Was uns gelungen ist
Wir haben eine funktionierende Datenspende-Plattform aufgebaut (GitHub) und mehr als 4.000 Menschen dafür gewinnen können, uns ihre SCHUFA-Auskünfte zu übermitteln – sehr sensible Informationen, die man normalerweise nicht aus der Hand gibt.
Spiegel Online und BR haben im Herbst 2018 über die Initiative berichtet und die Daten unabhängig von OpenSchufa ausgewertet. Der Verdacht, dass das SCHUFA-Verfahren zur Ermittlung der Kreditwürdigkeit von 67 Millionen Deutschen Diskriminierung verstärkt und fehlerhaft ist, hat sich erhärtet, auch wenn wir keine gerichtsfesten Beweise liefern können.
Wir haben belegen können, dass die SCHUFA mit ihrer Auskunftspraxis gegen die Datenschutzgrundverordnung verstößt.
Wir haben zeigen können, dass die zuständige Aufsichtsbehörde, der Hessische Landesdatenschutzbeauftragte, die SCHUFA dabei an einer sehr langen Leine lässt – unserer Einschätzung nach ist er entweder nicht willens oder in der Lage, die SCHUFA angemessen zu kontrollieren.
Insgesamt ist es uns also gelungen, dank Crowdfunding (Spendenkampagne) und Crowdsourcing (Datenspende) das intransparente Gebaren des Privatunternehmens SCHUFA durch die Kampagne selbst und diverse Medienberichte einer breiten Öffentlichkeit zu vermitteln. Als Folge davon hat die Bundesministerin für Justiz und Verbraucherschutz, Katharina Barley, gefordert, mehr Transparenz in Scoring und Bonitätsausküfte zu bringen.
Die Ergebnisse der Datenauswertung durch Spiegel Online und den Bayerischen Rundfunk
Womit wir nicht zufrieden sein können
Zudem hat uns die SCHUFA selbst behindert. Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) Ende Mai 2018 änderte die SCHUFA ihre Auskunftspraxis: Kostenfreie Auskünfte enthalten nun in der Regel wesentlich weniger Daten als zuvor. Wir sind der Ansicht, dass die Auskunftspraxis der SCHUFA gesetzeswidrig ist. Das festzustellen und zu verändern, geht aber nicht auf die Schnelle.
Wir konnten also nicht genug aussagekräftige Daten sammeln, um das SCHUFA- Verfahren systematisch so gut zu verstehen, wie wir es uns gewünscht haben.
Zwar haben wir die SCHUFA ins Schwitzen gebracht. Doch ist es uns bislang nicht gelungen, ausreichend Druck aufzubauen, um das SCHUFA-Verfahren für die Öffentlichkeit nachvollziehbarer zu machen. Uns fehlte es schlicht an Arbeitskraft dafür – dafür, immer wieder nachzuhaken, was die Bundesjustizministerin denn jetzt genau tun will. Die Parteien dazu zu bewegen, Position zu beziehen und Veränderungen zu fordern. Bündnisarbeit zu betreiben, um Verbraucherschutz-, Mieterschutzverbände und andere Akteure für die Kampagne zu gewinnen.
Unsere Forderungen
Der Hessische Datenschutzbeauftragte muss seiner Aufsichtspflicht nachkommen (können).
Die Behörde ist für die Kontrolle der SCHUFA zuständig. Offensichtlich ist sie aber damit überfordert. Ein für gesellschaftliche Teilhabe so zentrales Privatunternehmen muss durch demokratisch legitimierte Einrichtungen angemessen und wirksam überprüft werden. Der Datenschutzbeauftrage – oder eine andere, alternativ zu bestimmende Organisation – muss regelmäßig, z.B. alle zwei Jahre, die SCHUFA und vergleichbare Unternehmen umfassend begutachten. Dabei darf es nicht nur um die mathematische/statistische Korrektheit des Verfahren gehen, sondern es sollten folgende Aspekte berücksichtigt werden:
- die Datenhaltung und Datenkonsistenz
- die sozialen Auswirkungen durch mögliche Diskriminierungseffekte
- die effektiven Einspruchsmöglichkeiten Betroffener.
Die für diesen Zweck erstellten Gutachten müssen vollständig öffentlich zugänglich sein.
Die DSGVO bzw. das Bundesdatenschutzgesetz (BDSG) muss angepasst werden.
- Die Regelungslücke, dass die SCHUFA – und ähnliche Unternehmen – ihr Verfahren Betroffenen nicht erläutern muss, sollte geschlossen werden (DSGVO Art. 22, BDSG §31). Weil sie aufgrund des von ihrer errechneten Scores selbst keine Entscheidung trifft und/oder keine rein automatischen Entscheidungen aufgrund des Scores getroffen werden, muss das Scoring-Verfahren (Profiling) nicht erläutern werden. Dieser wiedersinnige Zustand muss behoben werden.
- Es muss überprüft werden, ob die SCHUFA und vergleichbare Unternehmen den Kriterien der DSGVO Art. 12 nachkommen. Dort heißt es, dass dem Betroffenen vom Unternehmen „alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Ob die Auskünfte der SCHUFA in der derzeitigen Form dieser Regelung entsprechen, ist mehr als zweifelhaft.
- Die DSGVO muss so geändert werden, dass die SCHUFA und vergleichbare Unternehmen kurzfristig auf digitalem Weg kostenfrei Auskunft über die gespeicherten Daten und weitere Informationen Auskunft erteilen müssen. Dass die SCHUFA derzeit bis zu 30 Tage Zeit hat, auf dem Postweg einen Zugang zu den digitalen Daten zu liefern (als jpg-Bilddatei), ist eine Farce. Unternehmen, die Individuen de facto zur Datenübermittelung zwingen können, um am gesellschaftlichen Leben teilhaben zu dürfen, dürfen kein Geschäftsmodell daraus machen, Auskunft zu erteilen. Die SCHUFA muss nach einer einmaligen Online-Registrierung, bei der auch ein Nachweis der Berechtigung erfolgen kann (Postident, Online-Personalausweis-Überprüfung o.ä.), den sofortigen Abruf der Daten ermöglichen, über die Bonitätsprüfungsunternehmen Auskunft geben müssen.
Diese Forderungen müssen Gehör finden und aufgegriffen werden. Das Bundesjustizministerium hat Änderungen angemahnt, bisher aber keine Gesetzentwürfe angekündigt.
Stand: Mai 2019
Danksagung