Die Verarbeitung von Bonitätsinformationen durch die SCHUFA Holding AG (SCHUFA) hat auf betroffene Personen in der Regel erhebliche Auswirkungen. Enthalten Bonitätsinformationen der SCHUFA einen Hinweis auf eine eingeschränkte Bonität, ist die Teilnahme am Wirtschaftsleben üblicherweise ebenfalls eingeschränkt. Deshalb unterziehe ich die SCHUFA einer verschärften Kontrolle.
Bonitätsauskünfte greifen besonders intensiv in die wirtschaftlichen Interessen der Betroffenen ein. Die DSGVO enthält deshalb strenge Vorgaben. Das führte dazu, dass sich die SCHUFA nachhaltig auf die Geltung der DSGVO vorbereiten musste.
Bereits 2016 haben sich die Aufsichtsbehörden intensiv mit den Auswirkungen der DSGVO auf die Datenverarbeitung der Wirtschaftsauskunfteien befasst. In mehreren Sitzungen wurden die wichtigsten Fragen behandelt und, soweit dies möglich war, eine bundeseinheitliche Auffassung abgestimmt. Dies betraf vor allem die Zulässigkeit der Datenverarbeitung inklusive des Scorings durch Wirtschaftsauskunfteien nach der DSGVO, die von allen Aufsichtsbehörden für weiterhin gegeben erachtet wurde. Darüber hinaus betraf es die sich aus der DSGVO ergebenden Informationspflichten und die von Wirtschaftsauskunfteien zu erteilenden Auskünfte. Die Informationen waren aufgrund der Regelungen in den Artikeln 13 und 14 DSGVO anzupassen und zu erweitern. Außerdem mussten die von der SCHUFA erteilten Selbstauskünfte angepasst werden. Die nach der DSGVO notwendigen Maßnahmen wurden mit mir abgestimmt und von der SCHUFA vollständig umgesetzt.
Die wesentlichste Auswirkung, die von der SCHUFA durch eine aufwändige Änderung des Prozesses umzusetzen war, betraf die Rechtsgrundlage für die Übermittlung von Daten an die SCHUFA und die Erteilung von Auskünften. Vor dem Wirksamwerden der DSGVO wurde von Vertragspartnern der SCHUFA durch Verwendung eines als „SCHUFA Klausel“ bekannten Vertragsbestandteils eine Einwilligung zur Übermittlung von Daten an die SCHUFA eingeholt. Da diese Einwilligung in den weitaus meisten Fällen auch eine Voraussetzung für das Aufnehmen von Vertragsverhandlungen war, hätte dieses Vorgehen gegen die notwendige Freiwilligkeit einer Einwilligung gemäß Art. 7 DSGVO verstoßen. Die Wirksamkeit der Einwilligung wäre daher mehr als zweifelhaft gewesen.
Aufgrund dessen war das Verfahren umzustellen und auf die Einholung einer Einwilligung zu verzichten. Nach Auffassung aller Aufsichtsbehörden bildet bereits Art. 6 Abs. 1 lit. f) DSGVO eine ausreichende Rechtsgrundlage für die Verarbeitung von Daten durch Wirtschaftsauskunfteien. Eine Einwilligung ist daher nicht erforderlich. Wird auf die Einholung einer Einwilligung verzichtet, ist außerdem sichergestellt, dass die Datenverarbeitung durch Wirtschaftsauskunfteien ausschließlich im Rahmen der gesetzlichen Regelungen erfolgt. Die Umstellung ist daher für betroffene Personen vorteilhaft. Die SCHUFA hat daraufhin das Verfahren umgestellt und verzichtet zum Vorteil aller betroffenen Personen seit dem Wirksamwerden der DSGVO auf die Einholung einer Einwilligung.
Durch das Wirksamwerden der DSGVO ist außerdem die Vorschrift des § 35 Abs. 2 Satz 2 Nr. 4 BDSG (alt) entfallen, nach der Daten durch Wirtschaftsauskunfteien in der Regel nach dem Ende des dritten Jahres nach Speicherung zu löschen waren. Aufgrund des Fristbeginns erst am Ende des Jahres, in dem die Speicherung erfolgt war, dauerte die Speicherung in aller Regel erheblich länger als drei Jahre. Gleichwohl bestand mit § 35 Abs. 2 Satz 2 Nr. 4 BDSG (alt) eine eindeutige gesetzliche Regelung über die Speicherdauer von Daten, die durch Wirtschaftsauskunfteien gespeichert wurden.
Mangels gesetzlicher Regelung musste mit den Wirtschaftsauskunfteien eine neue Speicherfrist festgelegt werden. Gemäß Art. 17 Abs. 1 lit. a) DSGVO sind Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind. Zweck der Speicherung von Daten durch Wirtschaftsauskunfteien ist die Prüfung der Bonität betroffener Personen. Durch Wirtschaftsauskunfteien verarbeitete Bonitätsinformationen müssen daher spätestens dann gelöscht werden, wenn sie keine belastbare Aussagekraft für die Bonität mehr haben. Die Wirtschaftsauskunfteien konnten nachweisen, dass Bonitätsinformationen für einen Zeitraum von mindestens drei Jahren eine belastbare Aussage zur Bonität betroffener Personen ermöglichen. Aufgrund dessen haben die Wirtschaftsauskunfteien durch ihren Verband „Die Wirtschaftsauskunfteien e.V.“ Verhaltensregeln gemäß Art. 40 DSGVO entworfen, in denen eine Speicherfrist von drei Jahren festgelegt wurde. Die darin enthaltene Frist beginnt mit der Speicherung der Daten. Daten werden daher bereits exakt drei Jahre nach Erledigung des Ereignisses, auf das sie sich beziehen, gelöscht. Die Speicherdauer wurde damit gegenüber der bisherigen Speicherdauer erheblich verkürzt.
Diese als „Code auf Conduct“ bezeichneten und auf der Internetpräsenz http://www.handelsauskunfteien.de abrufbaren Verhaltensregeln wurden nicht zuletzt wegen der verkürzten Speicherdauer durch die für den Verband „Die Wirtschaftsauskunfteien e.V.“ zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen in Abstimmung mit den anderen Aufsichtsbehörden genehmigt. Dadurch werden für betroffene Personen eine verkürzte Speicherdauer und Rechtssicherheit geschaffen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks