Beiträge

Schufa: In den letzten 12 Monaten übermittelte Wahrscheinlichkeitswerte

Am 12. Juni 2018 stellte ich einen Antrag in elektronischer Form per E-Mail an die Schufa, um mein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung in Anspruch zu nehmen. Am 29. Juni lag die Antwort der Schufa in gedruckter Form im Briefkasten. Eine Analyse und meine Meinung zur Auskunft der Schufa.

Das Antwortschreiben der Schufa lag am 29. Juni in meinem Briefkasten. Es ist ein siebenseitiges Schreiben, das auf den 16. Juni 2018 datiert ist. Das Schreiben gliedert sich in folgende Teile:

  • Ein Anschreiben (2 Seiten, netto etwa 0,8 Seiten).
  • Eine Liste von Anfragen und Mitteilungen an die Schufa, die sich auf mich bezogen (1 Seite, netto etwa 0,6 Seiten, 9 Einträge).
  • Eine Tabelle von Wahrscheinlichkeitswerten, welche die Schufa in den letzten 12 Monaten übermittelt hat (1 Seite, netto etwa 0,4 Seiten, 3 Datenzeilen).
  • Mein Basisscore zum 1. April 2018 (1 Seite, netto etwa 0,1 Seiten).
  • Eine Schufa-Information (2 Seiten, netto etwa 2 Seiten).

Jedes Teil des Schufa-Schreibens führe ich hier als Zitat oder Kopie auf.  Sensible Daten mache ich entweder unkenntlich, oder ich kategorisiere sie inhaltlich in <GROßBUCHSTABEN>.

Anschreiben

Sehr geehrter Herr Hamm,

unter der Referenznummer <REFERENZNUMMER> erhalten Sie gemäß Art. 15 Datenschutz-Grundverordnung (DS-GVO) eine Kopie der am 16.06.2018 zu Ihrer Person bei der SCHUFA gespeicherten personenbezogenen Daten.

SCHUFA-Datensatznummer: <DATENSATZNUMMER>
Nachname: <NACHNAME>
Vorname: <VORNAME> <MITTELNAME>
Geburtsdatum: <GEBURTSDATUM>
Geburtsort: <GEBURTSDATUM>
Aktuelle Adresse: <ADRESSE> gemeldet von <ORGANISATION>, gespeichert am <DATUM>
Sonstige, auch frühere Adressen: <ADRESSE>, gemeldet von <ORGANISATION>, gespeichert am <DATUM>

Sie wurden am <DATUM>1984 erstmals nach den Bestimmungen des bis zum 24.05.2018 geltenden Bundesdatenschutzgesetzes (BDSG) über das SCHUFA-Verfahren informiert. Weitere gespeicherte Informationen werden separat aufgeführt.

Falls Daten aus Ihrer Sicht unzutreffend sind, wenden Sie sich bitte an unser Serviceteam unter der Telefonnummer 0611 – 92780. Sie erreichen uns an Werktagen montags bis freitags von 8 Uhr bis 19 Uhr. Sie können sich auch einfach über unser Online-Kontaktformular mit Fragen zu den bei der SCHUFA gespeicherten Daten an uns wenden (www.schufa.de/online-kontaktformular). Wir werden die entsprechen den Angaben in Abstimmung mit dem einmeldenden Vertragspartner prüfen. Ihr Bestreiten kann durch einen entsprechenden Vermerk kenntlich gemacht werden. Ergibt die Prüfung, dass die Informationen falsch sind, so werden diese berichtigt. Unzulässig gespeicherte Daten werden gelöscht.

Die SCHUFA nutzt im Rahmen der durch sie erteilten Wirtschaftsauskünfte zu Unternehmen Daten der CS Connect GmbH & Co. KG, welche Informationen über Unternehmen und deren wirtschaftlich tätige Personen (z. B. Gesellschafter, Inhaber, Geschäftsführer) speichert. Sofern Sie Informationen darüber erhalten möchten, welche Daten zu Ihrer Person bei der CS Connect GmbH & Co. KG gespeichert sind, bitten wir Sie dort einen entsprechenden Antrag zu stellen. Ein Bestellformular für eine Kopie der personenbezogenen Daten (nach Art. 15 DS-GVO), die bei der CS Connect zu Ihrer Person gespeichert sind, finden Sie unter www.cs-connect.de.

Mit freundlichen Grüßen
SCHUFA-Serviceteam

Die Daten sind korrekt. Lediglich an die erstmalige Information über das Schufa-Verfahren im Jahr 1984 kann ich mich nicht erinnern. Laut Wikipedia-Eintrag gehören der Schufa Holding 50 % der CS Connect GmbH & Co. KG und 50 % der CS Connect Verwaltung GmbH. Letztere war laut Eintrag von 2008 bei North Data wiederum persönlich haftender Gesellschafter der CS Connect GmbH & Co. KG. Letztendlich scheint die Schufa mich im letzten Absatz an eine hundertprozentige Tochtergesellschaft zu verweisen.

Anfragen und Mitteilungen

Am <DATUM>2018 hat <ORGANISATION> eine Anfrage zur Bonitätsprüfung vor Abschluss eines Vertrages mit Zahlungsvereinbarung „auf Rechnung“ oder „auf Kredit“ gestellt.

Am <DATUM>2018 hat <ORGANISATION> eine Anfrage zur Bonitätsprüfung vor Abschluss eines Vertrages mit Zahlungsvereinbarung „auf Rechnung“ oder „auf Kredit“ gestellt.

Am <DATUM>2017 hat <ORGANISATION> eine Anfrage zur Identitäts- bzw. Altersprüfung gestellt. Die Prüfung von Identitätsdaten mit Hilfe der SCHUFA kann die Sicherheit im Internet verbessern und auch als Maßnahme zum Jugendschutz (Altersverifizierung) eingesetzt werden. Anhand des SCHUFA-Datenbestandes werden Angaben zur Identität verifiziert, aber keine bei der SCHUFA gespeicherten Daten weitergegeben.

Am <DATUM>2016 hat <ORGANISATION> mitgeteilt, dass ein <KONTOART> unter der Kontonummer <NUMMER> eröffnet wurde. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht.

Am <DATUM>2014 hat <ORGANISATION> den Abschluss eines <VERTRAGSART> gemeldet und hierzu das Servicekonto unter der Nummer <NUMMER> übermittelt. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht.

Am <DATUM>2014 hat <ORGANISATION> den Abschluss eines <VERTRAGSART> gemeldet und hierzu das Servicekonto unter der Nummer <NUMMER> übermittelt. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht.

Am <DATUM>2014 hat <ORGANISATION> den Abschluss eines <VERTRAGSART> gemeldet und hierzu das Servicekonto unter der Nummer <NUMMER> übermittelt. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht.

Am <DATUM>2012 hat <ORGANISATION> unter der Nummer <NUMMER> den Abschluss eines <VERTRAGSART> gemeldet. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht. Gespeichert am <DATUM>.

Am <DATUM>1990 hat <ORGANISATION> mitgeteilt, dass ein <KONTOART> unter der Kontonummer <NUMMER> eröffnet wurde. Diese Information wird gespeichert, solange die Geschäftsbeziehung besteht.

Die Einträge entsprechen generell den Tatsachen. Folgendes fällt mir jedoch auf:

  • Vierter Eintrag: Die Kontoeröffnung fand bereits ein paar Jahre früher statt.
  • Sechster (vorletzter) Eintrag: Zwischen der Meldung der Organisation und der Speicherung der Daten liegen laut Eintrag vier Jahre.

Übermittelte Wahrscheinlichkeitswerte

Schufa: In den letzten 12 Monaten übermittelte Wahrscheinlichkeitswerte

Schufa: In den letzten 12 Monaten übermittelte Wahrscheinlichkeitswerte

Zu der Tabelle der Wahrscheinlichkeitswerte fällt mir folgendes auf:

  • Für den Eintrag in der ersten Datenzeile (2017) gibt es keinen entsprechenden Eintrag in der Liste der Anfragen und Mitteilungen. Die Geschäftsbeziehung mit der Organisation („übermittelt an“) besteht weiterhin.
  • Für den Eintrag in der zweiten Datenzeile (2018) gibt es keinen entsprechenden Eintrag in der Liste der Anfragen und Mitteilungen. Die Geschäftsbeziehung mit der Organisation („übermittelt an“) besteht weiterhin.
  • Der Eintrag in der dritten Datenzeile (2018) entspricht dem ersten Eintrag der Liste der Anfragen und Mitteilungen. Die Schufa hat somit offensichtlich die Anfrage am selben Tag beantwortet.

Damit hat die Schufa in zwei Fällen Daten an eine Organisation übermittelt, ohne dass die Organisation zuvor eine Anfrage gestellt hatte.

Auf Basis der Liste der Anfragen und Mitteilungen in Verbindung mit der Tabelle der Übermittlung von Wahrscheinlichkeitswerte ergeben sich folgende offenen Enden:

  • Zweiter Listeneintrag (2018): Für die Anfrage der Organisation hat die Schufa keine Daten übermittelt.
  • Dritter Listeneintrag (2018): Für die Anfrage der Organisation hat die Schufa keine Daten übermittelt.

Aus diesen insgesamt fünf Punkten ergeben sich für mich zwei Unregelmäßigkeiten, die logischerweise jeweils nur bestimmte Ursachen zulassen.

  • Die Schufa übermittelt Daten an Organisationen, ohne dass von diesen zuvor eine Anfrage gestellt wurde. Entweder sind die mir vorliegenden Daten unvollständig oder inkorrekt, oder es gibt eine Art von „Dauerauftrag“ zur regelmäßigen Übermittlung von Wahrscheinlichkeitswerten an Organisationen.
  • Die Schufa übermittelt keine Daten, obwohl eine Anfrage gestellt wurde. Entweder sind die mir vorliegenden Daten unvollständig oder inkorrekt, oder die Schufa beantwortet nicht alle Anfragen, oder die Schufa übermittelt weitere Daten außer den Wahrscheinlichkeitsdaten (über die sie mir keine Auskunft gibt).

Weiterhin fehlen mir zum grundsätzlichen Verständnis ein paar Erläuterungen. Insbesondere fehlen in der Legende Zelleneinträge.

  • Spalte „Scorewert“: Hier steht jeweils eine vierstellige Zahl. Ich habe keine Ahnung, was diese Zahl bedeutet.
  • Spalte „Ratingstufe“: Hier steht jeweils ein Buchstabe. Ich habe keine Ahnung, was dieser Buchstabe bedeutet.
  • Spalte „Erfüllungswahrscheinlichkeit“: Hier steht eine Prozentzahl mit zwei Nachkommastellen. Ich vermute, sie soll aussagen, wie wahrscheinlich ich einen Vertrag erfülle.
  • Spalten „Bisherige Zahlungsstörungen“ bis „Anschriftendaten“: Hier stehen Werte, die in der Legende aufgeführt sind.

Basisscore

Am 01.04.2018 beträgt Ihr Basisscore <PROZENTZAHL> von theoretisch möglichen 100 %. Der Basisscore ermöglicht Ihnen eine branchenunabhängige Einschätzung Ihrer Bonität. Er wird als Erfüllungswahrscheinlichkeit in Form eines Prozentwertes dargestellt. Die Berechnung erfolgt einmal pro Quartal auf Basis der zu Ihrer Person bei der SCHUFA gespeicherten Daten.

Zunächst habe ich vermutet, dass die Bedeutung des Basisscores der Bedeutung der Spalte „Erfüllungswahrscheinlichkeit“ entspricht. Doch wenn der Basisscore einmal pro Quartal berechnet wird, dann müssten in der Tabelle der Wahrscheinlichkeitswerte die entsprechenden Spaltenwerte in der zweiten und in der dritten Tabellenzeile diesem Basisscore vom 1. April entsprechen, da diese Wahrscheinlichkeitswerte im zweiten Quartal 2018 übermittelt wurden. Die drei Prozentzahlen unterscheiden sich jedoch.

Schufa-Information

Der zweiseitige Teil SCHUFA-Information (PDF, 295 KB) ist generisch in dem Sinne, dass er keinerlei Bezug zu meiner Person oder meinen Daten hat. Ein Satz jedoch findet meine Aufmerksamkeit:

Folgende Datenarten werden bei der SCHUFA zur Scoreberechnung verwendet, wobei nicht jede Datenart auch in jede einzelne Scoreberechnung mit einfließt: Allgemeine Daten (z.B. Geburtsdatum, Geschlecht oder Anzahl im Geschäftsverkehr verwendeter Anschriften), bisherige Zahlungsstörungen, Kreditaktivität letztes Jahr, Kreditnutzung, Länge Kredithistorie sowie Anschriftendaten (nur wenn wenige personenbezogene kreditrelevante Informationen vorliegen).

Da steht also tatsächlich etwas zur „Scoreberechnung“ – allerdings so nichtssagend, dass sich wirklich nichts davon ableiten lässt.

Meine Meinung dazu

Ich halte es für unwahrscheinlich, dass sich lediglich aus wenigen und allgemeinen Daten wie Adressdaten Rückschlüsse auf eine „Erfüllungswahrscheinlichkeit“ ziehen lassen. Dann schaue ich mir an, was die Schufa über mich gespeichert hat, und staune. Aus meinen Adressdaten, drei Anfragen (zwei Bonitätsprüfungen und eine Identitäts-/Altersprüfung), zwei Kontoeröffnungen und vier Vertragsabschlüssen (jeweils mit faktisch nur Vertragsart/Kontoart und Organisation) kann die Schufa einen „Score“ für meine Erfüllungswahrscheinlichkeit berechnen.

Die Daten selbst sind für mich hinsichtlich der Datenübermittlung von Organisationen an die Schufa (Anfragen und Mitteilungen) beziehungsweise von der Schufa an Organisationen (übermittelte Wahrscheinlichkeitswerte) inkonsistent.

Gemäß Art. 12  Abs. 1 Satz 1 DS-GVO habe ich die Informationen der Schufa „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erwartet. So wirklich hat die Schufa meine Erwartungen nicht erfüllt. Eine „einfache Sprache“ (Wikipedia) stelle ich mir etwas anders vor.

So sind die Sätze und Absätze der „Schufa-Information“ teilweise lang und verschachtelt (und enthalten dann in Klammern noch Erläuterungen – so wie hier). Dann wird auch gerne auf Artikel, Absätze und Buchstaben verwiesen.

Die Verarbeitung erfolgt auf Basis von Einwilligungen sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f DS-GVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordem, überwiegen.

Gut, dass ich während meines Wirtschaftswissenschaftsstudiums auch ein paar Semester mit Rechtsvorlesungen hatte. Womöglich fehlt mir da Fachwissen zu Scoring, Vorgehensweisen der Datenspeicherung und/oder Übermittlung. Irgendwie hätte die Schufa auch gleich einen kompletten Ausdruck der Datenschutz-Grundverordnung anhängen können. Wäre dann halt ein Paket geworden.

Als ich meinen Antrag gemäß Artikel 15 stellte, verlangte ich eine Kopie der personenbezogenen Daten in einem elektronischen Format:

Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.

Doch die Schufa schickte mir die Informationen in gedruckter und nicht in elektronischer Form – ohne in irgendeiner Form auf mein Verlangen einzugehen. Das empfinde ich als eine Frechheit.

Mein Unbehagen hinsichtlich der Schufa ist gewachsen. Ich hatte solide Daten erwartet. Stattdessen bekomme ich unzusammenhängende und widersprüchliche Auskünfte sowie nichtssagende Allgemeinplätze. Das beruhigt mich in keinster Weise. Das Geschäftsmodell der Schufa beruht auf Würfeln und Kaffeesatzlesen? Oder hat die Schufa noch viel, viel mehr Daten von mir, die sie einfach nicht rausrückt? Da könnten dann schon mal irgendwelche Verschwörungsgetheorien in mir hochkommen.

<ironie>
In Wirklichkeit ist die Schufa ein Datencenter der NSA und hat alle meine Kontenbestandsdaten sowie alle Buchungsdaten der letzten 57 Jahre. Dann wird mir wieder wohler, denn so kann ich mir auch vorstellen, dass daraus etwas wie „Erfüllungswahrscheinlichkeit“ aka Basisscore berechnet wird. Alles unter der peinlichen Kontrolle durch HAL 9000. Damit nur nichts schief geht. HAL 9000 weiß schließlich, was er macht.
</ironie>

Die Antwort der Schufa hätte auch „42“ lauten können, damit hätte ich wenigstens etwas anfangen können.

SCHUFA-Information

Am 12. Juni 2018 stellte ich einen Antrag in elektronischer Form per E-Mail an die Schufa, um mein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung in Anspruch zu nehmen. Heute lag die Antwort der Schufa im Briefkasten – in gedruckter Form und nach meiner Meinung nicht in klarer und einfacher Sprache.

Update (08.08.2018): Die komplette Antwort der Schufa, meine Analyse und meine Meinung dazu gibt es im Artikel „Die Auskunft der Schufa nach Artikel 15 DS-GVO„.

Siehe auch: Auskunftsrecht nach Artikel 15 DS-GVO am Beispiel Schufa.

Im Briefkasten lag ein Briefumschlag mit einem siebenseitigen Schreiben. Das Antwortschreiben ist auf den 16. Juni 2018 datiert. Ausgehend von den üblichen Laufzeiten der Briefzustellung durch DHL/Post verblieb der Brief dann nach seiner Erstellung noch etwa 10 Tage bei der Schufa. Fertig jedenfalls, so suggeriert das Briefdatum, war das Schreiben schon am 16. Juni. Heute ist der 29. Juni, damit erhielt ich die Auskunft innerhalb der Frist von einem Monat nach Eingang meines Antrags (unter der Annahme, dass die E-Mail am selben Tag zugestellt worden war.

In den nächsten Tagen were ich mich eingehend damit beschäftigen. Vorab jedoch dazu bereits zwei Anmerkungen:

Gedruckt und nicht elektronisch

Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.

Die Unterrichtung erhielt ich in gedruckter Form, obwohl ich meinen Antrag elektronisch stellte und eine Übermittlung in einem gängigen elektronischen Format verlangte.

Keine klare und einfache Sprache

Teilweise kann ich das Schreiben leicht lesen. Doch auf Anhieb missfallen mir die zwei Seiten mit der Überschrift „SCHUFA-Information“. Dieser Abschnitt scheint mir ein Textbaustein ohne jeden Bezug zu meinen personenbezogenen Daten zu sein. Darin heißt es dann beispielsweise:

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen, die von der SCHUFA oder einem Dritten verfolgt werden
Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung. Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu intemen Zwecken (z. B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeilen, Allgemeine Geschäftssteuerung und Weiterentwicklung von Dienstleistungen und Produkten, Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse an der jeweiligen Verarbeitunghieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur (effiziente Aufgabenerfüllung, Vermeidung von Rechtsrisiken). Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DS-GVO informieren.

[…]

2.3. Herkunft der Daten
Die SCHUFA erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert) ansässige Institute, Finanzuntemehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z.B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energleversorgungs-, Telekommunikations-, Versicherungs-, oder Inkassobereich.

Ich bin zwar über 42 Jahre alt und kein Elektroingenieur, auch habe ich kein Jodeldiplom (Wikipedia). Aber ich bin habe zwei Studienabschlüsse, kann fließend Deutsch sprechen, hören und lesen sowie selbstständig bloggen.

Wenn ich mir allerdings vorstelle, dass jemand wie Vic Dorn eine solche Auskunft von der Schufa erhält, dann zweifele ich doch daran, dass so jemand darunter eine Übermittlung „in einer klaren und einfachen Sprache“ nach Artikel 12 (1) DS-GVO) verstehen würde. Ich glaube das jedenfalls nicht.

Schufa: Antragsformular für Datenkopie nach Artikel 15 DS-GVO

Seit dem 25. Mai habe ich ein Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung. Dieses Auskunftsrecht nehme ich gegenüber der Schufa in Anspruch.

Für mich als Blogger und Selbstständiger bedeutet die Datenschutz-Grundverordnung (DSGVO) vor allem viel Aufwand. Doch was bedeutet die Datenschutz-Grundverordnung für mich als „natürliche Person“, als Frank Hamm, wenn es um meine persönlichen Daten geht? Dieser Frage gehe ich als betroffene Person am Beispiel eines Antrages auf Auskunftsrecht an die Schufa nach.

Update (08.08.2018): Die komplette Antwort der Schufa, meine Analyse und meine Meinung dazu gibt es im Artikel „Die Auskunft der Schufa nach Artikel 15 DS-GVO„.

Update (29.06.2018): Im Briefkasten lag heute ein Briefumschlag mit einem siebenseitigen Schreiben. Es ist die Antwort der Schufa zu meinem Antrag nach Auskunft gemäß Artikel 15 DS-GVO.

Update (14.06.2018): Die Schufa hat der Welt (Online) aufgrund eines Artikels über das Abo-Modell der Schufa und der nur gedruckt möglichen Datenlieferung Druck gemacht und gedroht. Der kurze Zeit offline genommene Artikel ist wieder online (siehe unten).

Die DS-GVO

Der komplette Titel der DS-GVO lautet:

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR)

Die DS-GVO lässt sich auf der Website „EUR-Lex“ der Europäischen Union in allen Sprachen ihrer Mitgliedsstaaten einsehen und als PDF herunterladen.

Die DS-GVO enthält laut Artikel 1

… Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Verkehr solcher Daten.

Sie will mich schützen und gesteht mir als natürliche Person (also keiner juristischer Person wie einer Aktiengesellschaft, einem Verein oder einer GmbH) verschiedene Rechte zu.

  • Recht auf Auskunft
  • Recht auf Bestätigung
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch
  • Recht auf Ausschluss von automatisierten Entscheidungen im Einzelfall einschließlich Profiling

Das Recht auf Auskunft gewährt die DS-GVO im Artikel 15 betroffenen Person (deren personenbezogene Daten verarbeitet werden) gegenüber „natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stelle“:

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

Außerdem erhalten Betroffene das Recht, bei Verarbeitungen in einem Drittland, über geeignete Garantien (z.B. Privacy Shield) unterrichtet zu werden.

Betroffene müssen innerhalb eines Monats eine Kopie ihrer personenbezogenen Daten zur Verfügung gestellt werden. Wird der Antrag von einer betroffenen Person elektronisch gestellt (also nicht schriftlich oder mündlich),

so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Dieses Auskunftsrecht nehme ich gegenüber der Schufa in Anspruch.

Die Schufa

Die Schufa Holding AG (Eigenschreibung SCHUFA, früher SCHUFA e. V. Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei in der Rechtsform einer Aktiengesellschaft mit dem Geschäftssitz in Wiesbaden. Zu den Aktionären gehören Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Ihr Geschäftszweck ist, ihre Vertragspartner mit Informationen zur Bonität (Kreditwürdigkeit) Dritter zu versorgen.

(Seite „Schufa“. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 24. Mai 2018, 21:30 UTC. (Abgerufen: 26. Mai 2018, 04:04 UTC))

Wer beispielsweise einen Kaufvertrag über einen höheren Euro-Betrag oder Kreditantrag stellt, wird in der Regel darin eine „Schufa-Klausel“ mitunterschreiben. Das Kreditinstitut bekommt dadurch das Recht, bei der Schufa nach der „Kreditwürdigkeit“ zu fragen.

Schufa: Meine Schufa kompakt oder Datenkopie nach Artikel 15 DS-GVO

Schufa: Meine Schufa kompakt oder Datenkopie nach Artikel 15 DS-GVO

Auf „Meine Schufa“ bietet die Schufa über ein Formular an, eine Datenkopie nach Artikel 15 DSGVO zu „bestellen“. Die Datenkopie gibt es in zwei Varianten:

  • Kostenlos (Schriftform)
  • Mit einmaligen Kosten für die Aktivierung (€ 9,95) und monatlichen Kosten (€ 3,95) (online)

Folgende Hinweise irritieren mich:

Wir weisen darauf hin, dass wir ggf. Angaben zu Ihren Personalien als zusätzliche Identifikationskriterien zum Zwecke der Erteilung von Auskünften in den SCHUFA-Datenbestand übernehmen.

[…]

Wir weisen zudem darauf hin, dass die Datenkopie gemäß Art. 15 DS-GVO aus Datenschutzgründen postalisch übermittelt wird.

Das Formular sieht als Pflichtangaben vor: Anrede, Vorname, Name, Straße, Hausnummer, Postleitzahl, Ort, Land.

Schufa: Antragsformular für Datenkopie nach Artikel 15 DS-GVO

Schufa: Antragsformular für Datenkopie nach Artikel 15 DS-GVO

Meine Schufa ist laut Navigation ihrer zentralen Website auf https://www.schufa.de/de/ an Angebot für Privatkunden. Doch ich will dieses Formular für mein Auskunftsrecht nicht in Anspruch nehmen, denn

  • ich bin kein Privatkunde der Schufa (ich habe lediglich Vertragspartnern erlaubt, mit meinen Daten bei der Schufa Auskünft zu einzuholen), und
  • ich will meine Datenkopie in elektronischer Form.

Auch halte ich die Bindung im Formular an die Übernahme meiner Personalien „als zusätzliche Identifikationskriterien zum Zwecke der Erteilung von Auskünften in den SCHUFA-Datenbestand“ mindestens für äußerst bedenklich, wenn nicht sogar für rechtswidrig.

Name und Kontaktdaten des für die Verarbeitung Verantwortlichen sowie des betrieblichen Datenschutzbeauftragten ebenso wie die E-Mail-Adresse entnehme ich der Datenschutzinformation der SCHUFA Holding AG (nach Art. 13 DS-GVO).

Der Frank Hamm

Ich, der Frank Hamm, nehme also mein Auskunftrecht elektronisch per E-Mail an den Verantwortlichen, die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden wahr. In meiner E-Mail mache ich folgende Angaben über mich:

Frank Hamm
<Adresse>
<Geburtsdatum>

Somit verfügt die Schufa über die nötigen Informationen, mich zu identifizieren. Außerdem kann die Schufa über einen Abgleich mit meiner Adresse gewährleisten, dass die Zustellung meiner Daten den Richtigen erreicht. Denn sie braucht mir dazu lediglich die Zugangsdaten (für einen Online-Abruf einer Kopie meiner Daten) postalisch zustellen oder mir eine Datenkopie in elektronischer Form auf einem Datenträger (beispielsweise USB-Stick, SD-Karte) postalisch zusenden.

Die Elektronische-Mail

Sehr geehrte Damen und Herren,

nach Artikel 15 Datenschutz-Grundverordnung verlange ich eine Bestätigung, ob mich betreffende personenbezogene Daten verarbeitet werden. Wenn dies der Fall ist, nehme ich mein Recht war und verlange Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der mich betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei mir erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für mich.

Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so verlange ich, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Stellen Sie mir eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, in einem gängigen elektronischen Format zur Verfügung, denn ich stelle den Antrag elektronisch und gebe nichts anderes an.

Ich bitte Sie, die Auskunft innerhalb einer Frist von einem Monat nach Eingang meines Antrags zu erteilen. Sollten Sie eine längere Frist benötigen, bitte ich um eine entsprechende Zwischennachricht. Bitte bestätigen Sie den Eingang dieses Antrags.

Angaben zur Identifizierung meiner Person mit postalischer Adresse und Gebursdatum:

Frank Hamm
<Adresse>
<Geburtsdatum>

Sollte für die Auskunftserteilung eine weitere Identifizierung meiner Person erforderlich sein, bitte ich Sie, mir mitzuteilen, welche Nachweise Sie benötigen.

Mit freundlichen Grüßen

Frank Hamm

Die Elektronische-Mail habe ich heute morgen an die Schufa gesendet.

Hinweis: Der Text, den ich für meine Elektronische-Mail an die Schufa verwendet habe, kann jeder kopieren und für eine eigene Anfrage an die Schufa an seine Person verwenden. Den Text habe ich jedoch ohne besondere rechtliche Kenntnisse erstellt und mich lediglich am Artikel 15 GS-DVO und an Anfragen nach dem § 34 des alten Bundesdatenschutzgesetz (BDSG) orientiert. Ich übernehme daher keine Garantie für seine Richtigkeit.

Die Welt

Während ich den Beitrag schrieb, erschien der Artikel „DSGVO stellt das Abo-Modell der Schufa infrage – WELT“ (Welt, aus Protest gegen das geplante und u.a. von Welt forcierte EU-Leistungsschutzrecht nicht mehr verlinkt). Danach prüft die hessische Landesdatenschutzbehörde das aktuelle Vorgehen der Schufa. Der Artikel ist nach einem Tag offline wieder online.

Der Link zum Artikel im Online-Auftritt der WELT funktionierte einen Tag lang nicht, denn die Welt hatte ihren Artikel zur einer Prüfung offline genommen. Inzwischen hat der Autor des Artikels Benedikt Fuest auf Twitter darüber informiert, dass Schufa-Sprecher Koch aktuell massiv Druck mache und mit juristischen Konsequenzen drohe. Es geht darum, dass die Schufa die Daten nach Art. 15 DSGVO trotz der Vorgabe (elektronisch zu verschicken) nur per Post verschickt.

Erneute Stellungnahme hessischer Landesdatenschutz: Die Schufa ist der Auffassung, dass diese Frage bereits mit den Aufsichtsbehörden für den Datenschutz abgestimmt worden sei. Ich halte die Frage dagegen für nicht abschließend geklärt und habe daher die Prüfung eingeleitet.“

Benedikt Fuest auf Twitter: „Wer sich wundert, wo der @welt Text zur Schufa geblieben ist. Schufa-Sprecher Koch macht aktuell massiv Druck …