Die Schufa ist seit Monaten datenschutzrechtlich ein heißes Thema. Mal war die Rede von einem "Datenpool" für Wechselkunden bei Strom und Gas, ein anderes Mal von „Kontoschnüffelei“. Jetzt war Deutschlands größte Auskunftei neulich auch noch einer der Protagonisten in einem verwaltungsgerichtlichen Verfahren. Der Start ins neue Jahr, er hätte besser laufen können. Was war passiert? Vor diesem Schreckgespenst fürchten sich die Menschen in Deutschland immer noch: der SCHUFA-Eintrag. In Zeiten von günstiger Finanzierung oder gar zinsfreiem Ratenkauf ist ein Eintrag bei der Schufa das Letzte, was der Kunde möchte. Denn ein solcher kann ihm ja schließlich die Kreditwürdigkeit absprechen. So auch in den von Dr. Sven Tintemann auf anwalt.de geschilderten Fällen. Dessen Kanzlei (AdvoAdvice Rechtsanwälte) reichte vor dem zuständigen Verwaltungsgericht Wiesbaden zwei Klagen ein, um negative SCHUFA-Einträge löschen zu lassen. Die Klagen waren erforderlich geworden, da die Betroffenen mit ihrem Antrag auf Löschung bei der Schufa und der anschließenden Beschwerde über die Weigerung der Schufa beim Hessischen Beauftragte für Datenschutz und Informationsfreiheit auf taube Ohren stießen. Gegen die Aufsichtsbehörde wandten sich dann auch die Klagen. Das Klagebegehren war darauf gerichtet, dass die ursprünglichen Bescheide aufgehoben und die Behörde angewiesen wird, eine Löschung der Negativeinträge bei der Schufa anzuordnen. Falsch datierte Forderung Das erste Verfahren hatte einen relativ harmlosen Sachverhalt zum Gegenstand. Hier hatte die Klägerin im Mai 2020 verwundert feststellen müssen, dass für sie ein Negativeintrag in Höhe von 110 Euro bestand. Der Eintrag bezog sich auf eine Forderung, die Ende April 2020 entstanden war, aber dennoch auf Februar 2020 datiert gewesen ist. Jedenfalls wurde die Forderung zehn Tage nach ihrer Einmeldung von der Klägerin beglichen. Negativeintrag für 16 Jahre Das zweite Verfahren erfordert schon einen längeren Zeitstrahl, um den Sachverhalt zu erfassen. Hier ging es um eine ehemalige Forderung einer großen Bank von über 20.000 Euro. Für die Hauptforderung hatte diese im Jahr 2007 einen Titel in Form eines Vollstreckungsbescheides erwirkt. Im Anschluss an die Titulierung begann der Betroffene die offene Forderung in monatlichen Raten von 50 Euro abzuzahlen. Seit 2014 wurde die Forderung nach einem Schuldenbereinigungsplan bedient, weshalb der Kläger monatliche Raten von über 200 Euro zahlte. Sechs Jahre später wurde die Forderung als erledigt vermerkt. Auch hier wurde der Löschungsaufforderung nicht nachgekommen. Vielmehr sollte sogar eine Speicherung von weiteren drei Jahren bis 2023 gerechtfertigt sein. Unser schöner Zeitstrahl über den Negativeintrag würde jetzt einen Zeitraum von 16 Jahren abdecken. Kein Urteil vom Verwaltungsgericht Wiesbaden So viel sei schon einmal vorweggenommen: zu einem Urteil wird es in beiden Fällen nicht kommen. Kurz vor Jahresende erklärte die Schufa nämlich, dass in beiden Verfahren eine Löschung der Einträge erfolge und sie sich dazu bereit erkläre, die Kosten des jeweiligen Verfahrens zu übernehmen. Die Kläger wird es freuen. Auch datenschutzrechtlich wird das Verfahren (hoffentlich) nachwirken. Dabei geht es nicht nur darum, was die Schufa mit den Daten macht oder zu welchen Zwecken sie personenbezogene Daten verarbeitet. Wichtiger wird die Wirkung des Verfahrens für Löschbegehren von Verbrauchern sein. Das Verwaltungsgericht Wiesbaden hat hier vor allem die Datenschutzbehörde in die Pflicht genommen, solche Begehren ernst zu nehmen. Eine pauschale oder oberflächliche Prüfung wird dem Recht auf Vergessenwerden, welches das Fundament der Löschpflicht der DSGVO darstellt, nicht gerecht. So war es aber hier geschehen. Im ersten Fall hatte die Behörde den Löschantrag 48 Stunden lang „geprüft“. Im wesentlich komplexeren, zweiten Fall hat die Behörde sich nur 24 Stunden mit dem Antrag auseinandergesetzt, bevor sie ihn ablehnte. Statt eine tatsächliche Prüfung vorzunehmen und die widerstreitenden Positionen zu bewerten, zog diese sich auf den Verhaltenskodex der Schufa zurück und vertrat die Ansicht, dass dieses Vorgehen eine ausreichende Prüfung darstellen würde. Eine inhaltlich nachvollziehbare Argumentation war nicht gegeben. Verwaltungsgericht bezieht Stellung Das Gericht brachte deutlich zum Ausdruck, dass der Verhaltenskodex der Auskunfteien nicht dazu führe, dass keinerlei Einzelfallprüfung mehr erfolgen müsse. Zudem könne das Ergebnis einer Abwägung zwischen den Grundrechten und Grundfreiheiten der betroffenen Person und den Interessen des Verantwortlichen, so wie dies von der DSGVO gefordert wird, nicht pauschal mit einer Speicherfrist von drei Jahren festgelegt werden. Vielmehr sei eine Einzelfallprüfung in manchen Kontexten dennoch durchzuführen. Auch die Speicherung ist eine Datenverarbeitung Die DSGVO verlangt für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Einfach gesagt: Die Datenverarbeitung erfolgt zweckgebunden. Das bedeutet, dass die Daten gelöscht werden müssen, wenn der Zweck erreicht wurde. Das gilt es bei der Verarbeitung von personenbezogenen Daten in Form einer Speicherung ebenfalls einzuhalten. Oft werden hier als Rechtsgrundlage Art. 6 Abs. 1 Buchstabe c) DSGVO in Verbindung mit einer Frist aus einem anderen Gesetzbuch herangezogen. Es können aber auch berechtigte Interessen gemäß Art. 6 Abs. 1 Buchstabe f) DSGVO vorliegen, die eine längere Speicherung erforderlich machen. In diesem Fall müssen diese berechtigten Interessen aber begründet und dokumentiert sein. Vor allem müssen sie den Interessen der Betroffenen gegenübergestellt und als vorzugswürdig eingestuft werden. Das ist in diesem Fall nicht geschehen. Besonders bedenklich ist dabei, dass hier die zuständige Aufsichtsbehörde die Vorgaben der DSGVO nicht ansatzweise beachtet zu haben scheint. Stattdessen wurde der Fall einseitig bewertet und die Verweigerung der Löschung mit einem Verhaltenskodex gerechtfertigt. Ein solches Vorgehen wird dem Umstand nicht gerecht, dass mit einem Negativeintrag der Schufa oftmals schwerwiegende Konsequenzen für die Betroffenen einhergehen. Ein behördliches „Nein“ ist nicht immer richtig Die Löschpflicht ist eine der wichtigsten Säulen der DSGVO. Sie umzusetzen fällt in der Praxis vielen Unternehmen nicht leicht. Ein funktionierendes Löschkonzept bleibt somit weiterhin eine der größten Herausforderungen im Datenschutzrecht. Trotz dieser Schwierigkeiten sollten Betroffene immer wachsam sein, sich mit einer Verweigerung der Löschung nicht immer begnügen und eine solche hinterfragen. Das gilt umso mehr, wenn die Weigerung unzureichend begründet oder gar unrechtmäßig erfolgt und dadurch das alltägliche Leben negativ beeinflusst wird. Der Umstand, dass sich zusätzlich eine Behörde mit dem Fall beschäftigt hat, sollte Betroffene nicht immer davon abhalten, ihr Recht einzufordern. Zwar leisten die deutschen Aufsichtsbehörden gute Arbeit, aber unfehlbar sind sie ebenfalls nicht. Beitrag hier kommentieren |