Schufa & Co.: Was ändert sich für Auskunfteien durch die DSGVO?

Fachbeitrag

Die Datenverarbeitung durch Auskunfteien (z.B. Schufa) ist bisher im Bundesdatenschutzgesetz bereichsspezifisch geregelt. Der folgende Beitrag liefert einen ersten Überblick über die Auswirkungen der DSGVO auf das Auskunftei-Wesen.

Was machen Auskunfteien wie die Schufa?

Auskunfteien sind privatwirtschaftlich geführte Unternehmen. Sie sammeln Informationen über die wirtschaftliche Betätigung, Kreditwürdigkeit und Zahlungsfähigkeit von Unternehmen und Privatpersonen. Die gewonnenen Informationen werden gespeichert und an anfragende Stellen bei Geschäftsvorfällen mit finanziellen Ausfallrisiken weitergegeben. Zu den bekanntesten Auskunfteien in Deutschland zählen die Schufa, Creditreform, Bürgel sowie die Arvato Infoscore.

Bisherige Regelung im Bundesdatenschutzgesetz

Das aktuelle Bundesdatenschutzgesetz (BDSG) lässt die Datenverarbeitung von Auskunfteien ausdrücklich zu und enthält detaillierte, bereichsspezifische Regelungen in den §§ 28a, 28b und 29 Abs.1 und Abs.2 BDSG. Diese Regelungen enthalten Vorgaben für jede Verarbeitungsphase im Auskunfteiwesen. Im Einzelnen sind das: die Übermittlung bestimmter Daten an die Auskunftei und die Auskunft und Speicherung der Daten durch die Auskunftei. Der Gesetzgeber wollte mit der damaligen Schaffung dieser Regelungen die Rechte der Betroffenen insbesondere durch weitere Informations- und Auskunftsrechte stärken und mehr Rechtssicherheit durch die Einführung spezifischer Erlaubnistatbestände erreichen.

Auskunfteien – Rechtslage nach DSGVO und BDSG-neu

Die bestehenden Regelungen werden zum 25.5.2018 durch die DSGVO und das BDSG-neu (§§ 30, 31 BDSG-neu) abgelöst. Wie nach bisherigem Recht ist eine Datenverarbeitung nur dann zulässig, soweit ein entsprechender Erlaubnistatbestand besteht. Für die Verarbeitungspraxis von Auskunfteien kommen insbesondere folgende Erlaubnistatbestände in Betracht:

Einwilligung des Betroffenen

Ein möglicher Erlaubnistatbestand zur Rechtfertigung von Datenverarbeitung im Auskunfteiwesen ist die Einholung einer Einwilligung vom Betroffenen. Damit die Einwilligung eine Verarbeitung rechtfertigen kann, sind allerdings umfassende Anforderungen an die Informiertheit und Freiwilligkeit der Betroffenen zu erfüllen. Die Kreditwirtschaft nimmt von diesem Erlaubnistatbestand zunehmend Abstand, insbesondere weil sich die Datenverarbeitungen auch auf andere Weise einfacher rechtfertigen lassen.

Durchführung vorvertraglicher Maßnahmen

Als weiterer Erlaubnistatbestand kommt die Datenverarbeitung zur Durchführung von vorvertraglichen Maßnahmen in Betracht. Schließlich führen Kreditinstitute gerade in der Vertragsanbahnung mit einem potentiellen Kreditnehmer entsprechende Abfragen bei Auskunfteien durch. Da der Erlaubnistatbestand aber keine Einbindung Dritter zur Durchführung vorvertraglicher Maßnahmen zulässt, scheidet dieser Erlaubnistatbestand aus.

Wahrung des berechtigten Interesses

Es bleibt also nur der Erlaubnistatbestand übrig, der zukünftig für die Rechtfertigung einer Vielzahl von Datenverarbeitung relevant wird: die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen. Problematisch ist, dass der Tatbestand sehr allgemein formuliert ist und er keine Kriterien zur Abwägung von Interessen in bestimmten spezifischen Bereichen enthält. Damit ist eine nicht unerhebliche Rechtsunsicherheit verbunden. Für die datenschutzrechtlichen Regelungen zum Auskunfteiwesen ist die Interessenabwägung aber kein Novum. Auch bisher war sie z.B. in § 29 Abs.1 Nr.1 und § 29 Abs. 2 BDSG von zentraler Bedeutung bei der Speicherung von Daten durch eine Auskunftei bzw. bei der Übermittlung von Daten von einer Auskunftei an einen Dritten. Wie in vielen anderen Bereichen, können die zu diesen Interessenabwägungen getroffenen Entscheidungen und entwickelten Argumentationen nun auch im Rahmen der Datenverarbeitung durch Auskunfteien nach Art. 6 Abs.1 f) DSGVO berücksichtigt werden.

Kriterien für die Interessenabwägung

Es ist also auch zukünftig für jeweilige Verarbeitungsphase eine Interessenabwägung durchzuführen. Auf Seiten der Kreditgeber, die Auskunfteien einsetzen, sind die Gewinnerzielung, die Senkung der Ausfallquote und der Schutz vor kreditorischen Risiken in die Abwägung einzustellen. Demgegenüber hat der potentielle Kreditnehmer ein Interesse am Schutz seiner Forderungsdaten und seiner finanziellen Situation. Es sollte in dieser Abwägung aber auch nicht unberücksichtigt bleiben, dass die Datenverarbeitung durch Auskunfteien auch ein Selbstschutz für den potentiellen Kreditnehmer vor einer drohenden Überschuldung darstellen kann.

Informationspflichten und Betroffenenrechte

Auskunfteien verdienen ihr Geld durch das Bereitstellen von Informationen. Daher haben sie es meist darauf abgesehen, dass dieser Dienst kostenpflichtig in Anspruch genommen wird. Der gesetzliche und unentgeltliche Auskunftsanspruch, der gem. § 34 BDSG einmal jährlich in Anspruch genommen werden kann, war da eher ein Dorn im Auge. Gerade die Schufa sorgte hier für Schlagzeilen.

Doch Auskunfteien sind zukünftig an die umfassenden Informationspflichten gebunden, die mit der Datenschutz-Grundverordnung auf die Verantwortlichen zukommen. Dabei ist auf die Unterscheidung zwischen den Informationspflichten bei Direkterhebung nach Art. 13 DSGVO (z.B. durch den Kreditgeber) und den Pflichten bei Dritterhebung nach Art. 14 DSGVO (durch die Auskunftei) zu achten.

Nicht nur der Kreditgeber muss bei der Erhebung der Daten vom potentiellen Kreditnehmer über die Datenverarbeitung informieren, diese Pflicht trifft auch die Auskunftei, die Daten des Betroffenen vom Kreditgeber erlangt. Zu den Informationspflichten gehört auch die Aufklärung über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und Informationen über die involvierte Logik.

Die vorstehend genannten Informationen werden auch dann relevant, wenn ein Betroffener künftig einen Auskunftsanspruch nach Art. 15 DSGVO beim Kreditgeber oder einer Auskunftei geltend macht. Dies führt dazu, dass einige Auskunfteien ihren Prozess zur Erfüllung der Informationspflichten und der Betroffenenrechte mit der DSGVO anpassen werden müssen. So listet die Schufa auf ihrer Website zur Datenübersicht nach § 34 BDSG auf, dass diese Informationen nur auf Papier und nur einmal im Jahr bereitgestellt werden. Wer diese online oder häufiger aufrufen möchte, muss zahlen.

Zukünftig muss die Schufa gemäß Art. 15 Abs. 3 DSGVO die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch gestellt hat. Zudem hat sie nach Art. 12 Abs. 5 DSGVO diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen. Nur bei offenkundig unbegründeten oder exzessiven Anträgen des Betroffenen kann die Schufa ein Entgelt verlangen oder den Antrag ablehnen. Erwägungsgrund 63 DSGVO führt weiter aus, dass betroffene Personen ihr Auskunftsrecht in angemessenen Abständen und problemlos wahrnehmen können sollen. So ist es im Einzelfall durchaus denkbar, dass eine Auskunft dem Betroffenen öfter als einmal pro Jahr gewährt werden muss.

Keine wesentlichen Änderungen

Die Verarbeitungspraxis von Auskunfteien erfährt durch die DSGVO und das BDSG-neu keine grundlegende Änderung. Vielfach kann auf bereits bestehende Wertungsentscheidungen zurückgegriffen werden. Die Herausforderung für Kreditgeber und Auskunfteien wird es u.a. sein, für die jeweiligen Datenverarbeitungen saubere Interessenabwägungen durchzuführen und diese – wie gesetzlich gefordert – zu dokumentieren. Daneben bringen die Prozesse zur Erfüllung der Informationspflichten und der Betroffenenrechte einigen Anpassungsbedarf mit sich.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.