SCHUFA und DS-GVO: Transparenz über die gesetzlichen Anforderungen hinaus

Seit dem 25.5.2018 gilt die Europäische-Datenschutz-Grundverordnung (DS-GVO) in allen 28 Mitgliedstaaten. Die neue DS-GVO ersetzt weitestgehend das Bundesdatenschutzgesetz (BDSG) und schafft so einen einheitlichen Datenschutzstandard in ganz Europa.

Die Regelungen und Vorschriften der DS-GVO gelten unmittelbar. Sie werden in Deutschland ergänzt durch das neue Bundesdatenschutzgesetz (BDSG neu). Spezifische Regelungen im alten Bundesdatenschutzgesetz (BDSG) zu den Rechten und Pflichten von Auskunfteien sind damit entfallen. So gibt es jetzt beispielsweise keine gesonderten Auskunftspflichten mehr für Auskunfteien. Alle Unternehmen, die personenbezogenen Daten verarbeiten, haben die gleichen Verpflichtungen (von großen sozialen Netzwerken und Suchmaschinen bis zu kleinen Betrieben oder Vereinen etc.).

Die SCHUFA steht für ein hohes Maß an Datenschutz und Datensicherheit. Ihren hohen Qualitätsanspruch wird die SCHUFA auch unter der neuen Rechtslage aufrechterhalten und die neuen Verpflichtungen nicht nur erfüllen sondern sogar darüber hinausgehen.

Die SCHUFA wird auch weiterhin die Scorewerte, die sie in den vergangenen 12 Monaten an Unternehmen übermittelt hat, in der kostenlosen Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) aufführen. Ebenso wird weiterhin auch der sogenannte SCHUFA-Basisscore, der einmal pro Quartal errechnet wird, auf der Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) aufgeführt.

Detailinformationen

Die Datenübermittlung an die SCHUFA bedarf ab dem 25.05.2018 keiner konkreten Einwilligung des Verbrauchers durch Unterzeichnung einer SCHUFA-Klausel mehr. Neue Rechtsgrundlage für die Übermittlung von Daten an die SCHUFA ist Art. 6 Abs. 1 Buchstabe f) DS-GVO. Demgemäß ist bei Vorliegen eines „berechtigten Interesses“ an der Datenverarbeitung diese auch ohne konkrete Einwilligung erlaubt.

Hintergrund für das neue Hinweisverfahren sind die geänderten Anforderungen an eine Einwilligung auf der einen Seite und dem überwiegenden Interesse des Verbrauchers und der Allgemeinheit an einem funktionierenden Kreditwesen auf der anderen Seite. Das Hinweisverfahren wurde mit den beteiligten Verbänden und den Aufsichtsbehörden abgestimmt.

Das berechtigte Interesse hat auch die Bundesregierung in der Begründung zum neuen Bundesdatenschutzgesetz ausdrücklich festgehalten:

„Die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilden das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft. Scoringverfahren und Kreditinformationssysteme sollen mit der Einmeldung von Positiv- und Negativdaten (an Auskunfteien), die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften weiter zulässig bleiben. Sie werden nach wie vor als wichtige Voraussetzungen für das Wirtschaftsleben angesehen.“

Für Zahlungsstörungen, also offene Forderungen, gilt wie bisher: Sie dürfen erst dann an die SCHUFA gemeldet werden, wenn der Verbraucher zuvor zweimal gemahnt wurde, zwischen den Mahnungen jeweils vier Wochen lagen, die Forderung unbestritten und der Verbraucher auch auf die Möglichkeit der Datenübermittlung an die SCHUFA hingewiesen wurde. Rechtsgrundlage dafür ist § 31 BDSG neu, dessen Voraussetzungen die SCHUFA in ihre Verträge mit Unternehmen, die dem SCHUFA-Verfahren angeschlossen sind, integriert hat.

Selbstverständlich wird der Verbraucher auch weiterhin über die Datenübermittlung informiert. Dabei ist der Umfang der Informationen zu Gunsten des Verbrauchers erweitert worden. Wie bisher werden Verbraucher in der Regel von den Unternehmen, die Daten an die SCHUFA übermitteln wollen, DS-GVO-konform informiert. Dies erfolgt durch den neuen SCHUFA-Hinweis und eine SCHUFA-Information.

Sollte das Unternehmen den Kunden nicht bereits über eine Datenübermittlung an die SCHUFA informiert haben, wird in diesen Ausnahmefällen die SCHUFA selbst durch eine entsprechende Information den Verbraucher informieren.

Die SCHUFA setzt ihre Praxis der transparenten Verbraucherinformation auch unter der neuen Rechtslage fort und wird über den gesetzlich geforderten Rahmen hinaus den Verbraucher umfassend unentgeltlich informieren. Aus der bekannten Datenübersicht nach § 34 BDSG ist zum 25.05.2018 die neue Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) [Kurzform: Datenkopie (nach Art. 15 DS-GVO)] geworden.

Nach der neuen Rechtslage sind nur Unternehmen, die automatisierte Einzelentscheidungen treffen, verpflichtet, über das Zustandekommen dieser Entscheidung bzw. die involvierte Logik zu informieren. Die SCHUFA trifft bekanntermaßen jedoch selbst keine Entscheidungen. Sie bietet mit ihren Informationen und Scorewerten lediglich Entscheidungshilfen für Unternehmen. Diese nutzen sie – neben weiteren Informationen aus anderen Quellen – als ein Element innerhalb ihrer Entscheidungssysteme; z.B. im Rahmen einer Kreditvergabe. Die SCHUFA trifft daher keine Auskunftspflicht über einzelne Scorewerte oder Verfahrensdetails. Dies obliegt den jeweiligen Unternehmen.

Die SCHUFA wird jedoch weiterhin die Scorewerte, die die SCHUFA in den vergangenen 12 Monaten an Unternehmen übermittelt hat, in der kostenlosen Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) aufführen. Ebenso wird unverändert auch der sogenannte SCHUFA-Basisscore, der einmal pro Quartal errechnet wird, auf der Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) aufgeführt.

Wie bisher erhalten Verbraucher über die Datenkopie nach (Art 15 DS-GVO) alle bei der SCHUFA zu ihrer Person gespeicherten Informationen, die in den vergangenen 12 Monaten gestellten Anfragen von Unternehmen sowie viele allgemeine Informationen zu den Datenarten und dem Scoreverfahren; der sogenannten involvierten Logik.

Obwohl bereits die Datenübersicht nach § 34 BDSG der SCHUFA im Jahr 2016 von Stiftung Warentest / Finanztest als einzige mit der Gesamtnote „gut“ und im Branchenvergleich mit Abstand als Testsieger ausgezeichnet wurde, hat die SCHUFA die nunmehr als „Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO)“ bezeichnete Eigenauskunft überarbeitet und verständlicher gestaltet.

Die Informationen sind übersichtlich, gut leserlich und thematisch sortiert auf separaten Seiten aufgeführt:

  • Blatt 1 umfasst das Anschreiben, aus dem auch die gespeicherten und für die Identifizierung benötigten Personendaten (Name, Anschrift, Geburtsdatum etc.) zu ersehen sind.
  • Die übrigen Blätter enthalten folgende weitere Informationen:
    • gespeicherte kreditrelevante Daten
    • Anfragen von Unternehmen
    • in den vergangenen 12 Monaten an Vertragspartner übermittelte Scorewerte
    • den SCHUFA-Basisscore, der quartalsweise berechnet wird
    • ergänzende Erläuterungen und Hinweise (auch auf weitere Informationen im Internet)

Den Verbrauchern steht neben den bisherigen Bestellmöglichkeiten auch ein elektronischer Antragsweg über meineSCHUFA.de zur Verfügung, über den die Kopie personenbezogener Daten (nach Art. 15 DS-GVO) online bestellt werden kann.

Die Bereitstellung der Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) erfolgt nach erfolgreicher Identifikation zur Sicherheit ausschließlich postalisch an die im SCHUFA-Datenbestand gespeicherte Anschrift. Damit wird ausgeschlossen, dass eine Person widerrechtlich die Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) einer anderen Person bestellt und auf elektronischem Wege bezieht, da eine sichere Identifikation bzw. Authentifizierung bei Verwendung des Online-Bestellformulars oder einer gewöhnlichen E-Mail nicht möglich ist.

Insofern sieht die SCHUFA (wie auch andere Auskunfteien) nach Rücksprache mit der zuständigen Datenschutzaufsichtsbehörde generell von einem elektronischen Versand ab.

Mit der SCHUFA-BonitätsAuskunft bietet die SCHUFA seit vielen Jahren ein aufgrund der besonderen Informationsqualität breit akzeptiertes Dokument zum Beleg der eigenen Bonität und Zuverlässigkeit in Finanzgeschäften an. Die BonitätsAuskunft ist nun nochmals verbessert und um Score-Informationen ergänzt worden.

  • Der ehemalige „Teil 1“ der BonitätsAuskunft wird nun als „Zertifikat“ ausgestaltet. Das Zertifikat ist geeignet für die Weitergabe an Dritte. Es enthält keine Score-Information und schützt die persönlichen Daten, denn es enthält nur die relevante Information, dass entweder keine Zahlungsstörungen vorliegen oder dass es offene Forderungen gibt, ohne diese genau zu detaillieren. So hat der Überbringer die Gelegenheit, vergangene Versäumnisse im Gespräch (z.B. mit dem Vermieter) zu erläutern und wird nicht einfach wegen eines Scorewertes aus der Liste der möglichen Mieter aussortiert.

    Das Zertifikat dokumentiert die „Original-SCHUFA-BonitätsAuskunft“: Ein neues Layout und Sicherheitsmerkmale wie Hologrammstreifen und SCHUFA-Siegel schaffen eindeutige Wiedererkennung und schützen das Dokument vor Manipulation. Die Sicherheitselemente sowie das Ausstellungsdatum dokumentieren die Echtheit und Aktualität des Zertifikats und erfüllen damit die Voraussetzung zur glaubwürdigen Fundierung einer Vertrauensbasis zu Beginn einer Geschäfts-, Arbeits- oder Mieterbeziehung.
  • Die auf den Folgeseiten aufgeführten erläuternden Informationen dienen zur persönlichen Information. Die Folgeseiten umfassen:
    • einen neuen, tagesaktuell zum Bestellstichtag berechneten SCHUFA-Orientierungswert
    • SCHUFA-Branchenscores, die eine Prognose liefern, wie hoch die Wahrscheinlichkeit ist, dass Zahlungsverpflichtungen in der Zukunft erfüllt werden
    • eine Übersicht der zur Person des Verbrauchers bei der SCHUFA gespeicherten Daten

Die neue SCHUFA-BonitätsAuskunft bietet somit mehr Information als bisher, stellt diese verständlich und leicht erfassbar dar und hilft dem Verbraucher, sich z.B. für Verhandlungen vorzubereiten. Dennoch sollte der Verbraucher – abgesehen vom Zertifikat – die erläuternden Informationen nicht an Dritte weitergeben.

Alle Details zur neuen SCHUFA-BonitätsAuskunft sind unter folgendem Link bzw. Download verfügbar:

Die SCHUFA-BonitätsAuskunft und die Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO) dürfen nicht miteinander verwechselt werden. Der Sinn und Zweck der Kopie personenbezogener Daten (nach Art. 15 DS-GVO) besteht in Information und Überprüfbarkeit der gespeicherten Daten und sollte daher vertraulich behandelt werden. Sie ist nicht für die Weitergabe an Dritte vorgesehen. Daten- und Verbraucherschützer haben vor einer Weitergabe an Dritte schon bei der bisherigen Datenübersicht nach BDSG gewarnt.

Besonders deutlich wird dies auch aus der neuen Orientierungshilfe zur "Einholung von Selbstauskünften bei Mietinteressentinnen", die im März 2018 von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (bfdi) veröffentlicht worden ist:

Dort heißt es auf Seite 6 unter Punkt „C 3. Vorlage der Selbstauskunft nach Anfrage bei einer Auskunftei“:

„Von den Mietinteressentinnen dürfen nur solche Auskünfte angefordert werden, die zum Nachweis ihrer Bonität für den spezifischen Fall der Eingehung eines Mietverhältnisses durch Mietinteressentinnen z.B. bei Auskunfteien eingeholt werden können und ausschließlich die hierfür erforderlichen Angaben enthalten. Nicht angefordert werden dürfen Selbstauskünfte im Sinne des Art. 15 DS-GVO, die betroffene Personen bei Auskunfteien einholen können. Denn diese enthalten häufig wesentlich mehr Angaben über die wirtschaftlichen Verhältnisse der betroffenen Personen, als für eine Beurteilung der Bonität im Rahmen des Mietverhältnisses erforderlich ist.“

Daher bietet die SCHUFA die SCHUFA-BonitätsAuskunft. Sie ermöglicht es Verbrauchern, die eigene Bonität Dritten gegenüber glaubhaft zu belegen, ohne persönliche Daten oder gar einen Scorewert offenzulegen.

Anders als im alten Bundesdatenschutzgesetz (BDSG) gibt es in der neuen Datenschutz-Grundverordnung (DS-GVO) keine konkreten Regelungen mehr zu der Frage, wie lange Auskunfteien wie die SCHUFA Daten speichern und verwenden dürfen. In Art. 5 Abs. 1 Buchstabe e) sowie in Art. 17 der DS-GVO (Recht auf Vergessen) wird nur der Grundsatz geregelt, dass personenbezogene Daten so lange verarbeitet werden dürfen, wie dies erforderlich ist bzw. es für eine Speicherung keine weitere Notwendigkeit/Erforderlichkeit mehr gibt.

Um für Verbraucher und Wirtschaft früh Rechtssicherheit und Klarheit zu schaffen, haben die Auskunfteien in Deutschland über den Verband „Die Wirtschaftsauskunfteien“ im Dialog mit den zuständigen Aufsichtsbehörden einen Code of Conduct (CoC) zur Regelung der Löschfristen mit den Landesdatenschutzbehörden in Deutschland vereinbart. Die Genehmigung ist gleichzeitig zum Wirksamwerden der DS-GVO von der für den Verband zuständigen Aufsichtsbehörde, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erteilt worden.

Der CoC schafft somit einen einheitlichen Standard für alle Auskunfteien und bringt mit den darin niedergelegten Lösch- und Prüffristen die Interessen der betroffenen Person mit dem Informationsinteresse der kreditgebenden Wirtschaft in einen angemessenen Ausgleich.

Mit den neuen Regelungen der Speicher- und Löschfristen wurden die bisherigen Speicherfristen zu Gunsten der Verbraucher noch einmal verkürzt: So erfolgt jetzt bei allen Merkmalen eine tagesaktuelle Löschung (statt wie bisher zum Jahresende). Zusätzlich wurde die Speicherfrist für unerledigte Merkmale denjenigen für erledigte Merkmale angeglichen. Für beide gilt nun eine Speicherfrist von drei Jahren, wobei es sich bei der Speicherfrist von unerledigten Forderungen um eine Prüffrist handelt, ob die offene Forderung inzwischen ausgeglichen wurde.

Verbraucher müssen sich nicht selbst um die Löschung kümmern. Wie bisher erfolgen auf Basis der festgelegten Speicherfristen die Löschungen automatisch.

Berichtigung

Die Verbraucher haben wie bisher das Recht unrichtige/unvollständige Daten kostenlos korrigieren zu lassen (Art. 16 DS-GVO).

Die Datenqualität ist für die SCHUFA essentiell und die SCHUFA nimmt berechtigte Korrekturanliegen zum Anlass für eine sofortige Berichtigung.

Hinweise zur Berichtigung der Daten eines Verbrauchers nimmt die SCHUFA unverändert telefonisch, per Post sowie online entgegen. (SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln, telefonisch unter +49 (0)611 - 92780 sowie über ein Online-Kontaktformular unter https://www.schufa.de/de/kontakt/kontaktformular/kontaktformular.jsp)

Widerspruchsrecht

Das Widerspruchsrecht zur Verarbeitung personenbezogener Daten wird in der Datenschutz-Grundverordnung (DS-GVO) in Art. 21 Abs. 1 geregelt. Es ist jedoch nicht als allgemeines Widerspruchsrecht konzipiert, sondern es müssen besondere Umstände vorliegen. Voraussetzung für das Widerspruchsrecht nach Art. 21 ist, dass der Betroffene einen besonderen persönlichen Grund hat bzw. besondere Umständen vorliegen, die das Interesse der SCHUFA an der Erhebung, Verarbeitung oder Nutzung überwiegen; hierzu zählen insbesondere Situationen, in denen eine Datenverarbeitung eine Gefahr für Leib und Leben der betroffenen Person darstellt (z. B. wenn der bzw. die Betroffene an einem Zeugenschutzprogramm teilnimmt oder in einem Frauenhaus wohnt).

Mit Art. 21 der DS-GVO wird das bereits aus Art. 14 der Datenschutzrichtlinie 95/46/EG und dem § 35 Abs. 5 BDSG a .F. bekannte enge Widerspruchsrecht fortgeschrieben. Die SCHUFA wird daher die bereits unter § 35 Abs. 5 BDSG entwickelten Grundsätze für die Frage des Bestehens eines Widerspruchsrechts auch unter Art 21 Abs. 1 DS-GVO fortführen.

Um ihr Widerspruchsrecht geltend zu machen, können Betroffene ihr Anliegen mit entsprechenden Nachweisen postalisch an die SCHUFA zur Prüfung senden.

Härtefallregelung

Unter der DS-GVO kann die bisherige Praxis einer an festen Grenzen orientierten Sonderregelung zur Ausnahme-Löschung negativer Meldungen (maximal 6 Wochen nach Meldung der Forderung, deren Betrag 2000 Euro nicht übersteigt) nicht mehr fortgesetzt werden. Die neue Gesetzgebung kennt solche Grenzen nicht und orientiert sich an der jeweiligen Erforderlichkeit.

Konsequenterweise sieht auch der zuvor unter Punkt 7 erwähnte, mit den Landesdatenschutzbehörden verabschiedete Code of Conduct ein standardisiertes „Ausnahmeverfahren“ anhand von festen Grenzwerten nicht mehr vor, sondern enthält eine allgemeine Regelung zur Prüfung von „Härtefällen“ im Einzelfall.

Die SCHUFA wird daher die bisherige Praxis zugunsten einer Einzelfallprüfung in besonderen Härtefällen umstellen. Damit die neue Einzelfallprüfung jedoch nicht zu einer missbräuchlichen Nutzung und letztlich der Aushöhlung der grundsätzlichen und im Code of Conduct festgeschriebenen Löschregeln verwendet wird, müssen gut argumentierte Härtefälle bzw. besondere Umstände schriftlich glaubhaft gemacht werden können.