2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden
Die SCHUFA verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Scorewerte ermittelt und übermittelt. Sie stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben. Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu internen Zwecken (z.B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, Weiterentwicklung von Dienstleistungen und Produkten, Forschung und Entwicklung insbesondere zur Durchführung interner Forschungsprojekte (z.B. SCHUFA-Kreditkompass) oder zur Teilnahme an nationalen und internationalen externen Forschungsprojekten im Bereich der genannten Verarbeitungszwecke sowie Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse hieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Es können auch anonymisierte Daten verarbeitet werden. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.
2.2 Rechtsgrundlagen für die Datenverarbeitung
Die SCHUFA verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes. Die Verarbeitung erfolgt auf Basis von Einwilligungen (Art. 6 Abs. 1 Buchstabe a DS-GVO) sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f DS-GVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DS-GVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.
2.3 Herkunft der Daten
Die SCHUFA erhält ihre Daten einerseits von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert oder Standardvertragsklauseln vereinbart wurden, die unter www.schufa.de eingesehen werden können) ansässige Institute, Finanzunternehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energieversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich. Darüber hinaus verarbeitet die SCHUFA Informationen aus allgemein zugänglichen Quellen wie etwa öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (z.B. Schuldnerverzeichnisse, Insolvenzbekanntmachungen) oder von Compliance-Listen (z.B. Listen über politisch exponierte Personen und Sanktionslisten) sowie von Datenlieferanten. Die SCHUFA speichert ggf. auch Eigenangaben der betroffenen Personen nach entsprechender Mitteilung und Prüfung.
2.4 Kategorien personenbezogener Daten, die verarbeitet werden (Personendaten, Zahlungsverhalten und Vertragstreue)
Personendaten, z.B. Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften | Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z.B. Girokonten, Ratenkredite, Kreditkarten, Pfändungsschutzkonten, Basiskonten) | Informationen über nicht erfüllte Zahlungsverpflichtungen wie z.B. unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung | Informationen zu missbräuchlichem oder sonstigen betrügerischem Verhalten wie z.B. Identitäts- oder Bonitätstäuschungen | Informationen aus allgemein zugänglichen Quellen (z.B. Schuldnerverzeichnisse, Insolvenzbekanntmachungen) | Daten aus Compliance-Listen | Informationen ob und in welcher Funktion in allgemein zugänglichen Quellen ein Eintrag zu einer Person des öffentlichen Lebens mit übereinstimmenden Personendaten existiert | Anschriftendaten | Scorewerte
2.5 Kategorien von Empfängern der personenbezogenen Daten
Empfänger sind im europäischen Wirtschaftsraum, in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert oder Standardvertragsklauseln vereinbart wurden, die unter www.schufa.de eingesehen werden können) ansässige Vertragspartner gem. Ziffer 2.3. Weitere Empfänger können externe Auftragnehmer der SCHUFA nach Art. 28 DS-GVO sowie externe und interne SCHUFA-Stellen sein. Die SCHUFA unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.
2.6 Dauer der Datenspeicherung
Die SCHUFA speichert Informationen über Personen nur für eine bestimmte Dauer. Maßgebliches Kriterium für die Festlegung dieser Dauer ist die Erforderlichkeit der Verarbeitung zu den o.g. Zwecken. Im Einzelnen sind die Speicherfristen in einem Code of Conduct des Verbandes „Die Wirtschaftsauskunfteien e. V.“ festgelegt (einsehbar unter www.schufa.de/loeschfristen). Angaben über Anfragen werden nach 12 Monaten taggenau gelöscht.