Die Datenschutz-Grundverordnung (DSGVO)

 Die Datenschutz-Grundverordnung im Überblick

Nach zweijähriger Übergangsfrist ist am 25. Mai 2018 die EU Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und ausnahmslos anzuwenden. Das Ziel der EU ist es, mithilfe der Datenschutz-Grundverordnung die rechtliche Grundlage des Datenschutzes europaweit zu harmonisieren und die Verbraucher in ihrem Recht bei der Verarbeitung ihrer Daten zu stärken.

Die Datenschutz-Grundverordnung legt europaweit fest, was Unternehmen mit den personenbezogenen Daten der Verbraucher machen dürfen und was nicht. Sie gilt für Unternehmen aller Größen, da der Begriff “personenbezogene Daten” sehr weit gefasst ist.

Die Datenschutz-Grundverordnung stärkt die Verbraucher, indem sie den Datenschutz auf europäischer Ebene konkretisiert und harmonisiert. Auch spezielle Rechte, wie das Recht auf Vergessenwerden und das Auskunftsrecht, werden im Vergleich zur vorherigen Gesetzgebung im Bundesdatenschutzgesetz (BDSG) gestärkt.

Mit den Dir von der Datenschutz-Grundverordnung gewährten Rechten kannst Du nun einfacher als zuvor Deine Bonitätsdaten überprüfen und gewinnst damit an Datenhoheit.

 Was regelt die EU Datenschutz-Grundverordnung?

Mit dem endgültigen Inkrafttreten der EU Datenschutz-Grundverordnung am 25. Mai 2018 wurde das Datenschutzrecht auf europäischer Ebene harmonisiert. Bis zu diesem Zeitpunkt regelten die EU-Mitgliedsstaaten den Datenschutz selbstständig.

In Deutschland regelte bis zum Stichtag das Bundesdatenschutzgesetz (BDSG) den Schutz personenbezogener Daten. Das BDSG findet in einer Neukonzeption zwar weiterhin Anwendung, wurde aber in seinen rechtlichen Kernkompetenzen von der Datenschutz-Grundverordnung “überschrieben”.

Das übergeordnete Ziel der Datenschutz-Grundverordnung ist der Schutz Deiner personenbezogenen Daten vor Missbrauch. Dieses Ziel ist in Artikel 1 der DSGVO formuliert:

Wenn Du Dich jetzt fragst, was personenbezogene Daten sind, findest du die Antwort in Artikel 4 der DSGVO. Hier werden personenbezogene Daten definiert als

Diese Formulierung ist sehr offen gefasst und beinhaltet damit viele Arten von Informationen über Dich. Dazu gehören zum Beispiel:

Allgemeine Informationen, wie Name, Familienstand oder Geburtsdatum,

Deine Kontaktinformationen, wie Adresse, Telefonnummer oder Emailadresse,

Medizinische Daten,

Dokumentennummern, wie etwa von Deinem Personalausweis oder Deiner Sozialversicherung,

Deine Standortdaten.

Dadurch, dass personenbezogene Daten so breit gefasst sind, gelten sie nicht nur für “große” Unternehmen. Jede Homepage, die beispielsweise IP Adressen erfasst oder Newsletter verschickt, verarbeitet personenbezogene Daten.

Die Datenschutz-Grundverordnung regelt also in der gesamten EU wie Unternehmen mit personenbezogenen Daten der Verbraucher umzugehen haben. Das gilt sowohl für diejenigen Unternehmen, die eine Niederlassung der Europäischen Union haben, als auch für solche, die Daten von EU-Bürgern verarbeiten.

Die EU verfolgt mit der Datenschutz-Grundverordnung primär zwei Ziele: Den Schutz personenbezogener Daten und die Schaffung gleicher Wettbewerbsbedingungen für Unternehmen in Europa.

 Das Auskunftsrecht betroffener Personen in der Datenschutz-Grundverordnung

Um Deine Hoheit als Verbraucher über Deine eigenen Daten zu stärken, hast Du nach der Datenschutz-Grundverordnung als betroffene Person das Recht zu erfahren, ob Deine personenbezogenen Daten verarbeitet werden. Ist das der Fall, muss Dir mitgeteilt werden, um welche Daten es sich handelt.

Außerdem stehen Dir Information darüber zu,

zu welchem Zweck die personenbezogenen Daten verarbeitet werden,

in welchen Kategorien die Daten verarbeitet werden,

an welche anderen Empfänger die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden,

wie lange die Speicherung geplant ist,

ob ein Recht auf Berichtigung oder Löschung der Daten besteht,

ob ein Beschwerderecht bei einer Aufsichtsbehörde besteht,

woher die personenbezogenen Daten stammen,

ob in der Verarbeitung der personenbezogenen Daten eine automatisierte Entscheidungsfindung, wie zum Beispiel ein Scoringverfahren, involviert ist. Sollte dies der Fall sein, darfst Du als betroffene Person auch aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen der Verarbeitung verlangen.

Die Neuerungen im Auskunftsrecht stärken Dich als Verbraucher auch gegenüber den Auskunfteien, falls Du Deine gespeicherten Bonitätsdaten abfragen möchtest.

 Das Recht auf Löschung / Recht auf Vergessenwerden in der Datenschutz-Grundverordnung

Die EU Datenschutz-Grundverordnung regelt in Art. 17 (1) DSGVO das Recht auf Löschung, allgemein auch als Recht auf Vergessenwerden bezeichnet.

Betroffene Personen dürfen von Verantwortlichen, die entsprechende personenbezogene Daten gespeichert haben, eine unverzügliche Löschung verlangen.

Es gibt allerdings Einschränkungen, da einer der folgenden Gründe für die Löschung gegeben sein muss:

Die personenbezogenen Daten sind für den ursprünglichen Zweck ihrer Erhebung nicht mehr notwendig

Die Einwilligung zur Verarbeitung der Daten wurde widerrufen und es fehlt an einer anderen Rechtsgrundlage, die die Verarbeitung erlaubt

Die betroffene Person legt gemäß Artikel 21 DSGVO Widerspruch gegen die Verarbeitung ein

Die Verarbeitung der personenbezogenen Daten erfolgte unrechtmäßig

Die Löschung dient der Erfüllung einer rechtlichen Verpflichtung nach europäischem oder nationalem Recht

Die personenbezogenen Daten wurden von einem Kind unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten verarbeitet

 SCHUFA Eintrag löschen dank der Datenschutz-Grundverordnung?

Du hast auf Grundlage der Datenschutz-Grundverordnung ein Recht auf Löschung Deiner Daten. Aber kannst Du auch Deine Daten bei der SCHUFA oder einer anderen Auskunftei komplett löschen lassen?

Zu diesem Zeitpunkt können wir das nur mit einem “Vielleicht” beantworten. Durch die teils unklare Formulierung der DSGVO und den noch sehr kurzen Zeitraum, der seit ihrer Einführung vergangen ist, lässt sich das nicht mit absoluter Sicherheit sagen.

Viele Datenschützer und Juristen legen die Datenschutz-Grundverordnung so aus, dass eine Löschung aller personenbezogener Daten auf Aufforderung zu vollziehen ist.

Die SCHUFA selbst sieht das naturgemäß nicht so. Sie argumentiert mit Artikel 21 (1) DSGVO. Demnach müsstest Du nachweisen, dass Dein Interesse an Deinen Daten schutzwürdig ist und damit das Interesse der Auskunfteien an der Nutzung Deiner Daten überwiegt. Aus Sicht der SCHUFA dürfte das allerdings nicht der Fall sein, da die volkswirtschaftliche Bedeutung der Auskunfteien zu groß ist.

Möglicherweise wirst Du in Zukunft Daten, die die SCHUFA oder eine andere Auskunftei über Dich gespeichert hat, löschen lassen können. So oder so, bis diese Frage rechtlich final geklärt ist, könnten noch Jahre vergehen.

 Löschfristen in der Datenschutz-Grundverordnung

Derzeit lässt sich nicht mit Sicherheit sagen, welche Löschfristen für die von den Auskunfteien gespeicherten personenbezogenen Daten gelten. Denn in der DSGVO und dem BDSG-neu stehen keine starren Fristen.

Ein Hinweis auf die Verfahrensweise liefert das Bayerische Landesamt für Datenschutzaufsicht. Die Aufsichtsbehörde hält die bisher geltende dreijährige Löschfrist auch unter Geltung der Datenschutz-Grundverordnung für sachgerecht.

Für Dich heißt das, dass sich bei den Löschfristen zunächst nichts geändert hat. Es ist aber möglich, dass Gerichte in zukünftigen Verhandlungen zu einer anderen Einschätzung kommen werden. Wir werden Dich auf jeden Fall auf dem Laufenden halten.

 Die Datenschutz-Grundverordnung und das Scoring

Das Scoring wird in der europäische Datenschutz-Grundverordnung in Artikel 22 (1) DSGVO, “Automatisierte Entscheidungen im Einzelfall einschließlich Profiling”, geregelt. Hier heißt es:

Laut diesem Absatz dürfen Betroffene in wichtigen Fällen keiner automatisierten Entscheidung unterworfen sein. Somit würde dieser erste Absatz, zumindest für sich alleine genommen, Scoringverfahren erschweren, möglicherweise sogar ausschließen.

Scoring hat allerdings eine hohe Relevanz in der Kreditvergabe und im Handel. Deshalb wäre ein generelles Verbot automatisiert verarbeiteter Daten nicht sinnvoll. Ohne die Möglichkeit einer faktenbasierten Einschätzung des Kreditrisikos wären weitaus mehr Unternehmen von Kreditausfällen betroffen und die Kreditvergabe würde sich aus Sicht der Banken wegen des Risikos kaum noch lohnen.

Aus diesem Grund ermöglicht die Datenschutz-Grundverordnung im zweiten Absatz (Artikel 22 (2) DSGVO) Ausnahmen von dieser Regelung. Absatz 1 gilt nicht, wenn

die Entscheidungsfindung mithilfe einer automatisierten Datenverarbeitung für den Abschluss oder die Erfüllung eines Vertrages notwendig ist,

andere nationale oder europäische Rechtsvorschriften dies unter Wahrung der Rechte und Freiheiten des Betroffenen gestatten,

die betroffene Person ausdrücklich einwilligt.

Relevant sind vor allem die nationalen Rechtsvorschriften. Zusammen mit der EU Datenschutz-Grundverordnung ist auch das neu konzipierte Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Dort werden in § 31 (1) BDSG-neu, “Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften”, die Rechtsvorschriften zum Scoringverfahren auf nationaler Ebene konkretisiert und damit (zumindest unter gewissen Voraussetzungen) gestattet.

Die Auskunfteien argumentieren im Übrigen, dass Artikel 22 (1) DSGVO nicht für sie gelte, da sie zwar einen Bonitätsscore berechnen, mit diesem aber keine Entscheidungen treffen würden. Es seien schließlich Unternehmen und Banken, die Entscheidungen auf Grundlage Deiner Bonität treffen würden.

 Die Datenschutz-Grundverordnung, bonify und Du

Die Datenschutz-Grundverordnung stärkt Dich auch im Bezug auf Deine Bonität. Mit dem neuen Auskunftsrecht hast Du nun mehr als einmal im Jahr die Möglichkeit, eine Selbstauskunft bei den Auskunfteien anzufordern. Wie oft genau ist allerdings nicht zu beziffern. Die Datenschutz-Grundverordnung verwendet im Erwägungsgrund 63 die sehr allgemein gehaltene Formulierung “in angemessenen Abständen”.

Im Gegensatz dazu hast Du bei bonify jederzeit die Möglichkeit Deine Bonität kostenlos und sofort zu überprüfen. Und das nicht erst seit der Datenschutz-Grundverordnung! Wenn Du Deinen Bonitätsscore im Auge behalten möchtest, helfen unsere hilfreichen Tools FinFitness  oder ScoreDoc. Oder Du willst einfach eine kostenlose Mieterauskunft brauchst, registriere Dich in nur wenigen Schritten kostenlos bei bonify.