DSGVO: Datenschützer prüfen die Auskunftspraxis der Schufa
Bürger haben ein Recht darauf, auch elektronisch kostenlos Auskunft über gespeicherte Daten zu erhalten. Die Schufa spielt da nicht ganz mit.
Es sorgt für Empörung, aber was Deutschlands größte Auskunftei tatsächlich entwickeln möchte, steht wohl noch gar nicht fest:
(Bild: dpa, Jens Kalaene)
Getrieben vom Gesetzgeber hat sich die Schufa zwar nach und nach für Verbraucherauskünfte geöffnet und ihr einschlägiges Portal "MeineSchufa.de" ausgebaut. Es könnte aber fraglich sein, ob die Informationspraxis der Wirtschaftsauskunftei mit der neuen Datenschutzgrundverordnung (DSGVO) übereinstimmt: Wer direkt online Einsicht etwa in die persönliche Kreditwürdigkeit und die zugehörigen Score-Werte nehmen will, muss dafür auf der Plattform eine einmalige Einrichtungsgebühr von 9,95 Euro zahlen, dazu kommen mindestens für ein Jahr Zusatzkosten in Höhe von 3,95 Euro monatlich.
In der DSGVO heißt es dagegen in Artikel 15, dass verantwortliche Stellen einem Auskunftssuchenden "eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung" stellen müssen. Erst für weitere Anträge könne "ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten" verlangt werden. Stelle die betroffene Person den Antrag elektronisch, müssten die Informationen "in einem gängigen elektronischen Format" ausgeliefert werden. Gratis ist bei der Schufa aber nur eine "jeweils einmalige" Herausgabe einer "Datenkopie" in Papierform, was sich in sich widersprüchlich anhört. Bis diese erstellt sowie auf dem Postweg versandt ist und beim Empfänger eintrudelt, können einige Tage oder gar Wochen vergehen.
Datenschützer sind kritisch
Die hessische Datenschutzbehörde, die über die Schufa wacht und bereits Pannen bei dem Unternehmen festgestellt hat, sieht deren Auskunftsverfahren zum Teil kritisch. Ein Referent der Kontrollinstanz erklärte gegenüber der Welt, den Konzern bereits zu einer Stellungnahme aufgefordert zu haben. Er prüfe, ob diese Praxis zulässig sei. Die Schufa begründet ihren Ansatz damit, dass nur beim Postversand gewährleistet sei, dass das Informationsblatt den richtigen Adressaten erreiche. Dieses Verfahren sei mit den Datenschützern abgestimmt. Über "MeineSchufa" können sich Nutzer aber mit der Prüfziffer auf der Rückseite des neuen Personalweises legitimieren, sofern sie zuvor ein Post-Ident-Verfahren durchlaufen haben.
Ihren Scoring-Algorithmus zur Bonitätsprüfung hütet die Auskunftei zudem wie einen Schatz. Auch hier dürfte es zu Konflikten mit der DSGVO kommen. Diese besagt, dass Betroffene bei einer "automatisierten Entscheidungsfindung einschließlich Profiling" gegebenenfalls "aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung" beziehen dürfen. Die Schufa müsste ihre Bewertungskriterien demnach deutlich transparenter machen als bisher.
Offen bleibt ferner, wie das Unternehmen den weiteren Rechten auf "Datenübertragbarkeit" zu anderen Anbietern "in einem strukturierten, gängigen und maschinenlesbaren Format" oder dem auf "Berichtigung oder Löschung" falscher Angaben nachkommen wird. Zumindest theoretisch finden sich diese Ansprüche auch in der jüngst überarbeiteten Datenschutzerklärung der Schufa.
[UPDATE, 12.06.2018, 16:00]
Der Artikel enthielt in einer vorigen Fassung unzutreffende Informationen über das Auskunftsverfahren der Schufa und wurde entsprechend korrigiert. (axk)
