Der heutige Blog-Beitrag hat das Thema: SCHUFA-Scoring und Datenschutz inkl einem Ausblick auf das Vielwechlser-Scoring. Nach eigener Aussage hat die SCHUFA über 1 Milliarde Daten zu 6 Millionen Unternehmen und 67,9 Millionen natürlichen Personen. Sie erteilt pro Tag im Schnitt 460.000 Auskünfte an Unternehmen. Da verwundert es nicht, dass fast alle schon einmal von einer SCHUFA-Auskunft gehört haben. Eine Auskunft kann auch in einem SCHUFA–Scoring der bestehen. Was ist eigentlich ein SCHUFA-Scoring und was beudetet das für den Datenschutz? Was ist ein Vielwechsler-Scoring und wie passt das zum Datenschutz?
Hintergrund zum SCHUFA-Scoring
SCHUFA steht für „Schutzgemeinschaft für allgemeine Kreditsicherung“. Diese wurde ins Leben gerufen, um Zahlungserfahrungen von Unternehmen aufzunehmen, zu speichern und an die Unternehmen, die Teil dieser Schutzgemeinschaft sind, weiterzugeben. Letztlich trägt die SCHUFA Daten über Verbraucher zusammen. Sie erhebt jedoch keine Daten, sondern ist vielmehr eine Datensammelstelle. Die Daten erhält sie zum einen von ihren Vertragspartnern. Das sind beispielsweise Banken, Bausparkassen, Unternehmen im stationären oder Internet-Handel, Leasinggesellschaften, Telekommunikationsunternehmen, Vermieter, Versicherungen. Zum anderen wertet sie die Schuldnerverzeichnisse (§ 882b ZPO) der deutschen Amtsgerichte aus. Bei der Datenmeldung an die SCHUFA spricht man auch von der sog. Einmeldung.
Rechtsgrundlage für das Einmeldung von Daten für ein datenschutzkonformes SCHUFA-Scoring
Die Daten-Einmaldung ist eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Eine rechtmäßige Verarbeitung setzt das Bestehen einer Rechtsgrundlage voraus. Bis Mai 2018 gab es in den §§ 28a und 29 BDSG alte Fassung (aF) konkrete Regelungen zur Übermittlung von personenbezogenen Daten an Auskunfteien. Diese wurden mit der Einführung der DSGVO und dem neuen BDSG im Mai 2018 abgelöst. Die neue Rechtsgrundlage ist daher für das Einmelden von Daten Art. 6 Abs. 1 Satz 1 lit. f) DSGVO.
Um das berechtigte Interesse zu bejahen, ist folgendes zu prüfen:
- Was ist das berechtigte Interesse des Verantwortlichen?
- Ist die Datenverarbeitung erforderlich?
- Überwiegen keine schutzwürdigen Interessen, Grundrechte und/oder Grundfreiheiten des Betroffenen den Interessen des Verantwortlichen?
Berechtigte Interessen können grundsätzlich sein:
- Das Nutzen von Systemen zum Austausch von Kredit- und/oder Forderungsdaten als dem Schutz vor kreditorischen Risiken
- Ausgleich des Informationsungleichgewichts zwischen Kreditgeber und Kreditnehmer
- Senkung der Ausfallquote
- Gewinnerzielung der Kreditgeber (Art. 16 GRCh, Unternehmerische Freiheit)
- die Handlungs- oder Gewerbefreiheit
- etc.
Für die Meldung der sog. positiven Informationen dürfte in der Regel ein berechtigtes Interesse zur Einmeldung vorliegen. Positive Informationen sind Angaben zu vertragsgemäßem Verhalten, wie zum Beispiel das Einhalten aller Zahlungsverpflichtungen bei geschlossenen Verträgen (Kredite, Leasingverträge, Mobilfunkverträge etc.)
Grundsätzlich gilt die Rechtgrundlage des berechtigten Interesses auch für negative Informationen. Das sind Hinweise auf ein nicht vertragsgemäßes Verhalten. Das können folgende Informationen sein:
- ein durch die Bank aufgrund von Zahlungsrückständen gekündigter Kredit,
- Zahlungsausfälle,
- Informationen aus öffentlichen Schuldnerverzeichnissen.
Das berechtigte Interesse der Schufa am Scoring
Bei der Interessenabwägung im Rahmen der Rechtsgrundlage des berechtigten Interesses kommt dabei der neuen Regelung des § 31 BDSG neue Fassung (nF) eine starke Indizwirkung zu. Zwar enthält diese Vorschrift direkt keine Vorgaben zur Einmeldung durch Unternehmen, allerdings formuliert die Vorschrift unter welchen Voraussetzungen eingemeldete Informationen durch Auskunfteien genutzt werden dürfen.
In § 31 BDSG nF findet sich eine sog. Legaldefinition des Scorings:
„Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person.“
Die grundsätzliche Zulässigkeit des Scorings und der Verarbeitung von Scroringwerten ist inzwischen aufgrund ihrer Bedeutung für eine funktionsfähige Wirtschaft anerkannt. Allerdings darf die Auskunftei laut § 31 Abs. 2 BDSG nF Negativdaten im Zusammenhang mit Zahlungsvorfällen für das Scoring nur unter den hier genannten Fällen verwenden: insbesondere, wenn zwei Mahnungen erfolgt sind und eine Frist von 4-Wochen abgelaufen ist.
Die §§ 28a und 29 BDSG alte Fassung hatten die Prüfung dieser Voraussetzungen noch den einmeldenden Unternehmen auferlegt. Vor dem Hintergrund, dass die SCHUFA als „Datensammlerin“ diese Informationen nicht überprüfen kann und will, hat sie diese Verpflichtung nun aber vertraglich auf ihre Vertragspartner – also die einmeldenden Unternehmen – abgewälzt. D.h. die einmeldenden Unternehmen haben neben der Rechtsgrundlage des berechtigten Interesses zu prüfen, ob:
- der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
- die erste Mahnung mindestens vier Wochen zurückliegt,
- der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist (d.h. eine Information über die Datenübermittlung an die Schufa) und
- der Schuldner die Forderung nicht bestritten hat.
Damit bleibt es im Grunde faktisch bei der alten Rechtslage: Ohne die belegbare Säumigkeit darf nicht an die SCHUFA gemeldet werden!
Was ist vom Verantwortlichen sonst noch zu beachten?
Die Datenmeldung ist eine Verarbeitung im Sinn des Art. 4 Nr. 2 DSGVO und muss daher in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 Abs 1 DSGVO) aufgenommen werden. Außerdem muss der Verantwortliche den Betroffenen über die Weiterleitung an eine Auskunftei nach Art. 13 DSGVO informieren. Der Betroffene kann Auskunft über die Einmeldung und deren Inhalte verlangen (Art. 15 Abs. 1 lit c) DSGVO).
Ausblick: Vielwechsler-Scoring und Datenschutz
Wie dargestellt, wird man bei den Standardprodukten der Auskunfteien, etwa dem Schufa-Scoring, das berechtigte Interesse der „Einmelder“ an dem Informationsaustausch rechtfertigen können. Es ist also Datenschutzkonform. Vor dem Hintergrund der Vernetzung von Informationsquellen und steter Verbesserung der Algorithmen eröffnet sich jedoch eine wachsende Spielwiese für kreative Entwickler neuer Auskunfts- und Scoringprodukte. Es verwundert daher nicht, wenn Auskunfteien auf die Idee kommen, in einem Scoring zu erfassen, wer regelmäßig die Optionen eines Vertagswechsels bei Endergieversorgern etc. wahrnimmt. Schon gibt es ein Vielwechsler-Scorings für Energieversorgungskunden. Wie ist dieses Vielwechsler-Scoring jedoch unter Datenschutz-Gesichtpunkten zu betrachten? Wie oben gezeigt, ist die Rechtsgrundlage des Scorings das berechtigte Interesse, also hier das der Energieversorger. Mir scheint es zweifelhaft, ob das berechtigte Interesse der Verantwortlichen an der Übermittlung der hierzu erforderlichen Positivinformation, dem Interesse der Verbraucher an den vom Gesetzgeber gewollten Preischancen, die durch den Wechselwettbewerb entstehen, überwiegt.
Sie sind sich bezüglich des Datenschutzes und SCHUFA-Scoring in Ihrem Unternehmen unsicher und benötigen Unterstützung? Dann sprechen Sie gerne unsere Berater an.