Geschäftsstelle der Schufa  | dpa

Prüfung von Geschäftsmodell Datenschützer kritisieren Schufa

Stand: 11.01.2021 18:31 Uhr

Mit einem Kniff versucht die Schufa offenbar, für ein umstrittenes Geschäftsmodell den Segen von Datenschützern zu erhalten. Nachdem bayerische Behörden kritisch reagierten, wurde die Schufa nach Recherchen von NDR, WDR und SZ in Hessen vorstellig.

Von Lea Busch, Peter Hornung (NDR) und Massimo Bognanni (WDR)

Erst Bayern, jetzt Hessen: Die Schufa will ihr umstrittenes Geschäftsmodell, Kontoauszüge zu lesen und zu bewerten, von einer weiteren Datenschutzbehörde prüfen lassen. Nachdem die bayerischen Datenschützer sich kritisch gegenüber den Plänen geäußert hatten, wurde Deutschlands größte Auskunftei nach Recherchen von NDR, WDR und "Süddeutscher Zeitung" (SZ) nun bei der hessischen Behörde vorstellig.

Lea Busch
Peter Hornung
Massimo Bognanni

Die Schufa hatte das Projekt "CheckNow" Anfang November demnach zunächst dem Bayerischen Landesamt für Datenschutzaufsicht vorgestellt. Aus Hessen hieß es damals, hier sei der Dienst "weder vorgestellt noch geprüft" worden. Mit "CheckNow" will die Schufa nach eigenen Angaben Menschen mit einem schlechten Score eine zweite Chance bieten. Bedingung: Sie müssen zustimmen, dass die Auskunftei einen Blick auf ihre Kontoauszüge werfen darf. Dabei bat die Auskunftei auch um die Einwilligung, Kontodaten zu speichern und zu einem Score verarbeiten zu dürfen. Dies ist heftig umstritten.

Freundliche Datenschützer in Hessen?

Nachdem die Pläne durch die Berichterstattung der drei Medien öffentlich geworden waren, wandte sich die Schufa Anfang Dezember schließlich doch an den Hessischen Landesdatenschutzbeauftragten. Dieser gilt in der Branche als "Schufa-freundlich" und hieß in der Vergangenheit immer wieder Projekte der Auskunftei gut, die andere Landesdatenschützer kritisch sahen. Zuletzt wurde das offensichtlich, als die hessische Behörde es Auskunfteien erlauben wollte, Wechseldaten von Strom- und Gaskunden zu sammeln, was die große Mehrheit der Landesbehörden ablehnte.

Dass die Schufa überhaupt bei zwei Behörden vorstellig werden darf, weist auf ein Problem hin, das seit Langem unter Landesdatenschützern bekannt ist. Zuständig für die datenschutzrechtliche Prüfung ist zwar grundsätzlich die Aufsichtsbehörde desjenigen Bundeslandes, in dem der Großteil der Datenverarbeitung stattfindet. In der Praxis aber suchten sich Unternehmen mit mehreren Firmensitzen nicht selten aus, welcher Aufsichtsbehörde sie ihre Pläne vorlegen, so der ehemalige schleswig-holsteinische Landesdatenschutzbeauftragte Thilo Weichert.

Gerade in umstrittenen Fällen werde derjenige ausgewählt, der mutmaßlich weniger streng prüft. Es sei "ganz offensichtlich, dass die Schufa in Hessen sich sehr, sehr wohlfühlt, weil dort die Aufsichtsbehörde sehr entgegenkommend ist und im Prinzip das Meiste durchwinkt", so Weichert. Die hessische Behörde erklärte auf Anfrage, man kommentiere solche Vorwürfe nicht.

"Überaus dreist"

Im Fall des umstrittenen Schufa-Projekts "CheckNow" könnten tatsächlich zwei Behörden zuständig sein. Zum einen die bayerische Datenschutzaufsicht, da die Schufa für den Online-Zugriff auf Verbraucherkonten ihre Münchener Tochterfirma Finapi nutzt. Die Bayern prüfen nach Aussagen eines Sprechers derzeit bereits Teile des Verfahrens. Die hessische Behörde hingegen ist für die Unternehmenszentrale der Wirtschaftsauskunftei in Wiesbaden zuständig. Dort könnte nun der besonders umstrittene Part der Datenverarbeitung zur Prüfung vorgelegt werden, nämlich die Berechnung sogenannter Scores, also Verbrauchernoten, die anhand von Kontoauszügen erstellt werden sollen. Dass die hessische Behörde erst nachträglich eingebunden wurde, lässt jedoch die Vermutung zu, dass die Schufa den Bayern die Prüfung ursprünglich ganz überlassen wollte.

"Ein solches Verhalten der Schufa wäre überaus dreist", so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverband: "Erst plant sie eine ziemlich umfassende Datenschnüffelei über eine Tochterfirma in Bayern. Und nun versucht sie offenbar, sich das Ganze von dem Datenschutzbeauftragten genehmigen zu lassen, bei dem sie sich die größten Chancen verspricht." Diese Art von "Rosinenpickerei" sei völlig inakzeptabel, so Müller: "Der Vorgang belegt aber, wie ernst es die Schufa offensichtlich mit ihren Schnüffelabsichten meint." Verbraucherschützer Müller kündigte an, genau zu prüfen, "ob die von den Verbraucherinnen und Verbrauchern abzugebende Einwilligung rechtswirksam eingeholt wurde."

Die Schufa betonte auf Anfrage, man stehe im regelmäßigem Austausch mit den Datenschutzbehörden. Man habe das Projekt wegen Finapi der "in erster Linie zuständigen Datenschutzaufsichtsbehörde in Bayern vorgestellt". "Wegen des Zusammenspiels mit der Schufa" sei der hessische Landesdatenschutzbeauftragte "im Nachgang" informiert worden. "Anmerkungen und Anregung der Behörden zu Produktvorhaben sind für uns sehr wichtig. Wir berücksichtigen diese bei der weiteren Produktentwicklung", so ein Sprecher gegenüber NDR, WDR und SZ. Im Falle von "CheckNow" werde man "den Dialog mit den Aufsichtsbehörden dementsprechend fortführen".

Regelmäßige Preisgabe von Kontodaten befürchtet

Ende November hatte die Recherchekooperation erstmals berichtet, dass die Schufa Verbraucherinnen und Verbraucher künftig auch anhand von Kontoauszügen bewerten wolle. Im Rahmen des "CheckNow"-Verfahrens testete die Auskunftei demnach die Pläne erstmals bei einer kleinen Zahl von Kunden des Telefonanbieters "Telefónica/O2".

Setzten die Kunden an einer falschen Stelle einen Haken, willigten sie ein, dass die Auskunftei auf die Kontoauszüge blicken und die Daten weiterverarbeiten durfte. Die Schufa betonte damals, es habe sich nur um einen Produkttest gehandelt, bei dem keine Daten an das Unternehmen geflossen seien. Politiker und Verbraucherschützer beruhigte das wenig. Sie liefen gegen das Vorhaben Sturm.

Auch das Bayerische Landesamt für Datenschutzaufsicht meldete sich kritisch zu Wort. Behördenleiter Michael Will stellte grundsätzlich in Frage, ob die Kombination aus einer Auskunftei wie der Schufa und einem sogenannten Kontoinformationsdienst wie Finapi "so legitim, so hinnehmbar" sei. Er fürchtete, dass Kunden künftig regelmäßig ihre Kontodaten preisgeben müssten, um bestimmte Verträge schließen zu können.

Der stellvertretende Fraktionsvorsitzende der Grünen im Bundestag, Konstantin von Notz, sieht im Fall "CheckNow" nicht nur die Landesdatenschutzbehörden in der Pflicht, sondern auch die Bundesregierung. Schließlich habe das Bundesjustizministerium nach Bekanntwerden der umstrittenen Schufa-Pläne eine rechtliche Prüfung angekündigt, ob das angedachte Geschäftsmodell überhaupt mit dem Datenschutzrecht vereinbar sei.

Auf eine Kleine Anfrage der Grünen hin zeigte sich das SPD-geführte Ministerium allerdings schmallippig. Man wisse auch nicht mehr, als in der Presse stehe und für die Überprüfung seien schließlich die Datenschutzbehörden zuständig. Von Notz will sich mit dieser Antwort nicht zufrieden geben. "Anscheinend ist das Verbraucherschutzministerium weder willens noch in der Lage, den weiteren Ausverkauf von Verbraucherrechten zu stoppen. Vielmehr scheint es beinahe so, als wolle man diesem tatenlos zusehen. Von den eigenen hehren Ankündigungen will man plötzlich nichts mehr wissen." Eine eigene Bewertung sei offenbar nie vorgenommen worden und auch in Zukunft nicht vorgesehen, so von Notz.

Über dieses Thema berichtete NDR Info am 12. Januar 2021 um 06:49 Uhr.