© 2020 Deutscher Bundestag WD 3 - 3000 - 283/20 Schufa und DSGVO Ausarbeitung Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 283/20 Seite 2 Schufa und DSGVO Aktenzeichen: WD 3 - 3000 - 283/20 Abschluss der Arbeit: 11. Dezember 2020 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 283/20 Seite 3 1. Einleitung und Fragestellung Nach Medienberichten plant Deutschlands größte Wirtschaftsauskunftei (Schufa), in Zukunft Verbraucherinnen und Verbraucher auch anhand ihrer Kontoauszüge zu bewerten (Schufa CheckNow). Dazu habe die Schufa einen Kontoinformationsdienst gekauft, auf dessen Kontoinformationen die Schufa nach Einwilligung der betroffenen Personen zugreifen möchte.1 Es wurden die Fragen aufgeworfen, wie der Zugriff auf die Kontodaten nach Einwilligung bzw. der Ankauf eines Zahlungsdienstleisters durch eine Auskunftei nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung, im Folgenden DSGVO) zu bewerten sei. Vorliegend werden die Fragen hinsichtlich der DSGVO aufgrund des engen Zeitrahmens für die Beantwortung nur kursorisch beantwortet. 2. Zugriff auf Kontodaten nach Zustimmung gemäß DSGVO Die automatisierte Verarbeitung personenbezogener Daten bestimmt sich nach der DSGVO. Kontodaten unterfallen dem sachlichen Anwendungsbereich, da sie Ausdruck der wirtschaftlichen Identität einer natürlichen Person sind (Art. 4 Nr. 1 DSGVO). Die Rechtmäßigkeit der Datenverarbeitung bestimmt sich abschließend nach Art. 6 DSGVO, nach dem mindestens eine der dort genannten Bedingungen erfüllt sein muss.2 Einschlägig für das nach den Medienberichten geplante Vorgehen der Schufa dürfte vorliegend Art. 6 Abs. 1 lit. a (Einwilligung ) bzw. lit. f (berechtigte Interessen) DSGVO sein. Nach lit. a muss die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben haben. Die Anforderungen an eine Einwilligung sind in Art. 7 DSGVO geregelt. Danach muss der Verantwortliche für die Datenverarbeitung die Einwilligung nachweisen (Art. 7 Abs. 1 DSGVO). Eine schriftliche Einwilligung, die noch andere Sachverhalte betrifft, muss verständlich in klarer Sprache abgefasst sein und die Trennung von den anderen Sachverhalten deutlich erkennen lassen (Art. 7 Abs. 2 DSGVO). Da personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Art. 5 Abs. 1 lit. b DSGVO), muss über diese Zwecke vor oder 1 Büttner, in: Zeit-Online, Schufa will künftig auch Kontoauszüge auswerten, vom 27. November 2020 (https://www.zeit.de/wirtschaft/2020-11/check-now-service-schufa-kontoauszuege-auskunft-bankgeheimnisdatenschutz , zuletzt abgerufen am 9. Dezember 2020); Spiegel Online, Schufa will angeblich Kontoauszüge einsehen vom 27. November 2020 (https://www.spiegel.de/netzwelt/web/schufa-will-angeblich-kontoauszuegevon -o2-kunden-einsehen-a-0449851d-85e6-4169-ab68-a9dbe6a065c7, zuletzt abgerufen am 9. Dezember 2020). 2 Schulz, in: Gola (Hrsg.), Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 6, Rn. 1. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 283/20 Seite 4 bei der Einwilligung informiert werden.3 Die Einwilligung muss freiwillig erfolgen, wobei zu berücksichtigen ist, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind (Art. 7 Abs. 4 DSGVO). Sind diese Anforderungen an eine Einwilligung erfüllt, würde die Verarbeitung der Kontoinformationen durch die Schufa eine rechtmäßige Datenverarbeitung im Sinne von Art. 6 Abs. 1 lit. a DSGVO darstellen. Nach den Medienberichten soll eine Prüfung der Kontoinformationen nur erfolgen, wenn der Kunde ansonsten keinen Vertrag abschließen könnte und er ausdrücklich und freiwillig eingewilligt hat.4 Ob die Einwilligung in einer Situation, in der ansonsten ein Vertragsschluss nicht erfolgen würde, tatsächlich freiwillig ist, scheint fraglich.5 Von der Zulässigkeit sogenannter Schufa-Klauseln bei Verträgen mit einem Ausfallrisiko wird (bislang ohne Auswertung der Kontoinformationen) im Allgemeinen ausgegangen, obwohl der Vertragsschluss von der Einwilligung abhängig gemacht wird.6 Dabei wird davon ausgegangen, dass die Datenverarbeitung auf Grundlage der allgemeinen Interessenabwägungsklausel nach Art. 6 Abs. 1 lit. f DSGVO ohnehin zulässig ist, weil die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen (Bonitätsprüfung) erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Es bedarf daher keiner Einwilligung. Zwar wird dem Kunden darüber fälschlicherweise suggeriert, die Entscheidung über die Unterzeichnung oder Nicht-Unterzeichnung der Klausel stünde in seinem freien Ermessen. Gleichwohl werden auf diese Weise die Transparenz hinsichtlich der Datenverarbeitung durch die Auskunftei insgesamt erhöht und dem Kunden die Folgen seines Antrages transparent dargestellt.7 Ob die Datenverarbeitung auch unter dem Gesichtspunkt der Auswertung von Kontoinformationen zur Bonitätsprüfung nach der allgemeinen Interessenabwägungsklausel in Art. 6 Abs. 1 lit. f DSGVO rechtmäßig wäre, bedarf einer Prüfung im Einzelfall.8 Art. 6 Abs. 1 lit. f DSGVO sieht vor, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach dem Erwägungsgrund 47 der DSGVO sind dabei die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem 3 Schulz (Fn. 2), Art. 6, Rn. 21. 4 Vgl. Pressemitteilung der Schufa, SCHUFA CheckNow erweitert Möglichkeiten der Bonitätsprüfung durch Kontodatenanalyse im Auftrag des Verbrauchers vom 16. November 2020, (https://www.schufa.de/ueberuns /presse/pressemitteilungen/schufa-checknow-erweitert-moeglichkeiten-bonitaetspruefung-kontodatenanalyse -auftrag-verbrauchers.jsp, abgerufen am 9. Dezember 2020). 5 Ausführlich zum Koopelungsverbot Stemmer, in: Wolff/Brink (Hrsg.) BeckOK Datenschutzrecht, 34. Edition, Stand: 01.11.2020, Art. 7 DSGVO, Rn. 40 ff. 6 Schulz (Fn. 2), Art. 7, Rn. 33. 7 Schulz (Fn. 2), Art. 7, Rn. 33. 8 Schulz (Fn. 2), Art. 6, Rn. 67. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 283/20 Seite 5 Verantwortlichen beruhen, zu berücksichtigen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Vorliegend stellt sich die Situation wie folgt dar. Der Kunde möchte einen Vertrag abschließen, der für den Anbieter mit einem Ausfallrisiko verbunden ist. Dieser hat daher ein berechtigtes Interesse an einer Bonitätsprüfung. Vor Vertragsschluss wird der Kunde auf die Datenerhebung und -verarbeitung hinsichtlich der Kontoinformationen hingewiesen. Zu der Verarbeitung der Kontoinformationen zur Bonitätsprüfung kann er dabei separat einwilligen. Der Kunde muss in dieser Situation die Erwartung haben, dass seine Daten entsprechend verwendet werden. Der Anbieter wird sich daher auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen können. Der Zugriff auf die Kontoinformationen zur Bonitätsprüfung ist daher entweder durch die Einwilligung oder, sofern man nicht von der Freiwilligkeit der Einwilligung ausgehen kann, durch ein berechtigtes Interesse gerechtfertigt. 3. Ankauf eines Zahlungsdienstleisters gemäß DSGVO Die Zulässigkeit der Datenverarbeitung durch Auskunfteien hängt zunächst von der Rechtmäßigkeit der von der meldenden Stelle vorgenommenen Datenerhebung und -übermittlung nach Art. 6 Abs. 1 lit. a bzw. lit. f DSGVO ab.9 Für die Rechtmäßigkeit der Datenverarbeitung der bei dem Kontoinformationsdienstleister erhobenen Daten sind daher die Gegebenheiten zum Zeitpunkt der Datenerhebung beim Kontoinformationsdienstleister zu bewerten. Dabei ist wegen der Zweckbindung der Datenerhebung nach Art. 5 Abs. 1 lit. b DSGVO zu berücksichtigen, welche festgelegten, eindeutigen und legitimen Zwecke der ursprünglichen Datenerhebung zugrunde lagen.10 Dies muss im Einzelfall geprüft werden. War der Zweck bei der Datenerhebung beim Kontoinformationsdienstleister bereits (auch) die Verarbeitung durch oder Übermittlung an eine Auskunftei, ist die Datenverarbeitung durch eine Einwilligung oder berechtigte Interessen gerechtfertigt, wenn die jeweiligen Voraussetzungen vorliegen. Macht der Verantwortliche alle im Zeitpunkt der Datenerhebung denkbaren Verwendungszwecke auch bereits zum Gegenstand der ursprünglichen Zweckbestimmung, findet Art. 6 Abs. 4 DSGVO, der die Verwendung zu anderen Zwecken regelt, keine Anwendung.11 War der ursprüngliche Zweck der Datenerhebung beim Kontoinformationsdienstleister nicht (auch) die Verarbeitung durch oder Übermittlung an eine Auskunftei, würde die Datenverarbeitung zu 9 Schulz (Fn. 2), Art. 6, Rn. 117. 10 Schantz, in: Wolff/Brink (Hrsg.) BeckOK Datenschutzrecht, 34. Edition, Stand: 01.05.2020, Art. 5 DSGVO, Rn. 13 ff. 11 Schulz (Fn. 2), Art. 6. Rn. 219. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 283/20 Seite 6 einem anderen Zweck erfolgen als ursprünglich vorgesehen. Die Voraussetzungen dafür sind in Art. 6 Abs. 4 DSGVO geregelt. Danach können Daten zu einem anderen Zweck verarbeitet werden, wenn dies durch eine Einwilligung oder Rechtsvorschriften, die die Ziele des Art. 23 DSGVO schützen,12 gerechtfertigt wäre. Liegt beides nicht vor, können die Daten zu einem anderen Zweck verarbeitet werden, wenn der neue Zweck der Datenverarbeitung mit dem Zweck, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. Hierbei sind unter anderem die in Art. 6 Abs. 4 lit. a bis e DSGVO genannten Punkte, wie die Verbindung zwischen den Zwecken oder die möglichen Folgen der beabsichtigten Weiterverarbeitung, im Einzelfall zu prüfen. Es kann daher nicht pauschal beurteilt werden, ob der neue Zweck (Weitergabe an eine Auskunftei) mit dem ursprünglichen Zweck der Datenerhebung beim Kontoinformationsdienstleister vereinbar ist oder nicht. Für den Fall, dass der neue Zweck mit den alten Zwecken vereinbar ist, sind die Informationspflichten nach Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DSGVO zu beachten. Den Betroffenen sind vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung zu stellen. Wenn der neue Zweck nicht mit den bisherigen Zwecken vereinbar ist, kann die Rechtmäßigkeit der Datenverarbeitung durch eine neue Einwilligung, die sich auch auf die neuen Zwecken bezieht, erreicht werden. *** 12 Insb. § 24 Bundesdatenschutzgesetz regelt diese Fälle, die vorliegend aber nicht einschlägig sind.