Schufa & Co.: Was ändert sich für Auskunfteien durch die DSGVO?

Fachbeitrag

Die Datenverarbeitung durch Auskunfteien (z.B. Schufa) ist bisher im Bundesdatenschutzgesetz bereichsspezifisch geregelt. Der folgende Beitrag liefert einen ersten Überblick über die Auswirkungen der DSGVO auf das Auskunftei-Wesen.

Was machen Auskunfteien wie die Schufa?

Auskunfteien sind privatwirtschaftlich geführte Unternehmen. Sie sammeln Informationen über die wirtschaftliche Betätigung, Kreditwürdigkeit und Zahlungsfähigkeit von Unternehmen und Privatpersonen. Die gewonnenen Informationen werden gespeichert und an anfragende Stellen bei Geschäftsvorfällen mit finanziellen Ausfallrisiken weitergegeben. Zu den bekanntesten Auskunfteien in Deutschland zählen die Schufa, Creditreform, Bürgel sowie die Arvato Infoscore.

Bisherige Regelung im Bundesdatenschutzgesetz

Das aktuelle Bundesdatenschutzgesetz (BDSG) lässt die Datenverarbeitung von Auskunfteien ausdrücklich zu und enthält detaillierte, bereichsspezifische Regelungen in den §§ 28a, 28b und 29 Abs.1 und Abs.2 BDSG. Diese Regelungen enthalten Vorgaben für jede Verarbeitungsphase im Auskunfteiwesen. Im Einzelnen sind das: die Übermittlung bestimmter Daten an die Auskunftei und die Auskunft und Speicherung der Daten durch die Auskunftei. Der Gesetzgeber wollte mit der damaligen Schaffung dieser Regelungen die Rechte der Betroffenen insbesondere durch weitere Informations- und Auskunftsrechte stärken und mehr Rechtssicherheit durch die Einführung spezifischer Erlaubnistatbestände erreichen.

Auskunfteien – Rechtslage nach DSGVO und BDSG-neu

Die bestehenden Regelungen werden zum 25.5.2018 durch die DSGVO und das BDSG-neu (§§ 30, 31 BDSG-neu) abgelöst. Wie nach bisherigem Recht ist eine Datenverarbeitung nur dann zulässig, soweit ein entsprechender Erlaubnistatbestand besteht. Für die Verarbeitungspraxis von Auskunfteien kommen insbesondere folgende Erlaubnistatbestände in Betracht:

Einwilligung des Betroffenen

Ein möglicher Erlaubnistatbestand zur Rechtfertigung von Datenverarbeitung im Auskunfteiwesen ist die Einholung einer Einwilligung vom Betroffenen. Damit die Einwilligung eine Verarbeitung rechtfertigen kann, sind allerdings umfassende Anforderungen an die Informiertheit und Freiwilligkeit der Betroffenen zu erfüllen. Die Kreditwirtschaft nimmt von diesem Erlaubnistatbestand zunehmend Abstand, insbesondere weil sich die Datenverarbeitungen auch auf andere Weise einfacher rechtfertigen lassen.

Durchführung vorvertraglicher Maßnahmen

Als weiterer Erlaubnistatbestand kommt die Datenverarbeitung zur Durchführung von vorvertraglichen Maßnahmen in Betracht. Schließlich führen Kreditinstitute gerade in der Vertragsanbahnung mit einem potentiellen Kreditnehmer entsprechende Abfragen bei Auskunfteien durch. Da der Erlaubnistatbestand aber keine Einbindung Dritter zur Durchführung vorvertraglicher Maßnahmen zulässt, scheidet dieser Erlaubnistatbestand aus.

Wahrung des berechtigten Interesses

Es bleibt also nur der Erlaubnistatbestand übrig, der zukünftig für die Rechtfertigung einer Vielzahl von Datenverarbeitung relevant wird: die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen. Problematisch ist, dass der Tatbestand sehr allgemein formuliert ist und er keine Kriterien zur Abwägung von Interessen in bestimmten spezifischen Bereichen enthält. Damit ist eine nicht unerhebliche Rechtsunsicherheit verbunden. Für die datenschutzrechtlichen Regelungen zum Auskunfteiwesen ist die Interessenabwägung aber kein Novum. Auch bisher war sie z.B. in § 29 Abs.1 Nr.1 und § 29 Abs. 2 BDSG von zentraler Bedeutung bei der Speicherung von Daten durch eine Auskunftei bzw. bei der Übermittlung von Daten von einer Auskunftei an einen Dritten. Wie in vielen anderen Bereichen, können die zu diesen Interessenabwägungen getroffenen Entscheidungen und entwickelten Argumentationen nun auch im Rahmen der Datenverarbeitung durch Auskunfteien nach Art. 6 Abs.1 f) DSGVO berücksichtigt werden.

Kriterien für die Interessenabwägung

Es ist also auch zukünftig für jeweilige Verarbeitungsphase eine Interessenabwägung durchzuführen. Auf Seiten der Kreditgeber, die Auskunfteien einsetzen, sind die Gewinnerzielung, die Senkung der Ausfallquote und der Schutz vor kreditorischen Risiken in die Abwägung einzustellen. Demgegenüber hat der potentielle Kreditnehmer ein Interesse am Schutz seiner Forderungsdaten und seiner finanziellen Situation. Es sollte in dieser Abwägung aber auch nicht unberücksichtigt bleiben, dass die Datenverarbeitung durch Auskunfteien auch ein Selbstschutz für den potentiellen Kreditnehmer vor einer drohenden Überschuldung darstellen kann.

Informationspflichten und Betroffenenrechte

Auskunfteien verdienen ihr Geld durch das Bereitstellen von Informationen. Daher haben sie es meist darauf abgesehen, dass dieser Dienst kostenpflichtig in Anspruch genommen wird. Der gesetzliche und unentgeltliche Auskunftsanspruch, der gem. § 34 BDSG einmal jährlich in Anspruch genommen werden kann, war da eher ein Dorn im Auge. Gerade die Schufa sorgte hier für Schlagzeilen.

Doch Auskunfteien sind zukünftig an die umfassenden Informationspflichten gebunden, die mit der Datenschutz-Grundverordnung auf die Verantwortlichen zukommen. Dabei ist auf die Unterscheidung zwischen den Informationspflichten bei Direkterhebung nach Art. 13 DSGVO (z.B. durch den Kreditgeber) und den Pflichten bei Dritterhebung nach Art. 14 DSGVO (durch die Auskunftei) zu achten.

Nicht nur der Kreditgeber muss bei der Erhebung der Daten vom potentiellen Kreditnehmer über die Datenverarbeitung informieren, diese Pflicht trifft auch die Auskunftei, die Daten des Betroffenen vom Kreditgeber erlangt. Zu den Informationspflichten gehört auch die Aufklärung über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und Informationen über die involvierte Logik.

Die vorstehend genannten Informationen werden auch dann relevant, wenn ein Betroffener künftig einen Auskunftsanspruch nach Art. 15 DSGVO beim Kreditgeber oder einer Auskunftei geltend macht. Dies führt dazu, dass einige Auskunfteien ihren Prozess zur Erfüllung der Informationspflichten und der Betroffenenrechte mit der DSGVO anpassen werden müssen. So listet die Schufa auf ihrer Website zur Datenübersicht nach § 34 BDSG auf, dass diese Informationen nur auf Papier und nur einmal im Jahr bereitgestellt werden. Wer diese online oder häufiger aufrufen möchte, muss zahlen.

Zukünftig muss die Schufa gemäß Art. 15 Abs. 3 DSGVO die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch gestellt hat. Zudem hat sie nach Art. 12 Abs. 5 DSGVO diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Nur bei offenkundig unbegründeten oder exzessiven Anträgen des Betroffenen kann die Schufa ein Entgelt verlangen oder den Antrag ablehnen. Erwägungsgrund 63 DSGVO führt weiter aus, dass betroffene Personen ihr Auskunftsrecht in angemessenen Abständen und problemlos wahrnehmen können sollen. So ist es im Einzelfall durchaus denkbar, dass eine Auskunft dem Betroffenen öfter als einmal pro Jahr gewährt werden muss.

Keine wesentlichen Änderungen

Die Verarbeitungspraxis von Auskunfteien erfährt durch die DSGVO und das BDSG-neu keine grundlegende Änderung. Vielfach kann auf bereits bestehende Wertungsentscheidungen zurückgegriffen werden. Die Herausforderung für Kreditgeber und Auskunfteien wird es u.a. sein, für die jeweiligen Datenverarbeitungen saubere Interessenabwägungen durchzuführen und diese – wie gesetzlich gefordert – zu dokumentieren. Daneben bringen die Prozesse zur Erfüllung der Informationspflichten und der Betroffenenrechte einigen Anpassungsbedarf mit sich.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

8 Kommentare zu diesem Beitrag

  1. Ich habe von Bürgel Bonität Auskunft GmbH ein Brief bekommen das ich kein Telekom Mobilfunk Vertrag abgelehnt wegen Bonität
    , Ich habe schon meinen Rechtsanwalt eingeschaltet , mit wird seit 2009 meine Identität ständig Missbraucht , und die Bürgel Bonität Auskunft GmbH hat nichts anders zutun mir den Mobilfunk Vertrag abzulehnen obwohl ich von der Schufa gute Score habe im sofort ein Vertrag zu bekommen ich habe jetz von der Drilich GmbH einen Vertrag bekommen der ist mir zugeschickt worden

  2. ein Punkt beschäftigt mich seit einiger Zeit in Bezug auf die Schufa. Kann man verlangen, das die von der eigenen Person bei der Schufa, Creditreform oder anderen Auskunfteien gespeicherten Daten gelöscht werden? Und wenn ja, welche Folgen würde das haben?
    Es gab schon hier einige hitzige Diskussionen darüber, aber keine klare Antwort.
    Danke

    • Ein Löschrecht könnte sich ergeben, wenn der Betroffene gegen die Datenverarbeitung einen Widerspruch nach Art. 21 DSGVO einlegt. In diesen Fällen steht ihm ein Recht auf Löschung der Angaben nach Art. 17 Buchst. c DS-GVO zu, wenn die Auskunftei kein berechtigtes Interesse an der Speicherung nachweist, das nicht von höherrangigeren Interessen der betroffenen Person überwogen wird. Solange der Betroffene z.B. in einem Schuldnerverzeichnis eingetragen ist, spricht eine Vermutung für die Rechtmäßigkeit der Speicherung. Dh. ob ein Recht auf Löschung besteht hängt vom Einzelfall ab.

  3. Bei einem Girokonto auf Guthabenbasis ohne Dispo und ohne Kreditkarte (ausschließlich Debit-Karten) entfällt doch das berechtigte Interesse den Betroffenen vor Überschuldung zu bewahren auf Seite des Kunden und das Interesse vor Verlusten im Kreditgeschäft auf Seite der Bank. Vor diesem Hintergrund sollte es doch möglich sein, der Bank zu untersagen, personenbezogene Daten an die SCHUFA zu senden und aufzufordern, bereits gesendete Daten, wie das bestehen eines Girokontos, bei der SCHUFA löschen zu lassen.

  4. Ich beschäftige michauch gerade mit dem Thema, habe 3 erledigte Einträge von 190, 400 und 600 euro.. Diese sollen bis November 18 stehen bleiben, wo is da bitte die Verhältnissmässingkeit? 190 Euro bleiben nach Erledigung genauso lange gespeichert wie 10000 Euro… Das ist mehr eine Art Bewährungsstrafe die unabhängig der Summe jeden bestraft.
    Die Interessenwahrung kann hier kaum gegeben sein da nur ich als Person einen Nachteil habe,die Wirtschaftsunternehmen die mit der Art der Daten geschützt werden sollen, haben da kaum bis gar nichts von. Es sind noch 3 bzw 4 Monate, in der Zeit könnte ich schon längst eine passende Immobilie gefunden haben welche dann aber nicht zu erwerben ist

  5. Ich habe zu diesem Thema eine generelle Frage.
    Wie kann es sein, das zB. ein Insolvenzverfahren beim dem jeweiligen Amtsgericht nach 2 Jahren gelöscht wird. Die Schufa aber sich nicht daran hält und das Insolvenzverfahren ein weiteres Jahr in Ihrer Auskunft bleibt. Sollte nicht auch eine Auskunftei im Sinne des Datenschutz sich nach den gleichen Regeln verhalten, wie das im öffentlichen Recht gehandhabt wird?

    • Grundsätzlich sind personenbezogene Daten immer dann zu löschen, wenn der Zweck der Verarbeitung weggefallen ist, der Betroffene Widerspruch eingelegt hat oder die Einwilligung widerrufen wurde, es sei denn es bestehen gesetzliche Aufbewahrungsfristen. Bei Widerspruch gegen die Verarbeitung darf der Verantwortliche die Daten nicht mehr verarbeiten, es sei denn er kann zwingende schutzwürdige Gründe nachweisen, die den Rechten und Freiheiten des Betroffenen überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Dass die Schufa ein Insolvenzverfahren für 3 Jahre speichert und warum ist unsererseits nicht bekannt. Ihr Auskunftsrecht als Betroffener umfasst jedoch auch die Speicherdauer oder zumindest die für die Kriterien der Festlegung dieser. Bei Weigerung Ihnen diese Informationen mitzuteilen, können Sie sich ggf. auch an die Aufsichtsbehörden wenden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.