Mindestens sieben Monate DSGVO-Ausnahme für die SCHUFA

Ein Kommentar von Matthias Spielkamp und Lorenz Matzat

Nach mehrmonatiger Prüfung ist nun offenbar auch für den Hessischen Datenschutzbeauftragten geklärt, was selbstverständlich sein sollte: Die Schufa muss den Verpflichtungen des Artikels 15 Absatz 3 der Datenschutzgrundverordnung (DSGVO) nachkommen, also Auskünfte über gespeicherte Daten in gewissen Fällen elektronisch zur Verfügung stellen. Allerdings hat der Datenschutzbeauftragte der Schufa noch “bis Anfang kommenden Jahres“ Zeit gegeben, diese Verpflichtung umzusetzen – und der Schufa zudem ein Verfahren erlaubt, das an Nutzerunfreundlichkeit schwer zu überbieten ist.

Seit Ende Mai 2018 sieht die DSGVO vor, dass Daten, zu deren Herausgabe ein Unternehmen gesetzlich verpflichtet ist, in einem „elektronischen“ Format geliefert werden müssen, wenn eine Auskunftsanfrage „elektronisch“ (über eine Website, per E-Mail oder ähnlich) gestellt wurde – also per Website-Download, PDF-Datei oder in einem strukturierten Format  wie csv, xls oder JSON.

Die Schufa tut das bei der kostenfreien Auskunft weiterhin nicht, mehr als ein halbes Jahr, nachdem die DSGVO in Kraft getreten ist.

Bereits im Juni hatte die Welt darüber berichtet, dass die Schufa die neuen gesetzlichen Regelungen sehr eigenwillig auslegt. Mit Hinweis auf den Datenschutz argumentierte sie, dass sie nur so sicherstellen könne, dass Auskünfte auch bei denen ankommen, die sie anfordern, und behauptete, dass das Verfahren, „dass wir die Datenkopie nur postalisch zustellen, sowohl mit der für die Schufa zuständigen Aufsichtsbehörde in Hessen, als auch mit der zuständigen Arbeitsgruppe des Düsseldorfer Kreises abgestimmt“ sei. Auf Nachfrage der Welt beim Hessischen Landesdatenschutzbeauftragten antwortete dieser allerdings damals: „Ich halte die Frage für nicht abschließend geklärt und habe daher die Prüfung eingeleitet.“

Anfang Juni hatte auch einer unserer Mitarbeiter beim Datenschutzbeauftragten Beschwerde eingelegt, ebenso wie mindestens weitere 30 Personen, wie die Behörde uns mitteilte. Nach mehrfacher Nachfrage bekamen wir nun die Auskunft, dass die Schufa inzwischen zugesagt habe,

dass sie Datenkopien nach Art. 15 DS-GVO zukünftig auch in einem elektronischen Format zur Verfügung stellen wird. Dazu wird das Unternehmen auf die Datenkopien, die weiterhin in gedruckter Form auf dem Postweg versendet werden, künftig individuelle Zugangscodes aufdrucken. Mit diesem Code können die Empfänger ihre Datenkopie auf einem Online-Portal auch in elektronischer Form abrufen. Auf diese Weise wird die Schufa ihre Verpflichtung aus Art. 15 Abs. 3 S. 3 DS-GVO erfüllen. Da die Datenkopie mit dem Zugangscode weiterhin postalisch an die verifizierte Anschrift des jeweiligen Betroffenen ausgeliefert wird, ist zudem sichergestellt, dass nur der berechtigte Empfänger das Dokument elektronisch abrufen kann.

„Voraussichtlich“, so der Datenschutzbeauftragte, werde die Schufa diese Lösung zu Beginn des nächsten Jahres technisch umsetzen.

Im Klartext: Die Schufa wählt ein Auskunftsverfahren, das ihr Geschäftsmodell schützt und die Ziele der DSGVO unterläuft, und die zuständige Aufsichtsbehörde lässt es zu. Dieses Desaster verdeutlich drei Dinge: die Dreistigkeit der Schufa, die aus der massiven Kritik an ihrem Verhalten gegenüber Betroffenen offenbar nichts gelernt hat, die Zahnlosigkeit des Hessischen Datenschutzbeauftragten und die Unzulänglichkeit der DSGVO.

Der Vorteil, den eine Auskunft im digitalen Format offenkundig hat, ist, dass sie deutlich schneller erfolgen könnte als über den Postweg. Dieser Vorteil wird durch das geplante Verfahren der Schufa zunichte gemacht. Dass es auch anders geht, zeigt die Schufa selbst: Ihren zahlenden Kunden bietet sie an, nach einer einmaligen Anmeldung einen Zugangscodes per Post zu schicken, um dauerhaft – auf digitalen Weg und sofort – Zugang zu den eigenen Informationen und zu Auskünften zu bekommen. Die Schufa setzt also auf eine Lösung, die ihrem Geschäftsmodell am wenigsten schadet – auf Kosten der Betroffenen, denen die DSGVO bessere Auskunftsrechte verschaffen sollte. Dass das Verfahren nun überhaupt nur auf Druck der Aufsichtsbehörde geändert wird – mehr als sechs Monate nach Inkrafttreten eines Gesetzes, dessen exakter Wortlaut seit mehr als zwei Jahren bekannt ist – , zeigt zudem, mit welcher Unverfrorenheit die Schufa agiert.

Allerdings wirft auch das Vorgehen des Hessischen Datenschutzbeauftragten schwerwiegende Fragen auf. Auf Nachfrage von AlgorithmWatch, warum der Schufa eine so lange Frist eingeräumt wird, sich ans Gesetz zu halten, bekamen wir folgende Antwort:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat weder der Schufa noch anderen Verantwortlichen eingeräumt, bestimmte datenschutzrechtliche Pflichten (wie z.B. die aus Art. 15 Abs. 3 S. 3 DS-GVO) erst nach Ablauf einer „Übergangsfrist“ seit Geltung der DS-GVO zu erfüllen. Vielmehr hat das Tätigwerden meiner Behörde im vorliegenden Fall erst dazu geführt, dass die Schufa ihrer entsprechenden Verpflichtung zukünftig überhaupt nachkommen wird.

Dass diese Prüfung offenbar nahezu sechs Monate gedauert hat, wirft kein gutes Licht auf die Wirksamkeit der Aufsicht. Die Schufa ist kein Handwerksbetrieb, dessen Datenschutzerklärung auf der Website zu wünschen übrig lässt, sondern Deutschlands bekanntestes Bonitätsprüfungsunternehmen, das Daten von 67 Millionen Menschen verarbeitet – mit weitreichenden Auswirkungen für die Betroffenen.

Zudem sollte nun auch entweder die Rechtsauffassung des Hessischen Datenschutzbeauftragten auf den Prüfstand, oder die DSGVO selbst. Denn die Behörde schreibt zum Sachverhalt:

Im vorliegenden Fall hat meine Behörde von ihren Befugnissen aus Art. 58 DS-GVO Gebrauch gemacht, um die Angelegenheit zu prüfen und einen mit der DS-GVO in Einklang stehenden Zustand durchzusetzen.

Dass der Datenschutzbeauftragte das vorgeschlagene Verfahren für mit der DSGVO vereinbar hält, bedeutet entweder, dass er nicht der Ansicht ist, dass der Gesetzgeber mithilfe der DSGVO Betroffenen schnell und unkompliziert eine Auskunft ermöglichen wollte. Oder es offenbart eine Schwäche der DSGVO selbst: Schlupflöcher zu bieten, die so groß sind, dass der eigentliche Zweck nicht erreicht werden kann. Dann müsste der Gesetzgeber tätig werden und dafür sorgen, dass eine digitale Auskunft auch tatsächlich ohne Hürdenlauf für die Betroffenen erfolgen muss.

Einziger Vorteil der angekündigten Lösung: Es ist nun ein Datenspende-Verfahren denkbar, das die digitale Auskunft einsammelt und damit das fehlerbehaftete Scannen oder Fotografieren der Auskünfte auf Papier überflüssig macht.

[su_note note_color=„#8bc2d4“ text_color=„#000“]

Was bislang geschah:

Mitte November veröffentlichten der Bayerische Rundfunk und Spiegel Online eine Auswertung der an OpenSCHUFA gespendeten Auskünfte.  Das Projekt hatten die Open Knowledge Foundation Deutschland und AlgorithmWatch Anfang 2018 ins Leben gerufen. Auch in Folge der jüngsten Berichterstattung hatten neben Grünen-Politikern ebenfalls die Bundesministerin für Justiz und Verbraucherschutz Katarina Barley (SPD) mehr Transparenz und Kontrolle bei Scoring-Unternehmen gefordert.[/su_note]

---

Bildnachweis: Art Institute Chicago