Die SCHUFA und die DSGVO

Ohne die SCHUFA kommt wohl kaum jemand im moder­nen Wirt­schafts­le­ben aus. Ob Kre­dit oder Mobil­funk­ver­trag, die Aus­kunft der SCHUFA wird hier­für regel­mä­ßig ein­ge­holt, genau­so wie bei vie­len Online­be­stel­lun­gen.

Die SCHUFA und die DSGVO

Doch wel­che Daten hat die SCHUFA von mir gespei­chert? Allein schon aus der stän­di­gen Ange­wie­sen­heit auf SCHUFA-Aus­künf­te wird schon ersicht­lich, war­um die bei der SCHUFA gespei­cher­ten Daten regel­mä­ßig kon­trol­liert wer­den soll­ten: allein schon um sicher­zu­stel­len, dass die Aus­künf­te nicht auf­grund falsch zuge­ord­ne­ter Ein­trä­ge nega­tiv aus­fal­len.

Ein ent­spre­chen­des Aus­kunfts­recht bestand bis­her schon auf der Grund­la­ge des (alten) § 34 Bun­des­da­ten­schutz­ge­setz. So konn­ten sie ‑neben den immer mög­li­chen kos­ten­pflich­ti­gen Aus­künf­ten- ein­mal jähr­lich eine kos­ten­lo­se Aus­kunft der SCHUFA ver­lan­gen, in der alle zu Ihrer Per­son gespei­cher­ten EIn­trä­ge auf­ge­führt und auch Ihr "SCHUFA-Score" aus­ge­wie­sen wird. Das Ver­fah­ren zur Wahr­neh­mung die­ses Aus­kunfts­rechts auf www.meineschufa.de ist von der SCHUFA nicht gera­de ein­fach und intui­tiv gestal­tet wor­den. Vor allem aber ist die­se kos­ten­lo­se Selbst­aus­kunft in den Bestell­pro­zess der kos­ten­pflich­ti­gen Aus­künf­te inte­griert, so dass Sie auf­pas­sen müs­sen, tat­säch­lich die kos­ten­lo­se Selbst­aus­kunft zu bestel­len. Eine Schritt-für-Schritt-Anlei­tung für die Bean­tra­gung der Selbst­aus­kunft fin­den Sie etwa auf Kreditheld.de.

Quel­le: Kreditheld.de

Das bis­he­ri­ge Bun­des­da­ten­schutz­ge­setz ent­hielt in sei­nen §§ 28a, 28b und 29 detail­ier­te Rege­lun­gen für Kre­dit­aus­kunftei­en und Vor­ga­ben für die ein­zel­nen in der­ar­ti­gen Aus­kunftei­en anfal­len­den Daten­ver­ar­bei­tungs­vor­gän­ge, ange­fan­gen bei der Erhe­bung der Daten über ihre Spei­che­rung bis zur Aus­kunft. In die­sem Rege­lungs­kon­text stand auch die Bestim­mung des § 34 BDSG (alt) über die Infor­ma­ti­ons- und Aus­kunfts­rech­te der von der Daten­ver­ar­bei­tung betrof­fe­nen Bür­ger.

Die­se gesetz­li­che Grund­la­ge für die Tätig­keit von Kre­dit­aus­kunftei­en wie der SCHUFA haben sich nun am 25. Mai 2018 geän­dert. Denn seit die­sem Tag ist die Daten­schutz-Grund­ver­ord­nung der EU anwend­bar, die (zusam­men mit ergän­zen­den Bestim­mun­gen in einem eben­falls an die­sem Tag in Kraft getre­te­nen neu­en Bun­des­da­ten­schutz­ge­setz) voll­stän­dig an die Stel­le des bis­he­ri­gen, alten BDSG tritt. Als Grund­la­ge der Erhe­bung, Spei­che­rung und Ver­ar­bei­tung der Daten durch die Kre­dit­aus­kunftei­en kom­men nun neben der Ein­wil­li­gung des Betrof­fe­nen (Art. 6 Abs. 1 a DSGVO) die Daten­ver­ar­bei­tung zum Zwe­cke der Ver­trags­an­bah­nung (Art. 6 Abs. 1 b DSGVO) sowie die Daten­ver­ar­bei­tung zur Wah­rung der berech­tig­ten Inter­es­sen des Ver­ant­wort­li­chen (Art. 6 Abs. 1 f DSGVO) in Betracht.

Geän­dert haben sich aber nicht nur die gesetz­li­chen Grund­la­gen, auf denen die Daten­ver­ar­bei­tung durch Kre­dit­aus­kunftei­en wie der SCHUFA beruht, son­dern auch die den Daten­ver­ar­bei­ter (hier also die SCHUFA) tref­fen­den Infor­ma­ti­ons­pflich­ten und die Rech­te der von die­ser Daten­ver­ar­bei­tung Betrof­fe­nen. Ins­be­son­de­re die Aus­kunfts­rech­te der Betrof­fe­nen sind in den Arti­keln 1315 DSGVO weit­aus umfang­rei­cher aus­ge­stal­tet als im alten Bun­des­da­ten­schutz­ge­setz.

Konn­te die SCHUFA bis­her die Selbst­aus­kunft auf eine ein­mal jähr­lich erteil­te schrift­li­che Aus­kunft beschrän­ken, muss sie, wenn die betrof­fe­ne Per­son dies elek­tro­nisch bean­tragt hat, zukünf­tig die bei ihr über die jewei­li­ge Per­son gespei­cher­ten Daten jeder­zeit auch in einem gän­gi­gen elek­tro­ni­schen For­mat kos­ten­los zur Ver­fü­gung stel­len. Und die­ser Aus­kunfts­an­spruch besteht auch nicht nur wie bis­her ein­mal im Jahr. Im Gegen­teil: Die Daten­schutz-Grund­ver­ord­nung stellt in ihrem Erwä­gungs­grund 63 aus­drück­lich klar, dass die von der Daten­ver­ar­bei­tung betrof­fe­nen Per­so­nen die­ses Aus­kunfts­recht jeder­zeit ‑in ange­mes­se­nen Abstän­den- aus­üben kön­nen:

Eine betrof­fe­ne Per­son soll­te ein Aus­kunfts­recht hin­sicht­lich der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten, die erho­ben wor­den sind, besit­zen und die­ses Recht pro­blem­los und in ange­mes­se­nen Abstän­den wahr­neh­men kön­nen, um sich der Ver­ar­bei­tung bewusst zu sein und deren Recht­mä­ßig­keit über­prü­fen zu kön­nen. … Jede betrof­fe­ne Per­son soll­te daher ein Anrecht dar­auf haben zu wis­sen und zu erfah­ren, ins­be­son­de­re zu wel­chen Zwe­cken die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den und, wenn mög­lich, wie lan­ge sie gespei­chert wer­den, wer die Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten sind, nach wel­cher Logik die auto­ma­ti­sche Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erfolgt und wel­che Fol­gen eine sol­che Ver­ar­bei­tung haben kann, zumin­dest in Fäl­len, in denen die Ver­ar­bei­tung auf Pro­filing beruht. Nach Mög­lich­keit soll­te der Ver­ant­wort­li­che den Fern­zu­gang zu einem siche­ren Sys­tem bereit­stel­len kön­nen, der der betrof­fe­nen Per­son direk­ten Zugang zu ihren per­so­nen­be­zo­ge­nen Daten ermög­li­chen wür­de. Die­ses Recht soll­te die Rech­te und Frei­hei­ten ande­rer Per­so­nen, etwa Geschäfts­ge­heim­nis­se oder Rech­te des geis­ti­gen Eigen­tums und ins­be­son­de­re das Urhe­ber­recht an Soft­ware, nicht beein­träch­ti­gen. Dies darf jedoch nicht dazu füh­ren, dass der betrof­fe­nen Per­son jeg­li­che Aus­kunft ver­wei­gert wird. Ver­ar­bei­tet der Ver­ant­wort­li­che eine gro­ße Men­ge von Infor­ma­tio­nen über die betrof­fe­ne Per­son, so soll­te er ver­lan­gen kön­nen, dass die betrof­fe­ne Per­son prä­zi­siert, auf wel­che Infor­ma­ti­on oder wel­che Ver­ar­bei­tungs­vor­gän­ge sich ihr Aus­kunfts­er­su­chen bezieht, bevor er ihr Aus­kunft erteilt.

Die­se Daten müs­sen, wie Art. 12 Abs. 5 DSGVO bestimmt, von der SCHUFA kos­ten­los zur Ver­fü­gung gestellt wer­den. Nur bei offen­sich­lich exzes­si­ven Aus­kunfts­be­geh­ren kann die SCHUFA die­se kos­ten­lo­se Aus­kunft noch ableh­nen. In allen ande­ren Fäl­len muss sie der anfra­gen­den Per­son Aus­kunft über alle zu die­ser Per­son gespei­cher­ten Daten gewäh­ren, und das ent­we­der wie bis­her in papie­re­ner oder aber ‑und zwar nach Wahl des die Aus­kunft Ver­lan­gen­den- in elek­tro­ni­scher Form.

Hier wei­gert sich die SCHUFA nach Pres­se­be­rich­ten der­zeit wohl noch, dies umzu­set­zen und bie­tet der­zeit immer noch nur das bis­he­ri­ge Aus­kunfts­ver­fah­ren an. Mit die­sem Ver­hal­ten hat die SCHUFA aller­dings bereits die für sie zustän­di­ge Auf­sichts­be­hör­de, den Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit, auf den Plan geru­fen, die das Aus­kunfts­ver­hal­ten der SCHUFA der­zeit über­prüft, so dass hier in naher Zukunft mit Ände­run­gen zu rech­nen ist. Bis dahin muss man sei­nen Aus­kunfts­an­spruch ent­we­der mit indi­vi­du­el­len Anspruchs­schrei­ben gel­tend machen oder man benutzt wei­ter­hin das von der SCHUFA zur Ver­fü­gung gestell­te, oben beschrie­be­ne, Ver­fah­ren.