Datenschutzinformation für Kontoinformationsmehrwertdienste der SCHUFA

Stand: August 2020

1. Name und Kontaktdaten der verantwortlichen Stelle sowie Kontaktdaten des betrieblichen Datenschutzbeauftragten

SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Tel.: +49 (0) 6 11 - 92 78 - 0

Der betriebliche Datenschutzbeauftragte der SCHUFA ist unter der o.g. Anschrift, z. Hd. Abteilung Datenschutz, oder per E-Mail unter datenschutz@schufa.de erreichbar.

2. Datenverarbeitung von Kontoinformationen durch die SCHUFA

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden

Im Rahmen der Dienstleistungen, die die SCHUFA auf Grundlage bereitgestellter Kontoinformationen erbringt („Kontoinformationsmehrwertdienst“), werden personenbezogene Daten zur Durchführung (vor-)vertraglicher Maßnahmen und zur Erfüllung (vor-)vertraglicher Pflichten gegenüber dem jeweiligen Kunden (Vertragspartner) und Endnutzer (= betroffene Person) verarbeitet. Davon umfasst sind Datenverarbeitungen, die der unmittelbaren Bereitstellung und Abwicklung des jeweils genutzten Kontoinformationsmehrwertdienstes dienen, sowie Datenverarbeitungen zum Zwecke der Kontaktaufnahme, Beratung und Betreuung, Bereitstellung von Informationen und anderer (vor- und nach-) vertraglicher Maßnahmen. Darüber hinaus kann eine Verarbeitung personenbezogener Daten zu internen Zwecken (z.B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten sowie Gewährleistung der IT-Sicherheit und des IT-Betriebs und Qualitätssicherung der jeweiligen Leistung) erfolgen.

Bei Vorliegen einer Einwilligung des Endnutzers kann die SCHUFA die im Rahmen von Kontoinformationsmehrwertdiensten erhaltenen Kontoinformationen ferner auch im Rahmen ihres Auskunfteiverfahrens zu Zwecken der Kreditwürdigkeitsprüfung, Identitätsprüfung, Anschriftenermittlung, Seriositätsprüfung, Geldwäscheprävention, Risikosteuerung sowie zur Entwicklung und Weiterentwicklung von eigenen Dienstleistungen und Produkten verarbeiten. Ergänzende Informationen zur Datenverarbeitung im Auskunfteiverfahren sind unter www.schufa.de/datenschutz einsehbar. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung

Personenbezogene Daten werden unter Berücksichtigung aller einschlägigen Datenschutzgesetze, insbesondere den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG), verarbeitet.

Die Verarbeitung erfolgt auf der Grundlage von Einwilligungen (Art. 6 Abs. 1 Buchstabe a DS-GVO), zur Durchführung vorvertraglicher Maßnahmen und zur Erfüllung der vertraglichen Pflichten der SCHUFA gegenüber dem jeweiligen Kunden und Endnutzer (Art. 6 Abs. 1 Buchstabe b DS-GVO), sowie zur Erfüllung etwaiger rechtlicher Pflichten der SCHUFA (Art. 6 Abs. 1 Buchstabe c DS-GVO). Auf Grundlage der Interessenabwägung (Art. 6 Abs. 1 Buchstabe f DS-GVO) verarbeitet die SCHUFA Kontoinformationen, soweit die Verarbeitung zur Wahrung der berechtigten Interessen der SCHUFA oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Eine Verpflichtung zur Bereitstellung personenbezogener Daten besteht grundsätzlich nicht. Allerdings ist der SCHUFA die Durchführung des Vertragsverhältnisses und damit verbunden die Erbringung der vom Endnutzer gewünschten Kontoinformationsmehrwertdienste nicht möglich, wenn die jeweils hierfür erforderlichen Kontoinformationen nicht zur Verfügung stehen.

2.3 Herkunft der Daten

Die im Rahmen von Kontoinformationsmehrwertdiensten verarbeiteten personenbezogenen Daten können von Kredit- und Finanzdienstleistungsinstituten, Kreditkartenunternehmen und anderen Finanzdatenanbietern stammen. Auf sie wird ausschließlich mit ausdrücklicher Zustimmung des Endnutzers durch ein Konzernunternehmen der SCHUFA (finAPI GmbH) zugegriffen. Die Datenherkunft kann je nach genutztem Dienst unterschiedlich sein. Darüber hinaus verarbeitet die SCHUFA zur Erbringung von Leistungen gemäß Ziffer 2.1 und im Einklang mit den Rechtsgrundlagen gemäß Ziffer 2.2 gegebenenfalls auch andere personenbezogene Daten als Kontoinformationen aus eigenen Quellen (z. B. SCHUFA-Bonitätsdatenbestand) sowie aus externen Quellen (z. B. allgemein zugängliche Quellen oder Datenlieferanten). Weitere Informationen zu möglichen Datenquellen anderer personenbezogener Daten als Kontoinformationen können unter www.schufa.de/datenschutz eingesehen werden.

2.4 Kategorien personenbezogener Daten, die im Rahmen von Kontoinformationsmehrwertdiensten der SCHUFA verarbeitet werden

Der Umfang der Verarbeitung von Kontoinformationen durch die SCHUFA kann in Abhängigkeit zu dem jeweiligen vom Endnutzer gewünschten Kontoinformationsmehrwertdienst und dem Vorliegen einer Einwilligung des Endnutzers variieren. Bei der Erbringung von Kontoinformationsmehrwertdiensten der SCHUFA können generell folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Personendaten (z.B. Kontostammdaten, Name, Vorname, Geburtsdatum, Geschlecht, Anschrift)
  • Kontaktdaten (z.B. Telefonnummern, Mobilfunknummern, E-Mail-Adressen)
  • Aktuelle und historische Kontoinformationen (z.B. Kontostände, Umsätze, Zahlungsempfänger, Umsatzkategorien)
  • Informationen aus weiteren Datenbeständen der SCHUFA wie dem Bonitätsdatenbestand (z.B. Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäfts, Informationen über Zahlungsstörungen wie unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen oder auch Informationen aus allgemein zugänglichen Quellen wie öffentlichen Verzeichnissen und amtlichen Bekanntmachungen)

Weitere Informationen zu den von der SCHUFA im Rahmen ihrer Auskunfteitätigkeit im SCHUFA-Bonitätsdatenbestand verarbeiteten Datenkategorien können zudem unter www.schufa.de/datenschutz eingesehen werden. Auf sensible Zahlungsdaten (wie Login-Daten zum Online-Banking), die einen Zugriff auf Kontoinformationen bei Kontoanbietern des Kunden ermöglichen, erhält die SCHUFA zu keinem Zeitpunkt Zugriff.

2.5 Kategorien von Empfängern der personenbezogenen Daten

Empfänger der personenbezogenen Daten sind Geschäftspartner der SCHUFA im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. in Drittländern, (für die die EU Kommission festgestellt hat, dass sie über ein angemessenes Datenschutzniveau verfügen oder sofern Standardvertragsklauseln vereinbart wurden, die unter www.schufa.de eingesehen werden können), soweit dies für die vom Endnutzer gewählte Leistung erforderlich ist.

Weitere Empfänger können externe Auftragnehmer der SCHUFA nach Art. 28 DS-GVO sowie externe und interne SCHUFA-Stellen sein. Zu den unter Ziffer 2.1 genannten Zwecken gibt die SCHUFA personenbezogene Daten im jeweils erforderlichen Umfang ggf. auch an Dritte (z.B. externe Dienstleister wie IT-Dienstleister, Betreiber von Endnutzer-Anwendungen) weiter. Die SCHUFA unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung

Die SCHUFA speichert Kontoinformationen nur für eine bestimmte Zeit. Maßgebliches Kriterium für die Festlegung dieser Zeit ist die Erforderlichkeit. Personenbezogene Kontoinformationen werden daher nur so lange gespeichert und verarbeitet, wie es für die jeweiligen Zwecke (z. B. Leistungserbringung, Qualitätssicherung) erforderlich ist bzw. solange die Speicherung von einer Einwilligung gedeckt ist. Es können zudem handels- oder steuerrechtliche Aufbewahrungs-, Dokumentations- und Auskunftspflichten gelten, an die die SCHUFA gebunden ist. Solche Fristen betragen in der Regel bis zu zehn Jahre. Darüber hinaus kann eine Verarbeitung auch länger erforderlich sein, etwa zur Rechtsverteidigung. Sind die Daten für die Zwecke der Verarbeitung nicht mehr erforderlich und stehen keine Aufbewahrungspflichten entgegen, werden diese gelöscht.

3. Betroffenenrechte

Jede betroffene Person hat gegenüber der SCHUFA das Recht auf Auskunft nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO und das Recht auf Datenübertragbarkeit nach den in Art. 20 DS-GVO genannten Voraussetzungen. Zur Geltendmachung dieser Rechte können sich betroffene Personen jederzeit an die SCHUFA wenden. Die SCHUFA hat hierfür ein Privatkunden-ServiceCenter eingerichtet, das schriftlich unter SCHUFA Holding AG, Privatkunden- ServiceCenter, Postfach 10 34 41, 50474 Köln, telefonisch unter +49 (0) 611 - 92 78 0 erreichbar ist. Darüber hinaus besteht die Möglichkeit sich an die zuständige Aufsichtsbehörde, den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, zu wenden.

Einwilligungen können jederzeit gegenüber der SCHUFA widerrufen werden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten. Eine Mitteilung in Textform an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden oder an abmelden@schufa.de sowie telefonisch unter +49 (0) 234 – 9761200 oder per Fax an +49 (0) 611 - 9278-359 reicht hierfür aus.

Wir sind verpflichtet Sie darauf hinzuweisen, dass Sie nach Art. 21 Abs. 1 DS-GVO der Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 Buchstabe f) DS-GVO aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen können. Der Verwendung Ihrer personenbezogenen Daten für Marketingzwecke können Sie nach Art. 21 Abs. 2 DS-GVO jederzeit insgesamt oder für einzelne Maßnahmen widersprechen. Der Widerspruch kann formfrei erfolgen und ist zu richten an SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln.

4. Profilbildungen mit Kontoinformationen

Die Erbringung von Kontoinformationsmehrwertdiensten für den Vertragspartner und den Endnutzer kann auch die Bildung von Scorewerten und Profilen auf Grundlage der mit Zustimmung des Endnutzers abgerufenen Kontoinformationen beinhalten. Darüber hinaus können bei Vorliegen einer Einwilligung des Endnutzers Profilbildungen und die Ermittlung von Scorewerten unter Einbeziehung von Kontoinformationen zur Erbringung von Auskunfteileistungen der SCHUFA erfolgen. Den Profilbildungen werden dabei stets geeignete und mathematisch bzw. statistisch fundierte Verfahren zugrunde gelegt. Auf die nachgelagerte Verarbeitung von Scorewerten oder gebildeten Profilen durch die jeweiligen Empfänger hat die SCHUFA keinen Einfluss. Sie trifft insbesondere keine (automatisierten) Entscheidungen.

Weitere Informationen zu etwaigen aktuell eingesetzten Verfahren sind unter www.schufa.de/scoring-faq einsehbar.

5. Hinweise zur Nutzung der Klickstrecken / Webseiten für Kontoinformationsmehrwertdienste der SCHUFA

5.1 Allgemeine Hinweise

Beim Aufrufen der Klickstrecke / Webseiten für Kontoinformationsmehrwertdienste der SCHUFA werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet und temporär in einem sogenannten Log-File gespeichert. Folgende Informationen werden dabei auch ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

  • die Vorgangsidentifikationsnummer
  • das Datum und die Uhrzeit des Zugriffs
  • der Name und die URL der aufgerufenen Webseite
  • die Website/Applikation von der aus der Zugriff erfolgte (Referrer-URL)
  • die technische Beschreibung im Falle eines Fehlers

Die oben aufgelisteten Daten werden durch uns für folgende Zwecke genutzt:

  • Gewährleistung eines reibungslosen Verbindungsaufbaus,
  • Gewährleistung einer komfortablen Nutzung unserer Website,
  • Auswertung der Systemsicherheit und -stabilität.

Die Daten werden für einen Zeitraum von 21 Tagen gespeichert und danach automatisch gelöscht.

5.2 Tracking

Wir erfassen die Nutzung unserer Website statistisch, um diese zum Zwecke der Optimierung unseres Angebotes für Sie auszuwerten. Die Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 Buchstabe f DS-GVO. Zu diesen Daten gehören unter anderem Seitenaufrufe, Verweildauer, etc. Diese statistischen Angaben werden von uns aggregiert analysiert, um unser Angebot zu verbessern und die Akzeptanz einzelner Webseiten zu überprüfen. Cookies werden nicht verwendet.

5.3 Datensicherheit

Alle von Ihnen persönlich übermittelten Daten werden mit dem allgemein üblichen und sicheren Standard SSL (Secure Socket Layer) übertragen. SSL ist ein sicherer und erprobter Standard, der z.B. auch beim Online-Banking Verwendung findet. Sie erkennen eine sichere SSL-Verbindung unter anderem an dem angehängten s am http (also https://...) in der Adressleiste Ihres Browsers oder am Schloss-Symbol im unteren Bereich Ihres Browsers.