einzelfallabhängig besteht die Möglichkeit, eine Löschung eines negativen Schufa-Eintrages vornehmen zu lassen. Damit der Eintrag aufgrund des geltenden Datenschutzrechts löschbar ist, muss der Betroffene aber eine Beeinträchtigung seines Privat- oder Berufslebens nachweisen können. Angriffspunkte für die Löschung bietet die DSGVO mit den Bestimmungen der Informationspflicht nach § 31 Abs. 2 BDSG, dem Widerspruchsrecht laut Art. 21 DSGVO und dem „Recht auf Vergessen werden“ bzw. Recht auf Löschung nach Art. 17 DSGVO. Im Rahmen der Informationspflicht müssen dem Schuldner mindestens zwei Mahnungen zugehen, bevor es durch die Schufa zu einem Negativeintrag kommt. Voraussetzung hierbei ist, dass eine der Mahnungen den Schuldner darüber informiert, dass ihm ein negativer Eintrag droht. Bei einem Verstoß gegen soeben genannte Voraussetzung lässt sich der Eintrag entfernen.

Laut Art. 21 DSGVO kommt den Verbrauchern ein Widerspruchsrecht gegen die Schufa und deren Datenverarbeitung zu. Für die Ausübung des Widerspruchsrechts ist es erforderlich, dass wichtige Gründe gegen die Datenverarbeitung sprechen, wie beispielsweise die Tatsache, dass aufgrund der Schufa keine Wohnung erworben werden kann. Art. 17 DSGVO räumt den Personen ein „Recht auf Vergessenwerden“ ein, welches besagt, dass Verbraucher die unverzügliche Löschung eines Schufa-Eintrages verlangen können, sofern besondere persönliche Interessen gewichtiger sind als die Datenverwendung.

Weiter ist im Sinne der DSGVO von dem Verantwortlichen zu beachten, dass die Datenmeldung in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO aufgenommen wird, da es sich hierbei auch um eine Verarbeitung im Sinne der Art. 4 Nr.2 DSGVO handelt. Außerdem muss der Betroffene von dem Verantwortlichen über die Weiterleitung an eine Auskunftei nach Art. 13 DSGVO informiert werden. Im Zuge dessen kann der Betroffene Auskunft über die Datenmeldung an die Schufa und deren Inhalte nach Art. 15 Abs. 1 lit c) DSGVO verlangen.

Essenz

  • Schufa Holding AG ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei, welche als Datensammelstelle agiert
  • Geschäftszweck der Schufa: Zahlungserfahrungen von Unternehmen aufzunehmen und zu speichern, um ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter zu versorgen
  • Schufa-Score kommt tragende Rolle zu, wobei das Scoring gesetzlich in § 31 Abs. 1 BDSG geregelt ist und mit seinen wissenschaftlich anerkannten, statistischen Methoden als rechtlich zulässig erachtet wird
  • Rechtsgrundlage für Verarbeitung von Schufa-Daten bildet Art. 6 Abs. 1 S. 1 lit. f) DSGVO
  • Einzelfallabhängige Löschung eines negativen Schufa-Eintrages nach § 31 Abs. 2 BDSG, Art. 17 und 21 DSGVO