Das Tagesgeschäft der SCHUFA Holding AG als sogenannter Auskunftei sind Scorings, also die Bewertung der Bonität vom Kreditnehmern. Als privatwirtschaftliches Unternehmen versorgt sie ihre Kooperationspartner mit Informationen zu Kreditwürdigkeit von Privatpersonen oder Unternehmen.Soll beispielsweise ein Giro-Konto bei einer Bank eröffnet werden, kommt dem sog. Schufa-Score der beantragenden Person eine wesentliche Rolle für die Entscheidung der Bank zu, ob ein Konto eröffnet wird oder nicht. In dieser Konstellation kann eine Abfrage der Bank bei der Schufa rechtmäßig sein.
Doch es kann auch Fälle geben, in denen eine derartige Abfrage des Schufa-Scores
einer Person nicht rechtmäßig ist. Dieser Newsletterbeitrag soll die Möglichkeiten
der Rechtmäßigkeit aufzeigen und Transparenz über das Scoring schaffen.
Berechnung des Score-Werts
Die Schufa sammelt Daten über Verbraucher und Unternehmen von ihren Vertragspartnern, um eine Auskunft über deren Zahlungs(un)fähigkeit geben zu können. Die Daten erhält die Schufa u.a. von Finanzunternehmen, Zahlungsdienstleistern, Handelsunternehmen, Energieversorgungs-, Telekommunikations-, Versicherungs- und Vermietungsgesellschaften. Die Daten werden dann übermittelt, wenn ein Verbraucher volljährig ist und wirtschaftlich handelt. Im Gegenzug erhalten die Kooperationspartner der Schufa Daten über die Kreditwürdigkeit der Verbraucher.
Die Berechnung des Score-Wertes erfolgt durch ein automatisiertes Verfahren und wird in der Regel alle drei Monate neu berechnet. In diesem Zusammenhang wird eine Fülle an Informationen der Verbraucher berücksichtigt, die alle bei der Schufa verarbeitet werden. Das sind generell Informationen über Giro- oder Bankkonten, Kreditkartenbewegungen, laufende Darlehensverträge, Mobilfunkverträge, Bürgschaften, Zahlungsausfälle in der Vergangenheit sowie Vollstreckungsmaßnahmen (Eidesstattliche Versicherung, Insolvenzverfahren, Haftbefehle etc.).
Wie der Score errechnet wird bzw. wie der Algorithmus aufgebaut ist, der den Score errechnet, ist nicht bekannt. 2014 urteilte der Bundesgerichtshof (Az. VI ZR 156/13), dass Informationen zur Berechnungsgrundlage durch die Schufa nicht offengelegt werden müssen.
Rechtmäßigkeit der Verarbeitung durch die Schufa
Sowohl die Erstellung des Schufa-Scores als auch dessen Übermittlung an Kooperationspartner benötigen eine Rechtsgrundlage. In den Datenschutzhinweisen der Schufa werden die Einwilligung (Art. 6 Abs. 1 lit. a) Datenschutz-Grundverordnung, DSGVO) und das berechtigte Interesse (Art. 6 Abs. 1 lit. f) DSGVO) als Rechtsgrundlagen genannt. Die Einwilligung spielt jedoch in den meisten Fällen keine Rolle für die Schufa. Die Freiwilligkeit der betroffenen Personen und die Möglichkeit des Widerrufs zu jeder Zeit sind wenig praktikabel. Vielmehr stützt sich die Schufa auf das berechtige Interesse zur Datenverarbeitung. Mit der Erstellung des Scores verfolgt die Schufa als Auskunftei ein rein wirtschaftliches Interesse. Die personenbezogenen Daten werden verarbeitet, damit berechtigte Empfänger Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen erhalten. Doch dürfen diese Daten an Dritte weitergegeben werden?
Weitergabe der Daten an Dritte
Dass nicht nur die Verarbeitung personenbezogener Daten für die Erstellung des Scorings, sondern auch deren Weitergabe rechtmäßig sein müssen, wird durch die DSGVO geregelt. Datenschutzrechtlich ist jede Verarbeitung, insbesondere die Weitergabe der Auskünfte nur nach der Erfüllung datenschutzrechtlicher Vorgaben möglich.
Die Schufa erläutert, dass Informationen Dritten nur dann zur Verfügung gestellt werden, wenn der Schufa im Einzelfall glaubhaft dargelegt wurde, dass ein berechtigtes Interesse besteht und ein Geschäft mit einem finanziellen Ausfallrisiko bestehen kann. Doch ist das als Grund für die Erfüllung der DSGVO ausreichend?
Schufa-Score ist ein personenbezogenes Datum
Bei der Erstellung des Scorewertes werden beispielsweise folgende Informationen verarbeitet: Personendaten (z.B. Name, Vorname), Anschrift, Informationen über die Aufnahme und Durchführung von Geschäften (Girokonten, Ratenkredite, Kreditkarten), Informationen über unbestrittene, fällige und mehrfach angemahnte Forderungen. Diese Informationen eignen sich eine natürliche Person direkt zu identifizieren und sind deshalb unbestritten personenbezogene Daten im Sinne der DSGVO. Die Erstellung des Scorewerts als Verarbeitung ist durch das berechtigte Interesse der Schufa nach Art. 6 Abs. 1 lit. f) DSGVO legitimiert und auch durch die speziellere Regelung in § 31 Bundesdatenschutzgesetz (BDSG) – Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften – gedeckt. Problematisch ist die Erstellung des Scorewerts jedoch in Hinblick auf das durch die DSGVO eigentlich verbotene Profiling (Scoring).
Scoring im Datenschutz
Die DSGVO möchte der automatisierten Entscheidungsfindung durch die Verarbeitung von personenbezogenen Daten entschieden entgegentreten. Denn sowohl Algorithmen als auch automatisierte Verfahren sollen bei wichtigen Entscheidungen über natürliche Personen nicht als letzte Instanz urteilen dürfen. So stellt Art. 22 Abs. 1 DSGVO klar, dass eine betroffene Person das Recht hat, nicht ausschließlich einer auf automatisierten Verarbeitung – einschließlich Profiling (Scoring) – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Zunächst mag das für die eine oder andere Person gut klingen, doch wird gleich im nächsten Absatz des Art. 22 DSGVO ein Hintertürchen geöffnet, denn: Wie so oft im Datenschutz sind Ausnahmen von diesem grundsätzlichen Verbot erlaubt. Auch wie bereits oben erwähnt ist in Hinblick auf § 31 Bundesdatenschutzgesetz (BDSG) ein Scoring unter Einhaltung bestimmter Voraussetzung zulässig.
Spätestens dann, wenn ein Vertragsabschluss zwischen der betroffenen Person und einem Verantwortlichen von der Bonität der betroffenen Person abhängt (Art. 22 Abs. 2 lit. a) DSGVO), kann der Einsatz von Scoring erlaubt sein. Ebenfalls kann Scoring erlaubt sein, wenn aufgrund von Rechtsvorschriften der Einsatz von Scoring zulässig ist. Dieser Umstand tritt beispielsweise fast täglich im Bankengeschäft ein.
Banken können im Rahmen der Beantragung eines Girokontos oder bei der Entscheidung zur Gewährung eines Darlehens die Bonität der betroffenen Person mittels Scoring-Auswertung bei der Schufa anfragen. Dieser Datenaustausch mit der Schufa dient der Erfüllung gesetzlicher Pflichten von Kreditwürdigkeitsprüfungen von Kunden, die in § 505 a des Bürgerlichen Gesetzbuches (BGB) und in § 18 a des Kreditwesengesetzes (KWG) statuiert sind. Infolgedessen liegt auch datenschutzrechtlich eine Rechtmäßigkeit im Sinne des Art. 6 Abs. 1 lit. c) DSGVO vor. Dem ist zu entnehmen, dass nicht nur eine Rechtmäßigkeit für die Erstellung eines Scorings besteht, sondern auch die Weitergabe des Scorings zulässig ist. Möglichkeiten den Negativeinträgen den Garaus zu machen sind jedoch limitiert.
Löschung der Daten bei der Schufa?
Art. 17 DSGVO räumt den betroffenen Personen das Recht auf Vergessenwerden (Recht auf Löschung) ein. Das ist jedoch kein generelles Recht zur vollumfänglichen Löschung. Das Recht auf Löschung kann nur Anwendung finden, wenn die in Art. 17 Abs. 1 genannten Voraussetzungen erfüllt sind. Beispielsweise müssen personenbezogene Daten unrechtmäßig verarbeitet worden sein (Art. 17 Abs. 1 lit. d) DSGVO. Da die Schufa jedoch ein berechtigtes Interesse vorweisen kann, ist diese Voraussetzungen schwer umzusetzen. Diese Voraussetzung könnte jedoch dann erfüllt sein, wenn es zu einem Negativeintrag kommt, ohne dass die betroffene Person zwei Mahnungen erhalten hat (Art. 31 Abs. 2 Nr.4 lit. a) DSGVO). Dieses Beispiel zeigt, dass es Spezialfälle gibt, in denen eine Löschung nach Art. 17 Abs. 1 lit. d) DSGVO möglich ist. Beim Recht auf Vergessenwerden kann nicht generell eine Löschung durchgesetzt werden, es muss vielmehr eine Einzelfallbetrachtung unter Abwägung der jeweiligen Interessen vorgenommen werden. Folgende Beispiele verdeutlichen, wie eine Abwägung rechtlich angewendet wird:
Das Landgericht Frankfurt hat in einem Urteil (Az. 2-05 0 151 /18) die Schufa verurteilt, einen negativen Eintrag über eine erteilte Restschuldbefreiung des Klägers frühzeitig zu entfernen. Der Eintrag erfolgte im Jahr 2010, als der Kläger wegen einer psychischen Erkrankung seinen Zahlungsaufforderungen über einen längeren Zeitraum nicht mehr nachkam. Geordneten Geschäften konnte der Kläger erst 2017 wieder nachgehen. Der Eintrag hinderte den Kläger in seiner beruflichen Karriere und im Wohnungsmarkt, sodass „gute Gründe für ein Recht auf Vergessenwerden“ bejaht werden können. Die freie Lebensgestaltung nach längerer Krankheit überwiegte nach Ansicht des LG Frankfurt die Interessen der Auskunftei.
Im Jahr 2019 wies das Landgericht Wiesbaden dagegen in einem Urteil (Az. 2 O 237/18) das Recht auf Vergessenwerden ab. Der Kläger forderte von der Schufa die vorzeitige Löschung von drei Negativeinträgen aus dem Jahr 2021 in Höhe von jeweils ca. 400 €. 2018 hatte er die Forderungen vollständig beglichen und forderte vor Ablauf der dreijährigen Löschfrist die Löschung der Einträge. Die Schufa weigerte sich und bekam Zuspruch vom LG Wiesbaden. Denn zukünftige Geschäftspartner haben ein berechtigtes Interesse über die langjährigen Zahlungsausfälle des Klägers informiert zu sein. Das soll Unternehmen vor verspäteten Zahlungen schützen und dieser Umstand sei folglich wichtiger als die Interessen des Klägers.
Fazit
Diese Beispiele zeigen, dass eine Löschung von personenbezogenen Daten nicht ohne Weiteres vorgenommen werden kann. Wenn sowohl die Schufa, als auch die abfragenden Dritten ein berechtigtes Interesse an der Bonität der betroffenen Personen haben, dann kann man als betroffene Person diesen Vorgang nicht unterbinden, sofern man keine überwiegenden berechtigen Interessen hat.
Autor: Kenan Tilki (Senior Data Privacy Consultant)