Kredit-ScoringSchufa will Kontodaten auswerten

Schon länger wünscht sich die Wirtschaftsauskunftei Schufa Zugriff auf mehr Daten. In einem neuen Pilotprojekt holen sie sich jetzt die Erlaubnis, Einblick in alle Ein- und Ausgänge auf dem Konto zu erhalten. Verbraucher:innen mit schlechten Bonitäten sollen so ihren Schufa-Score aufwerten können.

Ein Taschenrechner und Geld auf einem Kontobuch.
Bei der Bewertung der Schufa-Score könnte künftig auch der Kontostand eine Rolle spielen. Vereinfachte Pixabay Lizenz Steve Buissinne

Die Schufa will künftig offenbar auch Kontoauszüge in ihre Bonitätsberechnung miteinbeziehen. Das neue Produkt „CheckNow“ soll Menschen mit schlechten Bewertungen die Möglichkeit geben, diese zu verbessern. Eine Recherche von WDR, NDR und Süddeutsche Zeitung zeigt allerdings massive Bedenken in Sachen Datenschutz auf.

In einem Testprojekt mit Telefonica/O2 können Neukund:innen der Telekomfirmen beim Einrichten eines neuen Vertrags einwilligen, dass die Auskunftei Einblick in die eigenen Kontoauszüge bekommt. Wer einen niedrigen Schufa-Score hat, zum Beispiel durch Verschuldung in der Vergangenheit, kann so seine Verlässlichkeit nachweisen. Dabei teilt man beispielsweise Informationen zu Gehalt, Miete, Unterhalt, Shopping-Gewohnheiten oder eventuellen medizinischen Zuzahlungen.

Ermöglicht wird die Funktionalität durch die 2015 unter Kritik verabschiedete überarbeitete Zahlungsdienstrichtlinie (PSD2) der EU, die 2018 in Kraft getreten ist. Das Gesetz regelt den Zugriff Dritter auf das eigene Konto, auch im Sinne der Verbraucher:innen. Ein Beispiel dafür ist, wenn man einem Zahlungsdienstleister wie Klarna die Erlaubnis gibt, eine Zahlung durchzuführen. „Der Einblick von anderen Unternehmen über das kontoführende Kreditinstitut hinaus (sogen. Drittunternehmen) ist explizit gewollt“, heißt es auf der Website der Schufa.

Fragwürdige Einwilligung

Im Fall von CheckNow holt sich die Schufa die Einwilligung, Kontoauszüge von Nutzer:innen mit der eigenen Tochterfirma FinAPI zu teilen. Diese errechnet dann anhand der Kontodaten einen Score, den die Schufa mit ihrer eigenen Bewertung zum Zwecke eines einzelnen Vertragsabschlusses zusammenführt. Laut Schufa werden nur relevante Daten ausgewertet und diese nach Vertragsabschluss gelöscht.

Doch wie die Medienberichte zeigen, wird in einem zweiten Schritt die Erlaubnis eingeholt, die Daten auch für bis zu zwölf Monate zu speichern und als Teil des Schufa-Scoring auszuwerten. In der Testumgebung werden diese Informationen nach Angaben der Auskunftei noch nicht gespeichert.

Zwar geschieht die Einwilligung auf freiwilliger Basis, aber in der gewohnten Fülle an Checkboxen in Online-Formularen kann so eine Zustimmung auch untergehen. Wie NDR/WDR berichten, hieß es von der Schufa auf einem Branchentreff im Oktober, die Verbraucher:innen wären „faul und bequem. Die haben keinen Bock auf sowas, und die wollen einfach den Service haben. Und sie klicken das durch.“

Das Bayrische Landesamt für Datenschutzaufsicht prüft das Verfahren aktuell auf Zulässigkeit. Dessen Präsident Michael Will fürchtet, es könnte irgendwann zum Standard werden, die eigenen Kontodaten preisgeben zu müssen, will man einen Vertrag abzuschließen. Das könnte gravierende Folgen haben.

Da sich das Verfahren besonders an Menschen richtet, die einen schlechten Schufa-Score haben, würde es dazu führen, das vor allem ärmere Menschen gesellschaftliche Teilhabe mit ihrer Privatsphäre erkaufen müssen.

Schufa weiß weniger als erwartet

Das Privatunternehmen Schufa ist Deutschlands größte Wirtschaftsauskunftei und speichert Informationen von knapp 70 Millionen Menschen in Deutschland. Kaum ein Mietvertrag, Mobilfunkvertrag oder Kredit kann ohne eine Bescheinigung der AG abgeschlossen werden.

Dabei hat die Schufa auf weniger Daten Zugriff, als es manchmal den Anschein hat. Die Daten beschränken sich auf die Anzahl der Bankkonten und auf eventuell aufgenommene Kredite. Schon länger versucht die Firma deshalb, ihre Datenbasis auszuweiten. Bereits 2012 wollte sie zu diesem Zweck Informationen von Social Media scannen und in ihre Bewertungen miteinbeziehen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

17 Ergänzungen

  1. Und wer es bis jetzt noch nicht gerafft hat: PSD2 war und ist das legalisierte aktive Unterlaufen eines noch halbwegs vorhandenen Bankgeheimnis.

    Und vor dem Hintergrund nochmal der Hinweis:
    https://netzpolitik.org/2020/plaene-von-auskunfteien-datenpools-koennten-verbraucherinnen-den-stromanbieterwechsel-erschweren/

    Spätestens jetzt wird klar, das nicht die Steuer-ID das Problem ist, sondern das privatwirtschaftliche System der Datensammlung und -zusammenführung.

    Mit den Versicherern und den Telematiktarifen hat es angefangen; Ein Ende ist nicht in Sicht. Irgendwann wird der Score im Keller und die Einstufung nach SFK so hoch sein, das es schlicht unbezahlbar wird, Verträge mit Privatsphäre abzuschliessen.

  2. Sind Kontodaten nicht ein zutiefst privates Merkmal? Schließlich bildet ein Konto zunehmend immer mehr die direkten Lebensumstände ab. Der Einkauf über Netzwerkdienste verlangt in der Regel nach der Prüfung durch Bewertungsdienste. Ein Recht der Dienstleister die Bonität prüfen zu können ist wenig abstreitbar. Das durch das nicht begleichen von Krediten und Rechnungen ein schlechter „Score“ entsteht ist einsehbar. Das es hier keine gesetzlichen vorgeschrieben Verfallszeiten oder Relevanzbewertungsfristen gibt, das widerspricht sicher nicht nur der Ethik unseres Rechtsystems. Gäbe es die, dann wäre eine „Score“-Verbesserung unnötig. Dabei kann es ja auch nur wieder darum gehen, dass über eine Zeit den versteckten Vorgaben des Bewerters gefolgt werden muss. Letztlich nichts anderes bildet aber schon der „Score“ über „schädliches“ Verhalten längst ab.

  3. Schöner Artikel, der jetzt nur die Frage offen lässt: was tun? Gibt es Tipps, Initiativen, Petitionen, Briefvorlagen an Abgeordnete… ? Boykott fragwürdiger Diensleister…
    Next steps und konkrete Handlungsaufforderung wären gut.

    1. Na genau das tun wie bei all den anderen Grund- und Menschenrechtsverletzungen aus dem Daten-Nazi-Sektor:
      einkapseln, nach „Alternativen“ suchen, nur um herauszufinden das irgendwie alles scheiße ist und weiter dabei zusehen, wie alle Dinge die mit Datenschutz und IT-Sicherheit den Großteil des „Folgs“ einen scheißdreck interessiert, was sich dann wiederum in weiteren dystopischen Auswüchsen in Überwachungswirtschaft und Überwachungsstaat zeigt.

      Yay!

      So verachtenswert die Aussage der Alten von der Schufa bzgl. der Leute und Faulheit auch war, so wahr ist sie doch.
      Ich war letztens im Krankenhaus, dort liefen die PCs mit Windows XP (kein scheiß!).
      Als ich die Fachkraft danach fragte wusste sie nicht mal was das war, die kannte nur Windows (also DAS Windows…) und angesprochen auf das extrem hohe Sicherheitsrisiko bzgl, veralteter und ungewarteter Systeme am Beispiel WannaCry sagte sie nur „Ja, sowas is mir eigentlich egal.“
      Tut mir Leid wenn ich damit sicherlich auch netten Menschen fies rüberkomme, aber die meisten Leute sind einfach unfassbar dumm, zumindest was Bewusstsein für Datenschutz und Sicherheit informationstechnischer System anbelangt.
      Hinzu kommen dann noch ekelhafte Entwicklungen wie das Bullshit Web, wo überall Knöpfe und Spalten und Popups und Scripte sind und fast keiner mehr durchblickt, was da eigentlich alles passiert wenn man so eine Website aufruft und das massive Interesse der Wirtschaft und des Staates, dass die Bevölkerung eben faul und damit unkritisch bleibt und die Technik immer mehr verschleiert, um noch mehr Macht und damit Kontrolle erlangen zu können.

  4. Verfassungsrechtlich ist das imho nicht haltbar. Es ist schon jetzt nicht einzusehen, weshalb einer privaten Firma gestattet sein soll, Auskunft über die Bonität von Millionen Kunden zu erteilen – Intransparenz über die genauen Vorgänge natürlich inbegriffen. Der im Artikel beschriebene Schritt darf keinesfalls erfolgen. Im Gegenteil – es ist Zeit, das Phänomen „Schufa“ abzuschaffen und Bonitätsprüfungen in das Verhältnis zwischen Kontoinhaber und Vertrags-/Auftrags-/Rechnungssteller und -nehmer“ zurückzuübertragen.

    Da man bei den derzeitigen politischen Verhältnissen nicht auf Unterstützung hoffen kann, ist ein umfassender ziviler Protest samt Ungehorsam mehr als vonnöten!!

  5. Tja, alles fällt (einer denkbaren Demokratie) auf die Füße, was an (de facto) Infrastruktur nicht rechtzeitig in (relativer) Staatshand ist. Dem Staat fehlt dafür Struktur und Digitalisierung.

    Willkommen in der Zone!

  6. Anonymous: Was hat das mit Staatsstruktur und Digitalisierung an sich zu tun? Es bedarf nur neuer Gesetze, die die Privatsphäre der Bürger umfassend, effektiv und nachhaltig schützen.

    1. Ja, es bedarf Struktur und Digitalisierung, um nicht den Kardinalfehler zu begehen, alles mit Gesetzen regeln können zu wollen. Das geht bei den Digitalmolochen schon kollossal schief, aus Sicht der Gesellschaft bzw. Demokratie.

      Es muss auch Wissen, Können, Monitoring und Reaktionsfähigkeit u.ä. vorhanden sein, und das geht bei den komplexeren Gebilden und Umständen nicht ohne nachhaltigere Digitalisierung.

      Ich habe nichts gegen die Schleifung der Schufa wie wir sie bereits kennen, bzw. vor allem mit Bezug darauf, wie sie sich derzeit darstellt. Das löst aber das strukturelle Problem nicht, was mit de facto Infrastruktur geschehen soll. Gesetze und wirksames Monitoring von Unternehmen und Organisationen können das Problem auch angehen, aber dafür ist noch mehr Digitalisierung und Können nötig. Der zufallsbasierte Rechtsweg ist nicht fähig, schnell genug staatserhaltende Reaktionen hervorzubringen, was Demokratie und Gesellschaft betrifft. Natürlich müssen da Gesetze hin, aber auch entsprechendes Monitoring, und im Zweifel freundliche Enteignung ohne abstruse Entschädigung. Wer ein Unternehmen zur Waffe umbaut, muss eben damit rechnen, dass es konfisziert wird.

    2. Naja, noch ist die Überwachungswirtschaft weniger gut kontrollierbar als der Überwachungsstaat (mit Ausnahme der Pfeifen vom Dienst).
      Auf die Arbeit des deutschen Staates kann man als Bürgerin oder Bürger momentan noch mehr Einfluss nehmen als auf irgendein Unternehmen, dass nach außen hin einfach völlig intransparent ist und das sind die meisten, auch wenn sie gern anderes behaupten.
      Aber keine sorge, mit der endültigen Verschmelzung von Privat-Wirtschaft und Staat wird sich dann auch das ändern.

  7. So langsam frage ich mich, ob wir nicht mal unsererseits anfangen sollten, diesen ganzen Daten- und Digitalkonzernen für die Nutzung unserer Daten Rechnungen zu schreiben.

    So: Hallo Schufa, gerne kannst du meine Daten nutzen für nur 150 Euro im Jahr. Was, ist zu teuer? Wir hätten dann noch günstigere Tarife. Ach immer noch zu teuer? Ja schade, dann fürchte ich, müsst ihr alles löschen.

    1. Für das Schreiben von Rechnungen an diese „Daten- und Digitalkonzerne“ müsste dann aber erst einmal eine Rechtsgrundlage geschaffen werden.
      Z.B. jedem Bürger per Gesetz ein Urheberrecht an seinen Daten einräumen, damit dieser dann Lizenzgebühren verlangen darf. Sagen wir maximal 50€ pro Monat und Datensatz.
      Das wäre in meinen Augen eine passable Lösung.

  8. Welche anderen Tochter- Partner- Stiftungs- Datenhandles- Sonstwasgesellschaften von und mit Schufa gibt es denn noch?

    Für Wechselwilligenerkennung gab es doch schon einmal ein Subunternehmen o.ä.?

  9. Die SCHUFA hat als Ombudsmann einen ehemaligen Präsident des Bundesverfassungsgerichtes in Karlsruhe. Der sich vormals so äußerte: Prof. Papier sagt: Über die Gefahren für die Rechtsstaatlichkeit und die Gefahren die im Bereich des Datenmissbrauchs bestehen, vollmundig:

    „Es geht hier um Gefahren oder Gefährdungen die nicht allein von Staaten ausgehen,
    von statistischen Diensten oder staatlichen Behörden,
    sondern die ihm (dem Bürger)
    auch von privaten, international und global agierende Unternehmen ausgehen.“

    „Niemand darf sich aus der Geltung des Rechts herausschleichen,
    sonst sind Gebote und Verbote nur noch etwas für
    die Dummen, Braven und Schwachen.“

    Im “Unrechtsstaat” DDR war es die staatliche Macht des Ministeriums für Staatssicherheit
    die “STASI”, dort sammelte man Daten der Bürger um diese gegen die Menschen zu nutzen.

    Im “Rechtsstaat” BRD ist es eine private Macht die sich als “SCHUFA” erlaubt
    mehr Daten der Bürger zu sammeln als der Staat jemals dürfte,
    und keiner kontrolliert diesen Laden dessen Macht einer „STASI“ in nichts nachsteht.

    Meine Daten sind mein Eigentum aber der Besitzer ist die SCHUFA. Um diese im Blick zu haben muß man sich einen Zugang erkaufen. Dort entdeckte ich den absoluten HORROR: 13falsche Einträge. Es hat mich 3 Jahre meines Lebens gekostet gegen insgesamt 13 falsche rechtswidrige negative Einträge vorzugehen bis diese schließlich „gelöscht“ wurden(Recht auf Vergessen). Die Wortspiele „erledigt, korrigiert, geändert, berichtigt“ täuschen viele über die eigentliche Botschaft die sie Geschäftspartnern signalisieren. Den diese machen Aussagen die man nur erkennt wenn man die Kodierung entschlüsselt hat. Auch das Mitarbeiter alle „SCHUFA-Team“ heißen und auch so Briefe unterschreiben demonstrieren das es nie einen direkten Mitarbeiter als Kontakt gibt, Emails und Schreiben im Prinzip nur aus fertigen Textbausteinen bestehen die vor § – Paragraphen und Gesetzestexten nur so überlaufen aber am Ende wesentliches weglassen wie z. B. die Kriterien die erfüllt sein müßen der zu einem SCHUFA Eintrag berechtigen. Diese Info findet man weder in Briefen noch auf den Webseiten der SCHUFA.

    Bevor ein Negativeintrag erfolgen darf, müssen vier Kriterien erfüllt sein:

    1.)Es müssen mindestens zwei schriftliche Mahnungen beim Schuldner nach fälliger Forderung eingegangen sein, denen nicht widersprochen wurde.
    2.)Die Mahnungen müssen mit einem Abstand von vier Wochen erfolgen.
    3.)In einem der beiden Mahnbescheide muss ein negativer Schufa-Eintrag angekündigt werden.
    4.)Bis zuletzt wurde die Forderung nicht beglichen.

    Genauso gibt es aus der Geschichte der SCHUFA nichts zu finden , außer das 1945 angeblich alle Daten vernichtet wurden… Aber man auf Grund der Erfahrungen vor dem Krieg anknüpfen konnte….

    Dabei hat die SCHUFA 1927 in Berlin mit den Lochkarten Maschinen begonnen und hatte zwei Jahre später bereits 1,5 Millionen Karteikarten. Das Unternehmen SCHUFA verbreitete sich rasant über das damalige Reichsgebiet. . 1930 wird in Dortmund eine SCHUFA „Filiale“ gegründet und es folgen weitere in Hamburg, Düsseldorf und Köln und anderen großen deutschen Städten.

    über die Zeit von 1933-1945 schreibt die SCHUFA auf Ihrer Webseite:
    Wie die Berliner Börsenzeitung mitteilt, hat die SCHUFA Berlin 1935 bereits 2,6 Millionen Karten im Archiv, wobei sich die SCHUFA Berlin auf einen Umkreis von circa 100 Kilometer um Berlin erstreckt. Über die weitere Entwicklung der SCHUFA und den Zeitraum bis zum Neubeginn 1948 gibt es kaum noch Unterlagen…Bei einem Bombenangriff am 5. Februar 1945 wird die SCHUFA Berlin zerstört, nachdem bereits vorher die übrigen SCHUFA-Gesellschaften in den Großstädten ausgebombt worden waren.

Ergänzung an D. D Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.