Lehrt die DSGVO die Daten­kraken Schufa & Co. das Grausen?

Aus­kunfteien wie die Schufa, Cre­dit­reform, Bürgel, Arvato Info­score & Co. sind pro­fes­sio­nelle Daten­sammler. Bei diesen Firmen werden Daten nicht einfach nur als Kun­den­daten archi­viert und ver­waltet, sondern das Geschäft der Aus­kunfteien ist ja gerade, diese Daten gegen Geld an Dritte zu ver­kaufen. Jeder, der behauptet, aus wirt­schaft­lichen Gründen Aus­kunft über Herrn oder Frau Mül­ler­mei­er­schmitz oder Firma Kaufsofort zu benö­tigen, zahlt eine über­schaubare Summe und bekommt die gewünschten Daten in einem über­sicht­lichen Dossier. Ent­halten sind Fami­li­en­stand, Kinder, Anzahl der Konten, welche Kredite, wie zuver­lässig diese abbe­zahlt werden, Tele­fon­ver­träge, Insol­venzen. Die Schufa benutzte zeit­weilig auch Facebook als Daten­grube, musste das aber wegen großer Pro­teste wieder aufgeben.
Natürlich haben die Aus­kunfteien die betrof­fenen Per­sonen nicht danach gefragt, ob sie ein­ver­standen sind, dass diese Daten gegen Geld in alle Welt ver­breitet werden. Was Kredite und Bank­konten betrifft, wird das anders gelöst. Man unter­schreibt bei der Bank von Anfang an, dass die Daten von der Bank an die Schufa gemeldet werden.
Viele Bürger sind nun der Meinung, die DSGVO habe wenigstens den Vorteil, dass die Daten­sam­melei der Aus­kunfteien ein Ende findet. Dem ist nicht so. Der Wider­spruch zwi­schen Daten­schutz für den nor­malen Bürger und dem Daten­sammeln durch Schufa & Co. ist dem Gesetz­geber auch nicht einfach so ent­gangen, im Gegenteil: Schon im bis­he­rigen Bun­des­da­ten­schutz­gesetz (BDSG) ist die Daten­ver­ar­beitung von Aus­kunfteien aus­drücklich zulässig.
Nach der neuen DSGVO und dem BDSG-neu (§§30,31 BDSG-neu) ist die Daten­ver­ar­beitung für diese Firmen wei­terhin zulässig, wenn ein „Erlaub­nis­tat­be­stand“ besteht. Für Aus­kunfteien sind fol­gende Erlaub­nis­tat­be­stände möglich:

• die Ein­wil­ligung des Betrof­fenen, Art. 6 Abs.1 a) DSGVO

• die Ver­ar­beitung zur Erfüllung eines Ver­trags oder zur Durch­führung einer vor­ver­trag­lichen Maß­nahme, Art. 6 Abs.1 b) DSGVO

• die Ver­ar­beitung zur Wahrung der berech­tigten Inter­essen des Ver­ant­wort­lichen. Art. 6 Abs.1 f) DSGVO

Der erste Punkt ist nicht nur kom­pli­ziert, weil eine gültige Ein­wil­ligung schon gesetzlich ziemlich hohe Anfor­de­rungen an die „Infor­miertheit und Frei­wil­ligkeit des Betrof­fenen“ stellt, also jede Menge Papier­krieg und For­mu­lie­rungs­kunst­stücke erfordert. Außerdem dürfte jedem klar sein, dass spe­ziell von der Gruppe Mit­bürger, deret­wegen sich Geschäfts­partner ja vor­sichts­halber an Aus­kunfteien wenden, mit Sicherheit keine Ein­wil­ligung zu erhalten ist. Bedeutet: Die schwarzen Schafe geben keine Ein­wil­ligung und auch das Ein­holen der Ein­wil­ligung bei jedem ein­zelnen, unbe­schol­tenen Betrof­fenen ist umständlich, auf­wändig und teuer, man muss nach­haken, wenn die Ein­wil­ligung aus­bleibt und jeder Zweite wird Dis­kus­si­ons­bedarf anmelden.
Die Seite daten­schutz­be­auf­tragter-info umschreibt dies vornehm: „Die Kre­dit­wirt­schaft nimmt von diesem Erlaub­nis­tat­be­stand zunehmend Abstand, ins­be­sondere, weil sich die Daten­ver­ar­bei­tungen auch auf andere Weise ein­facher recht­fer­tigen lassen.“ 
Erlaub­nis­tat­be­stand Nummer zwei ist die Daten­er­hebung zu vor­ver­trag­lichen Maß­nahmen. Kre­dit­in­stitute haben natürlich ein großes Interesse, einen poten­ti­ellen Kre­dit­nehmer gründlich auf seine Bonität zu prüfen, bevor sie einen Kredit gewähren. Dieser Erlaub­nis­tat­be­stand ermög­licht es aber nicht, einen Dritten mit dieser Durch­führung “vor­ver­trag­licher Maß­nahmen” zu beauf­tragen. Er kommt also eigentlich nicht in Betracht. Unei­gentlich legt aber die Bank dem Kunden ein Ver­trags­for­mular auf den Tisch, auf dem der Kre­dit­nehmer im Rahmen der „All­ge­meinen Geschäfts­be­din­gungen“ genau die Ein­wil­li­gungen gibt und unter­schreibt, die der Schufa alles Erfor­der­liche an Daten liefert. Der Kunde willigt ein, weil er sonst keinen Kredit bekommt. Insofern holt man sich hier den Erlaub­nis­tat­be­stand eins.
Bleibt Erlaub­nis­tat­be­stand Nummer drei: Die Wahrung der berech­tigten Inter­essen des Ver­ant­wort­lichen. Dieser Tat­be­stand ist nicht neu, wird aber in Zukunft die Basis für die Aus­kunfteien bilden. Bisher war dies in § 29 Abs.1 Nr.1 und § 29 Abs. 2 BDSG geregelt und wichtig für die Spei­cherung von Daten durch eine Aus­kunftei – und auch bei der Über­mittlung von Daten einer Aus­kunftei an einen Dritten.
Fraglich ist bei diesem Erlaub­nis­tat­be­stand Nummer drei die etwas wattige For­mu­lierung der „berech­tigten Inter­essen“. Das ist recht ungenau und wie eine Inter­es­sen­ab­wägung im Zwei­felsfall geregelt sein soll, blieb offen.
Das ändert jetzt die neue DSGVO. Nun soll bei jeder Ver­ar­bei­tungs­phase eine solche Inter­es­sen­ab­wägung durch­ge­führt werden. Auf Seiten der Banken und Kre­dit­geber, die die Daten des Kunden abfragen, heißt das Interesse: Gewinn­erzielung und geringe Kredit-Aus­fall­quote. Der Kre­dit­nehmer hat dagegen ein Interesse, die Pri­vatheit seiner Daten zu schützen und deren Ver­breitung mög­lichst gering zu halten — und seine finan­zi­ellen Situation eben­falls privat zu halten.
Es wird in diesem Zusam­menhang auch gern darauf hin­ge­wiesen, dass es ja auch durchaus im Interesse des Kre­dit­nehmers liege, wenn ihm wegen man­gelnder Bonität ein Kredit nicht gewährt werde, denn das schütze ihn letztlich vor Über­schuldung. Die Rea­lität findet aber immer Aus­weich­mög­lich­keiten. So werben manche Kre­dit­geber mit „unkom­pli­ziertem Kredit ohne Schufa“, ver­langen aber dafür wesentlich höhere Zinsen – und wenden im Falle des Zah­lungs­ver­zuges durchaus unge­müt­liche Methoden gegenüber dem säu­migen Zahler an.
Eine deutlich ver­än­derte Lage ent­steht für die Aus­kunfteien aber durch die neue, in der DSGVO vor­ge­schriebene Infor­ma­ti­ons­pflicht. Seit dem 25. Mai 2018 haben alle EU-Bürger per EU-Ver­ordnung ein „umfas­sendes Aus­kunfts­recht“. Jedes Unter­nehmen, das seine Daten ver­ar­beitet, archi­viert, benutzt etc. muss ihn jederzeit, indi­vi­duell und umfang­reich informieren.
Das gefällt den Aus­kunfteien natürlich gar nicht, ins­be­sondere, da sie einen großen Daten­be­stand über unzählige Men­schen auf­gebaut haben. Das alte BDGS hatte zwar den Ver­brau­chern schon vor dem Inkraft­treten der DSGVO ein kos­ten­loses Aus­kunfts­recht ein­ge­räumt, das man bei der Schufa jedoch nur einmal im Jahr in Anspruch nehmen konnte. Schon damals sperrten sich die Aus­kunfteien nach Kräften, entfiel damit doch eine nicht unbe­trächt­liche Geld­quelle. Immerhin kostete jede weitere Abfrage der eigenen Daten den Bürger Geld, und auch die Ein­richtung des Online-Angebots „mei­ne­Schufa“ machte es zwar für die Ver­braucher relativ preiswert (eine ein­malige Ein­rich­tungs­gebühr von 9,95 Euro plus min­destens für ein Jahr Zusatz­kosten in Höhe von 3,95 Euro monatlich), die eigenen Daten immer wieder zu über­prüfen, brachte aber nach dem Motto „Kleinvieh gibt auch Mist“ der Schufa immer noch genug Geld ein.
Nun sind die Aus­kunfteien per EU-Ver­ordnung gezwungen, diese Ein­sicht in die Daten kos­tenlos zu geben – und zwar im Prinzip so oft der Anfra­gende seine Daten sehen möchte. Außerdem schreibt die DSGVO vor, dass der Antrag­steller, wenn er das möchte, die Daten „in einem gän­gigen, elek­tro­ni­schen Format“ aus­ge­händigt bekommen muss. Bisher bekamen die Ver­braucher ihre jähr­liche Pflicht­aus­kunft per Papierpost und das auch erst nach Wochen.
Die hes­sische Daten­schutz­be­hörde ist für das Unter­nehmen „Schufa“ ver­ant­wortlich und hat bereits ein wach­sames Auge auf die Daten­sam­mel­firma geworfen, denn es gab bereits durchaus Pannen bei dem Unter­nehmen. Die Daten­schützer sehen das Geschäfts­modell mit der Eigen­aus­kunft kri­tisch. Gegenüber der Welt, sagte die Behörde, dass der Konzern bereits zu einer Stel­lung­nahme auf­ge­fordert worden sei. Man sei dabei zu prüfen, ob die bis­herige Praxis zulässig ist.
Die Schufa begründet ihre Vor­ge­hens­weise damit, dass aus­schließlich der Post­versand garan­tiere, dass das Infor­ma­ti­ons­blatt auch wirklich den rich­tigen Adres­saten erreiche. Dieses Ver­fahren sei im Übrigen mit den Daten­schützern abge­stimmt. Das wider­spricht aber dia­metral dem Zahl­modell „mei­ne­Schufa“, wo sich Nutzer mit der Prüf­ziffer auf der Rück­seite des neuen Per­so­nal­aus­weises legi­ti­mieren können und dann sofort alle Daten zu sich selbst schnell und bequem über ein Menü im Browser abfragen kann. Dass die vor­ge­schriebene, kos­tenlose Aus­kunft nur per Brief und nur nach im Schnitt zwei Wochen zu erhalten ist, zeugt offenbar weniger von großer Sorgfalt und Sicher­heits­denken der Schufa, als davon, die kos­tenlose Version so langsam und unbequem wie möglich zu machen, um mehr Zahl­kunden zu generieren.
Ab jetzt macht die DSGVO den Aus­kunfteien einen Strich durch diese Rechnung: Die neue EU-Ver­ordnung schreibt zwingend Aus­kunfts­rechte für alle vor, deren Daten von Unter­nehmen irgendwie gespei­chert und ver­ar­beitet werden. Eine „Lex Schufa“ gibt es dabei nicht. Laut Artikel 15 der DSGVO müssen Unter­nehmen „zeitnah und elek­tro­nisch Aus­kunft erteilen“ und zwar ohne Gebühren. Eine Begrenzung dieses Aus­kunfts­rechts auf einmal pro Jahr ist nicht statthaft.
Es gibt noch ein anderes, weit unan­ge­neh­meres Problem für die Aus­kunfteien: Die Ver­braucher, die bei den Geschäfts­partnern der Schufa (und anderer Aus­kunfteien) Ver­träge unter­schrieben haben, in denen sie der Über­mittlung der Daten an diese Aus­kunfteien zuge­stimmt haben, müssen womöglich allesamt allen Ver­trags­partnern nach Inkraft­treten der DSGVO noch einmal diese Zustimmung auf’s Neue schriftlich geben, wie es die DSGVO vor­sieht. Mil­lionen Alt­kunden könnten alle eine neue Schufa-Klausel mit DSGVO-Hinweis unter­schreiben müssen. Sollte dies so erfor­derlich sein, wird das eine riesige Welle an Rechts­un­si­cherheit, unge­klärten Ver­tragsstatūs und plötzlich obso­leten Ver­trägen geben. Besonders Kre­dit­ver­träge, Han­dy­ver­träge, Lea­sing­ver­träge aller Art müssten im Mil­lio­nen­be­reich neu abge­schlossen werden. Das dürfte kaum zu leisten sein. Diese Frage soll nun gerichtlich geklärt werden.
Überdies gibt die DSGVO den jeweilig Betrof­fenen noch die Mög­lichkeit, die Löschung ihrer Daten zu ver­langen. Damit wäre aller­dings das Geschäfts­modell der Kre­dit­aus­kunft obsolet geworden. Welcher Schuldner und säumige Zahler würde dann nicht die Daten über Zah­lungs­aus­fälle einfach löschen lassen und fröhlich in die nächste Runde gehen? Daher hat die DSGVO in Artikel 21 das Problem anhand einer Abwägung ver­sucht zu regeln: Wer besondere, per­sön­liche Umstände geltend macht, der kann eine Löschung ver­langen. Die Schufa kann ihrer­seits ein Ein­sehen haben und dem Begehren nach­kommen, oder es ver­weigern. Der Betroffene muss sich in diesem Fall an den hes­si­schen Lan­des­da­ten­schutz wenden, der ent­scheiden kann, ob das Löschungs­ver­langen gerecht­fertigt ist.