Die Wirtschaftsauskunftei SCHUFA (SCHUFA Holding AG) hat in einer Pressemitteilung am 16. November 2020 über erweitere Optionen im Rahmen der Bonitätsprüfung berichtet.
Der verkündete Start des neuen Produktes „Check Now“ der SCHUFA, das diese in Zusammenarbeit mit dem Telekommunikationsunternehmen Telefónica/O2 in einer ersten Testphase gelauncht hat, scheint auf den ersten Blick durchaus verbraucherfreundlich. Dient es doch dazu, Menschen, die aus dem einen oder anderen Grund einen negativen SCHUFA-Score haben, eine Möglichkeit der Rehabilitation zu geben.
Der Preis, der für eine Überprüfung des bestehenden Score-Werts mit Chance auf Verbesserung desselben zu zahlen ist, besteht „nur“ in der zu erteilenden Einwilligung die Kontoauszüge dieser Personen auswerten zu dürfen. Kein zu hoher Preis – oder?
Wichtig ist an der Stelle zu erwähnen, dass die Überprüfung, die mit Blick auf einen eventuellen Abschluss eines Vertrags mit Telefónica unabhängig von dem zusätzlichen Einverständnis erfolgen soll, mit dem man seine Kontodaten für 12 Monate der SCHUFA preisgibt. Nach dem Medienecho gab Telefónica laut Presseberichten bekannt, dass der Test die Erwartungen nicht erfüllt hat und man die Zusammenarbeit mit der SCHUFA bei diesem Produkt beendet. (Stand:28.11.2020)
Einer der ersten Datenschützer, der sich in der Presse zu Wort gemeldet hat, war der ehemalige Bundesdatenschutzbeauftragte Peter Schaar, der in der Süddeutschen Zeitung denkbare negative Auswirkungen einer solchen Einwilligung beschrieb. Nicht ohne Grund vermutete er, dass die Kreditwürdigkeit einer Person in Frage gestellt werden könnte, wenn ein Hang zu z.B. Online-Wetten aus den Kontoauszügen ablesbar sei. Außerdem besteht seiner Meinung nach die Gefahr, dass Daten Dritter der SCHUFA ebenfalls bekannt werden könnten.
Folgt man diesem Gedanken weiter, wird aus der vermeintlichen zweiten Chance möglicherweise sehr schnell ein vergiftetes Geschenk.
Die SCHUFA selbst scheint ein Stück weit beruhigen zu wollen und weist darauf hin, dass „in der Testphase keine Daten gespeichert werden“. Über den zukünftigen Zuschnitt des fertigen Produkts äußert sich die SCHUFA derzeit nicht.
Die zuständige Datenschutzaufsicht, das Bayerische Landesamt für Datenschutzaufsicht, hat sich noch nicht geäußert, prüft jedoch aktuell das Angebot auf seine Zulässigkeit.
Verbraucherschutz vs. Verbraucherschutz
Doch, wie bekommt die SCHUFA plötzlich Zugang zu den Kontoauszügen der Betroffenen?
Die Antwort liegt in der überarbeiteten Zahlungsdienstleisterichtlinie, PSD2 genannt, die seit dem 13.01.2018 geltendes Recht ist. Ein Kernstück der PSD2 ist die Stärkung von innovativen Finanzdienstleistern, denen der Zugang zu den Konten der Nutzer, mit deren Wissen und Einwilligung, erleichtert werden sollte, um unter anderem neue Formen des Zahlungsverkehrs, wie zum Beispiel das sog. Micro-Payment, zu fördern.
Mit Blick auf das Fehlen von echtem Wettbewerb im Bankensektor erschien der EU eine Öffnung des Marktes für neue Teilnehmer geboten, da die wichtigsten Teilnehmer in einer Art Ko-Existenz agierten. Entsprechend bejubelten die Unternehmen der Finanztechnologie (FinTech), die digitale bzw. technologische Finanzinnovationen anbieten, das Einreißen der Privilegien der Banken. Bisher hatten die Finanzinstitute, geschützt durch das Bankgeheimnis, als Einzige Zugriff auf − und Möglichkeiten zur − Auswertung der Auszugsdaten.
Dieses Einfallstor nutzt nun offensichtlich auch die SCHUFA. Zwar selbst kein FinTech hat sie sich mit Kauf des Finanzdienstleisters Finapi GmbH vor einem Jahr den Zugang zu diesem Datenpool gesichert.
Ein Versuch einer ersten Einordnung aus datenschutzrechtlicher Sicht
Im Volksmund ist die SCHUFA Synonym für Bonitätsbewertung. Schon jetzt ist die Datendichte, auf die das Unternehmen zurückgreifen kann, sehr hoch. Melden doch nicht mehr nur Kreditinstitute ihre Kreditentscheidungen an die Auskunftei, sondern auch Telekommunikationsanbieter, der Handel, Dienstleiter oder auch große Vermietungsgesellschaften.
In einem angemessenen Umfang ist ein mehr an Kundendaten sicher auch ein mehr an Verbraucherschutz. Ein Scoring entfaltet schließlich erst dann seine Aussagekraft, wenn es über eine solide Datenbasis verfügt. Ansonsten kann es vorkommen, dass verfügbare Einzeldaten, wie beispielsweise die Wohnortadresse, überinterpretiert werden und zu falschen Schlüssen verleiten. Auch in einem solchen Fall steht zu befürchten, dass die erzielten Scoring-Ergebnisse nicht den Zielen des jeweiligen Interessenten entsprechen.
Dies wissend, unterschreibt der Interessent jeweils bei den gewünschten Vertragspartnern seine Einwilligung in die Abfrage bei der SCHUFA sowie der Meldung an dieselbe, unabhängig davon wie die Entscheidung auch ausfällt. Allerdings hätte der Interessent bei Verweigerung der Einwilligung ebenfalls kaum eine Chance auf den Abschluss eines der genannten Verträge.
Entsprechend schwierig mag es im Zweifelsfall werden, die Freiwilligkeit der Einwilligung nachzuweisen, die die Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO in Verbindung mit Erwägungsgrund 42 Satz 5 vorsehen.
Gerade in Bereichen wie dem Profiling und der automatisierten Entscheidungsfindung legt die DSGVO besonders hohe Maßstäbe an die Freiwilligkeit an. So weist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) auf seiner Internetseite darauf hin, dass ein klares Ungleichgewicht zwischen den beteiligten Parteien die Freiwilligkeit einer Entscheidung in Frage stellt. Allerdings dienen als Beispiele für ein bestehendes Ungleichgewicht bisher das Verhältnis einer Behörde zu einem Bürger oder das eines Arbeitgebers zu einem Beschäftigten. Ob ein solches Ungleichgewicht auch im Verhältnis von SCHUFA zu Verbraucher zu sehen ist, bleibt an dieser Stelle offen.
Neben den möglicherweise verheerenden Folgen einer schlechten Bewertung durch die SCHUFA sollte ein weiterer Aspekt bezüglich der Freiwilligkeit und damit der Rechtsmäßigkeit der Einwilligung nicht unberücksichtigt bleiben.
Die Herausforderung wird deutlich durch einen Internetartikel des Norddeutschen Rundfunks (NDR). Eine Vertriebsleiterin der SCHUFA hat sich lt. NDR auf einem Branchentreffen der Kreditwirtschaft im Oktober zum Datenschutz folgendermaßen geäußert:
„Datenschutzhürden“ könne man überwinden, indem man Kunden die Ängste nehme.“ Die Mitarbeiterin wird weiterhin wie folgt zitiert: „Ihr Verbraucher wird sich da durchklicken, weil die Leute sind faul und bequem. Die haben keinen Bock auf sowas, und die wollen einfach den Service haben. Und sie klicken das durch.“
Der Wunsch nach umgehender Bedürfnisbefriedigung, mangelnde Impulskontrolle und Bequemlichkeit sind also weitere Bausteine, die ein schnelles „Abnicken“ der Einwilligung fördern. Ob dies, gerade bei einer so wichtigen und mit großer Tragweite versehenen Entscheidung adäquat ist, scheint im Licht der Anforderungen, die die Datenschutzgrundverordnung an eine Einwilligung vorsieht, mindestens fragwürdig. Die Einwilligung soll laut DSGVO nur in informierter Weise und unmissverständlich abgebeben werden können. Das bedeutet auch, dass vorformulierte Einwilligungserklärungen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Daneben sollte die Einwilligung keine missbräuchlichen Klauseln beinhalten.
Zum Autor:
Tim Taschau ist als Consultant der migosens GmbH Ansprechpartner beim Kunden vor Ort rund um das Thema Datenschutz sowie angrenzende rechtliche Fragestellungen. In der Beratung ist ihm ein pragmatischer Ansatz wichtig, der sowohl die individuelle Kundensituation berücksichtigt, als auch die angemessene Umsetzung rechtlicher Erfordernisse sicherstellt.