Die Schufa ist seit Monaten datenschutzrechtlich ein heißes Thema. Mal war die Rede von einem „Datenpool“ für Wechselkunden bei Strom und Gas, ein anderes Mal von „Kontoschnüffelei“. Jetzt war Deutschlands größte Auskunftei neulich auch noch einer der Protagonisten in einem verwaltungsgerichtlichen Verfahren (Az.: 6 K 1045/20, BeckRS 2021, 274). Der Start ins neue Jahr, er hätte besser laufen können.
Der Inhalt im Überblick
Was war passiert?
Vor diesem Schreckgespenst fürchten sich die Menschen in Deutschland immer noch: der SCHUFA-Eintrag. In Zeiten von günstiger Finanzierung oder gar zinsfreiem Ratenkauf ist ein Eintrag bei der Schufa das Letzte, was der Kunde möchte. Denn ein solcher kann ihm ja schließlich die Kreditwürdigkeit absprechen.
So auch in den von Dr. Sven Tintemann auf anwalt.de geschilderten Fällen. Dessen Kanzlei (AdvoAdvice Rechtsanwälte) reichte vor dem zuständigen Verwaltungsgericht Wiesbaden zwei Klagen ein, um negative SCHUFA-Einträge löschen zu lassen. Die Klagen waren erforderlich geworden, da die Betroffenen mit ihrem Antrag auf Löschung bei der Schufa und der anschließenden Beschwerde über die Weigerung der Schufa beim Hessischen Beauftragte für Datenschutz und Informationsfreiheit auf taube Ohren stießen. Gegen die Aufsichtsbehörde wandten sich dann auch die Klagen. Das Klagebegehren war darauf gerichtet, dass die ursprünglichen Bescheide aufgehoben und die Behörde angewiesen wird, eine Löschung der Negativeinträge bei der Schufa anzuordnen.
Falsch datierte Forderung
Das erste Verfahren hatte einen relativ harmlosen Sachverhalt zum Gegenstand. Hier hatte die Klägerin im Mai 2020 verwundert feststellen müssen, dass für sie ein Negativeintrag in Höhe von 110 Euro bestand. Der Eintrag bezog sich auf eine Forderung, die Ende April 2020 entstanden war, aber dennoch auf Februar 2020 datiert gewesen ist. Jedenfalls wurde die Forderung zehn Tage nach ihrer Einmeldung von der Klägerin beglichen.
Negativeintrag für 16 Jahre
Das zweite Verfahren erfordert schon einen längeren Zeitstrahl, um den Sachverhalt zu erfassen.
Hier ging es um eine ehemalige Forderung einer großen Bank von über 20.000 Euro. Für die Hauptforderung hatte diese im Jahr 2007 einen Titel in Form eines Vollstreckungsbescheides erwirkt. Im Anschluss an die Titulierung begann der Betroffene die offene Forderung in monatlichen Raten von 50 Euro abzuzahlen. Seit 2014 wurde die Forderung nach einem Schuldenbereinigungsplan bedient, weshalb der Kläger monatliche Raten von über 200 Euro zahlte.
Sechs Jahre später wurde die Forderung als erledigt vermerkt. Auch hier wurde der Löschungsaufforderung nicht nachgekommen. Vielmehr sollte sogar eine Speicherung von weiteren drei Jahren bis 2023 gerechtfertigt sein. Unser schöner Zeitstrahl über den Negativeintrag würde jetzt einen Zeitraum von 16 Jahren abdecken.
Kein Urteil vom Verwaltungsgericht Wiesbaden
So viel sei schon einmal vorweggenommen: zu einem Urteil wird es in beiden Fällen nicht kommen. Kurz vor Jahresende erklärte die Schufa nämlich, dass in beiden Verfahren eine Löschung der Einträge erfolge und sie sich dazu bereit erkläre, die Kosten des jeweiligen Verfahrens zu übernehmen. Die Kläger wird es freuen.
Auch datenschutzrechtlich wird das Verfahren (hoffentlich) nachwirken. Dabei geht es nicht nur darum, was die Schufa mit den Daten macht oder zu welchen Zwecken sie personenbezogene Daten verarbeitet. Wichtiger wird die Wirkung des Verfahrens für Löschbegehren von Verbrauchern sein.
Das Verwaltungsgericht Wiesbaden hat hier vor allem die Datenschutzbehörde in die Pflicht genommen, solche Begehren ernst zu nehmen. Eine pauschale oder oberflächliche Prüfung wird dem Recht auf Vergessenwerden, welches das Fundament der Löschpflicht der DSGVO darstellt, nicht gerecht. So war es aber hier geschehen. Im ersten Fall hatte die Behörde den Löschantrag 48 Stunden lang „geprüft“. Im wesentlich komplexeren, zweiten Fall hat die Behörde sich nur 24 Stunden mit dem Antrag auseinandergesetzt, bevor sie ihn ablehnte. Statt eine tatsächliche Prüfung vorzunehmen und die widerstreitenden Positionen zu bewerten, zog diese sich auf den Verhaltenskodex der Schufa zurück und vertrat die Ansicht, dass dieses Vorgehen eine ausreichende Prüfung darstellen würde. Eine inhaltlich nachvollziehbare Argumentation war nicht gegeben.
Verwaltungsgericht bezieht Stellung
Das Gericht brachte deutlich zum Ausdruck, dass der Verhaltenskodex der Auskunfteien nicht dazu führe, dass keinerlei Einzelfallprüfung mehr erfolgen müsse. Zudem könne das Ergebnis einer Abwägung zwischen den Grundrechten und Grundfreiheiten der betroffenen Person und den Interessen des Verantwortlichen, so wie dies von der DSGVO gefordert wird, nicht pauschal mit einer Speicherfrist von drei Jahren festgelegt werden. Vielmehr sei eine Einzelfallprüfung in manchen Kontexten dennoch durchzuführen.
Auch die Speicherung ist eine Datenverarbeitung
Die DSGVO verlangt für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Einfach gesagt: Die Datenverarbeitung erfolgt zweckgebunden. Das bedeutet, dass die Daten gelöscht werden müssen, wenn der Zweck erreicht wurde.
Das gilt es bei der Verarbeitung von personenbezogenen Daten in Form einer Speicherung ebenfalls einzuhalten. Oft werden hier als Rechtsgrundlage Art. 6 Abs. 1 Buchstabe c) DSGVO in Verbindung mit einer Frist aus einem anderen Gesetzbuch herangezogen. Es können aber auch berechtigte Interessen gemäß Art. 6 Abs. 1 Buchstabe f) DSGVO vorliegen, die eine längere Speicherung erforderlich machen. In diesem Fall müssen diese berechtigten Interessen aber begründet und dokumentiert sein. Vor allem müssen sie den Interessen der Betroffenen gegenübergestellt und als vorzugswürdig eingestuft werden.
Das ist in diesem Fall nicht geschehen. Besonders bedenklich ist dabei, dass hier die zuständige Aufsichtsbehörde die Vorgaben der DSGVO nicht ansatzweise beachtet zu haben scheint. Stattdessen wurde der Fall einseitig bewertet und die Verweigerung der Löschung mit einem Verhaltenskodex gerechtfertigt. Ein solches Vorgehen wird dem Umstand nicht gerecht, dass mit einem Negativeintrag der Schufa oftmals schwerwiegende Konsequenzen für die Betroffenen einhergehen.
Ein behördliches „Nein“ ist nicht immer richtig
Die Löschpflicht ist eine der wichtigsten Säulen der DSGVO. Sie umzusetzen fällt in der Praxis vielen Unternehmen nicht leicht. Ein funktionierendes Löschkonzept bleibt somit weiterhin eine der größten Herausforderungen im Datenschutzrecht.
Trotz dieser Schwierigkeiten sollten Betroffene immer wachsam sein, sich mit einer Verweigerung der Löschung nicht immer begnügen und eine solche hinterfragen. Das gilt umso mehr, wenn die Weigerung unzureichend begründet oder gar unrechtmäßig erfolgt und dadurch das alltägliche Leben negativ beeinflusst wird. Der Umstand, dass sich zusätzlich eine Behörde mit dem Fall beschäftigt hat, sollte Betroffene nicht immer davon abhalten, ihr Recht einzufordern. Zwar leisten die deutschen Aufsichtsbehörden gute Arbeit, aber unfehlbar sind sie ebenfalls nicht.
Ich hatte einmal eine offene Rechnung bei einem Stromanbieter ( EWE ) 2013 nach einer Ratenzahlung habe ich den Restbetrag von ca. 500 € bezahlt Ende 2019 ,als erledigt würde er mit 16.01.20 geschrieben ! Ich habe in meinem Leben nur dieses eine Mal einen negativen Eintrag bei der Schufa gehabt ! Trotzdem gilt der Eintrag obwohl erledigt überall nach Überprüfung bei Banken usw. Als negativer Eintrag ! Trotz einer Lebensversicherung , Bausparvertrag und Berufsunfähigkeit Vers. Scheitert ein Immobilien Kauf ! Es grüßt auf Nachfrage es wird erst gelöscht am 16.01.2022 !
„Besonders bedenklich ist dabei, dass hier die zuständige Aufsichtsbehörde die Vorgaben der DSGVO nicht ansatzweise beachtet zu haben scheint. “
Das kann eine Erklärung sein. Hatte ich doch extreme Schwierigkeiten bei den hessischen Landesbeauftragten überhaupt eine Reaktion gegen die Schufa in meinem Begehr zu erkennen. Hierzu: dr-datenschutz.de/die-schufa-und-ihre-intransparenz-ein-versagen-der-dsgvo/#comment-116260
Selbst als Fachmann im Bereich Datenschutz, bekam man von den Hessen beschieden, es gäbe keinen Ansatz rechtswiedriges zu vermuten.
Aber wenn, so wie ich das bereits ahnte. Der HBDI nur mit Scheuklappen durch die Schufa läuft, oder gar der freiwilligen Selbstkontrolle der Schufa eine unerschütterliche Beweiskraft indiziert, welche im Zweifelsfall die Skepsis des antragstellenden Bürgers überwiegt,dann wird das nix.
Erinnert mich irgendwie an hochrangige Kaiser aus dem Fußballbusiness, die nirgendwo in Katar Sklaven gesehen haben. Nun war es bestimmt nicht Aufgabe des Kaisers eine Untersuchung deisbezüglich anzustellen, und in Katar kann man bestimmt auch gut Sklaven verstecken, wenn der Prüfer kommt. Dennoch konnte man diese Aussage wohl zurecht kritisieren. Das schlug hier hohe Wellen.
Wohl aber ist es Aufgabe der Datenschutzbehörden den Anfragen der Bürger nachzugehen und auch von sich heraus die Unternehmen zu prüfen. Dies insbesondere bei Unternehmen, wie die Schufa. Nicht erst, aber verstärkt nach der Einführung der automatisierten Entscheidung über Millionen Einzelschicksale von Bürgerinnen und Bürgern.
Natürlich können „Fehler“ passieren, aber bei der Schufa tippe ich eher auf den Grundsatz „zu viel Pech ist Unvermögen“. Mir erscheint es, das die Schufa systemisch den Gewinnmaximierungsgedanken folge leistet. Auch wenn zur angefragten Person keine Daten vorhanden sind, wird ein Scorewert errechnet und mitgeteilt. Selbst wenn der BGH entschieden hat, der Scorewert darf geheim bleiben (AZ: VI ZR 156/13), muss ich das als Betroffener nicht gut heissen. Ich kann mir vorstellen, das Betriebsgeheimnisse auch nicht von Bauunternehmen öffentlich gemacht werden müssen, die in Katar Stadien für die Winter WM bauen oder gebaut haben. Und, deren Geheimnisse unter anderem das erfolgreiche verstecken von Sklaven beinhalten könnte. Das Eine schließt das Andere ja nicht aus.
Warum dieser Vergleich? Nun, bei Unternehmen mit einem derartig hohem Risikopotential für die Grundrechte der Bürgerinnen und Bürger ist meiner Ansicht nach jeglicher Beschwerde gegen die Verfahren und Methoden dieses Konzerns auch nachzugehen. Ein oberflächliches „des passt scho“, wie vom Fussballkaiser oft vernommen, gleicht hier eher einer unterlassenen Hilfeleistung.
Andere Datenschutzbehörden haben bewiesen, das man die Aufgaben für die informelle Selbstbestimmung der Bürger wohl wahrnehmen kann
dr-datenschutz.de/ohne-daten-kein-kredit-lfdi-verwarnt-auskunftei/#comment-117072
Vielleicht sollte man die Kollegen mal fragen, wie es geht:
datenschutz-notizen.de/geoscoring-hamburger-datenschutzbehoerde-erlaesst-bussgeld-gegen-buergel-3917711/
Von den hessischen habe ich sowas noch nie gelesen. Warum, frage ich mich und komme für mich immer zur gleichen persönlichen Meinung. Es fehlt am politischem Willen, gegen offensichtliche und in all den Jahren immer wieder in den Medien angeprangerten Umstände und Verfahren des Scoringriesen Schufa vorzugehen. Man versteckt sich hinter Betriebsgeheimnissen und Selbstkontrolle des Machtgiganten. Und das mit dem Wissen geplanter Projekte. Anstatt den vorhandenen Datenwust zu ordnen und auf Stand zu bringen. Moralisch und ethisch vernünftige Scores anzubieten möchte man lieber noch die Kontoauszüge aller Bürger und deren Wechselwilligkeit in der Energieversorgung in einem, selbstverständlich geheimen Verfahren bewerten. Und Übermorgen? Gibt es einen Score der bewertet, wo der Einzelne Alles bezieht. Denn wenn ständig wegen der Angeboten der Wettbewerber ein Bürger wechselt um seine Energie, seine Versicherung, seine Unterhose, oder gar seinen Sonntagsbraten zu kaufen, dann darf er nicht mehr rein in den freien sozialen Markt. Unzuverlässige Kunden, die immer nur auf den Preis schauen brauchen wir nicht in Deutschland.
Ab wann, ist ein Bürgerbegehr so relevant, das eine Aufsichtsbehörde gründlich prüft und ggf. ordentlich sanktioniert? Eine simple Löschung? Ein undurchsichtiges automatisiertes Verfahren?
Mögliche Verfehlungen der Aufsichtsbehörden sollten viel öfter medial gewürdigt werden. Eine Rüge allein wird nicht viel bewegen. Wir brauchen höhere Wellen für die Grundrechte der Bürger. Meinen Dank für diesen Artikel an die Redaktion. Ein Anfang ist getan.
Lach, ich dachte gerade : Hab ich das geschrieben, weil mir das Wort „SCHEUKLAPPEN“ in die Augen sprang. Mein Lieblingssatz dazu ist : Wer mit den notwendigen Scheuklappen und dem richtigen Tunnelblick durchs Leben geht wird selbst das größte Scheunentor vor seinem Kopf niemals sehen. Das die Handhabung des Datenschutzes in Deutschland nicht nur verfassungswidrig sondern auch gegen Europäisches Recht verstößt erkennt man alleine schon daran das es das ONE STOP SHOP Prinzip 1 Fall- 1 Behörde= 1 Ergebnis in allen anderen Länder gibt wo die DSGVO gilt nur nicht in der Bundesrepublik Deutschland ist ein Punkt. Ein weiterer Punkt : Es gibt keine Übergeordnete Behörde um die 16 Landesdatenschutzbehörden nebst einer Bundesbehörde zu kontrollieren – sondern der Europäische Datenschutz wird mit dem Wort Datenschutz ist „Ländersache“ verteufelt. Das sich aber 16 Germanische Volksstämme so Spinne Feind sind als stünde auf der anderen Seite des Grenzsteines zum nächsten Bundesland der Teufel persönlich -das war mir nicht bewußt. Dabei steht mit keinem einzigem Wort in der DSGVO das auch nur ein Quäntchen Souveränität ab. Vor mir aus kann an jeder Milchkanne bis nach Hessisch Kongo Die Gefahr für die Demokratie ist nämlich hausgemacht und kommt aus dem Innersten : Ein Rechtsstaat der das Recht nicht achtet und das Recht nicht anwendet, ist kein Rechtsstaat. Genau so wie ein Rasenmäher der keinen Rasen mäht, kein Rasenmäher ist! Für diese Erkenntnis bedarf es nicht einmal der Weisheit eines Verfassungsrichters. Staatsversagen auf allen Ebenen gehört mittlerweile zum Alltagsbegriff in diesem Lande. Was mich so wütend macht: In meinem Falle sind es 16 nachweislich rechtswidrig erfolgte Negativmeldungen der SANTANDER BANK an die SCHUFA. 8 der falschen Einträge erfolgten nachdem das Konto bereits geschlossen war. Mein Score stürzte von 98,86% auf 6% – das muß man erst mal hinbekommen… Daneben habe ich immerhin einen DOKTORTITEL von der SCHUFA bekommen und werd seit 2 Jahren als Dr.. angeschrieben . Von der SANTANDER BANK wurde mir außerdem noch die Staatsbürgerschaft der Volksrepublik China angehängt – Die Deutsche Staatsbürgerschaft die ich ebenfalls NICHT besitze hätte ich mit einem Deutschen Reisepass mit „Legitimationspapier inklusive Bezeichnung: A 504883 (deutscher Reisepass)“ Jeder mit Verlaub „Vollpfosten“ weiß das man mit einer sechsstelligen Nummer und 24 Einzelbuchstaben aber schlecht über 70.000.000 + Reserve Nummern Reisepässe für ganz Germanien ausstellen kann- Das kann man selbst bei der Anwendung der Rechenkünste nach Adam Ries nicht. Egal auch das laut Webseite des BMI Um sinntragende Wörter zu vermeiden und Verwechslungen von Buchstaben zu vermeiden, wird auf die Buchstaben A, B, D, E, I, O, Q, S und U verzichtet. Egal auch ein Chinese die Staatsbürgerschaft der VR CHINA automatisch verliert sobald er eine andere Staatsbürgerschaft annimmt … Wie lange sich Deutschland noch als Rechtsstaat bezeichnen will frage ich mich wirklich. Den wenn die Würde des Menschen „unantastbar“ sein soll – zu der auch der Schutz personenbezogen Daten gehört – aber die Verpflichtung aller staatliche Gewalt den Menschen zu achten und zu schützen nicht stattfindet – weil es einfach der Formel DATEN CUM EX Juristischer Personen bedarf und aus 2 x FASCH = RICHTIG wird – ist jedes weitere Wort der Mühe nicht wert. Ein Rechtsstaat der das Recht nicht achtet und das Recht nicht anwendet, ist kein Rechtsstaat. Genau so wie ein Rasenmäher der keinen Rasen mäht, kein Rasenmäher ist! Für diese Erkenntnis bedarf es nicht einmal der Weisheit eines Verfassungsrichters.
Sehr geehrte Damen und Herren,
bei meinem Fall wurde 2006 eine ausgeglichene Bürgschaft meiner Frau über 114.000,– € bei der Schufa nicht gelöscht, obwohl die Bank mir den Löschungsauftrag schriftlich bestätigte. 7,5 Jahre später wurde mir klar, warum mir immer wieder wirtschaftliches Wachstum verwehrt wurde. Sie haben das aus unerklärlichen Gründen nicht gemacht. Habe dadurch meine Firma, Haus und Hof verloren. (500.000,€ Schaden) Trotz eines schriftlichen Schuldeingeständnis der Bank habe ich bis heute keine Möglichkeit erfahren um einen Schadenersatz einzufordern. Die mächtige Bank weist nach einem Gespräch jegliche Schuld von sich.
Mit freundlichen Grüßen
Die SCHUFA ist ein auf Gewinn orientiertes Unternehmen als AG und keineswegs eine
Behörde, obwohl der Eindruck gern vermittelt wird.
Wir begleiten einen Fall zur Löschung der Eintragung nach Abschluss einer Privatinsolvenz und gerichtlich abgeschlossener Restschuldbefreiung. Die SCHUFA besteht auf Fortsetzung der Speicherung auf weitere drei Jahre.
Besondere Schutzrechte erkennt die SCHUFA aber nur für „Betroffene in einem Zeugenschutzprogramm“ oder „Bewohnerinnen in einem Frauenhaus“ an.
Privatleute, die nach einer Insolvenz und Restschuldbefreiung wieder am wirtschaftlichen Leben teilnehmen wollen, werden ausgeschlossen und dadurch mit einem Makel versehen. Die Negativfolgen sind:
Nicht einmal ein Kleinkredit ist möglich – geschweige denn eine Kreditkarte oder ein Handyvertrag. Da die SCHUFA schreibfaul ist, nicht zu erreichen, keine persönlichen Ansprechpartner benannt werden, hilft hier nur ständiges Penetrieren und körbeweise Beschwerden.
Der private Erfolg gibt auch Recht.