SCHUFA-Information

 

Stand: Dezember 2018

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Tel.: +49 (0) 6 11-92 78 0; Der betriebliche Datenschutzbeauftragte der SCHUFA ist unter der o.g. Anschrift, zu Hd. Abteilung Datenschutz oder per E-Mail unter erreichbar.

2. Datenverarbeitung durch die SCHUFA

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden

Die SCHUFA verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Scorewerte errechnet und übermittelt. Sie stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben. Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu internen Zwecken (z.B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, allgemeine Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten, Gewährleistung der IT-Sicherheit und des IT-Betriebs) Das berechtigte Interesse hieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung

Die SCHUFA verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung. Die Verarbeitung erfolgt auf Basis von Einwilligungen sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f) DS-GVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

2.3 Herkunft der Daten

Die SCHUFA erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Institute, Finanzunternehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energieversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich. Darüber hinaus verarbeitet die SCHUFA Informationen aus allgemein zugänglichen Quellen wie öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (Schuldnerverzeichnisse, Insolvenzbekanntmachungen).

2.4 Kategorien personenbezogener Daten, die verarbeitet werden (Personendaten, Zahlungsverhalten und Vertragstreue)

  • Personendaten, z.B. Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
  • Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z.B. Girokonten, Ratenkredite, Kreditkarten, Pfändungsschutzkonten, Basiskonten)
  • Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
  • Informationen zu missbräuchlichem oder sonstigem betrügerischem Verhalten wie Identitäts- oder Bonitätstäuschungen
  • Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen
  • Scorewerte

2.5 Kategorien von Empfängern der personenbezogenen Daten

Empfänger sind im europäischen Wirtschaftsraum, in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Vertragspartner gem. Ziffer 2.3. Weitere Empfänger können externe Auftragnehmer der SCHUFA nach Art. 28 DS-GVO sowie externe und interne SCHUFA-Stellen sein. Die SCHUFA unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung

Die SCHUFA speichert Informationen über Personen nur für eine bestimmte Zeit. Maßgebliches Kriterium für die Festlegung dieser Zeit ist die Erforderlichkeit. Für eine Prüfung der Erforderlichkeit der weiteren Speicherung bzw. die Löschung personenbezogener Daten hat die SCHUFA Regelfristen festgelegt. Danach beträgt die grundsätzliche Speicherdauer von personenbezogenen Daten jeweils drei Jahre taggenau nach deren Erledigung. Davon abweichend werden z.B. gelöscht:

  • Angaben über Anfragen nach zwölf Monaten taggenau
  • Informationen über störungsfreie Vertragsdaten über Konten, die ohne die damit begründete Forderung dokumentiert werden (z. B. Girokonten, Kreditkarten, Telekommunikationskonten oder Energiekonten), Informationen über Verträge, bei denen die Evidenzprüfung gesetzlich vorgesehen ist (z.B. Pfändungsschutzkonten, Basiskonten) sowie Bürgschaften und Handelskonten, die kreditorisch geführt werden, unmittelbar nach Bekanntgabe der Beendigung.
  • Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte nach drei Jahren taggenau, jedoch vorzeitig, wenn der SCHUFA eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird
  • Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren taggenau drei Jahre nach Beendigung des Insolvenzverfahrens oder Erteilung der Restschuldbefreiung. In besonders gelagerten Einzelfällen kann auch abweichend eine frühere Löschung erfolgen.
  • Informationen über die Abweisung eines Insolvenzantrages mangels Masse, die Aufhebung der Sicherungsmaßnahmen oder über die Versagung der Restschuldbefreiung taggenau nach drei Jahren
  • Personenbezogene Voranschriften bleiben taggenau drei Jahre gespeichert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie taggenau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währende Speicherung erforderlich ist.

3. Betroffenenrechte

Jede betroffene Person hat gegenüber der SCHUFA das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO. Die SCHUFA hat für Anliegen von betroffenen Personen ein Privatkunden ServiceCenter eingerichtet, das schriftlich unter SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln, telefonisch unter +49 (0) 6 11-92 78 0 und über ein Internet-Formular unter www.schufa.de erreichbar ist. Darüber hinaus besteht die Möglichkeit, sich an die für die SCHUFA zuständige Aufsichtsbehörde, den Hessischen Datenschutzbeauftragten, zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden.

Wir sind verpflichtet Sie darauf hinzuweisen, dass Sie nach Art. 21 Abs. 1 DS-GVO der Datenverarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben (z.B. Zeugenschutz, Frauenhaus), widersprechen können. Der Widerspruch kann formfrei erfolgen und ist zu richten an SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln.

4. Profilbildung (Scoring)

Vor Geschäften mit einem finanziellen Ausfallrisiko möchten Geschäftspartner möglichst gut einschätzen können, ob den eingegangenen Zahlungsverpflichtungen nachgekommen werden kann. Durch die SCHUFA-Auskunft und die Profilbildung mittels sogenannter Scorewerte unterstützt die SCHUFA Kredit gebende Unternehmen bei der Entscheidungsfindung und hilft dabei, alltägliche Kreditgeschäfte rasch abwickeln zu können. Beim Scoring wird anhand von gesammelten Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse erstellt. Die Berechnung aller Wahrscheinlichkeitswerte erfolgt bei der SCHUFA grundsätzlich auf Basis der zu einer betroffenen Person bei der SCHUFA gespeicherten Informationen, die auch in der Auskunft nach Art. 15 DS-GVO ausgewiesen werden. Darüber hinaus berücksichtigt die SCHUFA beim Scoring die Bestimmungen des § 31 BDSG. Anhand der zu einer Person gespeicherten Einträge erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ähnliche Einträge aufwiesen. Die Scoreberechnungen erfolgen auf mathematisch-statistisch anerkannten und bewährten Verfahren.

Folgende Datenarten werden bei der SCHUFA zur Scoreberechnung verwendet, wobei nicht jede Datenart auch in jede einzelne Scoreberechnung mit einfließt: Allgemeine Daten (z.B. Geburtsdatum, Geschlecht oder Anzahl im Geschäftsverkehr verwendeter Anschriften), bisherige Zahlungsstörungen, Kreditaktivität letztes Jahr, Kreditnutzung, Länge Kredithistorie sowie Anschriftendaten (nur wenn wenige personenbezogene kreditrelevante Informationen vorliegen). Bestimmte Informationen werden weder gespeichert noch bei der Berechnung von Scorewerten berücksichtigt, z.B. Angaben zur Staatsangehörigkeit oder besonders sensible Daten nach Art. 9 DS-GVO (z.B. ethnische Herkunft oder Angaben zu politischen oder religiösen Einstellungen). Auch die Geltendmachung von Rechten nach der DS-GVO, also z.B. die Einsichtnahme in die bei der SCHUFA gespeicherten Informationen nach Art. 15 DS-GVO, hat keinen Einfluss auf die Scorewerte.

Mit welcher Wahrscheinlichkeit eine Person einen Baufinanzierungskredit zurückzahlen wird, muss nicht der Wahrscheinlichkeit entsprechen, mit der sie eine Rechnung beim Versandhandel termingerecht bezahlt. Aus diesem Grund bietet die SCHUFA ihren Vertragspartnern unterschiedliche branchenspezifische Scoremodelle an, die sogenannten SCHUFA-Branchenscores. Diese repräsentieren in der Regel die Wahrscheinlichkeit einer Zahlungsstörung innerhalb von 15 Monaten. Bei einzelnen Branchen kann der Zeitraum abweichen, um besser auf Eigenheiten der branchenüblichen Geschäftsmodelle einzugehen (z.B. Telekommunikation, Baufinanzierung). Scores verändern sich stetig, da sich auch die Informationen, die bei der SCHUFA über eine Person gespeichert sind, verändern. So kommen neue Informationen hinzu, während andere aufgrund von Speicherfristen gelöscht werden. Außerdem ändern sich auch die Informationen selbst im Zeitverlauf (etwa die Dauer des Bestehens einer Geschäftsbeziehung), so dass auch ohne neue Informationen Veränderungen auftreten.

Wichtig zu wissen: Die SCHUFA selbst trifft keine Entscheidungen, sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen bei der Entscheidungsfindung. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit erfolgt allein durch den direkten Geschäftspartner, da nur dieser über zahlreiche zusätzliche Informationen – wie zum Beispiel die aus einem Kreditantrag - verfügt. Dies gilt selbst dann, wenn er sich einzig auf die von der SCHUFA gelieferten Informationen und Scorewerte verlässt.

Unabhängig vom Bonitätsscoring unterstützt die SCHUFA ihre Geschäftspartner mit dem FraudPreCheck (FPC) durch Profilbildungen bei der Erkennung auffälliger Sachverhalte (z. B. zum Zwecke der Betrugsprävention im Versandhandel). Hierzu erfolgt eine Analyse von Anfragen von Geschäftspartnern der SCHUFA, um diese auf potenzielle Auffälligkeiten hin zu prüfen. In diese Berechnung, die für den jeweiligen Geschäftspartner individuell erfolgt, können neben Anfragen der zurückliegenden 90 Tage, die aufgrund von Erkenntnissen der SCHUFA zu bekannten Manipulationsmustern von der angefragten betroffenen Person stammen, auch Anschriftendaten, Informationen ob und in welcher Funktion in allgemein zugänglichen Quellen ein Eintrag zu einer Person des öffentlichen Lebens mit übereinstimmenden Personendaten existiert, sowie aggregierte statistische Informationen aus dem SCHUFA-Datenbestand einfließen. Darüber hinaus können auch die jeweils aufgeführten Anfragezeiten bei der Ermittlung der Auffälligkeit berücksichtigt werden, wobei die SCHUFA davon ausgeht, dass innerhalb von drei Stunden vor dem aufgeführten Anfragezeitpunkt die Antragstellung durch die betroffene Person erfolgte.

Unter Einbeziehung dieser Informationen wird sodann ein zehnstelliger Auffälligkeitswert (FPC-Wert) zwischen 0 und 1 ermittelt und an den Geschäftspartner ausgegeben. Dabei gilt: je kleiner der ermittelte FPC-Wert, desto unauffälliger sind die Anfragedaten, je größer der Wert, desto größer die Auffälligkeit. Die Geschäftspartner der SCHUFA können den Wert zur weiteren risikovermindernden Steuerung ihrer Geschäftsprozesse einsetzen. Welche Bedeutung ein konkreter FPC-Wert für den jeweiligen Geschäftspartner hat, entscheidet dieser stets selbst anhand der jeweiligen Risikostruktur. Eine erhöhte Auffälligkeit kann z. B. dazu führen, dass der Geschäftspartner risikobehaftete Zahlungsarten wie den Rechnungskauf nicht anbietet, sie ist jedoch allein kein Grund, einen Antrag abzulehnen. Die Geschäftspartner setzen neben dem FPC-Wert auch eigene Verfahren zur Betrugsprävention ein, die häufig miteinander kombiniert werden.

Da sich ein Geschäftsvorgang im Distanzhandel bis beispielsweise zur Auslieferung der bestellten Ware über mehrere Schritte hinziehen kann, kann der Geschäftspartner bis zum Abschluss des Geschäftsvorgangs neu bekannt gewordene Informationen über Auffälligkeiten in Form aktualisierter FPC-Werte abrufen.

Die von den Geschäftspartnern zum Zwecke der Betrugsprävention übermittelten Anfragedaten werden bei der SCHUFA taggenau 12 Monate gespeichert und auf der Datenkopie (nach Art. 15 DS-GVO) ausgewiesen. Ferner werden die personenbezogenen Daten ausgewiesen, die zur Verarbeitung in diesem Verfahren aktuell bei der SCHUFA gespeichert sind. Auswirkungen auf die Bonitätsbeurteilung und das Bonitätsscoring durch die SCHUFA hat das FPC-Verfahren nicht.

Weitere Informationen zum Kreditwürdigkeitsscoring oder zur Erkennung auffälliger Sachverhalte sind unter www.scoring-wissen.de erhältlich.