Schlagwort: Auskunfteien
3. Dezember 2021
Nach einer gemeinsamen Recherche vom NDR und “Süddeutscher Zeitung” sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.
Branchenverband lehnt die Einschätzung vom DSK ab
Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: “Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.”
Scoring-Verfahren
Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.
Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.
Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.
Forderung von Datenlöschung
Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.
22. März 2021
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 15.03.2021 einen Beschluss veröffentlicht, der den von Auskunfteien und Energieversorgern geplanten Energieversorgerpool zum Thema hat.
Der Energieversorgerpool ist eine zentrale Datenbank, in der Daten von Kunden zu Strom- und Gasverträgen gespeichert werden sollen. Hintergrund ist, dass viele Kunden sich von Neukundenangebot zu Neukundenangebot hangeln, um entsprechende Neukundenboni abzugreifen (s.g. Bonushopper). Um diesem, aus Sicht der Energieversorger unliebsamen Verbraucherverhalten entgegenzutreten, sollen solche Bonushopper in einer speziellen Datenbank gespeichert werden.
Die DSK bewertet diese als Energieversorgerpool benannte Datenbank als rechtswidrig. Nach Auffassung der DSK hat jeder Bürger „das Recht, den Wettbewerb zwischen den Energieversorgern zu nutzen und am Markt nach günstigen Angeboten zu suchen.
Es war gerade das Ziel des Gesetzgebers, durch die Liberalisierung des Energiemarktes einen wirksamen und unverfälschten Wettbewerb bei der Versorgung mit Elektrizität und Gas zu ermöglichen. Der Versuch, preisbewusste und wechselfreudige Verbraucher*innen zu identifizieren und sie ggf. von bestimmten Angeboten auszuschließen, liefe dieser Zielsetzung zuwider.“
Zwar soll die Datenbank, neben den „schwarzen Schafen“ in Form der Schnäppchenjäger, auch langjährige loyale Kunden umfassen – quasi als Positivdaten – jedoch haben alle Kunden gleichermaßen das Recht, dass ihre Daten nicht über den Vertragszweck hinaus verarbeitet werden dürfen.
Die DSK verneint in der Speicherung und Übermittlung der Kundendaten an einen Energieversorgerpool ein berechtigtes Interesse der Energieversorger gem. Art. 6 Absatz 1 Satz 1 lit. f) DS-GVO und sieht darin einen gefährlichen Schritt auf dem Weg zum gläsernen Verbraucher.
3. Februar 2021
Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.
Sachverhalt:
Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.
Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.
Entscheidung:
Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.
Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.
Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.
Ausblick:
Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.
Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.
12. Juni 2018
Wie die Welt berichtet prüft die hessische Landesdatenschutzbehörde die Praktiken der Schufa hinsichtlich der in der Datenschutzgrundverordnung (DSGVO) verankerten Verbraucherrechte.
Die DSGVO bestimmt in den Art. 15 folgende, dass dem Betroffenen bestimmte Rechte wie zum Beispiel das Auskunftsrecht (Art. 15). Darüber hinaus gibt es Rechte hinsichtlich der automatisierten Entscheidung (Art. 22). Wenn ein Betroffener sein Auskunftsrecht wahrnimmt muss die verarbeitende Stelle “eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen” und das sowohl kostenlos als auch, bei einer elektronischen Anfrage “in einem gängigen elektronischen Format”. Hier liegt der erste Kritikpunkt der Datenschützer, bei der Schufa it lediglich die einmalige Herausgabe einer Datenkopie in Papierform unentgeltlich. Darüber hinaus kann die Erstellung und der Versand einer solchen bereits einige Tage oder Wochen vergehen. Die Schufa vertritt die Auffassung, dass nur bei einem Postversand gewährleistet sei, dass die Information bei dem richtigen Empfänger ankommt. Lediglich wer bereit ist ein einjähriges Abo für 3,95€ zuzüglich einer einmaligen Bereitstellungsgebühr von 9,95€ zu zahlen erhält alle Auskünfte elektronisch. Dabei wird der Betroffene anhand der Prüfziffer auf der Rückseite des Personalausweises verifiziert.
Weiterer Kritikpunkt ist, dass die Schufa ihren Scoring-Algotihmus zur Bonitätsprüfung nicht veröffentlicht und dies ebenfalls in Widerspruch zu den Anforderungen der DSGVO hinsichtlich automatisierter Entscheidungsfindung (Art. 22) steht. Den Betroffenen steht zu, “aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung” zu erhalten. Die Schufa ist nach der DSGVO also eigentlich verpflichtet, weitergehende Informationen hinsichtlich ihres Scoring-Algorithmusses zu veröffentlichen und diesen dadurch transparenter zu machen.
Zumindest in der Theorie wird den Betroffenen in der, an die DSGVO angepassten, Datenschutzerklärung eigene Rechte geltend zu machen.Wie dies umgesetzt wird bleibt allerdings abzuwarten und die Schufa ist davon auch nicht allein betroffen. Alle Auskunfteien müssen sich mit der Problematik der Betroffenenrechte auseinandersetzen.
19. April 2017
Der Deutsche Mieterbund (DMB) hat auf seiner Internetpräsenz einen Artikel veröffentlicht, in dem er den Datenschutz bei der Wohnungssuche bemängelt. Kritisiert wird, dass Wohnungssuchende, gerade in Gebieten mit knappem Wohnraum, aufgefordert werden, sensible Daten preiszugeben. Diese Praxis verstoße gegen den Datenschutz. Grund für dieses Urteil war dem Deutschen Mieterbund zufolge eine Untersuchung des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen (LDI). Demnach hat es bei allen 40 geprüften Immobilienmaklern und Wohnungsverwaltungen datenschutzrechtliche Beanstandungen gegebe. Nach Angaben der Datenschutzbeauftragten Helga Block würden so unter anderem Personalausweise kopiert, nach früheren Wohnsitzen gefragt und eine Vorlage der Schufa, die Informationen für Kredite sammelt, angefordert. Hinzukämen unzulässige Fragen zum Beruf oder zum Familienstand. Den Wohnungssuchenden bliebe allerdings aufgrund des knappen Wohnraums in Großststädten und Ballungsräumen keine andere Wahl als den Forderungen nachzukommen.
Aufgrund der datenschutzrechtlichen Bedenken fordert Lukas Siebenkotten, Bundesdirektor des Deutschen Mieterbundes, Konsequenzen. “Wir begrüßen die Aktion des nordrhein-westfälischen Datenschutzbeauftragten. Jetzt müssen bundesweit Konsequenzen aus dieser Untersuchung gezogen werden. Die Angebote von Maklern, Verwaltern und Vermietern, insbesondere auch der Online-Portale, müssen kontrolliert werden. […]”.
Schließlich ist dem Artikel des DMB eine Liste mit den wichtigsten Punkten, die geändert werden sollen, angefügt:
- Die Mieterselbstauskunft muss ein Interessent erst ausfüllen, wenn nach erfolgter Wohnungsbesichtigung ernsthaftes Interesse an der Wohnung besteht.
- Kontaktdaten aus vorangegangenen Mieterverhältnissen dürfen nicht abgefragt werden.
- Fragen zum Familienstand, zum Geburtstag sowie zum Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörige sind nicht erforderlich und unzulässig.
- Fragen nach der Dauer der beruflichen Beschäftigung sind unzulässig.
- Die undifferenzierte Forderung nach Vorlage einer “Schufa-Auskunft” oder “Schufa-Selbstauskunft” oder einer ähnlichen Bonitätsauskunft ist unzulässig. Erst wenn der Abschluss des Mietvertrages unmittelbar bevorsteht, dürfen Bonitätsauskünfte bei Auskunfteien erfragt und die Vorlage einer Bonitätsauskunft verlangt werden.
- Eine Kopie des Personalausweises darf ebenfalls nicht gefördert werden.
