SCHUFA , der Datenmogul - Ist die Praxis mit der DSGVO vereinbar?
Wer ist die SCHUFA eigentlich Schufa Holding AG? SCHUFA steht für Schutzgemeinschaft für allgemeine Kreditsicherung“ und ist eine privatwirtschaftlich geführte Wirtschaftsauskunftei mit Sitz in Wiesbaden.
Die Schufa versorgt Ihre Geschäftspartner mit Auskünften über die Kreditwürdigkeit Dritter. Zum Beispiel lässt eine Bank bei Vergabe eines Kredites die Bonität des Kreditnehmers durch die SCHUFA prüfen.
Worum geht es dabei?
Welche Daten stehen der SCHUFA zur Verfügung:
Personenbezogene Daten wie Name, Anschrift, frühere Anschriften, Geburtsort und Geburtstag sowie Daten zu Bank- und Girokonten, Kreditkarten, laufende Kredite, Leasingverträge, Mobilfunkverträge, Kundenkonten des Handels/ Versandhandels, Insolvenzverfahren sowie eidesstattliche Versicherungen oder auch Haftbefehle.
Als Rechtsgrundlage für die Speicherung der Daten führt die SCHUFA Artikel 6 Abs 1 der DSGVO an. Dieser besagt, dass eine Datenverarbeitung aus folgenden Gründen erlaubt ist:
· Der Verbraucher hat in die Datenverarbeitung eingewilligt.
· Die Verarbeitung ist zur Erfüllung eines Vertrages notwendig.
Ein besteht ein berechtigtes Interesse an der Erhebung der Daten.
Solange die Interessen und Rechte des Verbrauchers nicht schwerer wiegen als die der SCHUFA, ist laut DSGVO eine Datenverarbeitung gestattet.
Die SCHUFA speichert aber nicht nur die Daten, sondern benutzt sie, um für Ihren Vertragspartner z. B. eine Bank die Kreditwürdigkeit ihres Kunden durch ein spezielles Scoring Verfahren zu berechnen.
Als Rechtgrundlage benennt die SCHUFA § 31 BDSG: Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften. Wie die SCHUFA allerdings ihre Berechnungen zur Kreditwürdigkeit von Bürgern durchführen, ist bislang ein Geschäftsgeheimnis.
Nach Auffassung des Verwaltungsgerichtes (VG) Wiesbaden handelt es sich bei dem dahinterstehenden Berechnungsprozess um eine automatisierte Entscheidung. Somit könnte das Verfahren im Widerspruch zu Art. 22 DSGVO stehen, der verbietet, dass Computer Entscheidungen über Menschen treffen, welche diese entweder rechtlich oder auf eine ähnliche Weise beeinträchtigen können.
Eine weitere Frage zum Geschäftsgebaren der SCHUFA ist, welche Datenquellen diese nutzen darf und welche Löschfristen gelten. Bisher bezieht die SCHUFA Daten über deutsche Bürger aus unterschiedlichen Quellen. auch Informationen aus öffentlichen Verzeichnissen wie dem öffentlichen Register der Insolvenzbekanntmachungen – hier gelten Löschfristen von 6 Monaten. Nun zweifelt das VG Wiesbaden allerdings daran, ob in solchen „Paralleldatenbanken“ die Daten ohne konkreten Anlass gespeichert werden dürfen, um im Falle einer Anfrage eine Auskunft erteilen zu können und auch ob es zudem gerechtfertigt ist, die Löschfristen auf 3 Jahre zu verlängern.
Hierzu hat das Verwaltungsgericht (VG) Wiesbaden dem Europäischen Gerichtshof (EuGH) in zwei Verfahren mehrere Fragen vorgelegt. Der EuGH prüft nun seit Donnerstag, den 26. Januar 2023, ob das, was die SCHUFA und ähnliche Wirtschaftsauskunfteien machen, überhaupt mit der EU-Datenschutzgrundverordnung (DSGVO) in Einklang steht.
Gerechnet wird mit einem Urteil im Laufe des Jahres oder spätestens Anfang 2024.