Artikel vom 03.01.2022
Urteil: Datenschutzbehörde muss Schufa zur Löschung auffordern
Schufa-Daten löschen lassen? Datenschutzbehörden haben dabei nicht prinzipiell einen Ermessensspielraum, urteilte das Verwaltungsgericht Wiesbaden. Sondern können verpflichtet sein, direkte Löschungen gem. DSGVO gegenüber der Schufa durchzusetzen - z. B., wenn Forderungen erledigt sind.
Inkassobüro meldet Forderung in Eigenregie
Worum genau ging es? Geklagt hatte ein Verbraucher, der sein Kreditkartenkonto nicht mehr rechtzeitig bedienen konnte. Also mahnte das Geldinstitut zur Zahlung und forderte den Kontoinhaber auf, wenigstens eine Rate zu leisten. Einige Monate später kündigte die Bank dann. Das mit dem Eintreiben beauftragte Inkassobüro meldete die Forderung unerlaubterweise - ohne Auftrag der Bank - eigenmächtig an die Schufa. So erfolgte die Datenverarbeitung ohne Weisung. Nachdem der Verbraucher vor dem Zivilgericht einen Vergleich zur Löschung geschlossen hatte, wandte sich das Inkassobüro an die Schufa, um den Negativeintrag entfernen zu lassen.
Beauftragter für Datenschutz muss gegen Schufa aktiv werden
Aber die Schufa wollte den Eintrag nicht löschen. Also bat der Bankkunde den Hessischen Beauftragten für Datenschutz und Informationsfreiheit um Hilfe. Der lehnte jedoch ab. Die Forderung, bei der aufgrund des Vergleichs Zahlungsaufschub bestanden hatte, war schließlich per Ratenzahlung abgestottert. Die negative Eintragung war also rechtswidrig, weil auf Basis unrechtmäßiger Datenverarbeitung erfolgt. Das VG Wiesbaden (Az. 6 K 549/21.WI) stellte klar: Die Behörde ist verpflichtet, die Löschung gem. Datenschutz-Grundverordnung (DSGVO) mithilfe verwaltungsrechtlicher Mittel durchzusetzen. Warum? Verbraucher haben ggf. nicht nur einen Anspruch auf Löschung gegenüber der Auskunftei, sondern auch darauf, dass die Datenschutzbehörde gegen die Schufa einschreitet.
Einwilligungen zur Datenverarbeitung oft angreifbar
Eine Gerichtsentscheidung, die zeigt, wie unklar die Rechtsgrundlagen noch immer sind, wo es um die Speicherung personenbezogener Daten geht. Denn es kommt nicht darauf an, wie groß die Verfehlungen eines Schuldners sind, sondern darauf, dass solche Datenspeicherung schlicht verboten ist! Wie die Erfahrung mit deren missbräuchlicher Verwendung inzwischen zeigt, sind erteilte Einwilligungen sehr häufig unwirksam. Denn um zu gelten, muss der Verbraucher, der sein Okay gibt, in "Kenntnis der Sachlage" sein. Eine Voraussetzung, die meist kaum ein Kreditkartenkunde oder sonstiger Vertragspartner als Ottonormalverbraucher erfüllt. Was eine solche Einwilligung angreifbar und widerrufbar macht.
§ 34 BDSG: Anspruch auf kostenlose Schufa Selbstauskunft
Jeder Verbraucher hat gem. § 34 BDSG einen Anspruch auf kostenlose Selbstauskunft gegen die Schufa, um zu erfahren, welche Daten diese zu welchem Zweck über ihn gespeichert hat - und an wen diese weitergeleitet werden. Nach Ablauf bestimmter Fristen sowie unter bestimmten Voraussetzungen müssen Auskunfteien wie die Schufa auch Negativeinträge löschen - zum Beispiel, wenn mitgeteilt wurde, dass eine Forderung komplett beglichen ist.
Schufa muss Risiken der Datenverarbeitung abwägen
Im Kontext einer Löschung ist das Interesse eines Schuldners daran entscheidend. Die Schufa muss laut Art. 35 DSGVO eine so genannte Datenschutzfolgeabschätzung machen. Überall dort, wo Daten verarbeitet werden, ist zu prüfen: Welche Risiken bestehen für die Freiheiten und Rechte Betroffener? Kommt die Abschätzung im aktuellen Fall zu dem Schluss: Ja, die Datenverarbeitung ist kein Risiko, steht dies im Widerspruch zu dem, was ein Negativeintrag für Betroffene bedeutet. Denn Auskunfteien wie die Schufa Holding AG sammeln personenbezogene Daten von Verbrauchern, um zu bewerten, wie kreditwürdig diese sind. Wie diese Bewertung ausfällt, bestimmt darüber, ob jemand einen Mobilfunkvertrag oder eine Kreditkarte erhält. Die Schufa hat hier kein berechtigtes Interesse, eine Löschung zu verweigern. Stellt ein Schuldner einen korrekten Antrag auf Datenlöschung, muss eine Datensperre gem. § 18 DSGVO erfolgen.
Schufa darf sich nicht auf Code of Conduct berufen
Der Kunde hat hier einen Anspruch darauf, dass seine Aufsichtsbehörde einschreitet. Im Wiesbadener Fall war die Datenverarbeitung rechtswidrig. Dabei sah das VG keinen eigenständigen Beurteilungsspielraum der Schufa, selbst über Einmeldevoraussetzungen zu entscheiden. Entsprechend durfte sich die Auskunftei nicht auf den Code of Conduct berufen, in dem Verhaltensregeln für Prüf- und Löschfristen solcher Daten durch Wirtschaftsauskunfteien vereinbart sind. Der Hessische Beauftragte für Datenschutz muss sich also daranmachen, die Löschung bei der Schufa zu erwirken. Ob dieser Verbrauchersieg von Dauer ist, bleibt abzuwarten - der Antrag auf Zulassung der Berufung gegen das Urteil ist schon gestellt.