Das Landgericht Frankfurt am Main hat dem Energieversorger Eprimo die Verwendung von Datenschutzhinweisen untersagt, die dem Unternehmen die anlasslose Weitergabe personenbezogener Daten an die Schufa und eine andere Auskunftei ermöglichen. Damit gab das Gericht einer Klage des Verbraucherzentrale Bundesverbands (vzbv) statt. Zur gesamten Meldung.
Schufa / Auskunfteien
Bürgerbewegung Finanzwende gegen Schufa-Pläne für Kontoeinblick
Die Bürgerbewegung Finanzwende will Pläne der Schufa stoppen, sich Einblick in die Konten zahlreicher Menschen zu verschaffen. „Finger weg von unseren Bankkonten!”, heißt es in einer neuen Petition der Bürgerbewegung. Die Pläne der Schufa seien ein trojanisches Pferd, erklärte Gerhard Schick, Vorstand von Finanzwende. „Mit Einblick in Kontodaten würde die Schufa noch mächtiger werden, als sie es ohnehin schon ist.” Stattdessen sollte die Schufa die Pläne verwerfen und echte Transparenz schaffen, sagte der Finanzexperte. „Wir müssen endlich wissen, wie der Schufa-Score genau berechnet wird.”
Im Mittelpunkt der Schufa-Pläne steht die App Bonify. Deren Betreiber, die Berliner Forteil GmbH, hatte die Schufa Ende 2022 gekauft. Bereits damals kündigte die Schufa an, Bonify in ein „persönliches Datencockpit” verwandeln zu wollen. Verbraucher*innen sollen mit der App unter anderem ihren Schufa-Score abrufen, ihn aber auch verbessern können – indem sie der Schufa zum Beispiel Einblick in Kontodaten gewähren.
Das Angebot sei freiwillig, betont die Schufa – die Bürgerbewegung Finanzwende hat da ihre Zweifel. „Ist die Datenweitergabe wirklich freiwillig, wenn ich ohne gute Schufa-Bewertung keine Mietwohnung bekomme und diese gute Schufa-Bewertung nur mit dem Kontoeinblick erreiche?”, fragt Gerhard Schick. „Das ist für viele Menschen keine echte Wahlfreiheit.” Tatsächlich spricht die Schufa sogar selbst davon, mit dem neuen Angebot Menschen anzusprechen, „die wegen negativer Zahlungserfahrungen bei der Schufa nur eingeschränkt am Wirtschaftsleben teilhaben können.”
300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Bank ein Bußgeld in Höhe von 300.000 Euro wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängt. Die Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Das Unternehmen hat umfassend mit der BlnBDI kooperiert und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen.
In diesem Fall beherzigte die Bank dies jedoch bei ihrem digitalen Antrag für eine Kreditkarte nicht. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln.
SCHUFA-Ombudsmann: Tätigkeitsbericht 2022
Der Schufa-Ombudsmann hat seinen aktuellen Tätigkeitsbericht vorgelegt.
Zu Beginn wird ein “alarmierendes Bild” gezeichnet, welches sich aus einer repräsentativen Umfrage der SCHUFA zur finanziellen Situation von Verbraucherinnen und Verbrauchern in Deutschland ergeben würde. Die Hälfte der Befragten (50 Prozent) habe im vierten Quartal 2022 angegeben, auf ihre Ersparnisse zurückgreifen zu müssen. Dies seien etwa zwölf Prozentpunkte mehr als noch im Frühjahr 2022.
Die Gesamtzahl der Schlichtungsanträge sei im Berichtsjahr 2022 um ca. 30 Prozent auf nunmehr 1.830 gestiegen. Davon seien aber nur 543, also knapp 30 Prozent, zulässig gewesen.
Davon wiederum seien lediglich 33 Eingaben berechtigt gewesen, worunter verstanden wird, dass der SCHUFA oder einem ihrer Vertragspartner ein Bearbeitungsfehler unterlaufen ist, und der Ombudsmann daher zugunsten der Verbraucherin oder des Verbrauchers entschieden hat.
SCHUFA meldet: Restschuldbefreiung bei 250.000 Personen gelöscht
Aus einer PM der SCHUFA vom 26.4.2023: “Am 28. März 2023 hat die SCHUFA die Entscheidung getroffen, Informationen zu einer Restschuldbefreiung nur noch sechs Monate statt drei Jahre zu speichern und diese neue Speicherfrist bis Ende April umzusetzen. Wie angekündigt [Anmerkung: vgl. unsere Meldung hier] hat die SCHUFA die technischen Anpassungen innerhalb von vier Wochen vorgenommen. Bei rund 250.000 Personen wurden die Daten zur erteilten Restschuldbefreiung, wenn sie älter als sechs Monate waren, und alle mit der Restschuldbefreiung erlassenen Schulden, mittlerweile gelöscht. Verbraucherinnen und Verbraucher mussten hierzu nicht aktiv werden. Lediglich Neuschulden, die nicht durch die Restschuldbefreiung erlassen wurden, bleiben weiterhin bestehen. Zudem hat die SCHUFA den persönlichen SCHUFA-Basisscore auf Grundlage der aktuellen Datenlage neu berechnet.
Das neue Verfahren läuft ab sofort im Regelbetrieb: Informationen zu einer Restschuldbefreiung und die hiervon erfassten Schulden werden automatisch gelöscht, wenn die Speicherdauer von sechs Monaten erreicht wird. (…)
Warum hat die SCHUFA die Speicherdauer für die Restschuldbefreiung verkürzt? Die SCHUFA hat diese Entscheidung getroffen, um schneller Klarheit für Verbraucherinnen und Verbraucher zu schaffen, denn mit der Frage, wie lange Informationen zur Restschuldbefreiung gespeichert werden dürfen, beschäftigen sich aktuell der Europäische Gerichtshof (EuGH) und der Bundesgerichtshof (BGH). Der BGH möchte eine Klärung durch den EuGH abwarten.
NOYB (Österreich): Großteil der Datenbank von Kreditauskunftei “CRIF” laut DSB illegal
NOYB – Europäisches Zentrum für digitale Rechte meldet: “Die häufig kritisierte Kreditauskunftei CRIF GmbH hat zu fast allen Österreicher:innen Anschriften, Geburtsdatum und Namen gesammelt um daraus “Bonitäts-Werte” zu berechnen – ohne eine Einwilligung oder sonstige Rechtsgrundlage zu haben. Die österreichische Datenschutzbehörde (DSB) hat nun in einem Musterfall entschieden, dass diese Daten illegal verarbeit wurden. Millionen Datensätze sind zu löschen.
Der größte Teil der Stammdaten (Name, Anschrift, Geburtsdatum, Geschlecht) die die CRIF nutzt, um fragwürdige “Bonitäts-Werte” zu berechnen, stammten vom Adressverlag AZ Direkt (der zur deutschen Bertelsmann-Gruppe gehört). AZ Direct hätte diese Daten nur für Marketingzwecke weitergeben dürfen – nicht für Bonitätsberechnung. Zur rechtswidrigen Nutzung durch AZ Direct hat die Datenschutzbehörde schon zuvor entscheiden. Trotzdem landeten die Daten von Millionen Österreicher:innen (fast der gesamten Wohnbevölkerung) weiter rechtswidrig bei der CRIF für Zwecke der Kreditauskunftei. noyb hat hierzu ein Musterverfahren geführt und nun gewonnen.”
Quelle und mehr: PM NOYB – direkt zum Bescheid der Datenschutzbehörde zur CRIF GmbH
SCHUFA löscht Restschuldbefreiung ab sofort nach sechs Monaten
Heutige PM der Schufa: “Der Bundesgerichtshof hat heute verkündet, dass er zur Frage „Wie lange darf ein Eintrag zur Restschuldbefreiung gespeichert werden?“ das Urteil des Europäischen Gerichtshofes (EuGH) abwarten möchte. [Anmerkung: siehe PM des BGH] Um Klarheit und Sicherheit für die Verbraucherinnen und Verbraucher zu schaffen und nicht den langen Instanzenweg abzuwarten, hat sich die SCHUFA entschlossen, die Speicherdauer der Restschuldbefreiung auf sechs Monate zu verkürzen.
Ole Schröder, Vorstandsmitglied der SCHUFA und verantwortlich für Recht: „Mit unserer Entscheidung schaffen wir Klarheit und Sicherheit für die Verbraucherinnen und Verbraucher. Wir ermöglichen so den Restschuldbefreiten einen schnellen wirtschaftlichen Neustart.“
Die kürzere Speicherdauer für die Restschuldbefreiung ändert nichts am Geschäftsmodell der SCHUFA. Auch hat die Anzahl der Personen (rund 250.000), die hiervon berührt sind, keine grundlegenden Auswirkungen auf das SCHUFA-Scoreverfahren und seine Aussagekraft.
Der Generalanwalt des EuGH hat sich am 16. März 2023 für eine verkürzte Speicherung der Restschuldbefreiung ausgesprochen. [Anmerkung: siehe unsere Meldung hier] Ob das Gericht der Empfehlung folgt, wird sich erst in seinem Urteil zeigen.
EuGH-Generalanwalt: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO
Um es voran zu stellen: diverse Medien berichten prägnanter, nämlich
- SPIEGEL: Gutachten hält Schufa-Scoring für rechtswidrig
- Handelsblatt: EuGH-Gutachten: Schufa-Scoring verstößt gegen EU-Recht
Die Pressemitteilung des EuGH formuliert es juristischer:
“Generalanwalt Pikamäe: Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO
Die Rechtssache C-634/21 betrifft einen Rechtsstreit zwischen einem Bürger und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), hinsichtlich des Schutzes personenbezogener Daten. Im Rahmen ihrer wirtschaftlichen Tätigkeit, die darin besteht, ihre Kunden mit Auskünften über die Kreditwürdigkeit Dritter zu versorgen, lieferte die SCHUFA Holding AG einem Kreditinstitut einen Score-Wert in Bezug auf diesen Bürger. Dieser Score-Wert diente als Grundlage für die Verweigerung des von diesem Bürger beantragten Kredits. Der Bürger forderte daraufhin die SCHUFA auf, die darauf bezogene Eintragung zu löschen und ihm Zugang zu den entsprechenden Daten zu gewähren. Die SCHUFA teilte ihm jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrunde liegenden Grundsätze mit. Sie erteilte ihm aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen in diesem Zusammenhang beigemessen wurde und begründete dies damit, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege. (…)
OLG Koblenz zum Anspruch auf Schadensersatz bei unberechtigter Datenmitteilung an die SCHUFA
Der vzbv weist auf das Urteil des OLG Koblenz vom 18.05.2022 (5 U 2141/21) hin. Aus der Entscheidung:
Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, (…) „Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.
Zutreffend und von der Klägerin mangels eigenen Berufungsangriffs nicht angegriffen, hat das Landgericht festgestellt, dass die Klägerin ihre sich aus Art. 5, 6 iVm Art. 4 Nr. 2 DSGVO ergebenden Pflichten schuldhaft verletzt hat, indem sie eine Datenmitteilung an die SCHUFA … vornahm, obwohl die Interessen der Beklagten an einer Nichtveröffentlichung ihrer Daten hinsichtlich der zwischen den Parteien noch in Streit stehenden Forderung das Interesse der Klägerin an einer Mitteilung überwog.
Die Forderung war streitig und noch nicht tituliert, so dass eine Einmeldung nicht hätte erfolgen dürfen. Die Beklagte hat urkundlich nachgewiesen, dass sie den Anspruchsgrund gegenüber der Klägerin bestritten hat. Dass der nachgewiesen bei der Klägerin eingegangene Widerspruch offensichtlich nicht zum Vorgang gelangt ist, ist der Beklagten nicht anzulasten und entlastet die Klägerin nicht. Eine hinreichende Exculpation von der gesetzlichen Verschuldensvermutung (vgl. hierzu Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 17 ff.) ist nicht zu sehen. (…)
Dies war für die Klägerin auch ohne Weiteres erkennbar, so dass eine zumindest fahrlässige und damit schuldhafte Einmeldung unstreitig gegeben ist. Auf die Streitfrage, ob ein Verschulden erforderlich ist, um den immateriellen Schadensersatzanspruch zu begründen, kommt es danach vorliegend nicht an. Auch wenn das Bundesarbeitsgericht dies in seiner Vorlageentscheidung zum EuGH vom 26.08.2021 (8 AZR 253/20) in Zweifel zieht und von einer Gefährdungshaftung ausgeht (Rn. 39), spricht Art. 82 Abs. 3 DSGVO, der eine Haftung bei fehlendem Verschulden im Sinne einer Beweislastumkehr ausschließt, gegen eine solche Sichtweise.
OLG Koblenz zum Anspruch auf Schadensersatz bei unberechtigter Datenmitteilung an die SCHUFA
Der vzbv weist auf das Urteil des OLG Koblenz vom 18.05.2022 (5 U 2141/21) hin. Aus der Entscheidung:
Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist“, (…) „Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.
Zutreffend und von der Klägerin mangels eigenen Berufungsangriffs nicht angegriffen, hat das Landgericht festgestellt, dass die Klägerin ihre sich aus Art. 5, 6 iVm Art. 4 Nr. 2 DSGVO ergebenden Pflichten schuldhaft verletzt hat, indem sie eine Datenmitteilung an die SCHUFA … vornahm, obwohl die Interessen der Beklagten an einer Nichtveröffentlichung ihrer Daten hinsichtlich der zwischen den Parteien noch in Streit stehenden Forderung das Interesse der Klägerin an einer Mitteilung überwog.
Die Forderung war streitig und noch nicht tituliert, so dass eine Einmeldung nicht hätte erfolgen dürfen. Die Beklagte hat urkundlich nachgewiesen, dass sie den Anspruchsgrund gegenüber der Klägerin bestritten hat. Dass der nachgewiesen bei der Klägerin eingegangene Widerspruch offensichtlich nicht zum Vorgang gelangt ist, ist der Beklagten nicht anzulasten und entlastet die Klägerin nicht. Eine hinreichende Exculpation von der gesetzlichen Verschuldensvermutung (vgl. hierzu Quaas, BeckOK Datenschutzrecht, 39. Ed., Stand 01.11.2021, Rn. 17 ff.) ist nicht zu sehen. (…)
Dies war für die Klägerin auch ohne Weiteres erkennbar, so dass eine zumindest fahrlässige und damit schuldhafte Einmeldung unstreitig gegeben ist. Auf die Streitfrage, ob ein Verschulden erforderlich ist, um den immateriellen Schadensersatzanspruch zu begründen, kommt es danach vorliegend nicht an. Auch wenn das Bundesarbeitsgericht dies in seiner Vorlageentscheidung zum EuGH vom 26.08.2021 (8 AZR 253/20) in Zweifel zieht und von einer Gefährdungshaftung ausgeht (Rn. 39), spricht Art. 82 Abs. 3 DSGVO, der eine Haftung bei fehlendem Verschulden im Sinne einer Beweislastumkehr ausschließt, gegen eine solche Sichtweise.