Zum Inhalt springen Zur Navigation springen
Schufa & Co.: Was ändert sich für Auskunfteien durch die DSGVO?

Schufa & Co.: Was ändert sich für Auskunfteien durch die DSGVO?

Die Datenverarbeitung durch Auskunfteien (z.B. Schufa) ist bisher im Bundesdatenschutzgesetz bereichsspezifisch geregelt. Der folgende Beitrag liefert einen ersten Überblick über die Auswirkungen der DSGVO auf das Auskunftei-Wesen.

Was machen Auskunfteien wie die Schufa?

Auskunfteien sind privatwirtschaftlich geführte Unternehmen. Sie sammeln Informationen über die wirtschaftliche Betätigung, Kreditwürdigkeit und Zahlungsfähigkeit von Unternehmen und Privatpersonen. Die gewonnenen Informationen werden gespeichert und an anfragende Stellen bei Geschäftsvorfällen mit finanziellen Ausfallrisiken weitergegeben. Zu den bekanntesten Auskunfteien in Deutschland zählen die Schufa, Creditreform, Bürgel sowie die Arvato Infoscore.

Bisherige Regelung im Bundesdatenschutzgesetz

Das aktuelle Bundesdatenschutzgesetz (BDSG) lässt die Datenverarbeitung von Auskunfteien ausdrücklich zu und enthält detaillierte, bereichsspezifische Regelungen in den §§ 28a, 28b und 29 Abs.1 und Abs.2 BDSG. Diese Regelungen enthalten Vorgaben für jede Verarbeitungsphase im Auskunfteiwesen. Im Einzelnen sind das: die Übermittlung bestimmter Daten an die Auskunftei und die Auskunft und Speicherung der Daten durch die Auskunftei. Der Gesetzgeber wollte mit der damaligen Schaffung dieser Regelungen die Rechte der Betroffenen insbesondere durch weitere Informations- und Auskunftsrechte stärken und mehr Rechtssicherheit durch die Einführung spezifischer Erlaubnistatbestände erreichen.

Auskunfteien – Rechtslage nach DSGVO und BDSG-neu

Die bestehenden Regelungen werden zum 25.5.2018 durch die DSGVO und das BDSG-neu (§§ 30, 31 BDSG-neu) abgelöst. Wie nach bisherigem Recht ist eine Datenverarbeitung nur dann zulässig, soweit ein entsprechender Erlaubnistatbestand besteht. Für die Verarbeitungspraxis von Auskunfteien kommen insbesondere folgende Erlaubnistatbestände in Betracht:

Einwilligung des Betroffenen

Ein möglicher Erlaubnistatbestand zur Rechtfertigung von Datenverarbeitung im Auskunfteiwesen ist die Einholung einer Einwilligung vom Betroffenen. Damit die Einwilligung eine Verarbeitung rechtfertigen kann, sind allerdings umfassende Anforderungen an die Informiertheit und Freiwilligkeit der Betroffenen zu erfüllen. Die Kreditwirtschaft nimmt von diesem Erlaubnistatbestand zunehmend Abstand, insbesondere weil sich die Datenverarbeitungen auch auf andere Weise einfacher rechtfertigen lassen.

Durchführung vorvertraglicher Maßnahmen

Als weiterer Erlaubnistatbestand kommt die Datenverarbeitung zur Durchführung von vorvertraglichen Maßnahmen in Betracht. Schließlich führen Kreditinstitute gerade in der Vertragsanbahnung mit einem potentiellen Kreditnehmer entsprechende Abfragen bei Auskunfteien durch. Da der Erlaubnistatbestand aber keine Einbindung Dritter zur Durchführung vorvertraglicher Maßnahmen zulässt, scheidet dieser Erlaubnistatbestand aus.

Wahrung des berechtigten Interesses

Es bleibt also nur der Erlaubnistatbestand übrig, der zukünftig für die Rechtfertigung einer Vielzahl von Datenverarbeitung relevant wird: die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen. Problematisch ist, dass der Tatbestand sehr allgemein formuliert ist und er keine Kriterien zur Abwägung von Interessen in bestimmten spezifischen Bereichen enthält. Damit ist eine nicht unerhebliche Rechtsunsicherheit verbunden. Für die datenschutzrechtlichen Regelungen zum Auskunfteiwesen ist die Interessenabwägung aber kein Novum. Auch bisher war sie z.B. in § 29 Abs.1 Nr.1 und § 29 Abs. 2 BDSG von zentraler Bedeutung bei der Speicherung von Daten durch eine Auskunftei bzw. bei der Übermittlung von Daten von einer Auskunftei an einen Dritten. Wie in vielen anderen Bereichen, können die zu diesen Interessenabwägungen getroffenen Entscheidungen und entwickelten Argumentationen nun auch im Rahmen der Datenverarbeitung durch Auskunfteien nach Art. 6 Abs.1 f) DSGVO berücksichtigt werden.

Kriterien für die Interessenabwägung

Es ist also auch zukünftig für jeweilige Verarbeitungsphase eine Interessenabwägung durchzuführen. Auf Seiten der Kreditgeber, die Auskunfteien einsetzen, sind die Gewinnerzielung, die Senkung der Ausfallquote und der Schutz vor kreditorischen Risiken in die Abwägung einzustellen. Demgegenüber hat der potentielle Kreditnehmer ein Interesse am Schutz seiner Forderungsdaten und seiner finanziellen Situation. Es sollte in dieser Abwägung aber auch nicht unberücksichtigt bleiben, dass die Datenverarbeitung durch Auskunfteien auch ein Selbstschutz für den potentiellen Kreditnehmer vor einer drohenden Überschuldung darstellen kann.

Informationspflichten und Betroffenenrechte

Auskunfteien verdienen ihr Geld durch das Bereitstellen von Informationen. Daher haben sie es meist darauf abgesehen, dass dieser Dienst kostenpflichtig in Anspruch genommen wird. Der gesetzliche und unentgeltliche Auskunftsanspruch, der gem. § 34 BDSG einmal jährlich in Anspruch genommen werden kann, war da eher ein Dorn im Auge. Gerade die Schufa sorgte hier für Schlagzeilen.

Doch Auskunfteien sind zukünftig an die umfassenden Informationspflichten gebunden, die mit der Datenschutz-Grundverordnung auf die Verantwortlichen zukommen. Dabei ist auf die Unterscheidung zwischen den Informationspflichten bei Direkterhebung nach Art. 13 DSGVO (z.B. durch den Kreditgeber) und den Pflichten bei Dritterhebung nach Art. 14 DSGVO (durch die Auskunftei) zu achten.

Nicht nur der Kreditgeber muss bei der Erhebung der Daten vom potentiellen Kreditnehmer über die Datenverarbeitung informieren, diese Pflicht trifft auch die Auskunftei, die Daten des Betroffenen vom Kreditgeber erlangt. Zu den Informationspflichten gehört auch die Aufklärung über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und Informationen über die involvierte Logik.

Die vorstehend genannten Informationen werden auch dann relevant, wenn ein Betroffener künftig einen Auskunftsanspruch nach Art. 15 DSGVO beim Kreditgeber oder einer Auskunftei geltend macht. Dies führt dazu, dass einige Auskunfteien ihren Prozess zur Erfüllung der Informationspflichten und der Betroffenenrechte mit der DSGVO anpassen werden müssen. So listet die Schufa auf ihrer Website zur Datenübersicht nach § 34 BDSG auf, dass diese Informationen nur auf Papier und nur einmal im Jahr bereitgestellt werden. Wer diese online oder häufiger aufrufen möchte, muss zahlen.

Zukünftig muss die Schufa gemäß Art. 15 Abs. 3 DSGVO die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch gestellt hat. Zudem hat sie nach Art. 12 Abs. 5 DSGVO diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Nur bei offenkundig unbegründeten oder exzessiven Anträgen des Betroffenen kann die Schufa ein Entgelt verlangen oder den Antrag ablehnen. Erwägungsgrund 63 DSGVO führt weiter aus, dass betroffene Personen ihr Auskunftsrecht in angemessenen Abständen und problemlos wahrnehmen können sollen. So ist es im Einzelfall durchaus denkbar, dass eine Auskunft dem Betroffenen öfter als einmal pro Jahr gewährt werden muss.

Keine wesentlichen Änderungen

Die Verarbeitungspraxis von Auskunfteien erfährt durch die DSGVO und das BDSG-neu keine grundlegende Änderung. Vielfach kann auf bereits bestehende Wertungsentscheidungen zurückgegriffen werden. Die Herausforderung für Kreditgeber und Auskunfteien wird es u.a. sein, für die jeweiligen Datenverarbeitungen saubere Interessenabwägungen durchzuführen und diese – wie gesetzlich gefordert – zu dokumentieren. Daneben bringen die Prozesse zur Erfüllung der Informationspflichten und der Betroffenenrechte einigen Anpassungsbedarf mit sich.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ich habe von Bürgel Bonität Auskunft GmbH ein Brief bekommen das ich kein Telekom Mobilfunk Vertrag abgelehnt wegen Bonität
    , Ich habe schon meinen Rechtsanwalt eingeschaltet , mit wird seit 2009 meine Identität ständig Missbraucht , und die Bürgel Bonität Auskunft GmbH hat nichts anders zutun mir den Mobilfunk Vertrag abzulehnen obwohl ich von der Schufa gute Score habe im sofort ein Vertrag zu bekommen ich habe jetz von der Drilich GmbH einen Vertrag bekommen der ist mir zugeschickt worden

  • ein Punkt beschäftigt mich seit einiger Zeit in Bezug auf die Schufa. Kann man verlangen, das die von der eigenen Person bei der Schufa, Creditreform oder anderen Auskunfteien gespeicherten Daten gelöscht werden? Und wenn ja, welche Folgen würde das haben?
    Es gab schon hier einige hitzige Diskussionen darüber, aber keine klare Antwort.
    Danke

    • Ein Löschrecht könnte sich ergeben, wenn der Betroffene gegen die Datenverarbeitung einen Widerspruch nach Art. 21 DSGVO einlegt. In diesen Fällen steht ihm ein Recht auf Löschung der Angaben nach Art. 17 Buchst. c DS-GVO zu, wenn die Auskunftei kein berechtigtes Interesse an der Speicherung nachweist, das nicht von höherrangigeren Interessen der betroffenen Person überwogen wird. Solange der Betroffene z.B. in einem Schuldnerverzeichnis eingetragen ist, spricht eine Vermutung für die Rechtmäßigkeit der Speicherung. Dh. ob ein Recht auf Löschung besteht hängt vom Einzelfall ab.

      • Hi Dr. Dsch,
        was kann man unter ‚das nicht von höherrangigeren Interessen‘ verstehen?

      • Ich habe gerade so ein Problem. Die DSGVO ist offensichtlich nur für den Pöbel gedacht, aber nicht für die mächtigen Bonitäts Auskunfts Unternehmen. Die schludern weiter wie zuvor. Jede ihre eigene Datenbank. Ein Kampf gegen Windmühlen und ständig die Ausrede. Wir löschen nicht, das Interesse Dritter, könnte zu einem anderen Zeitpunkt bestehen. Ich finde, die Auskunfteien sollten verstaatlicht und zentralisiert werden.

  • Bei einem Girokonto auf Guthabenbasis ohne Dispo und ohne Kreditkarte (ausschließlich Debit-Karten) entfällt doch das berechtigte Interesse den Betroffenen vor Überschuldung zu bewahren auf Seite des Kunden und das Interesse vor Verlusten im Kreditgeschäft auf Seite der Bank. Vor diesem Hintergrund sollte es doch möglich sein, der Bank zu untersagen, personenbezogene Daten an die SCHUFA zu senden und aufzufordern, bereits gesendete Daten, wie das bestehen eines Girokontos, bei der SCHUFA löschen zu lassen.

  • Ich beschäftige michauch gerade mit dem Thema, habe 3 erledigte Einträge von 190, 400 und 600 euro.. Diese sollen bis November 18 stehen bleiben, wo is da bitte die Verhältnissmässingkeit? 190 Euro bleiben nach Erledigung genauso lange gespeichert wie 10000 Euro… Das ist mehr eine Art Bewährungsstrafe die unabhängig der Summe jeden bestraft.
    Die Interessenwahrung kann hier kaum gegeben sein da nur ich als Person einen Nachteil habe,die Wirtschaftsunternehmen die mit der Art der Daten geschützt werden sollen, haben da kaum bis gar nichts von. Es sind noch 3 bzw 4 Monate, in der Zeit könnte ich schon längst eine passende Immobilie gefunden haben welche dann aber nicht zu erwerben ist

  • Ich habe zu diesem Thema eine generelle Frage.
    Wie kann es sein, das zB. ein Insolvenzverfahren beim dem jeweiligen Amtsgericht nach 2 Jahren gelöscht wird. Die Schufa aber sich nicht daran hält und das Insolvenzverfahren ein weiteres Jahr in Ihrer Auskunft bleibt. Sollte nicht auch eine Auskunftei im Sinne des Datenschutz sich nach den gleichen Regeln verhalten, wie das im öffentlichen Recht gehandhabt wird?

    • Grundsätzlich sind personenbezogene Daten immer dann zu löschen, wenn der Zweck der Verarbeitung weggefallen ist, der Betroffene Widerspruch eingelegt hat oder die Einwilligung widerrufen wurde, es sei denn es bestehen gesetzliche Aufbewahrungsfristen. Bei Widerspruch gegen die Verarbeitung darf der Verantwortliche die Daten nicht mehr verarbeiten, es sei denn er kann zwingende schutzwürdige Gründe nachweisen, die den Rechten und Freiheiten des Betroffenen überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Dass die Schufa ein Insolvenzverfahren für 3 Jahre speichert und warum ist unsererseits nicht bekannt. Ihr Auskunftsrecht als Betroffener umfasst jedoch auch die Speicherdauer oder zumindest die für die Kriterien der Festlegung dieser. Bei Weigerung Ihnen diese Informationen mitzuteilen, können Sie sich ggf. auch an die Aufsichtsbehörden wenden.

  • Wie kann denn bitte eine Person oder ein Amt bei der Rentenversicherung Auskunft einholen über den derzeitigen Arbeitgeber wenn nach dem neuen Datenschutzgesetz das sammeln und weitergeben von Daten.an dritte untersagt ist oder nur mit der Einwilligung der betreffenden Person geht?

    • Das Auskunftsrecht nach Art. 15 DSGVO gilt für natürliche Personen (Betroffener) und nicht für ein Amt.

      Es ermöglicht Auskunft darüber zu verlangen, welche personenbezogenen Daten der Verantwortliche (z.B. die Rentenversicherung) über den Betroffenen gespeichert hat.
      Das neue Datenschutzrecht verbietet nicht jede Weitergabe von personenbezogenen Daten an Dritte. Die Voraussetzung für eine Weitergabe an Dritte ist immer eine entsprechende Rechtsgrundlage. Dafür ist nicht immer eine Einwilligung der Betroffenen erforderlich. Es gibt auch Fälle, bei denen eine gesetzliche Pflicht des Verantwortlichen (z.B. eines Unternehmens) für eine Weitergabe besteht. So ist ein Unternehmen beispielsweise verpflichtet bestimmte personenbezogene Daten an Sozialversicherungsträger oder Steuerbehörden weiterzugeben.

  • Hallo,
    ich möchte nicht das irgendjemand Daten über mich speichert und die evtl. auch herausgibt. Auch möchte ich nicht, das da jemand Daten sammelt und ein Scoring daraus ableitet, denn dies geschieht nach subjektiven Betrachtungen die sich ändern können, auch die Regeln eines Bewertungsalgorithmusses wurden mal subjektiv erdacht, sodaß 100% Objektivität nie entstehen kann. Da grundsätzlich durch das Datensammeln und Verarbeiten ein Mißbraucht erst entstehen kann, würde ich gerne aus diesem Bereich ganz austreten. Das ich dadurch Nachteile haben werde ist mir klar. Welche Gesetzesgrundlagen gibt es, um die Löschung der gesammelten Daten wirkungsvoll umfassend veranlassen zu können und die Sammelwut/Vermarktung, denn darum geht es ja letztendlich, dauerhaft unterbinden zu können?

    • Auskunfteien stützen die Verarbeitung von personenbezogenen Daten regelmäßig auf ein berechtigtes Interesse gem. Art. 6 Abs.1 lit.f DSGVO. Die Sammlung und die Weitergabe dieser Daten soll Unternehmen z.B. vor Ausfallrisiken bzw. einen Kreditnehmer vor Überschuldung schützen.

      Ob ein Recht auf Löschung besteht, hängt vom Einzelfall ab.
      Ein Löschrecht des Betroffenen könnte sich ergeben, wenn der Betroffene gegen die Datenverarbeitung einen Widerspruch nach Art. 21 DSGVO einlegt. In diesen Fällen steht ihm ein Recht auf Löschung der Angaben nach Art. 17 Buchst. c DSGVO zu, wenn die Auskunftei kein berechtigtes Interesse an der Speicherung nachweist, das nicht von höherrangigeren Interessen der betroffenen Person überwogen wird.
      Solange der Betroffene z.B. in einem Schuldnerverzeichnis eingetragen ist, spricht eine Vermutung für die Rechtmäßigkeit der Speicherung. Sind hingegen unzutreffende oder veraltete Daten des Betroffenen bei einer Auskunftei gespeichert, so kann ein Recht auf Löschung bestehen.

  • Ist es nach der neuen DSGVO der Schufa erlaubt wie in meinem Fall aktuelle Adressdaten ohne meine Einwilligung, noch bin ich darueber von der Schufa informiert worden weiterzugeben? Ich habe einen Eintrag aus dem Jahr 2007 bestritten, von dem ich bisher nichts gewusst habe und der falsch ist. Die Schufa hat meine Adresse an den sogenannten Glaeubiger weitergegeben.
    Danke im voraus.

    • Die Voraussetzung für eine Weitergabe von personenbezogenen Daten an Dritte ist immer eine entsprechende Rechtsgrundlage. Dafür ist nicht immer eine Einwilligung des Betroffenen erforderlich.

      Nach Art. 14 Abs. 3 DSGVO, der für die sog. Dritterhebung gilt, muss der Verantwortliche die nach der DSGVO erforderlichen Informationen
      – unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
      – falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
      – falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

      Die Informationen können natürlich auch bereits im Voraus (z.B. bei Vertragsschluss) gegeben werden, z.B. wenn der Verantwortliche in diesem Moment bereits weiß, dass er im konkreten Fall Daten von einer Auskunftei erheben wird.
      Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt wenden.

  • Ich habe doch nach dem europäischen Datenschutz das Recht darauf meine Informationen jederzeit löschen zu lassen, da ich selbst bestimmen darf, oder?

    • Diese Auskunfteien stehen offensichtlich über dem Gesetz. Keine Ahnung was DSGVO noch bringen soll. Die Unternehmen können sich schützen, in dem sie keine Kredite vergeben. Funktioniert in Lateinamerika prächtig. Zuerst das Geld, dann die Ware, so muss man auch das Volk nicht bespitzeln oder Sonderregelungen Schaffen damit diese Auskunftunternehmen, die oft zu grossen Konzernen gehören, unbehelligt weiter wursteln können.

  • Die Konzerne „Amts“- oder „Land“gericht und dergleichen sind alle gem. § 15 GVG keine staatlichen Gerichte mehr sondern kommerzielle Firmen, die auch unter DUNS Nummern in den privaten Weltfirmenverzeichnissen zu finden sind. Trotzdem täuschen sie Staatlichkeit vor und stellen Kostenrechnungen bzgl. der verbotenen Justizbeitreibungsordnung aus, die gem. Bundesgesetzblatt und Art. 139 GG als Nazigesetz verboten sind. Obwohl das so ist, stellen sie weiter ihre Rechnungen aus und bei Nichtbegleichung geht es als Eintrag an die Schufa. Da dies nicht nur eine ungesetzliche Handlung in Bezug auf die DSGVO ist sondern auch die Weiterführung der verbotenen Justizbeitreibungsordnung, sollte man den Geschäftsführer des Firmengerichts gem. Art.34 GG i.V.m. § 839 BGB (Schadensersatz) bzgl. einer Amtspflichtverletzung haftbar machen.

  • Ich habe gestern eine Bonitäts-Auskunft erhalten, in der fragwürdige bis unzutreffende Angaben enthalten sind. Heute wollte ich hierzu von der Schufa weitere Auskunft (z. B. unzutreffendes Bankkonto). Nach langer Wartezeit erhielt ich die Auskunft, dass Rückfragen erforderlich sind. Nach nochmaliger langer Wartezeit (zusammen über 40 Min.) wurde das Gespräch unterbrochen. Die Schufa ist schlimmer wie jede Bundesbehörde, einschließlich Sicherheitsbereiche. Da kann man sich ggf. wehren, bei der Schufa nicht, auch wenn man keine Schulden hat. Wenn man sich z. B. vor Jahren gegen ein Inkassobüro wehrte da keine Grundlage vorhanden war, hat man auf einmal einen Schufa-Eintragt ohne es zu wissen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.