Update (Stand 15.01.21)
November letzten Jahres verursachte die Verkündung des Starts von „Check Now“ jede Menge Trubel für die SCHUFA (Schufa Holding AG), die Erfinderin des Produkts und deren damalige Kooperationspartner O2 Telefónica.
Die beiden Unternehmen, die sich gemeinsam vorgenommen hatten, tiefste Einblicke in die personenbezogenen Daten ihrer Kunden zu nehmen, wurden durch die heftige Resonanz überrascht, die ihr Vorhaben bei Bekanntwerden auslöste. Die Resonanz aus Datenschutzkreisen, allen voran des ehemaligen Bundesdatenschutzbeauftragten Peter Schaar, war verheerend.
Der Druck wurde binnen kürzester Zeit so groß, dass sich Telefónica schon Anfang Dezember aus dem Projekt zurückzog.
„Alles gut, die Regulative wirken!“, könnte man nun meinen. Aber, weit gefehlt!
Bevor wir jedoch auf das aktuelle Geschehen seit dem 11.01.2021 zurückkommen, möchten wir hier zur Erinnerung einen kurzen Überblick über „Check Now“, die Wirkungsweise, die damit verfolgten Ziele und Auswirkungen geben:
Im Rahmen von „Check Now“ erlauben Menschen, die aus welchem Grund auch immer, einen negativen SCHUFA-Score haben, der SCHUFA, ihre Kontoauszüge einzusehen und die Buchungen auszuwerten, die dann gegebenenfalls zu einer Verbesserung des SCHUFA-Scores führen können. Diese zweite Chance bezahlen diese Personen also mit einem noch tieferen Einblick in ihre persönlichsten Bereiche.
Bisher standen der SCHUFA hauptsächlich solche Informationen für ihre Auswertungen zur Verfügung, die ihr ihre Teilnehmer im Rahmen von Bonitätsbewertungen für Ratenkaufverträgen, Krediten oder sonstigen Verträgen, die eine revolvierende Zahlungsverpflichtung auslösen, wie beispielsweise Mobilfunk-Verträge, melden.
Informationen zu regelmäßigen Einkünften, aber auch Ausgaben außerhalb der vorgenannten Ratenverpflichtungen standen bisher nicht zur Verfügung. Die Phantasie reicht kaum aus, um sich zu überlegen, welche Rückschlüsse solche Daten einem Unternehmen erlauben, das sich seit Jahrzehnten professionell mit dem Thema Profiling befasst.
„Totgesagte leben länger!“
Doch, kommen wir zurück auf das aktuelle Geschehen.
Am 11.01.2021 berichtet neben anderen Medien die Süddeutsche Zeitung über eine neue Entwicklung in dieser Angelegenheit. So soll sich die SCHUFA mit der Bitte um die Genehmigung dieses Verfahrens nicht nur an die Bayerische Aufsichtsbehörde, die für das Tochterunternehmen „Finapi“, welches das Auslesen und die Auswertung der Daten durchführen soll, gewandt haben.
Da die Zentrale der SCHUFA in Wiesbaden, also in Hessen liegt, ist man auch bei der als Profiling-freundlich bekannten hessischen Aufsicht vorstellig geworden.
Dieses Vorgehen zeigt jenseits des in verschiedenen Medien bespöttelten Versuchs der „Rosinenpickerei“ auch einen bedauernswerten Mangel an – nicht nur – datenschutzrechtlicher Empathie.
Gleichzeitig ist es jedoch auch ein Indiz dafür, was sich die SCHUFA von dem neuen Produkt erhofft, wenn es denn einmal genehmigt ist. Offensichtlich werden die damit verbundenen Chancen für so groß erachtet, dass die Gefahr eines zweiten Shitstorms in den Medien billigend in Kauf genommen wird.
Aber, hat Berthold Brecht in seiner „Dreigroschenoper“ wirklich Recht? Kommt wirklich erst das Fressen und dann die Moral?
Gerade weil das Interesse an „Check Now“ in der Wirtschaft groß sein dürfte, ist es wichtig, dass sich die einzelnen Landesbehörden an dieser Stelle nicht gegeneinander ausspielen lassen. Denn, wenn alle Aufsichtsbehörden abgestimmte Entscheidungen treffen, wird dies zumindest auf mittlere Sicht dazu führen, dass die „Rosinenpickerei“ aufhört.
Die Wirtschaftsauskunftei SCHUFA (SCHUFA Holding AG) hat in einer Pressemitteilung am 16. November 2020 über erweitere Optionen im Rahmen der Bonitätsprüfung berichtet.
Der verkündete Start des neuen Produktes „Check Now“ der SCHUFA, das diese in Zusammenarbeit mit dem Telekommunikationsunternehmen Telefónica/O2 in einer ersten Testphase gelauncht hat, scheint auf den ersten Blick durchaus verbraucherfreundlich. Dient es doch dazu, Menschen, die aus dem einen oder anderen Grund einen negativen SCHUFA-Score haben, eine Möglichkeit der Rehabilitation zu geben.
Der Preis, der für eine Überprüfung des bestehenden Score-Werts mit Chance auf Verbesserung desselben zu zahlen ist, besteht „nur“ in der zu erteilenden Einwilligung die Kontoauszüge dieser Personen auswerten zu dürfen. Kein zu hoher Preis – oder?
Wichtig ist an der Stelle zu erwähnen, dass die Überprüfung, die mit Blick auf einen eventuellen Abschluss eines Vertrags mit Telefónica unabhängig von dem zusätzlichen Einverständnis erfolgen soll, mit dem man seine Kontodaten für 12 Monate der SCHUFA preisgibt. Nach dem Medienecho gab Telefónica laut Presseberichten bekannt, dass der Test die Erwartungen nicht erfüllt hat und man die Zusammenarbeit mit der SCHUFA bei diesem Produkt beendet. (Stand:28.11.2020)
Einer der ersten Datenschützer, der sich in der Presse zu Wort gemeldet hat, war der ehemalige Bundesdatenschutzbeauftragte Peter Schaar, der in der Süddeutschen Zeitung denkbare negative Auswirkungen einer solchen Einwilligung beschrieb. Nicht ohne Grund vermutete er, dass die Kreditwürdigkeit einer Person in Frage gestellt werden könnte, wenn ein Hang zu z.B. Online-Wetten aus den Kontoauszügen ablesbar sei. Außerdem besteht seiner Meinung nach die Gefahr, dass Daten Dritter der SCHUFA ebenfalls bekannt werden könnten.
Folgt man diesem Gedanken weiter, wird aus der vermeintlichen zweiten Chance möglicherweise sehr schnell ein vergiftetes Geschenk.
Die SCHUFA selbst scheint ein Stück weit beruhigen zu wollen und weist darauf hin, dass „in der Testphase keine Daten gespeichert werden“. Über den zukünftigen Zuschnitt des fertigen Produkts äußert sich die SCHUFA derzeit nicht.
Die zuständige Datenschutzaufsicht, das Bayerische Landesamt für Datenschutzaufsicht, hat sich noch nicht geäußert, prüft jedoch aktuell das Angebot auf seine Zulässigkeit.
Verbraucherschutz vs. Verbraucherschutz
Doch, wie bekommt die SCHUFA plötzlich Zugang zu den Kontoauszügen der Betroffenen?
Die Antwort liegt in der überarbeiteten Zahlungsdienstleisterichtlinie, PSD2 genannt, die seit dem 13.01.2018 geltendes Recht ist. Ein Kernstück der PSD2 ist die Stärkung von innovativen Finanzdienstleistern, denen der Zugang zu den Konten der Nutzer, mit deren Wissen und Einwilligung, erleichtert werden sollte, um unter anderem neue Formen des Zahlungsverkehrs, wie zum Beispiel das sog. Micro-Payment, zu fördern.
Mit Blick auf das Fehlen von echtem Wettbewerb im Bankensektor erschien der EU eine Öffnung des Marktes für neue Teilnehmer geboten, da die wichtigsten Teilnehmer in einer Art Ko-Existenz agierten. Entsprechend bejubelten die Unternehmen der Finanztechnologie (FinTech), die digitale bzw. technologische Finanzinnovationen anbieten, das Einreißen der Privilegien der Banken. Bisher hatten die Finanzinstitute, geschützt durch das Bankgeheimnis, als Einzige Zugriff auf − und Möglichkeiten zur − Auswertung der Auszugsdaten.
Dieses Einfallstor nutzt nun offensichtlich auch die SCHUFA. Zwar selbst kein FinTech hat sie sich mit Kauf des Finanzdienstleisters Finapi GmbH vor einem Jahr den Zugang zu diesem Datenpool gesichert.
Ein Versuch einer ersten Einordnung aus datenschutzrechtlicher Sicht
Im Volksmund ist die SCHUFA Synonym für Bonitätsbewertung. Schon jetzt ist die Datendichte, auf die das Unternehmen zurückgreifen kann, sehr hoch. Melden doch nicht mehr nur Kreditinstitute ihre Kreditentscheidungen an die Auskunftei, sondern auch Telekommunikationsanbieter, der Handel, Dienstleiter oder auch große Vermietungsgesellschaften.
In einem angemessenen Umfang ist ein mehr an Kundendaten sicher auch ein mehr an Verbraucherschutz. Ein Scoring entfaltet schließlich erst dann seine Aussagekraft, wenn es über eine solide Datenbasis verfügt. Ansonsten kann es vorkommen, dass verfügbare Einzeldaten, wie beispielsweise die Wohnortadresse, überinterpretiert werden und zu falschen Schlüssen verleiten. Auch in einem solchen Fall steht zu befürchten, dass die erzielten Scoring-Ergebnisse nicht den Zielen des jeweiligen Interessenten entsprechen.
Dies wissend, unterschreibt der Interessent jeweils bei den gewünschten Vertragspartnern seine Einwilligung in die Abfrage bei der SCHUFA sowie der Meldung an dieselbe, unabhängig davon wie die Entscheidung auch ausfällt. Allerdings hätte der Interessent bei Verweigerung der Einwilligung ebenfalls kaum eine Chance auf den Abschluss eines der genannten Verträge.
Entsprechend schwierig mag es im Zweifelsfall werden, die Freiwilligkeit der Einwilligung nachzuweisen, die die Art. 4 Nr. 11 und Art. 7 Abs. 4 DSGVO in Verbindung mit Erwägungsgrund 42 Satz 5 vorsehen.
Gerade in Bereichen wie dem Profiling und der automatisierten Entscheidungsfindung legt die DSGVO besonders hohe Maßstäbe an die Freiwilligkeit an. So weist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) auf seiner Internetseite darauf hin, dass ein klares Ungleichgewicht zwischen den beteiligten Parteien die Freiwilligkeit einer Entscheidung in Frage stellt. Allerdings dienen als Beispiele für ein bestehendes Ungleichgewicht bisher das Verhältnis einer Behörde zu einem Bürger oder das eines Arbeitgebers zu einem Beschäftigten. Ob ein solches Ungleichgewicht auch im Verhältnis von SCHUFA zu Verbraucher zu sehen ist, bleibt an dieser Stelle offen.
Neben den möglicherweise verheerenden Folgen einer schlechten Bewertung durch die SCHUFA sollte ein weiterer Aspekt bezüglich der Freiwilligkeit und damit der Rechtsmäßigkeit der Einwilligung nicht unberücksichtigt bleiben.
Die Herausforderung wird deutlich durch einen Internetartikel des Norddeutschen Rundfunks (NDR). Eine Vertriebsleiterin der SCHUFA hat sich lt. NDR auf einem Branchentreffen der Kreditwirtschaft im Oktober zum Datenschutz folgendermaßen geäußert:
„Datenschutzhürden“ könne man überwinden, indem man Kunden die Ängste nehme.“ Die Mitarbeiterin wird weiterhin wie folgt zitiert: „Ihr Verbraucher wird sich da durchklicken, weil die Leute sind faul und bequem. Die haben keinen Bock auf sowas, und die wollen einfach den Service haben. Und sie klicken das durch.“
Der Wunsch nach umgehender Bedürfnisbefriedigung, mangelnde Impulskontrolle und Bequemlichkeit sind also weitere Bausteine, die ein schnelles „Abnicken“ der Einwilligung fördern. Ob dies, gerade bei einer so wichtigen und mit großer Tragweite versehenen Entscheidung adäquat ist, scheint im Licht der Anforderungen, die die Datenschutzgrundverordnung an eine Einwilligung vorsieht, mindestens fragwürdig. Die Einwilligung soll laut DSGVO nur in informierter Weise und unmissverständlich abgebeben werden können. Das bedeutet auch, dass vorformulierte Einwilligungserklärungen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Daneben sollte die Einwilligung keine missbräuchlichen Klauseln beinhalten.
Zum Autor:
Tim Taschau ist als Consultant der migosens GmbH Ansprechpartner beim Kunden vor Ort rund um das Thema Datenschutz sowie angrenzende rechtliche Fragestellungen. In der Beratung ist ihm ein pragmatischer Ansatz wichtig, der sowohl die individuelle Kundensituation berücksichtigt, als auch die angemessene Umsetzung rechtlicher Erfordernisse sicherstellt.
