Wirtschaft

Lehrt die DSGVO die Datenkraken Schufa & Co. das Grausen?

Auskunfteien wie die Schufa, Creditreform, Bürgel, Arvato Infoscore & Co. sind professionelle Datensammler. Bei diesen Firmen werden Daten nicht einfach nur als Kundendaten archiviert und verwaltet, sondern das Geschäft der Auskunfteien ist ja gerade, diese Daten gegen Geld an Dritte zu verkaufen. Jeder, der behauptet, aus wirtschaftlichen Gründen Auskunft über Herrn oder Frau Müllermeierschmitz oder Firma Kaufsofort zu benötigen, zahlt eine überschaubare Summe und bekommt die gewünschten Daten in einem übersichtlichen Dossier. Enthalten sind Familienstand, Kinder, Anzahl der Konten, welche Kredite, wie zuverlässig diese abbezahlt werden, Telefonverträge, Insolvenzen. Die Schufa benutzte zeitweilig auch Facebook als Datengrube, musste das aber wegen großer Proteste wieder aufgeben.

Natürlich haben die Auskunfteien die betroffenen Personen nicht danach gefragt, ob sie einverstanden sind, dass diese Daten gegen Geld in alle Welt verbreitet werden. Was Kredite und Bankkonten betrifft, wird das anders gelöst. Man unterschreibt bei der Bank von Anfang an, dass die Daten von der Bank an die Schufa gemeldet werden.

Viele Bürger sind nun der Meinung, die DSGVO habe wenigstens den Vorteil, dass die Datensammelei der Auskunfteien ein Ende findet. Dem ist nicht so. Der Widerspruch zwischen Datenschutz für den normalen Bürger und dem Datensammeln durch Schufa & Co. ist dem Gesetzgeber auch nicht einfach so entgangen, im Gegenteil: Schon im bisherigen Bundesdatenschutzgesetz (BDSG) ist die Datenverarbeitung von Auskunfteien ausdrücklich zulässig.

Nach der neuen DSGVO und dem BDSG-neu (§§30,31 BDSG-neu) ist die Datenverarbeitung für diese Firmen weiterhin zulässig, wenn ein „Erlaubnistatbestand“ besteht. Für Auskunfteien sind folgende Erlaubnistatbestände möglich:

  • die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung einer vorvertraglichen Maßnahme, Art. 6 Abs.1 b) DSGVO

Der erste Punkt ist nicht nur kompliziert, weil eine gültige Einwilligung schon gesetzlich ziemlich hohe Anforderungen an die „Informiertheit und Freiwilligkeit des Betroffenen“ stellt, also jede Menge Papierkrieg und Formulierungskunststücke erfordert. Außerdem dürfte jedem klar sein, dass speziell von der Gruppe Mitbürger, deretwegen sich Geschäftspartner ja vorsichtshalber an Auskunfteien wenden, mit Sicherheit keine Einwilligung zu erhalten ist. Bedeutet: Die schwarzen Schafe geben keine Einwilligung und auch das Einholen der Einwilligung bei jedem einzelnen, unbescholtenen Betroffenen ist umständlich, aufwändig und teuer, man muss nachhaken, wenn die Einwilligung ausbleibt und jeder Zweite wird Diskussionsbedarf anmelden.

Die Seite datenschutzbeauftragter-info umschreibt dies vornehm: „Die Kreditwirtschaft nimmt von diesem Erlaubnistatbestand zunehmend Abstand, insbesondere, weil sich die Datenverarbeitungen auch auf andere Weise einfacher rechtfertigen lassen.“

Erlaubnistatbestand Nummer zwei ist die Datenerhebung zu vorvertraglichen Maßnahmen. Kreditinstitute haben natürlich ein großes Interesse, einen potentiellen Kreditnehmer gründlich auf seine Bonität zu prüfen, bevor sie einen Kredit gewähren. Dieser Erlaubnistatbestand ermöglicht es aber nicht, einen Dritten mit dieser Durchführung „vorvertraglicher Maßnahmen“ zu beauftragen. Er kommt also eigentlich nicht in Betracht. Uneigentlich legt aber die Bank dem Kunden ein Vertragsformular auf den Tisch, auf dem der Kreditnehmer im Rahmen der „Allgemeinen Geschäftsbedingungen“ genau die Einwilligungen gibt und unterschreibt, die der Schufa alles Erforderliche an Daten liefert. Der Kunde willigt ein, weil er sonst keinen Kredit bekommt. Insofern holt man sich hier den Erlaubnistatbestand eins.

Bleibt Erlaubnistatbestand Nummer drei: Die Wahrung der berechtigten Interessen des Verantwortlichen. Dieser Tatbestand ist nicht neu, wird aber in Zukunft die Basis für die Auskunfteien bilden. Bisher war dies in § 29 Abs.1 Nr.1 und § 29 Abs. 2 BDSG geregelt und wichtig für die Speicherung von Daten durch eine Auskunftei – und auch bei der Übermittlung von Daten einer Auskunftei an einen Dritten.

Fraglich ist bei diesem Erlaubnistatbestand Nummer drei die etwas wattige Formulierung der „berechtigten Interessen“. Das ist recht ungenau und wie eine Interessenabwägung im Zweifelsfall geregelt sein soll, blieb offen.

Das ändert jetzt die neue DSGVO. Nun soll bei jeder Verarbeitungsphase eine solche Interessenabwägung durchgeführt werden. Auf Seiten der Banken und Kreditgeber, die die Daten des Kunden abfragen, heißt das Interesse: Gewinnerzielung und geringe Kredit-Ausfallquote. Der Kreditnehmer hat dagegen ein Interesse, die Privatheit seiner Daten zu schützen und deren Verbreitung möglichst gering zu halten – und seine finanziellen Situation ebenfalls privat zu halten.

Es wird in diesem Zusammenhang auch gern darauf hingewiesen, dass es ja auch durchaus im Interesse des Kreditnehmers liege, wenn ihm wegen mangelnder Bonität ein Kredit nicht gewährt werde, denn das schütze ihn letztlich vor Überschuldung. Die Realität findet aber immer Ausweichmöglichkeiten. So werben manche Kreditgeber mit „unkompliziertem Kredit ohne Schufa“, verlangen aber dafür wesentlich höhere Zinsen – und wenden im Falle des Zahlungsverzuges durchaus ungemütliche Methoden gegenüber dem säumigen Zahler an.

Eine deutlich veränderte Lage entsteht für die Auskunfteien aber durch die neue, in der DSGVO vorgeschriebene Informationspflicht. Seit dem 25. Mai 2018 haben alle EU-Bürger per EU-Verordnung ein „umfassendes Auskunftsrecht“. Jedes Unternehmen, das seine Daten verarbeitet, archiviert, benutzt etc. muss ihn jederzeit, individuell und umfangreich informieren.

Das gefällt den Auskunfteien natürlich gar nicht, insbesondere, da sie einen großen Datenbestand über unzählige Menschen aufgebaut haben. Das alte BDGS hatte zwar den Verbrauchern schon vor dem Inkrafttreten der DSGVO ein kostenloses Auskunftsrecht eingeräumt, das man bei der Schufa jedoch nur einmal im Jahr in Anspruch nehmen konnte. Schon damals sperrten sich die Auskunfteien nach Kräften, entfiel damit doch eine nicht unbeträchtliche Geldquelle. Immerhin kostete jede weitere Abfrage der eigenen Daten den Bürger Geld, und auch die Einrichtung des Online-Angebots „meineSchufa“ machte es zwar für die Verbraucher relativ preiswert (eine einmalige Einrichtungsgebühr von 9,95 Euro plus mindestens für ein Jahr Zusatzkosten in Höhe von 3,95 Euro monatlich), die eigenen Daten immer wieder zu überprüfen, brachte aber nach dem Motto „Kleinvieh gibt auch Mist“ der Schufa immer noch genug Geld ein.

Nun sind die Auskunfteien per EU-Verordnung gezwungen, diese Einsicht in die Daten kostenlos zu geben – und zwar im Prinzip so oft der Anfragende seine Daten sehen möchte. Außerdem schreibt die DSGVO vor, dass der Antragsteller, wenn er das möchte, die Daten „in einem gängigen, elektronischen Format“ ausgehändigt bekommen muss. Bisher bekamen die Verbraucher ihre jährliche Pflichtauskunft per Papierpost und das auch erst nach Wochen.

Die hessische Datenschutzbehörde ist für das Unternehmen „Schufa“ verantwortlich und hat bereits ein wachsames Auge auf die Datensammelfirma geworfen, denn es gab bereits durchaus Pannen bei dem Unternehmen. Die Datenschützer sehen das Geschäftsmodell mit der Eigenauskunft kritisch. Gegenüber der Welt, sagte die Behörde, dass der Konzern bereits zu einer Stellungnahme aufgefordert worden sei. Man sei dabei zu prüfen, ob die bisherige Praxis zulässig ist.

Die Schufa begründet ihre Vorgehensweise damit, dass ausschließlich der Postversand garantiere, dass das Informationsblatt auch wirklich den richtigen Adressaten erreiche. Dieses Verfahren sei im Übrigen mit den Datenschützern abgestimmt. Das widerspricht aber diametral dem Zahlmodell „meineSchufa“, wo sich Nutzer mit der Prüfziffer auf der Rückseite des neuen Personalausweises legitimieren können und dann sofort alle Daten zu sich selbst schnell und bequem über ein Menü im Browser abfragen kann. Dass die vorgeschriebene, kostenlose Auskunft nur per Brief und nur nach im Schnitt zwei Wochen zu erhalten ist, zeugt offenbar weniger von großer Sorgfalt und Sicherheitsdenken der Schufa, als davon, die kostenlose Version so langsam und unbequem wie möglich zu machen, um mehr Zahlkunden zu generieren.

Ab jetzt macht die DSGVO den Auskunfteien einen Strich durch diese Rechnung: Die neue EU-Verordnung schreibt zwingend Auskunftsrechte für alle vor, deren Daten von Unternehmen irgendwie gespeichert und verarbeitet werden. Eine „Lex Schufa“ gibt es dabei nicht. Laut Artikel 15 der DSGVO müssen Unternehmen „zeitnah und elektronisch Auskunft erteilen“ und zwar ohne Gebühren. Eine Begrenzung dieses Auskunftsrechts auf einmal pro Jahr ist nicht statthaft.

Es gibt noch ein anderes, weit unangenehmeres Problem für die Auskunfteien: Die Verbraucher, die bei den Geschäftspartnern der Schufa (und anderer Auskunfteien) Verträge unterschrieben haben, in denen sie der Übermittlung der Daten an diese Auskunfteien zugestimmt haben, müssen womöglich allesamt allen Vertragspartnern nach Inkrafttreten der DSGVO noch einmal diese Zustimmung auf’s Neue schriftlich geben, wie es die DSGVO vorsieht. Millionen Altkunden könnten alle eine neue Schufa-Klausel mit DSGVO-Hinweis unterschreiben müssen. Sollte dies so erforderlich sein, wird das eine riesige Welle an Rechtsunsicherheit, ungeklärten Vertragsstatūs und plötzlich obsoleten Verträgen geben. Besonders Kreditverträge, Handyverträge, Leasingverträge aller Art müssten im Millionenbereich neu abgeschlossen werden. Das dürfte kaum zu leisten sein. Diese Frage soll nun gerichtlich geklärt werden.

Überdies gibt die DSGVO den jeweilig Betroffenen noch die Möglichkeit, die Löschung ihrer Daten zu verlangen. Damit wäre allerdings das Geschäftsmodell der Kreditauskunft obsolet geworden. Welcher Schuldner und säumige Zahler würde dann nicht die Daten über Zahlungsausfälle einfach löschen lassen und fröhlich in die nächste Runde gehen? Daher hat die DSGVO in Artikel 21 das Problem anhand einer Abwägung versucht zu regeln: Wer besondere, persönliche Umstände geltend macht, der kann eine Löschung verlangen. Die Schufa kann ihrerseits ein Einsehen haben und dem Begehren nachkommen, oder es verweigern. Der Betroffene muss sich in diesem Fall an den hessischen Landesdatenschutz wenden, der entscheiden kann, ob das Löschungsverlangen gerechtfertigt ist.

 


Jetzt eintragen und News kostenlos per E-Mail erhalten:

Ad
Ad
Ad
Ad