Am 12. Juni 2018 stellte ich einen Antrag in elektronischer Form per E-Mail an die Schufa, um mein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung in Anspruch zu nehmen. Heute lag die Antwort der Schufa im Briefkasten – in gedruckter Form und nach meiner Meinung nicht in klarer und einfacher Sprache.
Im Briefkasten lag ein Briefumschlag mit einem siebenseitigen Schreiben. Das Antwortschreiben ist auf den 16. Juni 2018 datiert. Ausgehend von den üblichen Laufzeiten der Briefzustellung durch DHL/Post verblieb der Brief dann nach seiner Erstellung noch etwa 10 Tage bei der Schufa. Fertig jedenfalls, so suggeriert das Briefdatum, war das Schreiben schon am 16. Juni. Heute ist der 29. Juni, damit erhielt ich die Auskunft innerhalb der Frist von einem Monat nach Eingang meines Antrags (unter der Annahme, dass die E-Mail am selben Tag zugestellt worden war.
In den nächsten Tagen were ich mich eingehend damit beschäftigen. Vorab jedoch dazu bereits zwei Anmerkungen:
Gedruckt und nicht elektronisch
Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.
Die Unterrichtung erhielt ich in gedruckter Form, obwohl ich meinen Antrag elektronisch stellte und eine Übermittlung in einem gängigen elektronischen Format verlangte.
Keine klare und einfache Sprache
Teilweise kann ich das Schreiben leicht lesen. Doch auf Anhieb missfallen mir die zwei Seiten mit der Überschrift „SCHUFA-Information“. Dieser Abschnitt scheint mir ein Textbaustein ohne jeden Bezug zu meinen personenbezogenen Daten zu sein. Darin heißt es dann beispielsweise:
2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden
Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu intemen Zwecken (z. B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeilen, Allgemeine Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten, Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse an der jeweiligen Verarbeitunghieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.
[…]
2.3. Herkunft der Daten
Die SCHUFA erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Institute, Finanzuntemehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energleversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich.
Wenn ich mir allerdings vorstelle, dass jemand wie Vic Dorn eine solche Auskunft von der Schufa erhält, dann zweifele ich doch daran, dass so jemand darunter eine Übermittlung „in einer klaren und einfachen Sprache“ nach Artikel 12 (1) DS-GVO) verstehen würde. Ich glaube das jedenfalls nicht.
Seit dem 25. Mai habe ich ein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung. Dieses Auskunftsrecht nehme ich gegenüber der Schufa in Anspruch.
Für mich als Blogger und Selbstständiger bedeutet die Datenschutz-Grundverordnung (DSGVO) vor allem viel Aufwand. Doch was bedeutet die Datenschutz-Grundverordnung für mich als „natürliche Person“, als Frank Hamm, wenn es um meine persönlichen Daten geht? Dieser Frage gehe ich als betroffene Person am Beispiel eines Antrages auf Auskunftsrecht an die Schufa nach.
Update (14.06.2018): Die Schufa hat der Welt (Online) aufgrund eines Artikels über das Abo-Modell der Schufa und der nur gedruckt möglichen Datenlieferung Druck gemacht und gedroht. Der kurze Zeit offline genommene Artikel ist wieder online (siehe unten).
Die DS-GVO
Der komplette Titel der DS-GVO lautet:
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)
… Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Verkehr solcher Daten.
Sie will mich schützen und gesteht mir als natürliche Person (also keiner juristischer Person wie einer Aktiengesellschaft, einem Verein oder einer GmbH) verschiedene Rechte zu.
Recht auf Auskunft
Recht auf Bestätigung
Recht auf Berichtigung
Recht auf Löschung
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Recht auf Widerspruch
Recht auf Ausschluss von automatisierten Entscheidungen im Einzelfall einschließlich Profiling
Das Recht auf Auskunft gewährt die DS-GVO im Artikel 15 betroffenen Person (deren personenbezogene Daten verarbeitet werden) gegenüber „natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stelle“:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
Außerdem erhalten Betroffene das Recht, bei Verarbeitungen in einem Drittland, über geeignete Garantien (z.B. Privacy Shield) unterrichtet zu werden.
Betroffene müssen innerhalb eines Monats eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt werden. Wird der Antrag von einer betroffenen Person elektronisch gestellt (also nicht schriftlich oder mündlich),
so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
Dieses Auskunftsrecht nehme ich gegenüber der Schufa in Anspruch.
Die Schufa
Die Schufa Holding AG (Eigenschreibung SCHUFA, früher SCHUFA e. V. Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei in der Rechtsform einer Aktiengesellschaft mit dem Geschäftssitz in Wiesbaden. Zu den Aktionären gehören Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Ihr Geschäftszweck ist, ihre Vertragspartner mit Informationen zur Bonität (Kreditwürdigkeit) Dritter zu versorgen.
(Seite „Schufa“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 24. Mai 2018, 21:30 UTC. (Abgerufen: 26. Mai 2018, 04:04 UTC))
Wer beispielsweise einen Kaufvertrag über einen höheren Euro-Betrag oder Kreditantrag stellt, wird in der Regel darin eine „Schufa-Klausel“ mitunterschreiben. Das Kreditinstitut bekommt dadurch das Recht, bei der Schufa nach der „Kreditwürdigkeit“ zu fragen.
Schufa: Meine Schufa kompakt oder Datenkopie nach Artikel 15 DS-GVO
Mit einmaligen Kosten für die Aktivierung (€ 9,95) und monatlichen Kosten (€ 3,95) (online)
Folgende Hinweise irritieren mich:
Wir weisen darauf hin, dass wir ggf. Angaben zu Ihren Personalien als zusätzliche Identifikationskriterien zum Zwecke der Erteilung von Auskünften in den SCHUFA-Datenbestand übernehmen.
[…]
Wir weisen zudem darauf hin, dass die Datenkopie gemäß Art. 15 DS-GVO aus Datenschutzgründen postalisch übermittelt wird.
Das Formular sieht als Pflichtangaben vor: Anrede, Vorname, Name, Straße, Hausnummer, Postleitzahl, Ort, Land.
Schufa: Antragsformular für Datenkopie nach Artikel 15 DS-GVO
Meine Schufa ist laut Navigation ihrer zentralen Website auf https://www.schufa.de/de/ an Angebot für Privatkunden. Doch ich will dieses Formular für mein Auskunftsrecht nicht in Anspruch nehmen, denn
ich bin kein Privatkunde der Schufa (ich habe lediglich Vertragspartnern erlaubt, mit meinen Daten bei der Schufa Auskünft zu einzuholen), und
ich will meine Datenkopie in elektronischer Form.
Auch halte ich die Bindung im Formular an die Übernahme meiner Personalien „als zusätzliche Identifikationskriterien zum Zwecke der Erteilung von Auskünften in den SCHUFA-Datenbestand“ mindestens für äußerst bedenklich, wenn nicht sogar für rechtswidrig.
Ich, der Frank Hamm, nehme also mein Auskunftrecht elektronisch per E-Mail an den Verantwortlichen, die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden wahr. In meiner E-Mail mache ich folgende Angaben über mich:
Frank Hamm
<Adresse>
<Geburtsdatum>
Somit verfügt die Schufa über die nötigen Informationen, mich zu identifizieren. Außerdem kann die Schufa über einen Abgleich mit meiner Adresse gewährleisten, dass die Zustellung meiner Daten den Richtigen erreicht. Denn sie braucht mir dazu lediglich die Zugangsdaten (für einen Online-Abruf einer Kopie meiner Daten) postalisch zustellen oder mir eine Datenkopie in elektronischer Form auf einem Datenträger (beispielsweise USB-Stick, SD-Karte) postalisch zusenden.
Die Elektronische-Mail
Sehr geehrte Damen und Herren,
nach Artikel 15 Datenschutz-Grundverordnung verlange ich eine Bestätigung, ob mich betreffende personenbezogene Daten verarbeitet werden. Wenn dies der Fall ist, nehme ich mein Recht war und verlange Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
die Verarbeitungszwecke;
die Kategorien personenbezogener Daten, die verarbeitet werden;
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Berichtigung oder Löschung der mich betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
wenn die personenbezogenen Daten nicht bei mir erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für mich.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so verlange ich, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.
Ich bitte Sie, die Auskunft innerhalb einer Frist von einem Monat nach Eingang meines Antrags zu erteilen. Sollten Sie eine längere Frist benötigen, bitte ich um eine entsprechende Zwischennachricht. Bitte bestätigen Sie den Eingang dieses Antrags.
Angaben zur Identifizierung meiner Person mit postalischer Adresse und Gebursdatum:
Frank Hamm
<Adresse>
<Geburtsdatum>
Sollte für die Auskunftserteilung eine weitere Identifizierung meiner Person erforderlich sein, bitte ich Sie, mir mitzuteilen, welche Nachweise Sie benötigen.
Mit freundlichen Grüßen
Frank Hamm
Die Elektronische-Mail habe ich heute morgen an die Schufa gesendet.
Hinweis: Der Text, den ich für meine Elektronische-Mail an die Schufa verwendet habe, kann jeder kopieren und für eine eigene Anfrage an die Schufa an seine Person verwenden. Den Text habe ich jedoch ohne besondere rechtliche Kenntnisse erstellt und mich lediglich am Artikel 15 GS-DVO und an Anfragen nach dem § 34 des alten Bundesdatenschutzgesetz (BDSG) orientiert. Ich übernehme daher keine Garantie für seine Richtigkeit.
Die Welt
Während ich den Beitrag schrieb, erschien der Artikel „DSGVO stellt das Abo-Modell der Schufa infrage – WELT“ (Welt, aus Protest gegen das geplante und u.a. von Welt forcierte EU-Leistungsschutzrecht nicht mehr verlinkt). Danach prüft die hessische Landesdatenschutzbehörde das aktuelle Vorgehen der Schufa. Der Artikel ist nach einem Tag offline wieder online.
Der Link zum Artikel im Online-Auftritt der WELT funktionierte einen Tag lang nicht, denn die Welt hatte ihren Artikel zur einer Prüfung offline genommen. Inzwischen hat der Autor des Artikels Benedikt Fuest auf Twitter darüber informiert, dass Schufa-Sprecher Koch aktuell massiv Druck mache und mit juristischen Konsequenzen drohe. Es geht darum, dass die Schufa die Daten nach Art. 15 DSGVO trotz der Vorgabe (elektronisch zu verschicken) nur per Post verschickt.
Erneute Stellungnahme hessischer Landesdatenschutz: Die Schufa ist der Auffassung, dass diese Frage bereits mit den Aufsichtsbehörden für den Datenschutz abgestimmt worden sei. Ich halte die Frage dagegen für nicht abschließend geklärt und habe daher die Prüfung eingeleitet.“
![Auskunftsrecht nach Artikel 15 DS-GVO am Beispiel Schufa [Update 08.08.2018]](https://injelea-blog.de/wp-content/uploads/2018/06/Schufa-Datenkopie-nach-Artikel-15-DS-GVO.jpg)
