Durchleuchtung von Finanzdaten von Verbraucherinnen und Verbrauchern durch Auskunfteien wie der SCHUFA
der Abgeordneten Dr. Konstantin von Notz, Tabea Rößner, Stefan Schmidt, Lisa Paus, Luise Amtsberg, Canan Bayram, Anja Hajduk, Britta Haßelmann, Katja Keul, Markus Kurth, Monika Lazar, Dr. Irene Mihalic, Claudia Müller, Filiz Polat, Dr. Manuela Rottmann, Wolfgang Wetzel und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Die SCHUFA und andere Auskunfteien haben bereits heute Zugriff auf weitreichende Informationen über Verbraucherinnen und Verbraucher. Die Transparenz der Berechnung der sogenannten Scores wird seit Jahren bemängelt – auch von den zuständigen Aufsichtsbehörden und Verbraucherschutzorganisationen (vgl. Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg „LfDI verwarnt Wirtschaftsauskunftei“ vom 5. Juni 2020).
Die Verbraucherinnen und Verbraucher können oft nicht nachvollziehen, woher die eingemeldeten Daten stammen und auf welche Weise diese Daten für den persönlichen „Score“ gewichtet werden. Zweifelhaft ist auch die Relevanz dieser heute gespeicherten Daten – etwa über das Wohngebiet – für die Bonitätsauskunft (vgl. tagesschau.de vom 8. September 2020, abrufbar unter https://www.tagesschau.de/wirtschaft/schufa-105.html).
Ab 26. November 2020 veröffentlichten Medien weitergehende Praxis-Versuche der SCHUFA („Schufa Check Now“), die offenbar seit dem 4. November 2020 liefen, in Kooperation mit dem Telefonanbieter Telefonica/O2 Kontoauszüge von Verbraucherinnen und Verbrauchern ein Jahr lang zu überprüfen, um so ggf. die Chance auf Abschluss eines Vertrags nach einem vorherigen, negativen Bescheid zu verbessern. Grundlage sei eine Online-Zustimmung der Verbraucherinnen und Verbraucher, die jedoch sehr allgemein und unkonkret gehalten sei und in der keine konkreten Nutzungszwecke genannt seien (vgl. SZ vom 26. November 2020, abrufbar unter https://www.sueddeutsche.de/wirtschaft/schufa-superscore-kontoauszug-konto-horror-1.5128963). Auf diese Berichte hin brach Telefonica als Kooperationspartner der SCHUFA am Folgetag seine Teilnahme an dem Versuch ab (vgl. NDR-Panorama vom 27. November 2020, abrufbar unter https://www.tagesschau.de/investigativ/ndr-wdr/schufa-115.html).
Seit Einführung der Zweiten EU-Zahlungsdiensterichtlinie („PSD2“) ist es möglich, dass Drittanbieter Einblick auf Konten bekommen können. Voraussetzung ist, dass der Kunde dem zustimmt. In einem Beschluss der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, wurde bezüglich der derzeit geltenden Rechtslage festgehalten, dass Handels- und Wirtschaftsauskunfteien sogenannte Positivdaten zu Privatpersonen grundsätzlich nicht auf Grundlage des Artikels 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) erheben können. Denn hier überwiege regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihrer Daten zu bestimmen. Würden die Daten von einem Verantwortlichen an eine Auskunftei übermittelt, sei insoweit bereits die Übermittlung dieser Daten nach Artikel 6 Absatz 1 Satz 1 Buchstabe f DS-GVO regelmäßig unzulässig. Wolle eine Auskunftei Positivdaten zu Privatpersonen erheben, bedürfe es dafür im Regelfall einer wirksamen Einwilligung der betroffenen Personen im Sinne des Artikels 7 DS-GVO. Auf die hohen Anforderungen an die Freiwilligkeit nach Artikel 7 Absatz 4 DS-GVO werde hingewiesen. Sofern die Auskunftei oder deren Vertragspartner zu diesem Zweck eine für eine Vielzahl von Fällen vorformulierte Einwilligungsklausel verwende, die als Allgemeine Geschäftsbedingung im Sinne des § 305 des Bürgerlichen Gesetzbuchs (BGB) zu werten sei, müsse eine entsprechende Einwilligung darüber hinaus den Anforderungen des § 307 BGB genügen (vgl. Beschluss der DSK „Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ vom 11. Juni 2018).
Wir fragen die Bundesregierung:
Fragen9
Welche Kenntnisse liegen der Bundesregierung über die bekannt gewordene Kooperation von SCHUFA und Telefonica/O2 vor, insbesondere über
a) den Beginn und die geplante Dauer des Versuchs;
b) die vorherige Prüfung und Genehmigung durch Aufsichtsbehörden;
c) die Zahl der teilnehmenden Verbraucherinnen und Verbraucher;
d) die konkrete Ausgestaltung der Einwilligung der Verbraucherinnen und Verbraucher;
e) die Nutzung von Daten dieser Verbraucherinnen und Verbraucher durch die beiden Unternehmen;
f) die Mechanismen und Technologie, mit denen die SCHUFA sicherstellen wollte, dass nur relevante Kontodaten erfasst, andere, „sensible“ (welche) Daten automatisch gelöscht werden sollen;
g) die etwaige Übermittlung dieser Daten an (welche?) weiteren Unternehmen;
h) die Rückabwicklung dieser Kooperation inklusive der Löschung bzw. Vernichtung aller dadurch bei der SCHUFA erhobenen bzw. entstandenen Daten der Verbraucherinnen und Verbraucher;
i) Telefonicas Gründe, sich von dieser Kooperation zurückzuziehen;
j) das Vorhaben der SCHUFA (lt. SZ.de, a. a. O.), die erhofften Kontodaten der Verbraucherinnen und Verbraucher auszuwerten und diese in zwölf Kategorien mit 65 Unterkategorien (Gehalt, Unterhaltszahlungen, Ausgaben für Heimwerken, Garten, Strom, Gas, Versicherungen, Wellness) sowie auf sogenannte Risikofaktoren hin (z. B. Glücksspiel, Zahlungen an Inkassoinstitute) einzuteilen;
k) die Aussage von Vertretern der SCHUFA, für Verbraucherinnen und Verbraucher, die keinen Auftrag zum Einblick ins Konto erteilten, ergäben sich hierdurch keine Nachteile und es würde bei der klassischen Bonitätsprüfung bleiben;
l) entsprechende Pläne der SCHUFA schon seit 2018, als sie die „finAPI GmbH“ mit einer sogenannten „PSD2“-Lizenz der BaFin zum Konten-Auslesen kaufte (https://www.finapi.io/finapi-psd2-lizenz/), dass sie schon damals kontinuierliche Kontoeinsicht sowie regelmäßige Übertragung und Speicherung der Daten zur „Berechnung von Scores bei jeder Anfrage“ vorhatte (lt. SZ.de, a. a. O.);
m) weitergehende „aktuelle Produktentwicklungsansätze“ der SCHUFA ab 2019, mit den Kontodaten weitere Informationen, auch hinsichtlich Gewohnheiten und Vorlieben der Verbraucherinnen und Verbraucher zu erkennen und zu bewerten („Neue Scores, Ergänzung bestehender Scores um zusätzliche Indikatoren, zudem Kontoführungsscores, integrierte Scores, diverse Affinitätsscores“; lt. SZ.de, a. a. O.);
n) die Kenntniserlangung der zuständigen bayerischen Datenschutz-Aufsichtsbehörde, erst nachdem die SCHUFA am 4. November 2020 ihre Website mit dem geschilderten Einwilligungsbutton freigeschaltet hatte (lt. SZ.de, a. a. O.)?
Hat die Bundesregierung diese Kooperation und Verarbeitung von Daten der Verbraucherinnen und Verbraucher bewertet, insbesondere
a) dass die Verbraucherinnen und Verbraucher einerseits der SCHUFA per Klick erlauben sollten, die Kontoauszüge zu lesen, diese Daten zwölf Monate lang zu speichern und daraus eigene Produkte zu entwickeln, andererseits die Schufa behauptete, derweil speichere sie keine Daten (vgl. SZ.de, a. a. O.),
b) ob die Bundesregierung eine solche Praxis mit rechtlichen Vorgaben und im Lichte der diesbezüglichen Ausführungen der zuständigen Aufsichtsbehörden für rechtlich zulässig hält,
c) ob die Bundesregierung die Wirksamkeit der Einwilligung der Betroffenen im Sinne des Artikels 7 DS-GVO und die hohen Anforderungen an die Freiwilligkeit nach Artikel 7 Absatz 4 DS-GVO für gegeben hält,
d) dass die SCHUFA trotz ihrer skizzierten, schon konkreten Pläne zur Nutzung dieser Daten öffentlich bzw. gegenüber Verbraucherinnen und Verbrauchern das Gegenteil behauptet („Über die spätere Ausgestaltung des finalen Produktes können wir derzeit daher noch keine Auskunft geben.“, lt. SZ.de, a. a. O.),
e) ob es sich hierbei nach Meinung der Bundesregierung um gezielte sowie ggf. wettbewerbswidrige Täuschungen der Verbraucherinnen und Verbraucher durch die SCHUFA handelt,
f) ob die SCHUFA, die nach eigenen Angaben bisher weder Einkünfte noch Vermögen der Verbraucherinnen und Verbraucher kennt (lt. SZ.de, a. a. O.), nach Kenntnis der Bundesregierung durch deren geschildertes Projekt erstmals doch diese Kenntnisse erhielte,
g) auf etwaige Vorteile für Verbraucherinnen und Verbraucher hin, gegenüber ihren Versorgern bzw. Dienstleistern wie Telefonica – ohne jeden Bezug dazu – in eine sogenannte Datenspende für die SCHUFA wie geschildert einzuwilligen?
Teilt die Bundesregierung die Auffassung der Fragestellenden, dass solche neuen und größeren Sammlungen persönlicher Daten über Verbraucherinnen und Verbraucher das strukturelle Ungleichgewicht von Verbraucherinnen und Verbrauchern gegenüber Auskunfteien wie die SCHUFA nebst kooperierenden Unternehmen weiter erhöht?
Teilt die Bundesregierung die Auffassung der Fragestellenden, dass die Speicherung von umfangreichen Positivdaten wie Kontoauszügen eine neue Qualität der Information ist und nicht notwendig ist für die Berechnung üblicher Kreditscores?
Sieht die Bundesregierung die Gefahr, dass die SCHUFA nach Einwilligung der Verbraucherinnen und Verbraucher Kontoauszüge für zwölf Monate „zum Zwecke ihrer Aufgaben als Auskunftei und Informationsdienstleister“ verarbeitet und so die Grundlage für einen neuen „Superscore“ schafft, und wie will sie hierauf – in Abstimmung mit den zuständigen Aufsichtsbehörden – reagieren?
Wird die Bundesregierung dies zum Anlass nehmen, die Empfehlungen des Sachverständigenrats für Verbraucherfragen aufzugreifen und konkret zu prüfen, inwieweit bestehende Instrumente der Datenschutz-Grundverordnung (insbesondere Zweckbindungsgrundsatz und Koppelungsverbot) auch zur Verhinderung von Superscores einsetzbar sind (s. https://www.svr-verbraucherfragen.de/wp-content/uploads/SVRV_Verbraucher-gerechtes_Scoring.pdf, S. 7)?
Wird das Bundesministerium der Justiz und für Verbraucherschutz nach der angekündigten rechtlichen Prüfung dieses Geschäftsmodells (vgl. NDR-Panorama, 27. November 2020, a. a. O.) dem Deutschen Bundestag unverzüglich Ergebnisse und zu ergreifende Konsequenzen berichten, und falls nein, warum nicht?
Welche der von ihr nach Ansicht der Fragestellerinnen und Fragesteller zu ergreifenden Konsequenzen gegen die geschilderten Praktiken sieht die Bundesregierung jetzt schon ab, einschließlich Vorlage eines Entwurfs ggf. nötiger Gesetzesänderungen?
Welche Schritte wird die Bundesregierung möglicherweise unternehmen, auch in Kooperation mit den in diesem Fall zuständigen Datenschutz-Aufsichtsbehörden in Hessen und Bayern, um die Verbraucherinnen und Verbraucher davor zu bewahren, aufgrund unklarer Einwilligungsbedingungen zu einer Preisgabe umfangreicher sensibler Daten über sich verleitet zu werden?
Sieht die Bundesregierung angesichts der Tatsache, dass es seit der Einführung der Zweiten EU-Zahlungsdiensterichtlinie („PSD2“) möglich ist, dass Drittanbieter nach Einwilligung Einblick auf Konten bekommen können vor dem Hintergrund des derzeitigen Falles ggf. auch Überarbeitungsbedarf hinsichtlich der PSD2-Richtlinie?