© 2021 Deutscher Bundestag WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

 

Fragen zu außenwirtschafts- und datenschutzrechtlichen Aspekten bei 
einem Verkauf der Schufa  
 

 

Ausarbeitung 

Wissenschaftliche Dienste 



 
 
 

 

Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages 
bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner 
Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen 
und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der 
Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des 
Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere 
nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist 
vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die 
dabei zu berücksichtigenden Fragen. 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 2 

Fragen zu außenwirtschafts- und datenschutzrechtlichen Aspekten bei einem Verkauf der Schufa 

Aktenzeichen: WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 
Abschluss der Arbeit: 2. Juni 2021 
Fachbereich: WD 3:  Verfassung und Verwaltung (1., 3. und 4.) 

WD 5:  Wirtschaft und Verkehr, Ernährung, Landwirtschaft und 
 Verbraucherschutz (2.) 

 

  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 3 

Inhaltsverzeichnis 

1. Einleitung 5 

2. Außenwirtschaftskontrolle beim Verkauf von Auskunfteien 
an ausländische Investoren (WD 5: Wirtschaft und Verkehr, 
Ernährung, Landwirtschaft und Verbraucherschutz) 5 

2.1. Investitionsprüfung 6 
2.1.1. Grundsatz 6 
2.1.2. Auskunfteien 7 
2.2. Zwischenergebnis 7 

3. Datenschutzrechtliche Aspekte beim Verkauf einer 
Auskunftei an einen Investor aus einem Drittland 
(WD 3: Verfassung und Verwaltung) 8 

3.1. Anwendungsbereich der Datenschutzgrundverordnung 8 
3.1.1. Sachlicher Anwendungsbereich 8 
3.1.1.1. Personenbezogene Daten 8 
3.1.1.2. Automatisierte Verarbeitung 8 
3.1.2. Räumlicher Anwendungsbereich 10 
3.2. Vorliegen eines Erlaubnistatbestandes gemäß Art. 6 Abs. 1 DSGVO 10 
3.2.1. Einwilligung gemäß Art. 6 Abs. 1 Abs. 1 lit. a) DSGVO 10 
3.2.2. Vertragserfüllung und vorvertragliche Maßnahmen gemäß Art. 6 

Abs. 1 lit. b) DSGVO 11 
3.2.3. Allgemeine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO 11 
3.3. Bestimmungen für die Übermittlung personenbezogener Daten an 

einen Empfänger in einem Drittland, Art. 44 ff. DSGVO 13 
3.3.1. Übermittlung von personenbezogenen Daten an einen Empfänger 

in einem Drittland 13 
3.3.2. Datenübermittlung auf der Grundlage eines 

Angemessenheitsbeschlusses, Art. 45 DSGVO 13 
3.3.3. Datenübermittlung vorbehaltlich geeigneter Garantien, Art. 46 f. 

DSGVO 14 
3.3.4. Ausnahmen für bestimmte Fälle, Art. 49 DSGVO 15 
3.3.4.1. Allgemeines 16 
3.3.4.2. Übermittlung aus öffentlichen Registern, Art. 49 UAbs. 1 lit. g) 

DSGVO 16 
3.3.4.3. Besonders informierte, ausdrückliche Einwilligung, Art. 49 

UAbs. 1 lit. a) DSGVO 17 
3.3.4.4. Zur Erfüllung eines im Interesse der betroffenen Person 

abgeschlossenen Vertrages, Art. 49 Abs. 1 UAbs. 1 lit. c) DSGVO, 17 
3.3.4.5. Wichtige Gründe des öffentlichen Interesses, Art. 49 Abs. 1 

UAbs. 1 lit. d) DSGVO 18 
3.3.4.6. Wahrung zwingender berechtigter Interessen des 

Verantwortlichen, Art. 49 Abs. 1 UAbs. 2 DSGVO 18 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 4 

4. Datenschutzrechtliche Konsequenzen bezüglich der 
Kontrolle durch die deutschen Aufsichtsbehörden bei 
einem Verkauf an ein Unternehmen mit Sitz im Drittland 
(WD 3: Verfassung und Verwaltung) 19 

4.1. Allgemeines 19 
4.2. Zuständigkeiten der Aufsichtsbehörden, insbesondere bei 

grenzüberschreitenden Datenverarbeitungen 20 
4.3. Zuständigkeit der Aufsichtsbehörden bei einem Verkauf der Schufa-

Daten an eine Auskunftei aus einem Drittland 21 
4.3.1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO 21 
4.3.2. Marktortprinzip, Art. 3 Abs. 2 DSGVO 21 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 5 

1. Einleitung  

Die Schufa Holding AG (Schufa) ist die führende Auskunftei für kreditrelevante Informationen in 
Deutschland. Sie sammelt Daten von in Deutschland lebenden Personen, die ihr von ihren Vertragspartnern
 (insbesondere Banken und Sparkassen, Mobilfunkanbieter und Telefongesellschafen, Versandhandelsunternehmen
, Leasingunternehmen) zur Verfügung gestellt werden. Darüber hinaus 
gleicht die Schufa die Daten in den amtlichen Schuldnerverzeichnissen bei den deutschen Amtsgerichten
 ab. Nach eigenen Angaben hat die Schufa Daten von 68 Millionen Personen und insgesamt 
1,052 Milliarden Informationen gespeichert.1  

Die Schufa ist ein privatwirtschaftliches Unternehmen in der Rechtsform einer Aktiengesellschaft. 
Anteilseigner der Schufa sind zu 87 Prozent Banken und zu 13 Prozent Handels- und andere Unternehmen
.2 Presseberichten zufolge überprüfen einige der Anteilseigner nach einer Interessenbekundung
 des schwedischen Finanzinvestors EQT den Verkauf ihrer Anteile; auch ein Komplettverkauf
 scheine möglich. Neben dem Finanzinvestor sollen noch weitere Private-Equity-Investoren, 
darunter auch ein Unternehmen aus den USA, Interesse bekundet haben.3  

Die Ausarbeitung behandelt die Frage, ob einem Verkauf der Schufa rechtliche Gründe entgegenstehen
. Diesbezüglich wird auf die Regelungen zur Außenwirtschaftskontrolle (2.) sowie auf datenschutzrechtliche
 Aspekte (3.) eingegangen. Zudem werden die datenschutzrechtlichen Konsequenzen
 eines Verkaufs an einen ausländischen Investor dargestellt (4.). Dabei wird auf die Frage eingegangen
, ob bei einer Verlegung des Sitzes des Unternehmens ins Ausland eine Kontrolle durch 
deutsche Datenschutzbehörden weiterhin möglich wäre.  

2. Außenwirtschaftskontrolle beim Verkauf von Auskunfteien an ausländische Investoren 
(WD 5: Wirtschaft und Verkehr, Ernährung, Landwirtschaft und Verbraucherschutz) 

Die gewerbliche Auskunftserteilung über Vermögensverhältnisse und persönliche Angelegenheiten 
(Detektei, Auskunftei) bedarf nach der Gewerbeordnung (GewO)4 keiner besonderen Gewerbezulassung
, unterliegt aber gemäß § 38 I Nr. 2 GewO den Vorschriften überwachungsbedürftiger Gewerbe
.5 Es stellt sich die Frage, ob ein Verkauf von Auskunfteien an ausländische Investoren dem 
Vorbehalt staatlicher Genehmigung unterfällt. 

                                     

1 SCHUFA in Zahlen, online abrufbar unter: https://www.schufa.de/ueber-uns/unternehmen/schufa-zahlen/, 
(Stand 31. Mai 2021). 

2 Ebenda.  

3 Auskunftei – Gerüchte um Schufa-Verkauf, Frankfurter Allgemeine Zeitung vom 30. März 2021, online abrufbar 
unter: Schufa: Die Auskunftei könnte verkauft werden (faz.net), (Stand 31. Mai 2021). 

4 Gewerbeordnung in der Fassung der Bekanntmachung vom 22. Februar 1999 (BGBl. I S. 202), zuletzt geändert 
durch Art. 5 Abs. 4 des Gesetzes vom 9. März 2021 (BGBl. I S. 327).) 

5 Michael Hakenberg, Creifelds, Rechtswörterbuch, 25. Edition 2020, „Auskunftei“. 













 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 6 

2.1. Investitionsprüfung  

2.1.1. Grundsatz  

Bei der Investitionsprüfung (auch Investitionskontrolle) handelt es sich um ein Instrument des 
Außenwirtschaftsrechts, geregelt im Außenwirtschaftsgesetz (AWG)6 und in der Außenwirtschaftsverordnung
 (AWV)7. Damit kann das Bundesministerium für Wirtschaft und Energie (BMWi) bei 
Vorliegen der Voraussetzungen ausländische Investitionen in inländische Unternehmen im Hinblick
 auf Sicherheitsrisiken für die Bundesrepublik Deutschland prüfen und gegebenenfalls die 
Transaktion beschränken oder gar untersagen.8 

Dabei unterscheidet man zwischen der sektorspezifischen und sektorübergreifenden Investitionsprüfung
.  

Das sektorspezifische Verfahren ist in den §§ 4 Abs. 1 Nr. 1, 5 Abs. 3 AWG i. V. m. §§ 60 bis 62 AWV 
geregelt und findet dann Anwendung, wenn das betroffene inländische Unternehmen einer der § 60 
Abs. 1 AWV genannten Sektoren (beispielsweise Rüstungsgüterindustrie) zugeordnet werden kann 
und der Erwerber seinen Sitz außerhalb der Bundesrepublik Deutschland hat. Alle anderen Erwerbe 
unterliegen der sektorübergreifenden Investitionsprüfung, geregelt in §§ 55 bis 59 AWV. Voraussetzung
 hier ist jedoch, dass der Erwerber seinen Sitz außerhalb der Europäischen Union bzw. des 
EFTA-Raumes hat.9 

Die Investitionsprüfung umfasst sowohl den (vollständigen) Unternehmenserwerb als auch den 
Beteiligungserwerb. Letzteren jedoch nur, wenn der Erwerb bestimmte Schwellenwerte hinsichtlich
 der Erlangung der Stimmrechte erreicht. 

  

                                     

6 Außenwirtschaftsgesetz vom 6. Juni 2013 (BGBl. I S. 1482), zuletzt geändert durch Art. 1 des Gesetzes vom 
10. Juli 2020 (BGBl. I S. 1637). 

7 Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865), zuletzt geändert durch Art. 7 Abs. 19 des 
Gesetzes vom 12. Mai 2021 (BGBl. I S. 990). 

8 https://www.bmwi.de/Redaktion/DE/Artikel/Aussenwirtschaft/investitionspruefung.html (Stand 31. Mai 2021). 

9 https://www.bmwi.de/Redaktion/DE/Artikel/Aussenwirtschaft/investitionspruefung.html (Stand 31. Mai 2021). 





 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 7 

2.1.2. Auskunfteien  

In Betracht kommt für Auskunfteien § 55 AWV. Nach § 55 Abs. 1 Nr. 1 AWV i. V. m. § 10 Abs. 2 
Nr. 10 BSI-Gesetz10 besteht für Unternehmen im Bereich „Finanz- und Versicherungswesen“ ein 
Vorbehalt der Investitionsprüfung. Nach § 7 Abs. 1 BSI-Kritisverordnung11 sind dies: 

  „1. die Bargeldversorgung; 

  2. der kartengestützte Zahlungsverkehr; 

  3. der konventionelle Zahlungsverkehr; 

  4. die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften; 

  5. Versicherungsdienstleistungen.“ 

Demgegenüber ist eine Auskunftei ein „Unternehmen, das gewerbsmäßig Auskünfte über private 
oder geschäftliche Verhältnisse anderer, besonders über deren Kreditwürdigkeit erteilt“.12 Der 
Auskunftei-Vertrag „ist Werkvertrag, wenn er auf Erlangung bestimmter Informationen gerichtet 
ist, sonst (dauernde Beratung) Dienstvertrag.“13  

2.2. Zwischenergebnis 

Damit dürften Auskunfteien dem Vorbehalt der Investitionsprüfung nach § 55 AWV nicht unterfallen
.  

                                     

10 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 
(BGBl. I S. 2821), zuletzt geändert durch Art. 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328).  

11 Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) 
vom 22. April 2016 (BGBl. I S. 958), zuletzt geändert durch Art. 1 der Verordnung vom 21. Juni 2017  
(BGBl. I S. 1903). 

12 https://www.duden.de/rechtschreibung/Auskunftei (Stand 31. Mai 2021). 

13 Michael Hakenberg, in: Creifelds (Hrsg.), Rechtswörterbuch, 25. Edition 2020, „Auskunftei“. 






 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 8 

3. Datenschutzrechtliche Aspekte beim Verkauf einer Auskunftei an einen Investor aus einem 
Drittland (WD 3: Verfassung und Verwaltung) 

Nach der Europäischen Datenschutzgrundverordnung (DSGVO)14 ist die Übermittlung personenbezogener
 Daten an einen in einem Drittland (d.h. außerhalb der EU oder des EWR) niedergelassenen 
Empfänger,15 nur unter den in Kapitel V (Art. 44 ff. DSGVO) geregelten Bestimmungen zulässig.  

3.1. Anwendungsbereich der Datenschutzgrundverordnung 

Grundlegende Voraussetzung ist zunächst, dass der Anwendungsbereich der DSGVO eröffnet ist.  

3.1.1. Sachlicher Anwendungsbereich 

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten 
sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem 
gespeichert sind oder gespeichert werden sollen, Art. 2 Abs. 1 DSGVO. Die Begriffe „personenbezogene
 Daten“ und „Verarbeitung“ werden in Art. 4 Nr. 1 und 2 DSGVO ausdrücklich definiert.  

3.1.1.1. Personenbezogene Daten  

Die Schufa speichert drei Gruppen von objektiven Daten in ihrer Datei, nämlich den Personenstammsatz
, bestehend aus Vorname, Name, Geburtstag, Geburtsort und ggf. Anschrift, welche durch 
die von den Vertragspartnern übermittelten Daten sowie durch Angaben aus öffentlichen Verzeichnissen
 ergänzt werden.16 Aus diesen objektiven Daten wird ein Wert ermittelt, der die Bonität der 
betreffenden Person beschreibt. Aus all diesen Daten können natürliche Personen identifiziert 
werden, sodass es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO handelt.  

3.1.1.2. Automatisierte Verarbeitung 

Fraglich ist dagegen, ob es bei einem Verkauf der Schufa zu einer Datenverarbeitung kommt.  

Nach der weiten Definition des Art. 4 Nr. 2 DSGVO umfasst die Verarbeitung „jeden mit oder ohne 
Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang
 mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die 
Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die 
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
 oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Bei einer 
Weitergabe von personenbezogenen Daten mit Hilfe automatisierter Verfahren an den Käufer 

                                     

14 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher 
Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 
95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 S. 1, ber. L 314 S. 72, 2018 L 127 S. 2 und 2021 L 74 S. 35. 

15 Siehe dazu Kamp/Beck, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 35. Edition, Stand: 1. November 2020, 
Art. 44 DSGVO Rn. 23 ff. 

16 Krepold, in: Schimansky/Bunte/Lwowski (Hrsg.), Bankrechts-Handbuch, 5. Auflage 2017, § 41 Rn. 19.  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 9 

kommen insbesondere die Tatbestände der „Bereitstellung“ sowie der „Offenlegung durch Übermittlung
“ in Betracht.  

Mit Blick auf den Verkauf eines Unternehmens gilt es insofern allerdings zu unterscheiden, in 
welcher Form der Verkauf des Unternehmens abläuft. So kann ein Unternehmen entweder als 
„Share Deal“ oder als „Asset Deal“ veräußert werden.  

Beim sogenannten Share Deal werden Anteile der Gesellschaft übertragen, der Unternehmensträger 
bleibt dabei bestehen.17 Allein durch den Share Deal kommt es insofern zu keinem datenschutzrechtlich
 relevanten Verarbeitungsvorgang i.S.d. Art. 4 Nr. 2 DSGVO, da die datenschutzrechtliche 
Verantwortlichkeit des Unternehmens, dessen Geschäftsanteile verkauft werden, durch den Verkauf 
unverändert bleibt.18 Zu einem datenschutzrechtlich relevanten Verarbeitungsvorgang (beispielsweise 
in Form der „Bereitstellung“ oder „Offenlegung durch Übermittlung“) kann es allerdings kommen, 
wenn dem Käufer im Zuge der Due Diligence im Vorfeld zum Verkauf Zugang zu personenbezogenen
 Daten des Zielunternehmens gewährt wird. Zudem gilt nach der DSGVO grundsätzlich kein 
Konzernprivileg;19 insofern kann es auch zu einem datenschutzrechtlichen Verarbeitungsvorgang 
im Zuge eines Share Deals kommen, wenn bei der Integration des verkauften Unternehmens personenbezogene
 Daten an die Muttergesellschaft oder Schwestergesellschaft übermittelt werden. 

Bei einem Asset Deal erfolgt die Veräußerung durch Übertragung der zum Unternehmensvermögen 
gehörenden Gegenstände, zum Beispiel durch Übertragung des Eigentums an Sachen oder die Abtretung
 von Rechten, sodass es zu einem Wechsel des Rechtsträgers kommt.20 Soweit im Zuge eines 
Asset Deals personenbezogene Daten an den Käufer ganz oder teilweise automatisiert übermittelt 
werden, ist darin ein datenschutzrechtlich relevanter Verarbeitungsvorgang i.S.d. Art. 4 Nr. 2 
DSGVO zu sehen.21  

Je nachdem wie der Verkauf der Schufa Holding AG erfolgt, ergäbe sich damit eine unterschiedliche
 Rechtslage.  

Soweit es bei einem Verkauf zu einer Übermittlung von Bestandsdaten der Auskunftei an einen anderen
 Rechtsträger kommt, ist schon allein aufgrund der Größe des Datensatzes davon auszugehen, 
dass es sich dabei um ein automatisiertes Verfahren handeln wird. Unter einem automatisierten 
Verfahren ist jeglicher Umgang mit personenbezogenen Daten unter dem Einsatz von Datenverarbeitungssystemen
 zu verstehen; dieses liegt immer dann vor, wenn bestimmte Aufgaben durch 

                                     

17 Plath, in: Ettinger/Jaques (Hrsg.), Beck'sches Handbuch Unternehmenskauf im Mittelstand, 3. Auflage 2021, 
D. Phase 3: Verhandlung und Abschluss des Kaufvertrags Rn. 103; siehe auch Aichberger/Groh, in: Creifelds 
(Hrsg.), Rechtswörterbuch, 26. Edition 2021, Unternehmen. 

18 Plath (Fn. 17); Schröder, in: Forgó/Helfrich/Schneider (Hrsg.), Betrieblicher Datenschutz, 3. Auflage 2019, Kap. 4 
Rn. 37; Glaser, in: Nägele/Apel (Hrsg.), Beck´sche Online-Formulare IT- und Datenrecht, 6. Edition 2021, Stand: 
1. Februar 2021, 2.24 Offenlegung von Kundendaten bei einem Share Deal (Due Diligence) Anm. 1. 

19 Ausführlich hierzu: Wolff, in: Schantz/Wolff (Hrsg.), Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 664. 

20 Hierzu: Aichberger/Groh (Fn. 17). 

21 Platz, in: ders. (Hrsg.), DSGVO/BDSG, 3. Auflage 2018, Art. 6 DSGVO, Rn. 119; Glaser (Fn. 18). 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 10 

eine informationstechnische Infrastruktur (Hardware, Software, Übertragungsnetze) unter Verwendung
 von personenbezogenen Daten wahrgenommen werden.22 

3.1.2. Räumlicher Anwendungsbereich 

Weiter müsste der räumliche Anwendungsbereich gemäß Art. 3 DSGVO eröffnet sein. Vorliegend 
kommt für die Eröffnung des Anwendungsbereichs das Kriterium der Unionsniederlassung nach 
Art. 3 Abs. 1 DSGVO in Betracht. Danach findet die Datenschutzgrundverordnung Anwendung auf 
die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung
 eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig 
davon, ob die Verarbeitung in der Union stattfindet.  

Nach Art. 4 Nr. 7 DSGVO ist ein Verantwortlicher unter anderem die natürliche oder juristische 
Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von 
personenbezogenen Daten entscheidet. Dahingegen verarbeitet der Auftragsverarbeiter die personenbezogenen
 Daten im Auftrag des Verantwortlichen, Art. 4 Nr. 8 DSGVO. Die Schufa verarbeitet 
eigenständig die Daten und erteilt Auskünfte, sodass sie als Verantwortlicher zu qualifizieren ist. 
Sie hat ihren Sitz in Wiesbaden und damit ihre Niederlassung in Deutschland. Soweit die Schufa 
im Zuge ihres Verkaufs personenbezogenen Daten an einen anderen Rechtsträger übermittelt, verarbeitet
 sie auch die personenbezogenen Daten im Rahmen ihrer Niederlassung in Deutschland. 
Der räumliche Anwendungsbereich des Art. 3 Abs. 1 DSGVO wäre in diesem Fall eröffnet.  

3.2. Vorliegen eines Erlaubnistatbestandes gemäß Art. 6 Abs. 1 DSGVO 

Ob und in welchem Umfang personenbezogene Daten einer Auskunftei veräußert und transferiert 
werden dürfen, hängt maßgeblich davon ab, ob die Übermittlung von einem Erlaubnistatbestand 
des Art. 6 Abs. 1 DSGVO gedeckt ist.23 Dies gilt ganz unabhängig davon, ob die Datenübermittlung 
an einen Empfänger in einem Drittland erfolgt oder nicht. Bei einem Drittlandbezug müssen zusätzlich
 zu den allgemeinen Anforderungen der DSGVO die speziellen Bestimmungen der Art. 44 ff. 
DSGVO beachtet werden.24 Inwieweit bei einem Verkauf der Schufa bzw. ihrer Daten ein Erlaubnistatbestand
 aus dem Katalog des Art. 6 Abs. 1 DSGVO greifen kann, hängt von den jeweiligen 
konkreten Umständen ab. Allgemein lässt sich hierzu Folgendes festhalten: 

3.2.1. Einwilligung gemäß Art. 6 Abs. 1 Abs. 1 lit. a) DSGVO 

Aus dem Katalog des Art. 6 Abs. 1 DSGVO kommt insbesondere die Einwilligung gemäß Art. 6 
Abs. 1 lit. a) DSGVO in Betracht. Danach ist die Verarbeitung von personenbezogenen Daten für 
einen oder mehrere bestimmte Zwecke zulässig, wenn die betroffene Person ihre Einwilligung 
erklärt hat. Für das Einholen der Einwilligungserklärung gelten die allgemeinen datenschutzrechtlichen
 Grundsätze. Gemäß Art. 7 DSGVO muss die Einwilligungserklärung insbesondere ausdrücklich
 erklärt werden sowie unmissverständlich und nachweisbar sein. Bei einer rein mündlichen 

                                     

22 Schild, in: Wolff/Brink (Hrsg.), (Fn. 15), 35. Edition, Stand: 1.2.2021, DS-GVO Art. 4 Rn. 34. 

23 Vgl. Plath, in: Bussche v.d./Voigt (Hrsg.), Konzerndatenschutz, 2. Auflage 2019, Teil 6 Rn. 61. 

24 Schantz, in: Schantz/Wolff (Hrsg.), (Fn. 19), Rn. 755; Kamp/Beck, (Fn. 15), Art. 44 DSGVO Rn. 47 f. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 11 

Erklärung ist für die Nachweisbarkeit eine schriftliche Fixierung angezeigt.25 Der Verantwortliche 
muss zudem gewährleisten, dass die Einverständniserklärung freiwillig, d.h. ohne jeden Druck 
und Zwang erfolgt.26 Eine Einwilligung des jeweiligen Betroffenen, die gegenüber dem ursprünglichen
 Inhaber der Schufa abgegeben wurde, besitzt nur für die darin explizit genannten Verwendungszwecke
 Gültigkeit. Eine grundsätzliche Einwilligung der betroffenen Personen in die Verarbeitung
 ihrer Daten durch die Schufa dürfte ohne eine explizite Erwähnung des Umstandes, wie 
im Falle eines Verkaufs der Firma an einen anderen Rechtsträger vorgegangen werden soll, wohl 
nicht dahingehend ausgelegt werden können, dass sich diese Einwilligung auch auf einen späteren 
Unternehmensverkauf und die Übermittlung der Daten an den Käufer erstreckt. Insofern spricht 
viel dafür, dass eine erneute Einwilligung der 68 Millionen betroffenen Personen im Rahmen des 
Unternehmensverkaufs einzuholen wäre. Dies erscheint wenig praktikabel. 

3.2.2. Vertragserfüllung und vorvertragliche Maßnahmen gemäß Art. 6 Abs. 1 lit. b) DSGVO 

Der Transfer der Bestandsdaten einer Auskunftei an einen Käufer kann sich dagegen nicht auf die 
Erlaubnisnorm des Art. 6 Abs. 1 lit. b) DSGVO stützen. Diese erlaubt eine Übermittlung unter der 
Voraussetzung, dass sie erforderlich ist für die Erfüllung eines Vertrages, dessen Vertragspartei 
die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage 
der betroffenen Person erfolgen. Bei dem Käufer handelt es sich aber gerade nicht um die betroffene 
Person. Es handelt sich hierbei auch nicht um die Durchführung einer vorvertraglichen Maßnahme, 
die auf Anfrage der betroffenen Person erfolgt.  

3.2.3. Allgemeine Interessenabwägung gemäß Art. 6 Abs. 1 lit. f) DSGVO 

In Betracht kommt dagegen der Erlaubnistatbestand der allgemeinen Interessenabwägung des 
Art.  6 Abs. 1 lit. f) DSGVO.27 Danach ist eine Datenverarbeitung zulässig, wenn sie zur Wahrung 
der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen 
oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
 Daten erfordern, überwiegen.  

Unter einem berechtigten Interesse ist jedes von der Rechtsordnung gebilligtes Interesse zu verstehen
; vom berechtigten Interesse sind insbesondere auch wirtschaftliche Interessen umfasst.28 
Bei dem Interesse einer Auskunftei, ihre Bestandsdaten an ihren Käufer zu übermitteln, um auf 
diese Weise die eingegangenen vertraglichen Pflichten zu erfüllen, handelt es sich um ein berechtigtes
 Interesse. Die Übermittlung der Daten an den Käufer ist auch zur Wahrung des berechtigten 
Interesses erforderlich, da die Realisierung des Interesses nur auf diese Weise möglich ist. Zudem 
ist zu berücksichtigen, dass auch der Käufer ein berechtigtes Interesse an der Übermittlung der 

                                     

25 Schulz, in: Gola (Hrsg.), Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 9 Rn. 17. 

26 Schulz (Fn. 25), Art. 7 Rn. 21. 

27 Zum Folgenden siehe schon den Sachstand der Wissenschaftlichen Dienste des Deutschen Bundestages, Schufa 
und DSGVO, WD 3 - 3000 - 283/20, S. 4 f., abrufbar unter https://www.bundestag.de/resource
/blob/822420/4be01f9e7a69c8c800f8386e4bbcdf1a/WD-3-283-20-pdf-data.pdf (letzter Abruf 1. Juni 2021). 

28 Wolff (Fn. 19), Rn. 643. 





 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 12 

Daten hat, da er das Angebot der Auskunftei, Vertragspartnern Bonitätsauskünfte zur Verfügung zu 
stellen, nur dann aufrechterhalten kann, wenn er Zugriff auf die Daten hat. 

Fraglich ist, ob diesem berechtigten Interesse schutzwürdige Interessen der betroffenen Personen 
gegenüberstehen, die das berechtigte Interesse überwiegen. Als schutzwürdige Interessen der betroffenen
 Personen sind deren allgemeines Persönlichkeitsrecht (Art. 2 Abs. 1 Grundgesetz (GG)) 
sowie das Recht auf den Schutz personenbezogener Daten (Art. 8 der Charta der Grundrechte der 
Europäischen Union (GRCh)) zu berücksichtigen.  

Für die Datenübermittlung der Vertragspartner an die Schufa wird vertreten, dass sich diese grundsätzlich
 auf Art. 6 Abs. 1 lit. f) DSGVO stützen lasse.29 So sei die Prüfbarkeit des Risikos einer Geschäftsbeziehung
, insbesondere die Prävention gegen Betrug, ein berechtigtes Interesse.30 Schutzwürdige
 Interessen der betroffenen Person seien jedenfalls dann nicht verletzt, wenn die verarbeiteten
 Daten einen unmittelbaren Bezug zu deren Zahlungsunfähigkeit oder -unwilligkeit hätten.31 
Der Gesetzgeber hat bei der Anpassung des Datenschutzrechtes an die DSGVO betont, dass die 
Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften das Fundament des 
deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft begründen würden. 
Verbraucher vor Überschuldung zu schützen, liege sowohl im Interesse des Verbrauchers selbst 
als auch der Wirtschaft.32 Gleichzeitig hat der Gesetzgeber es aber auch für erforderlich gehalten, 
den in der alten Fassung des BSDG enthaltenen materiellen Schutzstandard der § 28a und § 28b 
BDSG a.F. zu erhalten; § 31 BDSG sieht insofern bestimmte Voraussetzungen vor, die ein von einer 
Auskunftei ermittelter Score-Wert im Hinblick auf sog. Negativ-Merkmale erfüllen muss, damit er 
im Wirtschaftsverkehr verwendet werden darf.  

Es spricht einiges dafür, dass sich diese Argumentation auf den Verkauf der Schufa bzw. ihrer 
Daten übertragen lässt, da es für die betroffenen Personen grundsätzlich unerheblich sein dürfte, 
welches Unternehmen die Bonitätsbewertungen vornimmt, soweit für dieses dieselben oder der 
Sache nach gleichwertige datenschutzrechtlichen Anforderungen gelten. Anderes könnte der Fall 
aber zu beurteilen sein, wenn der Käufer seine Niederlassung in einem Drittland hat. Denn für die 
Abwägung der Interessen dürfte es einen Unterschied machen, wenn mit dem Verkauf der Daten 
und der Weiterführung der Auskunftei aus einem Drittland insoweit eine Verschlechterung für die 
betroffenen Personen zu befürchten wäre, etwa weil eine Einhaltung der besonderen Bestimmungen 
des § 31 BSDG nicht mehr gewährleistet scheint oder Verstöße gegen Datenschutzbestimmungen 
nicht gleichermaßen durch die Datenschutzbeauftragten verfolgt werden können.  

                                     

29 Schulz (Fn. 25), Art. 6 Rn. 115 ff. 

30 OLG Karlsruhe, Urteil vom 23. Februar 2021 – 14 U 3/19 –, Rn. 29, juris. 

31 Schulz (Fn. 25), Art. 6 Rn. 126. 

32 BT-Drs. 18/11325, S. 101.  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 13 

3.3. Bestimmungen für die Übermittlung personenbezogener Daten an einen Empfänger in einem 
Drittland, Art. 44 ff. DSGVO 

Sollen personenbezogene Daten an Drittländer oder an internationale Organisationen übermittelt 
werden, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Auf diese Weise 
soll ausgeschlossen werden, dass die Regelungen der DSGVO unterlaufen werden, indem die Datenverarbeitung
 in ein Drittland ausgelagert wird.33 Die Bestimmungen des Kapitels V sind gemäß 
Art. 44 S. 2 DSGVO so anzuwenden, dass das durch die DSGVO gewährleistete Schutzniveau für 
natürliche Personen nicht untergraben wird. 

3.3.1. Übermittlung von personenbezogenen Daten an einen Empfänger in einem Drittland 

Der Begriff der Übermittlung wird in der DSGVO nicht ausdrücklich definiert. Mit Blick auf den 
Sinn und Zweck der Art. 44 ff. DSGVO ist der Begriff weit zu verstehen. Daher dürfte jede Offenlegung
 personenbezogener Daten gegenüber Empfängern in Drittländern oder internationalen 
Organisationen den Begriff der Übermittlung erfüllen.34 In der Literatur wird vertreten, dass auch 
solche Fälle erfasst sind, in denen die personenbezogenen Daten an einen unselbständigen Unternehmensteil
 oder einen Auftragsverarbeiter in einem Drittland übermittelt werden.35  

3.3.2. Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses, Art. 45 
DSGVO  

Gemäß Art. 45 Abs. 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland 
vorgenommen werden, wenn die EU-Kommission „beschlossen hat, dass das betreffende Drittland, 
ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende 
internationale Organisation ein angemessenes Schutzniveau bietet“. Soweit ein solcher Angemessenheitsbeschluss
 besteht, bedarf die Datenübermittlung keiner besonderen Genehmigung durch 
die zuständigen Aufsichtsbehörden. Die Beurteilung des angemessenen Schutzniveaus erfolgt anhand
 des in Art. 45 DSGVO vorgegebenen Kriterienkatalogs. Nach der Rechtsprechung des EuGH 
muss das Schutzniveau des Drittlandes bzw. der internationalen Organisation im Vergleich zur 
europäischen Lage gleichwertig sein, wobei die Mittel, wie dies erreicht wird, von denen in der 
EU verwendeten Mitteln unterschiedlich sein können.36  

Derzeit gibt es zwölf gültige Angemessenheitsbeschlüsse der EU-Kommission und zwar für die 
folgenden Länder: Andorra, Argentinien, Färöer, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, 
Neuseeland, Schweiz, Uruguay.  

                                     

33 Schantz (Fn. 24), Rn. 754. 

34 Schantz (Fn. 24), Rn. 757; Zerdick, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Auflage 2018, 
Art. 44 DSGVO Rn. 7.  

35 Schantz (Fn. 24), Rn. 757; Kamp/Beck (Fn. 15), Art. 44 DSGVO Rn. 21. 

36 EuGH, Urteil vom 6. Oktober 2015 – C-362/14 – (Schrems I), Rn. 73 f. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 14 

Der Angemessenheitsbeschluss der EU-Kommission betreffend die USA wurde am 16. Juli 2020 
vom EuGH im sog. Schrems II-Urteil37 für ungültig erklärt.38 Dies begründet der EUGH damit, dass 
das Recht der USA nicht genügend Beschränkungen und Garantien für Eingriffe in den Datenschutz 
bietet und es keinen ausreichenden Rechtschutz für Nicht-US-Bürger gibt.39  

3.3.3. Datenübermittlung vorbehaltlich geeigneter Garantien, Art. 46 f. DSGVO 

Liegt für ein Drittland kein Angemessenheitsbeschluss nach Art. 45 DSGVO vor, ist eine Übermittlung
 von personenbezogenen Daten an einen Empfänger in einem Drittland unter den Voraussetzungen
 des Art. 46 DSGVO zulässig. Gemäß Art. 46 Abs. 1 DSGVO darf ein Verantwortlicher oder 
ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation
 übermitteln, sofern er geeignete Garantien vorgesehen hat und sofern den betroffenen Personen 
durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.  

Geeignete Garantien liegen bei Vorkehrungen vor, mit denen sichergestellt wird, dass die Datenschutzvorschriften
 auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise 
beachtet werden.40 Generell bedürfen geeignete Garantien einer Genehmigung im Einzelfall durch 
die zuständigen Aufsichtsbehörden, Art. 46 Abs. 3 DSGVO. Eine solche Genehmigung ist jedoch 
nicht erforderlich, wenn eine geeignete Garantie nach Art. 46 Abs. 2 DSGVO vorliegt; dazu gehören
:  

– rechtlich verbindliche Verwaltungsvereinbarungen zwischen den Behörden oder  
öffentlichen Stellen, 

– verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO (Binding  
Corporate Rules), 

– Standarddatenschutzklauseln, die von der EU-Kommission gemäß dem Prüfverfahren  
nach Art. 93 Abs. 2 DSGVO erlassen wurden bzw. genehmigt wurden, 

– genehmigte Verhaltensregeln gemäß Art. 40 DSGVO (Code of Conduct) bzw. ein  
genehmigter Zertifizierungsmechanismus gemäß Art. 42 DSGVO. 

Nach der Rechtsprechung des EuGH muss auch bei den geeigneten Garantien ein Schutzniveau 
gewährleistet sein, das mit dem der Europäischen Union der Sache nach gleichwertig ist.41 Insbesondere
 gilt es dabei auch den Umfang der Zugriffsbefugnisse öffentlicher Stellen in dem betreffenden
 Drittland des Empfängers zu bewerten. In seinem sog. Schrems-II-Urteil hat der EUGH 

                                     

37 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), juris. 

38 Zum Ganzen siehe Beck, in Wolff/Brink (Hrsg.), (Fn. 15), Art. 45 DSGVO Rn. 53 ff. 

39 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), Rn. 184 und Rn. 192 ff., juris. 

40 Siehe Erwägungsgrund 108. 

41 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), Rn. 96, Rn. 105, juris. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 15 

festgestellt, dass nur solche Datenzugriffe drittstaatlicher Behörden akzeptabel sind, die Anforderungen
 unterliegen, mit denen unter Wahrung des Grundsatzes der Verhältnismäßigkeit ein Schutzniveau 
gewährleistet wird, das dem durch Art. 52 Abs. 1 S. 2 GRCH garantierten Niveau der Sache nach 
gleichwertig ist.42 Der EUGH sieht die Unternehmen in der Pflicht, im konkreten Einzelfall zu prüfen, 
ob durch die Garantieinstrumente in dem Zielland ein der Sache nach gleichwertiges Datenschutzniveau
 erreicht werden kann. Sollte dies nicht der Fall sein, muss der Datenexporteur hierfür 
zusätzliche Maßnahmen ergreifen.43  

Für die USA hat der EUGH festgestellt, dass keine ausreichenden Beschränkungen bestehen, die 
die Eingriffsbefugnisse US-amerikanischer Nachrichtendienste auf das erforderliche Maß begrenzen
.44 Auch mit Blick auf den Rechtsschutz verneint der EUGH ein im Wesentlichen gleichwertiges 
Schutzniveau.45 Aus dem Urteil geht hervor, dass die von der EU beschlossenen Standardvertragsklauseln
46 allein nicht ausreichen, ein in der Sache gleichwertiges Datenschutzniveau zu erreichen. 
Es müssen vielmehr zusätzliche Maßnahmen getroffen werden, die die übermittelten Daten im 
konkreten Einzelfall angemessen vor dem unbeschränkten Zugriff der US-Sicherheitsbehörden 
schützen. Zusätzliche Maßnahmen können dabei vertraglicher, technischer oder organisatorischer 
Art sein. In Literatur und Praxis werden als zusätzliche Maßnahmen für eine rechtmäßige Übermittlung
 beispielsweise die Verschlüsselung oder die Übermittlung von pseudonymisierten Daten 
diskutiert.47 Die Feststellungen des EUGH bezüglich des Schutzniveaus in den USA sind auch für 
die weiteren geeigneten Garantien, insbesondere die verbindlichen internen Datenschutzvorschriften
 gemäß Art. 47 DSGVO (Binding Corporate Rules) relevant.48  

3.3.4. Ausnahmen für bestimmte Fälle, Art. 49 DSGVO 

Liegt weder ein Angemessenheitsbeschluss der EU-Kommission vor noch eine geeignete Garantie, 
kann die Datenübermittlung nach einem der in Art. 49 DSGVO geregelten Ausnahmetatbestände 
zulässig sein.  

                                     

42 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), Rn. 185, juris. 

43 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), Rn. 133, juris. 

44 Ebenda. 

45 EuGH, Urteil vom 16. Juli 2020 – C-311/18 – (Schrems II), Rn. 197, juris. 

46 Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener
 Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments 
und des Rates. 

47 Siehe bspw. die Empfehlungen des Europäische Datenschutzausschuss (EDSA) 01/2020 vom 10. November 2020, 
abrufbar unter: https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools
_de.pdf (Stand 31. Mai 2021); Schulz, PharmR 2020, S. 600 (S. 602). 

48 Lange/Filip, in: Wolff/Brink (Hrsg.), (Fn. 15), 35. Edition Stand: 1. August 2020, Art. 47 DSGVO Rn. 62. 





 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 16 

3.3.4.1. Allgemeines 

Art. 49 Abs. 1 DSGVO sieht folgende Ausnahmefälle vor: 

– Besonders informierte, ausdrückliche Einwilligung der betroffenen Person, Abs. 1 UAbs. 1 
lit. a),  

– zur Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen mit dem Betroffenen, 
Abs. 1 UAbs. 1 lit. b), 

– zur Erfüllung eines im Interesse der betroffenen Person abgeschlossenen Vertrages, Abs. 1 
UAbs. 1 lit. c),  

– aus wichtigen Gründen des öffentlichen Interesses, Abs. 1 UAbs. 1 lit. d),  

– zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Abs. 1 UAbs. 1 
lit. e), 

– zum Schutz lebenswichtiger Interessen, Abs. 1 UAbs. 1 lit. f),  

– Übermittlung aus einem Register, das gemäß EU-Recht oder dem Recht der Mitgliedstaaten 
zur Information der Öffentlichkeit bestimmt ist, Abs. 1 UAbs. 1 lit. g), 

– zur Wahrung zwingender berechtigter Interessen des Verantwortlichen, Abs. 1 UAbs. 2 S. 1. 

Die in Art. 49 DSGVO normierten Ausnahmetatbestände sind eng auszulegen.49  

Nach dem Erwägungsgrund 111 DSGVO sollen dabei die Tatbestände des Art. 49 Abs. 1 UAbs. 1 
lit. b), lit. c) und lit. e) DSGVO nur bei gelegentlich erfolgenden Übermittlungen in Betracht kommen
. Eine Übermittlung ist gelegentlich, wenn sie nicht wiederholt oder im Rahmen einer Vielzahl 
ähnlicher Fälle erfolgt.  

Inwiefern eine Übermittlung der Schufa-Daten an einen Käufer mit Sitz in einem Drittland auf einen 
dieser Ausnahmetatbestände gestützt werden kann, ist von den jeweiligen konkreten Umständen 
abhängig und kann hier nicht abschließend geprüft werden. Allgemein lässt sich hierzu Folgendes 
feststellen: 

3.3.4.2. Übermittlung aus öffentlichen Registern, Art. 49 UAbs. 1 lit. g) DSGVO 

Fraglich ist, ob sich die Übermittlung von solchen Daten der Schufa, die aus öffentlichen Registern 
stammen, auf den Ausnahmetatbestand des Art. 49 UAbs. 1 lit. g) DSGVO stützen lässt. Art. 49 
UAbs. 1 lit. g) DSGVO erfasst sowohl Register, in die jedermann ohne Erfüllung weiterer Voraussetzungen
 Einsicht nehmen kann (z.B. das Handels- oder Vereinsregister), als auch solche, in die 
nur bei Vorliegen eines berechtigten Interesses Einsicht genommen werden kann (beispielsweise  

                                     

49 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 2. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 17 

Schuldnerverzeichnisse).50 Allerdings sieht der Ausnahmetatbestand vor, dass die Übermittlung 
aus dem öffentlichen Register erfolgt. Dies wäre bei einer Weiterleitung der Daten an den Käufer 
durch die Schufa gerade nicht der Fall. 

3.3.4.3. Besonders informierte, ausdrückliche Einwilligung, Art. 49 UAbs. 1 lit. a) DSGVO 

In Betracht kommt der Ausnahmetatbestand der besonders informierten, ausdrücklichen Einwilligung
 der betroffenen Personen gemäß Art. 49 UAbs. 1 lit. a) DSGVO. Für die Einwilligung gelten 
die unter 3.2.1. beschriebenen grundlegenden Voraussetzungen. Zusätzlich gilt, dass die betroffenen
 Personen darüber unterrichtet werden müssen, an welche Empfänger und in welche Länder 
ihre Daten übermittelt und ggf. weiterübermittelt werden. Zudem sind sie darüber zu informieren, 
dass im Zielland kein der Sache nach gleichwertiges Datenschutzniveau besteht sowie welche 
spezifischen Risiken sich aus der Übermittlung ergeben können.51  

Für die Einwilligung ist es erforderlich, dass diese ausdrücklich abgegeben wird, Art. 4 Nr. 11, 
Art. 7, Art. 8, Art. 49 DSGVO. Ein sog. „Opt-out“ oder ein pauschales „Akzeptieren“ von Allgemeinen
 Geschäftsbedingungen wird für nicht ausreichend erachtet.52 Zu beachten ist, dass die 
betroffene Person jederzeit das Recht hat, die Einwilligung zu widerrufen, Art. 7 Abs. 3 DSGVO. 
Zudem wird darauf hingewiesen, dass die Aufklärung über die Risiken des Drittlandtransfers die 
Unternehmen vor große Herausforderungen stellt, da die geplante Verwendung der Daten wie auch 
die Erhebungs- und Verarbeitungspraxis in dem Drittland so detailliert beschrieben werden muss, 
dass sich der Betroffene den Konsequenzen einer Übermittlung seiner Daten in ein Land mit abweichendem
 Schutzniveau bewusst wird.53 Aufgrund dieser Nachteile erscheint der Ausnahmetatbestand
  Einwilligung für die Übermittlung eines Datensatzes, der eine riesige Anzahl von Personen 
betrifft, deren Einwilligung einzuholen wäre, wenig praktikabel. 

3.3.4.4. Zur Erfüllung eines im Interesse der betroffenen Person abgeschlossenen Vertrages, 
Art. 49 Abs. 1 UAbs. 1 lit. c) DSGVO, 

In Betracht kommt weiter der Ausnahmetatbestand des Art. 49 Abs. 1 UAbs. 1 lit. c) DSGVO. Danach
 ist die Übermittlung zulässig, wenn sie zum Abschluss oder zur Erfüllung eines im Interesse 
der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen 
Person geschlossenen Vertrags erforderlich ist. In der Literatur wird vertreten, dass aufgrund des 
Ausnahmecharakters des Art. 49 DSGVO hierunter nur solche Verträge zu verstehen sind, die 
eindeutig im Interesse des Betroffenen liegen, insbesondere sog. Verträge zugunsten Dritter i.S.v. 
§ 328 Bürgerliches Gesetzbuch (BGB). Es sei „ein enger und erheblicher Zusammenhang zwischen 
den Interessen der betroffenen Person und den Zwecken des Vertrags zu fordern“54. Gegen die 
Annahme dieser Ausnahme spricht, dass es sich bei dem Verkauf der Schufa und ihrer Daten 

                                     

50 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 41 mit Bezug auf die EDSA-Leitlinien 2/2018. 

51 Schröder, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 49 DSGVO Rn. 15. 

52 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 9. 

53 Schulz (Fn. 47); Paal/Kumkar, MMR 2020, S. 733 (S. 737). 

54 Zum Ganzen Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 21. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 18 

schon um keinen Vertrag handeln dürfte, der eindeutig im Interesse der betroffenen Personen liegt. 
Weiter dürfte es auch an dem engen und erheblichen Zusammenhang fehlen, da es für die betroffenen
 Personen keinen Mehrwert hat, wenn die Bonitätsprüfung zukünftig von einer Auskunftei aus 
einem Drittland erfolgt.  

3.3.4.5. Wichtige Gründe des öffentlichen Interesses, Art. 49 Abs. 1 UAbs. 1 lit. d) DSGVO 

Gemäß Art. 49 Abs. 1 UAbs. 1 lit. d) DSGVO kann eine Übermittlung zulässig sein, wenn sie aus 
wichtigen Gründen des öffentlichen Interesses notwendig ist. Dabei muss es sich um ein öffentliches
 Interesse handeln, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche
 unterliegt, anerkannt ist, Art. 49 Abs. 4 DSGVO. Zudem muss es sich um ein öffentliches 
Interesse handeln, das einem wichtigen Rechtsgut dient.55 In Erwägungsgrund 112 werden als Beispiele
 genannt: Internationaler Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, 
zwischen Finanzaufsichtsbehörden oder zwischen für Angelegenheiten der sozialen Sicherheit 
oder für die öffentliche Gesundheit zuständigen Diensten, beispielsweise im Falle der Umgebungsuntersuchung
 bei ansteckenden Krankheiten oder zur Verringerung und/oder Beseitigung des 
Dopings im Sport.  

Wie oben bereits ausgeführt, betont der deutsche Gesetzgeber, dass die Ermittlung der Kreditwürdigkeit
 und die Erteilung von Bonitätsauskünften das Fundament des deutschen Kreditwesens und 
damit auch der Funktionsfähigkeit der Wirtschaft begründen.56 Dies könnte für eine Annahme eines 
wichtigen, öffentlichen Interesses sprechen. Es gibt jedoch keine Notwendigkeit, dass eine Bonitätsbewertung
 durch eine Auskunftei in einem Drittland erteilt wird. Zudem zeigen die Beispiele 
aus dem Erwägungsgrund 112 auf, dass der Ausnahmetatbestand des Art. 49 Abs. 1 UAbs. 1 lit. d) 
DSGVO von einer Übermittlung an öffentliche Stellen oder zumindest an Stellen, die eine öffentliche
 Aufgabe wahrnehmen, ausgeht. Auch der Europäische Datenschutzausschuss (EDSA) betont, 
dass dieser Ausnahmetatbestand nur in Betracht kommt, wenn das Unionsrecht oder das Recht des 
Mitgliedsstaats, dem der Verantwortliche unterliegt, bestimmte Übermittlungen an eine (insbesondere
 öffentliche) Stelle in ein Drittland klar vorsieht oder impliziert.57 Dies ist bei einer Übermittlung
 zwischen zwei privaten Auskunfteien nicht der Fall, sodass auch Art. 49 Abs. 1 UAbs. 1 
lit. d) DSGVO als Ausnahmetatbestand ausscheiden dürfte. 

3.3.4.6. Wahrung zwingender berechtigter Interessen des Verantwortlichen, Art. 49 Abs. 1 
UAbs. 2 DSGVO 

Schließlich kommt noch der Auffangtatbestand des Art. 49 Abs. 1 UAbs. 2 DSGVO in Betracht, der 
gegenüber den in Art. 49 Abs. 1 UAbs. 1 DSGVO geregelten Ausnahmen nur subsidiär zur Anwendung
 kommen kann. Danach ist eine Übermittlung in ein Drittland oder an eine internationale 
Organisation zulässig, „wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl 
von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des 

                                     

55 Pauly, in: Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, Art. 49 DSGVO Rn. 19. 

56 BT-Drs. 18/11325, S. 101. 

57 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 29a. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 19 

Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen
 Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung 
beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz 
personenbezogener Daten vorgesehen hat.“58 Dem Verantwortlichen wird insoweit eine auf den 
Einzelfall bezogene Interessenabwägung abverlangt. Der Verantwortliche muss zudem die Aufsichtsbehörde
 und die betroffenen Personen über die Übermittlung informieren, letztere auch über 
seine zwingenden berechtigten Interessen.  

Erforderlich ist zunächst ein besonders gewichtiges Interesse, wobei vertreten wird, dass einem 
Unternehmen ein Spielraum zugestanden werden müsse, welche Interessen es als besonders bedeutsam
 bewertet.59 Die Übermittlung darf insbesondere nur eine begrenzte Zahl von Personen betreffen. 
Die DSGVO definiert nicht näher, wie dieser Begriff zu verstehen ist. In der Literatur wird vertreten
, dass damit keine zahlenmäßige Begrenzung gemeint sei. Es sei vielmehr zu fordern, dass die 
Anzahl betroffener Personen zum einen bestimmt sein muss, und zum anderen nicht exorbitant 
groß sein darf, wobei letzteres insbesondere nach dem Übermittlungszweck zu beurteilen sei.60 
Schon die Größe des Datensatzes, der personenbezogene Daten von 67,9 Millionen Personen umfasst
, spricht dafür, dass sich eine Übermittlung der Schufa-Daten nicht auf den Auffangtatbestand 
des Art. 49 Abs. 1 UAbs. 2 DSGVO stützen lässt. 

4. Datenschutzrechtliche Konsequenzen bezüglich der Kontrolle durch die deutschen 
Aufsichtsbehörden bei einem Verkauf an ein Unternehmen mit Sitz im Drittland 
(WD 3: Verfassung und Verwaltung) 

4.1. Allgemeines  

Gemäß Art. 51 Abs.1 DSGVO hat jeder Mitgliedstaat eine oder mehrere unabhängige Aufsichtsbehörden
 einzurichten, die die DSGVO-konforme Erhebung und Verarbeitung personenbezogener 
Daten von Unternehmen und öffentlich-rechtlichen Einrichtungen überwachen, damit die Grundrechte
 und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der 
freie Verkehr personenbezogener Daten in der Union erleichtert wird. Die Aufgaben der Aufsichtsbehörden
 sind in Art. 57 Abs. 1 DSGVO aufgeführt, dazu gehören jeweils festgelegte Überwachungs-, 
Durchsetzungs-, Beratungs-, Unterstützungstätigkeiten.61 Die Befugnisse der Aufsichtsbehörden 
regelt Art. 58 DSGVO; sie sind unterteilt in Untersuchungs- (Abs. 1), Abhilfe- und Sanktions- (Abs. 2) 
sowie Genehmigungs- und Beratungsbefugnisse (Abs. 3).  

Die Mitgliedstaaten bestimmen durch nationales Recht, wer Aufsichtsbehörde ist. Für Deutschland 
sind dies insbesondere der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 

                                     

58 Hervorhebungen nur hier. 

59 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 48. 

60 Lange/Filip (Fn. 48), Art. 49 DSGVO Rn. 52; Pauly (Fn. 55), Art. 49 DSGVO Rn. 29. 

61 Ausführlich dazu siehe Wolff (Fn. 19), Rn. 1005. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 20 

die Landesdatenschutzbeauftragten der Länder sowie in Bayern für den nicht-öffentlichen Bereich 
das Landesamt für Datenschutzaufsicht.62  

4.2. Zuständigkeiten der Aufsichtsbehörden, insbesondere bei grenzüberschreitenden Datenverarbeitungen
 

Die Zuständigkeit der Aufsichtsbehörden bestimmt sich grundsätzlich nach Art. 55 DSGVO. Nach 
Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaates für die 
Erfüllung ihrer Aufgaben nach Art. 57 DSGVO und die Ausübung ihrer Befugnisse nach Art. 58 
DSGVO zuständig. Nach dem Erwägungsgrund 122 S. 2 ist die Aufsichtsbehörde insbesondere 
auch dann für die Verarbeitungstätigkeiten eines Verantwortlichen oder Auftragsverarbeiters ohne 
Niederlassung in der Union zuständig, sofern sie auf betroffene Personen mit Wohnsitz in ihrem 
Hoheitsgebiet ausgerichtet sind. Nach Art. 55 Abs. 2 DSGVO sind zudem die nationalen Aufsichtsbehörden
 ausschließlich zuständig, wenn die Verarbeitung gemäß Art. 6 Abs. 1 lit. c) und lit. e) 
DSGVO zur Erfüllung einer rechtlichen Verpflichtung oder im öffentlichen Interesse erfolgt. 

Bei grenzüberschreitenden Datenverarbeitungen greift die Regelung des Art. 56 DSGVO. Dieser 
sieht ein sog. One-Stop-Verfahren vor. Darunter ist zu verstehen, dass eine federführende Aufsichtsbehörde
 an der Hauptniederlassung des Unternehmens alleiniger Ansprechpartner für dieses 
ist. Das One-Stop-Verfahren findet allerdings nur für grenzüberschreitende Verarbeitungen innerhalb
 der EU Anwendung. Unternehmen, die in der EU keine Niederlassung haben, können diese 
Privilegierung nicht in Anspruch nehmen; sie müssen sich ggf. mit verschiedenen gemäß Art. 55 
DSGVO zuständigen Aufsichtsbehörden auseinandersetzen.63 Eine Ausnahme gilt insoweit für 
Unternehmen mit einer Hauptniederlassung oder einer einzigen Niederlassung in Island, Norwegen 
oder Liechtenstein, diese können sich an eine federführende Aufsichtsbehörde in diesen Mitgliedstaaten
 des Europäischen Wirtschaftsraums wenden.64   

Gemäß Art. 77 DSGVO hat jede betroffene Person das Recht, sich an ihre Aufsichtsbehörde mit 
einer Beschwerde zu wenden, unabhängig davon, ob diese zuständig ist oder nicht. Die Aufsichtsbehörde
 ist dann verpflichtet, auf diese Beschwerde sachlich zu reagieren. Für deutsche Aufsichtsbehörden
 regelt § 19 Abs. 2 BDSG für den Fall der Unzuständigkeit der angerufenen Aufsichtsbehörde
 eine Weiterleitungspflicht der Beschwerde an die federführende Aufsichtsbehörde bzw. an 
die Aufsichtsbehörde, in der der Verantwortliche seine Niederlassung hat. Fehlt es an einer solchen 
Behörde, ist die Beschwerde an die Aufsichtsbehörde abzugeben, in deren Zuständigkeitsbereich 
die betroffene Person ihren Wohnsitz hat.  

                                     

62 Schild (Fn. 22), Art. 4 DSGVO Rn. 165. 

63 Eichler, in: Wollf/Brink (Hrsg.), (Fn. 22), Art. 56 DSGVO Rn. 3. 

64 Dix, in: Kühling/Buchner (Hrsg.), (Fn. 51), Art. 56 DSGVO Rn. 6.  



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 21 

4.3. Zuständigkeit der Aufsichtsbehörden bei einem Verkauf der Schufa-Daten an eine Auskunftei 
aus einem Drittland 

Grundlegende Voraussetzung für die Zuständigkeit der Aufsichtsbehörden ist, dass die DSGVO 
überhaupt Anwendung findet. Mit Blick auf den sachlichen Anwendungsbereich gemäß Art. 2 
DSGVO sei insoweit auf die Ausführungen unter 3.1.1. verwiesen.  

Besonderheiten stellen sich hinsichtlich des räumlichen Anwendungsbereichs gemäß Art. 3 DSGVO. 
Hier gilt es zunächst danach zu differenzieren, ob der Käufer eine Niederlassung in der EU hat oder 
einen Auftragsverarbeiter in der Union einsetzt oder ob dies nicht der Fall ist.  

4.3.1. Niederlassungsprinzip, Art. 3 Abs. 1 DSGVO 

Nach dem Niederlassungsprinzip des Art. 3 Abs. 1 DSGVO findet die Datenschutzgrundverordnung 
Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit
 einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union 
erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.  

Der Begriff der Niederlassung wird von der DSGVO nicht definiert; gemäß Erwägungsgrund 22 setzt 
eine Niederlassung im Hoheitsgebiet die effektive und tatsächliche Ausübung einer Tätigkeit durch 
eine feste Einrichtung voraus; auf die Rechtsform einer solchen Niederlassung kommt es dabei 
nicht an. Auch eine geringfügige Tätigkeit ist ausreichend, sodass auch eine Agentur oder eine 
Zweigstelle in der EU und u.U. sogar das Vorhandensein eines einzigen Vertreters eine feste Einrichtung
 begründen können.65 Sollte – wie im Fall eines Share-Deals – die Schufa weiter ihren Sitz 
in Deutschland bzw. in der EU haben, oder sollte der Käufer eine Niederlassung in der EU haben 
oder einen Auftragsverarbeiter in der Union beauftragen, würden die allgemeinen Regelungen 
bezüglich der Zuständigkeit der Aufsichtsbehörden Anwendung finden. 

Soweit das Geschäftsmodell der Schufa in gleicher Weise durch den Käufer weiter betrieben werden
 soll, ist zudem an die Vertragspartner der Schufa zu denken, die an diese personenbezogene 
Daten ihrer Kunden über deren Zahlungsverhalten übermitteln. Soweit diese ihre Niederlassung 
in der EU haben, ist der räumliche Anwendungsbereich der DSGVO für diese Datenverarbeitungen 
eröffnet und es gelten die allgemeinen Regelungen bezüglich der Zuständigkeit der Aufsichtsbehörden
.   

4.3.2. Marktortprinzip, Art. 3 Abs. 2 DSGVO 

Der räumliche Anwendungsbereich kann auch dann eröffnet sein, wenn das Niederlassungsprinzip 
nach Art. 3 Abs. 1 DSGVO nicht greift, aber die in Art. 3 Abs. 2 DSGVO geregelten Voraussetzungen 
des Marktortprinzips erfüllt sind. Dafür müsste die Datenverarbeitung im Zusammenhang damit 
stehen, 

– betroffenen Personen in der Union – auch unentgeltliche – Waren oder Dienstleistungen 
anzubieten (Art. 3 Abs. 2 lit. a) DSGVO), oder  

                                     

65 Ausführlich hierzu Ernst, in: Paal/Pauly (Hrsg), (Fn. 55), Art. 3 DSGVO Rn. 6 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 22 

– das Verhalten betroffener Personen zu beobachten (Art. 3 Abs. 2 lit. b) DSGVO).   

Für die Annahme des Art. 3 Abs. 2 DSGVO genügt es, dass sich die betroffene Person, deren Daten 
verarbeitet werden, innerhalb des Hoheitsgebiets eines Mitgliedstaats zumindest vorübergehend 
aufhält, ein Wohnsitz innerhalb der Union ist dagegen nicht erforderlich.66 Es ist zudem von einem 
umfassenden Waren- und Dienstleistungsbegriff auszugehen, sodass die räumliche Anwendbarkeit 
der DSGVO auch gegeben ist, wenn die betroffene Person keine Zahlung tätigt.67  

Fraglich ist aber, ob bei einer Datenverarbeitung durch eine Auskunftei mit Niederlassung außerhalb
 der EU der gemäß Art. 3 Abs. 2 lit. a) DSGVO geforderte Zusammenhang gegeben wäre. Wie 
oben beschrieben, sieht das derzeitige Geschäftsmodell der Schufa vor, dass diese in der Regel 
keinen Vertrag mit den betroffenen Personen selbst schließt. Ein solcher kommt nur in den Fällen 
einer Selbstauskunft zustande. Die Hauptgeschäftstätigkeit der Schufa liegt vielmehr darin, Unternehmen
 Bonitätsauskünfte über deren potentielle Kunden anzubieten. In diesen Fällen wird den 
betroffenen Personen unmittelbar kein Angebot für eine Dienstleistung unterbreitet. Dies gilt auch 
für eine Auskunftei mit Niederlassung außerhalb der EU, wenn diese das Geschäftsmodell in gleicher 
Weise weiterbetreibt. Für den Bereich der Bonitätsauskünfte dürfte Art. 3 Abs. 2 lit. a) DSGVO 
insofern nicht einschlägig sein. Dagegen könnte sprechen, dass der Begriff des „im Zusammenhang“ 
im Lichte des Art. 44 S. 2 DSGVO grundsätzlich weit auszulegen ist, um ein Untergraben der Datenschutzbestimmungen
 zu verhindern. Literatur und Rechtsprechung haben sich – soweit ersichtlich 
– noch nicht mit dieser speziellen Frage beschäftigt. Für andere Dreiecksverhältnisse, wie z.B. die 
Datenverarbeitung im Rahmen einer outsourcten Personalverwaltung, wird vertreten, dass diese 
kein Dienstleistungsangebot i.S.v. Art. 3 Abs. 2 lit. a) DSGVO darstellen, da der Betroffene selbst 
nicht „Zielkunde“ der Dienstleistung sei.68 Soweit dieser Wertung gefolgt wird, würde der Teil 
der Dienstleistung einer Auskunftei ohne Niederlassung in der EU, der personenbezogene Daten 
verarbeitet, die aber nicht den betroffenen Personen selbst angeboten werden (Bonitätsauskünfte 
für Unternehmen), nicht vom Art. 3 Abs. 2 lit. a) DSGVO erfasst. 

Fraglich ist, ob in diesen Fällen der räumliche Anwendungsbereich aufgrund der Alternative des 
Art. 3 Abs. 2 lit. b) DSGVO – Beobachtung des Verhaltens betroffener Personen – eröffnet sein könnte, 
da der Bonitätsbewertung insbesondere das Zahlungsverhalten der betroffenen Personen zugrunde 
liegt. Dagegen spricht allerdings, dass gemäß Erwägungsgrund 24 Gegenstand der Beobachtung die 
Internetaktivitäten der betroffenen Person sein müssen, soweit diese in der EU erfolgen. Art. 3 
Abs. 2 lit. b) DSGVO soll vor allem den Einsatz von Webtracking-Tools und Social-Media-Plugins 
sowie das Targeting im Rahmen der Werbung erfassen.69 Soweit die Auskunftei ohne Niederlassung 
in der EU weiter ihre Daten von ihren Vertragspartnern erhält, dürfte daher auch Art. 3 Abs. 2 
lit. b) DSGVO nicht einschlägig sein. 

                                     

66 Zerdick (Fn. 34), Art. 3 DSGVO Rn. 17. 

67 Zerdick (Fn. 34), Art. 3 DSGVO Rn. 18. 

68 Spindler/Dalby, in: dies., Recht der elektronischen Medien, 2. Auflage 2019, Art. 3 DSGVO Rn. 9 mit Verweis 
auf die Leitlinien der EDSA. 

69 Ernst (Fn. 65), Art. 3 DSGVO Rn. 18 ff. 



 
 
 

 

 

Wissenschaftliche Dienste Ausarbeitung 
WD 3 - 3000 - 076/21; WD 5 - 3000 - 032/21 

Seite 23 

Die Frage, ob der räumliche Anwendungsbereich aufgrund des Marktortprinzips eröffnet und damit 
die Zuständigkeit der Aufsichtsbehörden in Deutschland bzw. der EU gegeben ist, hängt von den 
jeweiligen Umständen ab, die hier nicht abschließend beurteilt werden können. Es spricht viel 
dafür, dass zumindest Bonitätsauskünfte, die durch eine Auskunftei ohne Niederlassung in der 
EU Unternehmen in der EU und nicht den betroffenen Personen angeboten werden, nicht vom 
räumlichen Anwendungsbereich der DSGVO erfasst sind und damit auch nicht in den Zuständigkeitsbereich
 der Aufsichtsbehörden fallen.  

***