Ohne die SCHUFA kommt wohl kaum jemand im modernen Wirtschaftsleben aus. Ob Kredit oder Mobilfunkvertrag, die Auskunft der SCHUFA wird hierfür regelmäßig eingeholt, genauso wie bei vielen Onlinebestellungen.
Doch welche Daten hat die SCHUFA von mir gespeichert? Allein schon aus der ständigen Angewiesenheit auf SCHUFA-Auskünfte wird schon ersichtlich, warum die bei der SCHUFA gespeicherten Daten regelmäßig kontrolliert werden sollten: allein schon um sicherzustellen, dass die Auskünfte nicht aufgrund falsch zugeordneter Einträge negativ ausfallen.
Ein entsprechendes Auskunftsrecht bestand bisher schon auf der Grundlage des (alten) § 34 Bundesdatenschutzgesetz. So konnten sie -neben den immer möglichen kostenpflichtigen Auskünften- einmal jährlich eine kostenlose Auskunft der SCHUFA verlangen, in der alle zu Ihrer Person gespeicherten EInträge aufgeführt und auch Ihr „SCHUFA-Score“ ausgewiesen wird. Das Verfahren zur Wahrnehmung dieses Auskunftsrechts auf www.meineschufa.de ist von der SCHUFA nicht gerade einfach und intuitiv gestaltet worden. Vor allem aber ist diese kostenlose Selbstauskunft in den Bestellprozess der kostenpflichtigen Auskünfte integriert, so dass Sie aufpassen müssen, tatsächlich die kostenlose Selbstauskunft zu bestellen. Eine Schritt-für-Schritt-Anleitung für die Beantragung der Selbstauskunft finden Sie etwa auf Kreditheld.de.
Das bisherige Bundesdatenschutzgesetz enthielt in seinen §§ 28a, 28b und 29 detailierte Regelungen für Kreditauskunfteien und Vorgaben für die einzelnen in derartigen Auskunfteien anfallenden Datenverarbeitungsvorgänge, angefangen bei der Erhebung der Daten über ihre Speicherung bis zur Auskunft. In diesem Regelungskontext stand auch die Bestimmung des § 34 BDSG (alt) über die Informations- und Auskunftsrechte der von der Datenverarbeitung betroffenen Bürger.
Diese gesetzliche Grundlage für die Tätigkeit von Kreditauskunfteien wie der SCHUFA haben sich nun am 25. Mai 2018 geändert. Denn seit diesem Tag ist die Datenschutz-Grundverordnung der EU anwendbar, die (zusammen mit ergänzenden Bestimmungen in einem ebenfalls an diesem Tag in Kraft getretenen neuen Bundesdatenschutzgesetz) vollständig an die Stelle des bisherigen, alten BDSG tritt. Als Grundlage der Erhebung, Speicherung und Verarbeitung der Daten durch die Kreditauskunfteien kommen nun neben der Einwilligung des Betroffenen (Art. 6 Abs. 1 a DSGVO) die Datenverarbeitung zum Zwecke der Vertragsanbahnung (Art. 6 Abs. 1 b DSGVO) sowie die Datenverarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 f DSGVO) in Betracht.
Geändert haben sich aber nicht nur die gesetzlichen Grundlagen, auf denen die Datenverarbeitung durch Kreditauskunfteien wie der SCHUFA beruht, sondern auch die den Datenverarbeiter (hier also die SCHUFA) treffenden Informationspflichten und die Rechte der von dieser Datenverarbeitung Betroffenen. Insbesondere die Auskunftsrechte der Betroffenen sind in den Artikeln 13 – 15 DSGVO weitaus umfangreicher ausgestaltet als im alten Bundesdatenschutzgesetz.
Konnte die SCHUFA bisher die Selbstauskunft auf eine einmal jährlich erteilte schriftliche Auskunft beschränken, muss sie, wenn die betroffene Person dies elektronisch beantragt hat, zukünftig die bei ihr über die jeweilige Person gespeicherten Daten jederzeit auch in einem gängigen elektronischen Format kostenlos zur Verfügung stellen. Und dieser Auskunftsanspruch besteht auch nicht nur wie bisher einmal im Jahr. Im Gegenteil: Die Datenschutz-Grundverordnung stellt in ihrem Erwägungsgrund 63 ausdrücklich klar, dass die von der Datenverarbeitung betroffenen Personen dieses Auskunftsrecht jederzeit -in angemessenen Abständen- ausüben können:
Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. … Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
Diese Daten müssen, wie Art. 12 Abs. 5 DSGVO bestimmt, von der SCHUFA kostenlos zur Verfügung gestellt werden. Nur bei offensichlich exzessiven Auskunftsbegehren kann die SCHUFA diese kostenlose Auskunft noch ablehnen. In allen anderen Fällen muss sie der anfragenden Person Auskunft über alle zu dieser Person gespeicherten Daten gewähren, und das entweder wie bisher in papierener oder aber -und zwar nach Wahl des die Auskunft Verlangenden- in elektronischer Form.
Hier weigert sich die SCHUFA nach Presseberichten derzeit wohl noch, dies umzusetzen und bietet derzeit immer noch nur das bisherige Auskunftsverfahren an. Mit diesem Verhalten hat die SCHUFA allerdings bereits die für sie zuständige Aufsichtsbehörde, den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, auf den Plan gerufen, die das Auskunftsverhalten der SCHUFA derzeit überprüft, so dass hier in naher Zukunft mit Änderungen zu rechnen ist. Bis dahin muss man seinen Auskunftsanspruch entweder mit individuellen Anspruchsschreiben geltend machen oder man benutzt weiterhin das von der SCHUFA zur Verfügung gestellte, oben beschriebene, Verfahren.
