Kleine Anfrage zu Plänen der SCHUFA und zu Maßnahmen der Bundesregierung

Am 27.11. thematisierten wir hier bereits ausführlich die aktuellen Plänen der SCHUFA, in Zukunft Verbraucherinnen und Verbraucher auch anhand ihrer Kontoauszüge zu bewerten, über die NDR, WDR und Süddeutsche Zeitung berichtet haben. Das geplante Durchleuchten von Kontoauszügen von Verbrauchern geht gar nicht.

Gemeinsam haben Tabea und ich die zuständigen Aufsichtsbehörden und die Bundesregierung aufgefordert, dem weiteren Ausverkauf von Grundrechten durch SCHUFA und andere Auskunfteien Einhalt zu gebieten. Die Bundesregierung muss in Kooperation mit den Landesdatenschutzbeauftragten von Hessen und Bayern entschlossen einschreiten und gemeinsam verhindern, dass die Verbraucherinnen und Verbraucher auf Grundlage unklarer Einwilligungen gezwungen werden, immer mehr Daten über sich preisgeben zu müssen. Einer Absenkung von mühsam erkämpften Standards muss verhindert und – nötigenfalls auch gesetzgeberisch – nachjustiert werden.

Auch wenn der Test mittlerweile von Seiten des Kooperationspartners mittlerweile beendet wurde, stellen sich aus unserer Sicht weiterhin eine ganze Reihe von Fragen. Diese haben wir in einer Kleinen Anfrage „Durchleuchtung von Finanzdaten von Verbraucherinnen und Verbrauchern durch Auskunfteien wie der SCHUFA“ an die Bundesregierung gerichtet, die wir an dieser Stelle im Klartext dokumentieren. Über die Antwort der Bundesregierung halten wir Euch gerne auf dem Laufenden.

KLEINE ANFRAGE

Der Abgeordneten Dr. Konstantin von Notz, Tabea Rößner, Stefan Schmidt, Lisa Paus, Luise Amtsberg, Canan Bayram, Anja Hajduk, Britta Haßelmann, Katja Keul, Markus Kurth, Monika Lazar, Dr. Irene Mihalic, Claudia Müller, Filiz Polat, Dr. Manuela Rottmann, Wolfgang Wetzel und der Fraktion Bündnis 90 / Die Grünen

Durchleuchtung von Finanzdaten von Verbraucherinnen & Verbrauchern durch Auskunfteien wie der SCHUFA

Die SCHUFA und andere Auskunfteien haben bereits heute Zugriff auf weitreichende Informationen über Verbraucherinnen und Verbraucher. Die Transparenz der Berechnung der sogenannten „Scores“ wird seit Jahren bemängelt – auch von den zuständigen Aufsichtsbehörden und Verbraucherschutzorganisationen (vgl. Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg „LfDI verwarnt Wirtschaftsauskunftei“ vom 5.06. 2020).

Die Verbraucherinnen und Verbraucher können oft nicht nachvollziehen, woher die eingemeldeten Daten stammen und auf welche Weise diese Daten für den persönlichen „Score“ gewichtet werden. Zweifelhaft ist auch die Relevanz dieser heute gespeicherten Daten – etwa über das Wohngebiet – für die Bonitätsauskunft (vgl. tagesschau.de vom 8.9.2020, abrufbar unter https://www.tagesschau.de/wirtschaft/schufa-105.html).

Ab 26.11.2020 veröffentlichten Medien weitergehende Praxis-Versuche der SCHUFA („Schufa Check Now“), die offenbar seit dem 4.11.2020 liefen, in Kooperation mit dem Telefonanbieter Telefonica /O2 Kontoauszüge von Verbraucherinnen und Verbrauchern ein Jahr lang zu überprüfen, um so gegebenenfalls die Chance auf Abschluss eines Vertrags nach einem vorherigem, negativen Bescheid zu verbessern. Grundlage sei eine Online-Zustimmung der Verbraucherinnen und Verbraucher, die jedoch sehr allgemein und unkonkret gehalten sei und in der keine konkreten Nutzungszwecke genannt seien (vgl. SZ vom 26.11.2020, abrufbar unter https://www.sueddeutsche.de/wirtschaft/schufa-superscore-kontoauszug-konto-horror-1.5128963 ). Auf diese Berichte hin brach Telefonica als Kooperationspartner der SCHUFA am Folgetag seine Teilnahme an dem Versuch ab (vgl. NDR-Panorama vom 27.11.2020, abrufbar unter https://www.tagesschau.de/investigativ/ndr-wdr/schufa-115.html).

Seit Einführung der Zweiten EU-Zahlungsdiensterichtlinie („PSD2“) ist es möglich, dass Drittanbieter Einblick auf Konten bekommen können. Voraussetzung ist, dass der Kunde dem zustimmt. In einem Beschluss der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, wurde bezüglich der derzeit geltenden Rechtslage festgehalten, dass Handels- und Wirtschaftsauskunfteien sogenannte „Positivdaten“ zu Privatpersonen grundsätzlich nicht auf Grundlage Art. 6 Abs. 1 lit. f DSGVO erheben können. Denn hier überwiege regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihrer Daten zu bestimmen. Würden die Daten von einem Verantwortlichen an eine Auskunftei übermittelt, sei insoweit bereits die Übermittlung dieser Daten nach Art. 6 Abs. 1 S. 1 lit. f DSGVO regelmäßig unzulässig. Wolle eine Auskunftei Positivdaten zu Privatpersonen erheben, bedürfe es dafür im Regelfall einer wirksamen Einwilligung der betroffenen Personen im Sinne des Art. 7 DSGVO. Auf die hohen Anforderungen an die Freiwilligkeit nach Art. 7 Abs. 4 DSGVO werde hingewiesen. Sofern die Auskunftei oder ihre Vertragspartner zu diesem Zweck eine für eine Vielzahl von Fällen vorformulierte Einwilligungsklausel verwende, die als Allgemeine Geschäftsbedingung im Sinne des § 305 BGB zu werten sei, müsse eine entsprechende Einwilligung darüber hinaus den Anforderungen des § 307 BGB genügen (vgl. Beschluss der DSK „Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien“ vom 11.06.2018).

Wir fragen die Bundesregierung:

  1. Welche Kenntnisse liegen der Bundesregierung über die bekannt gewordene Kooperation von SCHUFA und Telefonica /O 2 vor, insbesondere über

    1.1. den Beginn und die geplante Dauer des Versuchs;
    1.2. die vorherige Prüfung und Genehmigung durch Aufsichtsbehörden;
    1.3. die Zahl der teilnehmenden Verbraucherinnen und Verbraucher;
    1.4 die konkrete Ausgestaltung der Einwilligung der Verbraucherinnen und Verbraucher;
    1.5. die Nutzung von Daten dieser Verbraucherinnen und Verbraucher durch die zwei Unternehmen;
    1.6. die Mechanismen und Technologie, mit denen die SCHUFA sicherstellen wollte, dass nur relevante Kontodaten erfasst, andere, „sensible“ (welche?) Daten automatisch gelöscht werden sollen;
    1.7. die etwaige Übermittlung dieser Daten an (welche?) weiteren Unternehmen?
    1.8. die Rückabwicklung dieser Kooperation inklusive der Löschung/Vernichtung aller dadurch bei SCHUFA erhobenen / entstandenen Daten der Verbraucherinnen und Verbraucher;
    1.9. Telefonicas Gründe, sich von dieser Kooperation zurückzuziehen?1.10. das Vorhaben der SCHUFA (lt. SZ.de aaO), die erhofften Kontodaten der Verbraucherinnen und Verbraucher auszuwerten und diese in zwölf Kategorien mit 65 Unterkategorien (Gehalt, Unterhaltszahlungen, Ausgaben für Heimwerken, Garten, Strom, Gas, Versicherungen, Wellness) sowie auf sogenannte „Risikofaktoren“ hin (z.B. Glücksspiel, Zahlungen an Inkassoinstitute) einzuteilen;
    1.11. zur Aussage von Vertretern der SCHUFA, für Verbraucherinnen und Verbraucher, die keinen Auftrag zum Einblick ins Konto erteilten, ergäben sich hierdurch keine Nachteile und es würde bei der klassischen Bonitätsprüfung bleiben?
    1.12. entsprechende Pläne der SCHUFA schon seit 2018, als sie die „finAPI GmbH“ mit einer sogenannten „PSD2“-Lizenz der BaFin zum Konten-Auslesen kaufte (https://www.finapi.io/finapi-psd2-lizenz/), dass sie schon damals kontinuierliche Kontoeinsicht sowie regelmäßige Übertragung und Speicherung der Daten zur „Berechnung von Scores bei jeder Anfrage“ vorhatte (lt. SZ.de aaO);
    1.13. weitergehende „aktuelle Produktentwicklungsansätze“ der SCGHUFA ab 2019, mit den Kontodaten weitere Informationen, auch hinsichtlich Gewohnheiten und  Vorlieben der Verbraucherinnen und Verbraucher zu erkennen und bewerten („Neue Scores, Ergänzung bestehender Scores um zusätzliche Indikatoren, zudem Kontoführungsscores, integrierte Scores, diverse Affinitätsscores“: lt. SZ.de aaO);
    1.14. Kenntniserlangung der zuständigen bayrischen Datenschutz-Aufsichtsbehörde erst, nachdem die SCHUFA am 4.11.2020 ihre Website mit dem geschilderten Einwilligungs-Button freigeschaltet hatte (lt. SZ.de aaO);

  2. Wie bewertet die Bundesregierung diese Kooperation und Verarbeitung von Daten der Verbraucherinnen und Verbraucher, insbesondere

    2.1. dass die Verbraucherinnen und Verbraucher einerseits der SCHUFA per Klick erlauben sollten, die Kontoauszüge zu lesen, diese Daten zwölf Monate lang zu speichern und daraus eigene Produkte zu entwickeln, andererseits die Schufa behauptete, derweil speichere sie keine Daten (vgl. SZ.de aaO)?
    2.2. ob die Bundesregierung eine solche Praxis mit rechtlichen Vorgaben und im Lichte der diesbezüglichen Ausführungen der zuständigen Aufsichtsbehörden für rechtlich zulässig hält?
    2.3. ob die Bundesregierung die Wirksamkeit der Einwilligung der Betroffenen im Sinne des Art. 7 DSGVO und die hohen Anforderungen an die Freiwilligkeit nach Art. 7 Abs. 4 DSGVO für gegeben hält?
    2.4. dass die SCHUFA trotz ihrer skizzierten,  schon konkreten Pläne zur Nutzung dieser Daten öffentlich bzw. gegenüber Verbraucherinnen und Verbraucher das Gegenteil behauptet („Über die spätere Ausgestaltung des finalen Produktes können wir derzeit daher noch keine Auskunft geben.„, lt. SZ.de aaO)?
    2.5. ob es sich hierbei nach Meinung der Bundesregierung um gezielte sowie ggf. wettbewerbswidrige Täuschungen der Verbraucherinnen und Verbraucher durch die SCHUFA handelt?
    2.6. ob die SCHUFA, die nach eigenen Angaben bisher weder Einkünfte noch Vermögen der Verbraucherinnen und Verbraucher kennt (lt. SZ.de aaO.), durch deren geschildertes Projekt erstmals doch diese Kenntnisse erhielte?
    2.7. auf etwaige Vorteile für Verbraucherinnen und Verbraucher hin, gegenüber ihren Versorgern bzw. Dienstleistern wie Telefonica – ohne jeden Bezug dazu – in eine sogenannte „Datenspende“ für SCHUFA wie geschildert einzuwilligen?

3. Teilt die Bundesregierung die Auffassung der Fragestellenden, dass solche neuen und größeren Sammlungen persönlicher Daten über Verbraucherinnen und Verbraucher das strukturelle Ungleichgewicht von Verbraucherinnen und Verbraucher gegenüber Auskunfteien wie SCHUFA nebst kooperierender Unternehmen weiter erhöht?

4. Teilt die Bundesregierung die Auffassung der Fragestellenden, dass die Speicherung von umfangreichen Positivdaten wie Kontoauszügen eine neue Qualität der Information ist und nicht notwendig ist für die Berechnung üblicher Kreditscores?Sieht die Bundesregierung die Gefahr, dass die SCHUFA nach Einwilligung der Verbraucherinnen und Verbraucher Kontoauszüge für zwölf Monate „zum Zwecke ihrer Aufgaben als Auskunftei und Informationsdienstleister“ verarbeitet und so die Grundlage für einen neuen „Superscore“ schafft und wie will sie hierauf – in Abstimmung mit den zuständigen Aufsichtsbehörden – reagieren?

5. Wird die Bundesregierung dies zum Anlass nehmen, die Empfehlungen des Sachverständigenrats für Verbraucherfragen aufzugreifen und konkret zu prüfen, inwieweit bestehende Instrumente der Datenschutzgrundverordnung (insbesondere Zweckbindungsgrundsatz und Koppelungsverbot) auch zur Verhinderung von Superscores einsetzbar sind (s. https://www.svr-verbraucherfragen.de/wp-content/uploads/SVRV_Verbrauchergerechtes_Scoring.pdf, S. 7)?

6. Wird das Bundesministerium für Justiz und Verbraucherschutz nach der angekündigten rechtlichen Prüfung dieses Geschäftsmodells (vgl. NDR-Panorama 27.11.2020 aaO) dem Bundestag unverzüglich Ergebnisse und zu ergreifende Konsequenzen berichten und falls nein, warum nicht?

7. Welche der von ihr zu ergreifenden Konsequenzen gegen die geschilderten Praktiken sieht die Bundesregierung jetzt schon ab, einschließlich Vorlage eines Entwurfs gegebenenfalls nötiger Gesetzesänderungen?

8. Welche Schritte wird die Bundesregierung möglicherweise unternehmen, auch in Kooperation mit den in diesem Fall zuständigen Datenschutz-Aufsichtsbehörden in Hessen und Bayern, um die Verbraucherinnen und Verbraucher davor zu bewahren, aufgrund unklarer Einwilligungsbedingungen zu einer Preisgabe umfangreicher sensibler Daten über sich verleitet zu werden?

9. Sieht die Bundesregierung angesichts der Tatsache, dass es seit der Einführung der Zweiten EU-Zahlungsdiensterichtlinie („PSD2“) möglich ist, dass Drittanbieter nach Einwilligung Einblick auf Konten bekommen können vor dem Hintergrund des derzeitigen Falls ggf. auch Überarbeitungsbedarf hinsichtlich der PSD2-Richtlinie.

Berlin, den 7.12.2020

Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion