Richtigstellung der SCHUFA zu aktuellen Medienberichten

Ein Bericht der Zeitung Die Welt vom 10. Juni 2018 hat mit unvollständigen Informationen und falschen Behauptungen für Verwirrung gesorgt. Bedauerlicherweise wurde der SCHUFA im Vorfeld der Berichterstattung keine Möglichkeit zur Stellungnahme oder Richtigstellung eingeräumt. Auch von anderen Medien wurde die Meldung übernommen, inzwischen jedoch zu großen Teilen korrigiert oder sogar wieder ganz gelöscht. Auch Die Welt hat ihren Bericht bearbeitet, leider jedoch unzureichend. Nach wie vor sind Passagen irreführend formuliert oder falsch. Da uns zu dieser Berichterstattung Fragen von Kunden, Verbrauchern und Lesern dieses Portals erreicht haben, liefern wir mit diesem Artikel Fakten, beantworten die wesentlichen Fragen und stellen missverständliche und falsche Aussagen richtig. Ebenso liefern wir aus unserer Sicht wesentliche Informationen nach, die Die Welt nicht veröffentlicht hatte.

Ist das Geschäftsmodell von Auskunfteien wie der SCHUFA unter der DS-GVO überhaupt noch zulässig?

Ja. Anderslautende Behauptungen sind falsch. Die Europäische Datenschutzgrundverordnung (DS-GVO) stellt Auskunfteien überhaupt nicht in Frage. Die Rechtsgrundlage regelt Art. 6 Abs. 1 Buchstabe f) der DS-GVO. Demgemäß ist bei Vorliegen eines „berechtigten Interesses“ die Datenverarbeitung auch ohne konkrete Einwilligung erlaubt. Überdies hat der deutsche Gesetzgeber in der Begründung des §31 des neuen Bundesdatenschutzgesetzes (BDSG), das zeitgleich mit der DS-GVO in Kraft getreten ist, die wichtige Funktion von Auskunfteien wie der SCHUFA für unser Wirtschaftsleben hervorgehoben:

„Die in der bisherigen Fassung des BDSG enthaltenen Regelungen zu Auskunfteien und Scoring dienen dem Schutz des Wirtschaftsverkehrs und besitzen für Betroffene wie auch für die Wirtschaft eine überragende Bedeutung. Verbraucher vor Überschuldung zu schützen, liegt sowohl im Interesse der Verbraucher selbst als auch der Wirtschaft. Die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilden das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft. […] Kreditinformationssysteme […] werden nach wie vor als wichtige Voraussetzungen für das Wirtschaftsleben angesehen“.

Wie zu Zeiten des alten BDSG erfüllt die SCHUFA auch unter der neuen Regulierung der DS-GVO die gesetzlichen Anforderungen oder übererfüllt sie sogar. Weitere Informationen zu SCHUFA und der DS-GVO erhalten Sie hier.

Das heißt, die Zulässigkeit der kostenpflichtigen Service-Produkte der SCHUFA steht gar nicht in Frage?

Richtig. Die von der SCHUFA angebotenen Mehrwertprodukte sind weder Gegenstand der Prüfung noch unterliegen sie überhaupt den Anforderungen des Art. 15 DS-GVO. Dies hat auch die Aufsichtsbehörde gegenüber Die Welt klar zum Ausdruck gebracht:

„Wie alle anderen datenverarbeitenden Stellen ist die Schufa zur Erfüllung der gesetzlichen Auskunftspflicht nach Art. 15 DS-GVO verpflichtet. Daneben bietet sie im Rahmen ihrer unternehmerischen Tätigkeiten auch weitere Auskunftsvarianten zu anderen Konditionen (z.B. gebührenpflichtig) und mit anders aufbereiteten Inhalten bzw. zusätzlichem Service (z.B. Onlinezugang) an. Für diese Produkte gelten die Anforderungen des Art. 15 DS-GVO jedoch nicht.“

Leider wurde dieser Teil der Stellungnahme nicht veröffentlicht und stattdessen ein falscher Eindruck erzeugt.

Was ist denn dann Gegenstand der Prüfung der Hessischen Datenschutzaufsichtsbehörde?

Wie schon das BDSG räumt auch die Datenschutzgrundverordnung (DS-GVO) dem Verbraucher das Recht ein, von Unternehmen auf Antrag zu erfahren, welche personenbezogenen Daten sie über ihn speichern. Stellt der Verbraucher den Antrag dazu auf elektronischem Weg, ist derselbe Weg auch für die Beantwortung zu nutzen. Allerdings gilt dies jedoch nur, wenn die strengen daran geknüpften Anforderungen erfüllt werden können. Diese betreffen einerseits die eindeutige Identifikation der betroffenen Person und andererseits ist eine sichere Übermittlung der Information an nur diese Person sicherzustellen. Es muss ausgeschlossen sein, dass unbefugte Dritte Einsicht nehmen können.

Vor dem Hintergrund dieser Bestimmungen der Datenschutzaufsichtsbehörden einerseits, sowie einzelne Verbraucheranfragen zu dieser Thematik andererseits, hat die Hessische Datenschutzaufsichtsbehörde eine Überprüfung der aktuellen Bestimmungen veranlasst. Dabei geht es nach deren eigener Aussage, die uns ebenfalls vorliegt, jedoch lediglich darum zu prüfen:

„ob der Versand von Selbstauskünften nach Art. 15 DS-GVO durch die Schufa auf dem Postweg ausreichend ist, oder ob die Auskünfte, zumindest in bestimmten Fällen, auch in einem elektronischen Format zur Verfügung gestellt werden müssen.“

Leider wurde dieser Teil der Aussage der Aufsichtsbehörde jedoch dem Leser vorenthalten. Dadurch wurde ein Eindruck erzeugt, der durch die Fakten nicht begründet ist.

Über die grundsätzliche Auskunftspraxis besteht demnach kein Dissens. Die Schufa unterliegt strengen Anforderungen an Datensicherheit und Datenschutz. Diesen Anforderungen tragen wir gemäß den gesetzlichen und behördlichen Anforderungen mit Vorrang Rechnung. Eine abschließende Beurteilung dieser Frage, insbesondere der ggf. zu definierenden „bestimmten Fälle“, gibt es bisher nicht. Wir halten uns daher an die bisherigen Bestimmungen und darüber erfolgten Abstimmungen mit den Behörden und werden die Datenkopie nach Art. 15 DS-GVO weiterhin per Post ausliefern.

Warum liefert die SCHUFA die Auskunft nach Artikel 15 DS-GVO postalisch aus?

Der SCHUFA ist es bei einem elektronischen Auskunftsverlangen zwar regelmäßig möglich, die Antragsdaten zu dem entsprechenden Datensatz im SCHUFA-Datenbestand zuzuordnen, sofern die hierfür erforderlichen Angaben gemacht werden. Es ist jedoch nicht ohne weiteres möglich zu prüfen und sicherzustellen, ob es sich bei dem Antragsteller auch tatsächlich um die Person handelt, für die der Antrag nach Art. 15 DS-GVO gestellt wurde.

Es ist zu verhindern, dass ein Dritter sich in betrügerischer Absicht als der eigentlich Betroffene ausgibt und versucht, eine Datenkopie an eine unberechtigte Mailadresse abzuzweigen. Die SCHUFA speichert in ihrem Bonitätsdatenbestand keine Informationen über elektronische Kontaktdaten von betroffenen Personen, anhand derer eine sichere Verbindung hergestellt werden könnte. Gewöhnliche E-Mail-Adressen sind für die SCHUFA nicht überprüfbar. Hinzu kommt, dass selbst gängige elektronische Verschlüsselungsmethoden (z.B. für E-Mail-Verfahren) als nicht hinreichend sicher angesehen werden können (siehe dazu auch Berichterstattung der Süddeutschen Zeitung online vom 14.05.2018).

Auch gemäß den Datenschutzaufsichtsbehörden der Länder ist ausschließlich der Versand der Selbstauskunft per Brief an die Postadresse zulässig, wenn eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust nicht sichergestellt werden kann. Daran halten wir uns.

Die für die SCHUFA zuständige Aufsichtsbehörde, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, führt hierzu gegenüber der Zeitung Die Welt konkretisierend aus:

„Allerdings dürfte die Erteilung von elektronischen Auskünften für die Schufa ohne ein aufwendiges Identifizierungs- bzw. Legitimierungsverfahren (z.B. PostIdent, elektronische Signatur o.ä.) kaum möglich sein. Um zu verhindern, dass unberechtigte Personen sich im Wege der Auskunft nach Art. 15 DS-GVO Daten von Dritten verschaffen, dürfen Auskünfte nur an solche Personen erteilt werden, die eindeutig als berechtigte Auskunftsempfänger identifiziert werden können. Während die Anschriften der Betroffenen ohnehin bei der Schufa gespeichert sind, wodurch eine Identifizierung und sichere Zustellung an den berechtigten Auskunftsempfänger möglich ist, hat die Schufa hingegen i.d.R. keine verifizierten elektronischen Kontaktmöglichkeiten wie z.B. einen eigenen Account oder bekannte E-Mail-Adressen der jeweiligen Betroffenen.“

Aus diesem Grund sendet die SCHUFA die Datenkopie nach Art. 15 DS-GVO nur postalisch zu.

Es wird behauptet, es gäbe jedoch die Möglichkeit für Verbraucher gegen Geld eine schnelle Auskunft auf elektronischem Weg zu erhalten. Dazu könnte man sich online nur mit der Personalausweisnummer identifizieren? Stimmt das?

Diese Behauptung ist gleich mehrfach falsch. Die Auskunft nach Art. 15 DS-GVO gibt es auf keinem anderen Weg als auf dem postalischen und das ist immer kostenlos. Ferner gibt es auch gegen Geld keine Auskunft, die die Anforderungen erfüllt, die der Gesetzgeber an die Datenkopie nach Art. 15 DS-GVO stellt. Schließlich gibt es auch gegen Bezahlung keine Auskunft, auf die man durch Identifikation mit der Personalausweisnummer zugreifen kann.

Richtig ist vielmehr, dass die Personalausweisnummer im Prozess der Bestellung eines meineSCHUFA-Paketes verwendet wird, um zu plausibilisieren, ob der Besteller auch derjenige ist, der er vorgibt zu sein. Damit soll vermieden werden, dass jemand ein kostenpflichtiges Angebot für einen anderen als sich selbst bestellt. Ein Zugriff auf die Daten ist damit nicht verbunden. Nach erfolgter Bestellung des Produktes erhält der Verbraucher, für den der Onlinezugang eingerichtet wird, die Zugangsdaten zum System aus denselben Sicherheitserwägungen dann per Post nach Hause gesendet. Erst mit diesen Zugangsdaten kann er sich dann im meineSCHUFA-Portal anmelden und die Services nutzen.

Gibt es andere Kritik der Aufsichtsbehörde an der Auskunftspraxis der SCHUFA? Zum Beispiel an der Dauer bis die Datenkopie nach Art. 15 DS-GVO zugestellt wird? Oder einer möglichen Beschränkung der Bestellungen?

Nein. Die Auskunftspraxis der SCHUFA steht im Einklang mit den Anforderungen der DS-GVO. Dies bestätigt auch die Aufsichtsbehörde in ihrer Stellungnahme gegenüber Die Welt:

„Die Auskunft nach Art. 15 DS-GVO ist kostenfrei, darauf wird auf den entsprechenden Webseiten der Schufa eindeutig hingewiesen. Eine Beschränkung der Auskunftserteilung auf lediglich einmal jährlich ist für mich nicht erkennbar, weder auf den entsprechenden Info-Webseiten der Schufa noch auf dem von der Schufa zur Verfügung gestellten Antragsformular findet sich ein Hinweis auf eine solche Beschränkung. Auch eine Verzögerung der Auskunftserteilung ist nicht erkennbar. Nach Art. 12 Abs. 3 S. 1 DS-GVO muss die Auskunft innerhalb eines Monats erteilt werden. Da die DS-GVO erst kürzer als einen Monat gilt, konnte die Schufa diese Frist bisher noch gar nicht überschreiten. Aufgrund der bisherigen Auskunftspraxis der Schufa gehe ich davon aus, dass das Unternehmen auch weiterhin Auskünfte innerhalb weniger Tage bis Wochen und damit innerhalb der gesetzlichen Frist erteilen wird.“

Leider wurde auch dieser Teil der Stellungnahme der Aufsichtsbehörde nicht veröffentlicht.

Es wird behauptet, dass die per Post zugestellte Auskunft nach Art. 15 DS-GVO für Verbraucher oft zu spät kommt, wenn diese eine Auskunft kurzfristig benötigen, um sie z.B. einem Vermieter vorzulegen.

Gerät die Auskunft nach Art. 15. DS-GVO in die Hände Dritter, kann mit den enthaltenen Informationen sehr einfach Betrug begangen werden. Sie dient dazu, dass nur der Verbraucher selbst erfährt, welche Daten über ihn gespeichert sind und somit prüfen kann, ob alles richtig ist oder es Korrekturbedarf gibt.

Zu der Frage, ob ein Vermieter die Auskunft nach Art. 15 DS-GVO überhaupt verlangen darf, hat sich die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einer im März 2018 veröffentlichten Orientierungshilfe zur "Einholung von Selbstauskünften bei Mietinteressentinnen" geäußert. Dort heißt es auf Seite 6 unter Punkt C 3 „Vorlage der Selbstauskunft nach Anfrage bei einer Auskunftei“:

„Von den Mietinteressentinnen dürfen nur solche Auskünfte angefordert werden, die zum Nachweis ihrer Bonität für den spezifischen Fall der Eingehung eines Mietverhältnisses durch Mietinteressentinnen z.B. bei Auskunfteien eingeholt werden können und ausschließlich die hierfür erforderlichen Angaben enthalten. Nicht angefordert werden dürfen Selbstauskünfte im Sinne des Art. 15 DS-GVO, die betroffene Personen bei Auskunfteien einholen können. Denn diese enthalten häufig wesentlich mehr Angaben über die wirtschaftlichen Verhältnisse der betroffenen Personen, als für eine Beurteilung der Bonität im Rahmen des Mietverhältnisses erforderlich ist.“

Deswegen bietet die SCHUFA die im Markt anerkannte BonitätsAuskunft an. Ihr Zertifikat ermöglicht es Verbrauchern, die eigene Bonität Dritten gegenüber glaubhaft zu belegen, ohne persönliche Daten oder gar einen Scorewert offenzulegen.

Aus denselben Erwägungen, die dazu führen, dass die Datenkopie nach Art. 15 DS-GVO nur postalisch zugestellt wird, wird auch die Bonitätsauskunft nur postalisch zugestellt. Wer noch schneller einen Bonitätsbeleg benötigt, kann eine BonitätsAuskunft in ausgewählten Filialen der Postbank bzw. einer Volks- und Raiffeisenbank erhalten. Zudem bieten die gängigen Immobilienportale die Möglichkeit, einen SCHUFA-BonitätsCheck zu erhalten.

Weitere Erläuterungen und Infos zu den Bezugswegen finden Sie hier.

Falls es nach einer neuen Einschätzung der Behörde doch dazu kommt, dass die Auskunft nach Art. 15 DS-GVO in speziellen, definierten Fällen auch elektronisch zuzustellen ist, bedeutet das nicht das Aus für die meineSCHUFA-Produkte?

Nein. Die meineSCHUFA-Pakete standen schon zu Zeiten des BDSG nicht in Konkurrenz zur gesetzlichen Datenübersicht nach §34 BDSG und stehen auch heute nicht in Konkurrenz zur Datenkopie nach Art. 15. DS-GVO. Selbst bei einer in bestimmten Fällen vorzunehmenden elektronischen Auslieferung einer Datenkopie nach Art. 15 DS-GVO hätten unsere meineSCHUFA-Produkte weiterhin ihre spezifische Bedeutung. Sie werden nicht aufgrund der Online-Einsicht angeboten, sondern weil sie in unterschiedlicher Ausprägung vor allem bei der Erkennung und Prävention von Identitätsbetrug und Identitätsmissbrauch helfen.

Die Kernleistung des Kompakt-Paketes ist der UpdateService, der bei Anfragen und Änderungen im Datenbestand informiert. Im Plus-Paket ist es zusätzlich der IdentSafe, der im Internet und Darknet nach dort unzulässig veröffentlichten oder gar zum Kauf angebotenen, persönlichen Daten sucht. Wenn erforderlich warnt der Service den Verbraucher, hilft bei der Löschung der Daten und steht dem betroffenen Kunden mit Expertenhilfe zur Seite. Die in beiden Paketen enthaltene Online-Ansicht ist nur ein Element im gesamten Leistungspaket und auf die Anzeige der für die Bonitätsbewertung relevanten Positv- und Negativdaten sowie Anfragen von Unternehmen beschränkt.

Gerade in Zeiten, in denen Identitätsbetrug und Internetkriminalität ein wachsendes Problem darstellen, weiß der Verbraucher solche Serviceangebote zunehmend zu schätzen und erkennt, dass die SCHUFA als Partner an seiner Seite hilfreich ist. Bereits heute haben wir über 2 Millionen Privatpersonen die uns auch als unsere Kunden vertrauen. Nach unserer jüngsten Kundenzufriedenheitsbefragung sind sie zu einer weit überwiegenden Mehrheit zufrieden oder sehr zufrieden mit unseren Leistungen.

Wünscht der Verbraucher darüber hinaus, seine Gesamtdatenlage zu prüfen, kann er sich die Datenkopie nach Art. 15 DS-GVO bestellen.