Am 12. Juni 2018 stellte ich einen Antrag in elektronischer Form per E-Mail an die Schufa, um mein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung in Anspruch zu nehmen. Heute lag die Antwort der Schufa im Briefkasten – in gedruckter Form und nach meiner Meinung nicht in klarer und einfacher Sprache.
Update (08.08.2018): Die komplette Antwort der Schufa, meine Analyse und meine Meinung dazu gibt es im Artikel „Die Auskunft der Schufa nach Artikel 15 DS-GVO„.
Siehe auch: Auskunftsrecht nach Artikel 15 DS-GVO am Beispiel Schufa.
Im Briefkasten lag ein Briefumschlag mit einem siebenseitigen Schreiben. Das Antwortschreiben ist auf den 16. Juni 2018 datiert. Ausgehend von den üblichen Laufzeiten der Briefzustellung durch DHL/Post verblieb der Brief dann nach seiner Erstellung noch etwa 10 Tage bei der Schufa. Fertig jedenfalls, so suggeriert das Briefdatum, war das Schreiben schon am 16. Juni. Heute ist der 29. Juni, damit erhielt ich die Auskunft innerhalb der Frist von einem Monat nach Eingang meines Antrags (unter der Annahme, dass die E-Mail am selben Tag zugestellt worden war.
In den nächsten Tagen were ich mich eingehend damit beschäftigen. Vorab jedoch dazu bereits zwei Anmerkungen:
Gedruckt und nicht elektronisch
Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.
Die Unterrichtung erhielt ich in gedruckter Form, obwohl ich meinen Antrag elektronisch stellte und eine Übermittlung in einem gängigen elektronischen Format verlangte.
Keine klare und einfache Sprache
Teilweise kann ich das Schreiben leicht lesen. Doch auf Anhieb missfallen mir die zwei Seiten mit der Überschrift „SCHUFA-Information“. Dieser Abschnitt scheint mir ein Textbaustein ohne jeden Bezug zu meinen personenbezogenen Daten zu sein. Darin heißt es dann beispielsweise:
2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden
Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu intemen Zwecken (z. B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeilen, Allgemeine Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten, Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse an der jeweiligen Verarbeitunghieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.[…]
2.3. Herkunft der Daten
Die SCHUFA erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Institute, Finanzuntemehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energleversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich.
Ich bin zwar über 42 Jahre alt und kein Elektroingenieur, auch habe ich kein Jodeldiplom (Wikipedia). Aber ich bin habe zwei Studienabschlüsse, kann fließend Deutsch sprechen, hören und lesen sowie selbstständig bloggen.
Wenn ich mir allerdings vorstelle, dass jemand wie Vic Dorn eine solche Auskunft von der Schufa erhält, dann zweifele ich doch daran, dass so jemand darunter eine Übermittlung „in einer klaren und einfachen Sprache“ nach Artikel 12 (1) DS-GVO) verstehen würde. Ich glaube das jedenfalls nicht.
Vor allem bei der pauschalen Erklärung der Datenherkunft scheint sich die Schufa einen schlanken Fuß zu machen…
Ja, das sehe ich auch so. Wo *meine* Daten herkommen, wird eigentlich nirgendwo formuliert. Alles Gemeinplätze, auch zum Thema Kategorien.
Die Daten kommen dort her, wo ihr die Schufa-Klausel unterschrieben habt. Sollen die das neben der Auflistung der Daten noch mal hinschreiben? Also Girokonto bei der Sparkasse – Daten kommen von der Sparkasse? Oder was genau meint ihr?
Also beispielsweise: Von Sparkasse XYZ oder der Mainzer Volksbank oder …
Der Score muss ja auf Basis von irgendwelchen Daten ermittelt werden. Die kommen irgendwoher. Doch in der Auskunft steht weder, welche Daten vorhanden sind, die zu einem Score führen, noch woher sie kommen. Ich will ja nicht die Berechnungsregeln des Scores wissen, sondern nur welche Daten sie haben, und woher sie kommen.
Hm also bei mir sind alle Banken aufgelistet von denen sie Daten haben.
Ich habe lediglich eine Liste der Anfragen von Unternehmen seit 1990 (z.b. „hat eine Anfrage zur identitäts- bzw. Aitersprüfung gestellt.“, “ den Abschluss eines Telekommunikationsvertrages gemeidet und hierzu das Servicekonto unter der Nummer … übermittelt“) sowie eine Liste der in den letzten 12 Monaten übermittelten Wahrscheinlichkeltswerten (z.B. Ratingstufe, Erfüllungswahrscheinlichkeit).
Welche Daten die Schufa von mir außer den allgemeinen Daten wie Adressdaten, Name, Geburtsort etc. hat, hat mir die Schufa nicht mitgeteilt (und ebenso auch nicht, wem sie ggf. solche Daten übermittelt haben).
Aufgrund welcher Anfrage sie die Wahrscheinlichkeitswerte übermittelt haben, wird auch nicht klar. Denn in der Liste der Anfragen stehen keine entsprechenden Anfragen. Es muss also weitere Anfragen außer den gelisteten gegeben haben, denn von sich aus wird die Schufa (hoffentlich) meine Daten nicht jemandem übermitteln.
Das ist eine sehr merkwürdige Sache mit der DSGVO. Ich sehe immer noch Dutzende Websites, die keine Benachrichtigungen über Cookies usw. haben. Sie sind jedoch online und ich glaube nicht, dass sie irgendwelche Probleme damit haben. Was ist, wenn die Website für den europäischen Markt entwickelt wurde, aber zum Beispiel in den USA? Oder sowas wie Russland / China oder andere Länder? Wie wird es reguliert? Den Zugriff auf die Site blockieren? Richten Sie einfach einen Dienst wie Cloudflare ein und die Seite wird nahezu unmöglich zu blockieren sein.
Seltsam, sehr seltsam
Eine Frage: Waren die Scores aller einzelnen Branchen auf aufgelistet? Früher waren diese ja regelmäßig Bestandteil der Auskunft nach BDSG, mittlerweile scheint die SCHUFA bei der Auskunft darauf zu verzichten.
Die komplette Auskunft der Schufa (persönliche Daten geschwärzt) steht in Die Auskunft der Schufa nach Artikel 15 DS-GVO.. Auf Branchen wird nicht eingegangen.