Die großen Auskunfteien wie u.a. die Schufa Holding AG, die Creditreform Boniversum GmbH, die CRIF Bürgel GmbH und die infoscore Consumer Data GmbH sind im Verband „Die Wirtschaftsauskunfteien e.V.“ verbunden. Dieser Verband hatte bereits zur Einführung der DSGVO einen sog. Verhaltenskodex aufgestellt, welcher mit Blick auf Negativeinträge bei den Auskunfteien eine Speicherfrist von grundsätzlich drei Jahren – bei normalen Negativeinträgen ab Erledigung, also dem Ausgleich der Forderung – vorsah. Die Fristen waren von den Datenschutzbehörden genehmigt.
Die alten „Prüf- und Speicherfristen“ sind am 24.05.2024 ausgelaufen, sodass zum 25.05.2024 angepasste „Prüf- und Speicherfristen“ veröffentlicht wurden. Diese sind insbesondere vor dem Hintergrund der beiden EuGH-Urteile vom 07.12.2023 zu sehen, welche teilweise von der Kanzlei AdvoAdvice Partnerschaft von Rechtsanwälten mbB erstritten wurden (Rechtssachen C-26/22 und C-64/22 zu Verhaltenskodex, Tätigkeit der Aufsichtsbehörden sowie die Frage der Speicherlänge von Insolvenzdaten) sowie der Rechtssache C-634/21 zum Thema Scoring.
Allgemeine Feststellungen
Zunächst fällt beim Lesen des neuen Verhaltenskodex auf, dass es als status quo anerkannt wird, dass die DSGVO keine ausreichend definierten Prüffristen enthält, sondern dort lediglich allgemeine Erwägungen enthalten sind. Alleine aus dem Wortlaut der Verordnung ergibt sich daher keine Frist, wann die Daten zu löschen sind. Dies soll durch den Verhaltenskodex konkretisiert werden.
Wichtig ist sodann, das man nicht nur die einzelne Löschfrist des Code-of-Conduct studiert, sondern auch die begleitenden Aspekte liest. Unter Ziffer 2 heißt es explizit (Hervorhebung hier):
„Diese Verhaltensregeln sind Verhaltensregeln im Sinn von Art. 40 Abs. 2 DSGVO. Sie begründen eine freiwillige Selbstverpflichtung der den Verhaltensregeln beigetretenen Auskunfteien […]
Diese Verhaltensregeln finden nur Anwendung auf rechtmäßig verarbeitete personenbezogene Daten. Sie lassen jedoch Fragen zur materiellen Berechtigung der Speicherung personenbezogener Daten unberührt. Die Festlegung von Prüf- und Speicherfristen indiziert auch nicht die Rechtmäßigkeit deren Speicherung.“
Diese Feststellungen sind elementar, da es immer wieder davon abweichende Rechtfertigungsversuche gibt, die unmittelbar auf den Code-of-Conduct zur Begründung der Verarbeitung und der Dauer der Verarbeitung abstellen.
Was hat sich geändert?
Der Code-of-Conduct hält nun einige Neuerungen vor, die durchaus kritisch gesehen werden müssen. Hierbei muss zwischen Negativdaten mit ausgeglichenen und nicht ausgeglichenen Forderungen sowie Daten aus öffentlichen Registern, Vertragsdaten, Anschriftendaten, Betrugsverdachtsinformationen sowie Anfragedaten und Daten aus sonstigen amtlichen Registern unterschieden werden.
Löschung von Negativdaten
Zunächst wird bestimmt, wann „Negativdaten“ gelöscht werden müssen. Hier fallen bereits gravierende handwerkliche Mängel auf, da in der Überschrift über „fällige, offene und unbestrittene Forderungen“ gesprochen wird.
Diese Differenzierung ist deutlich oberflächlicher als sie noch in § 31 Abs. 2 Bundesdatenschutzgesetz (BDSG) getroffen wird. In § 31 Abs. 2 Nr. 1 BDSG wird unter anderem über das Kriterium der gerichtlichen Titulierung gesprochen, wobei ein vorläufig vollstreckbares Urteil ausreichend ist, um die Daten im Scoring zu nutzen. Geht man gegen ein erstinstanzliches Urteil in Berufung, steht die Forderung jedoch faktisch noch immer im Streit. Nach dem Wortlaut des Verhaltenskodex ist eine solche Forderung nicht erfasst.
Auf der anderen Seiten verteidigen sich Prozessvertreter von meldenden Stellen und Auskunfteien oftmals damit, dass bei einer Verarbeitung nach § 31 Abs. 2 Nr. 5 BDSG, also dem Bestehen der Möglichkeiten einer fristlosen Kündigung, ein Bestreiten unbeachtlich sei. Dies stehe im Vergleich zur Nr. 4 nicht im Gesetz. Diese Differenzierung nimmt der neue Code-of-Conduct nicht vor. Ob dies den Betroffenen hilft, muss sich erst noch herausstellen. Somit verbleiben schon vor der ersten „Löschfrist“ systematische Fragen, die geeignet sind, die VerbraucherInnen zu verwirren, da faktisch eine Regelungslücke besteht.
Die Speicherfrist bei nicht ausgeglichenen Forderungen beträgt sodann grundsätzlich drei Jahre und beginnt mit der Erstmeldung sowie jeder Nachmeldung neu. Daran anknüpfend werden sodann ausgeglichene Forderungen grundsätzlich für drei Jahre gespeichert, sodass sich an die letzte Aktualisierung also drei Jahre anschließen. Insofern bleibt es erst einmal bei der alten Regelung.
Neue Kulanzregelung
Noch immer liest man in erschreckend vielen (auch aktuellen) Beiträgen, dass Forderungen, die innerhalb von sechs Wochen nach Einmeldung bezahlt wurden und nicht tituliert sind, gelöscht werden. Diese Kulanzregelung bestand lediglich bis Mai 2018 und wurde seinerzeit mit Einführung der DSGVO abgeschafft. In der Folge nahmen Auskunfteien lediglich „Einzelfallbetrachtungen“ vor, wobei man die Umsetzung dieser Regel nicht mehr unmittelbar einfordern konnte.
Im neuen Verhaltenskodex ist nun eine neue Kulanzregelung in veränderter Weise enthalten. Forderungen, die innerhalb von 100 Tagen nach Einmeldung ausgeglichen wurden, werden bereits nach 18 Monaten gelöscht, wenn bis dahin keine weiteren Negativeinträge gemeldet worden sind und keine Informationen aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vorliegen.
Diese Regelung ist ein kleiner Schritt, der Betroffenen helfen kann, die Negativeinträge frühzeitig loszuwerden. Problematisch ist dabei aber oft, dass Auskunfteien immer wieder sog. „Ereignisdaten“, also z.B. das Datum einer Kündigung speichern, dies aber nicht zugleich das Datum sein muss, an dem die Forderung gemeldet wurde. Betroffene haben also ggf. keine ausreichende Kenntnis davon, wann die 100-Tages-Frist beginnt, und somit auch keine Kenntnis von dem Fristende.
Auch darüber hinaus stellen sich systematisch Fragen: Wieso z.B. das Vorliegen von Daten aus dem Schuldnerverzeichnis der relevante Anknüpfungspunkt sein soll, ist nicht nachvollziehbar. Unklar ist schon, wann diese Daten nicht vorliegen dürfen: Bei Meldung der Forderung, bei deren Ausgleich oder mit Ablauf der 18 Monate oder irgendwann dazwischen? Auch hier ist eine sprachliche Unklarheit gegeben, die dem Verbraucherschutz abträglich ist.
Im Übrigen wird auch an dieser Stelle nicht zwischen titulierten und nicht-titulierten Forderungen unterschieden, sodass auch hier ein Ungleichgewicht bzw. eine Ungleichbehandlung entstehen kann, wenn man berücksichtigt, dass manche Unternehmen Meldungen erst mit Titulierung vornehmen (späte Meldung) und andere schon bei dem Bestehen der Voraussetzungen für eine fristlose Kündigung (frühe Meldung).
Daten aus dem Schuldnerverzeichnis oder zu Verbraucher- oder Regelinsolvenzverfahren
Die Daten aus den öffentlichen Verzeichnissen, also vor allem Insolvenzdaten und Daten aus Schuldnerverzeichnissen, werden klarstellend noch so lange gespeichert, wie diese im öffentlichen Verzeichnis gespeichert sind.
Hier werden relativ deutlich die Urteile des EuGH vom 07.12.2023 in den Sachen C-26/22 und C-64/22 umgesetzt, die den nationalen Speicherfristen eine hohe Bedeutung zumessen, sofern diese Speicherfristen auf europäischer Grundlage existieren.
In diesem Bereich konnte durch AdvoAdvice in dem Verfahren am EuGH ein großer Sieg für den Verbraucherschutz errungen werden. Es ist erfreulich, dass die Datenschutzbehörden hier offensichtlich ein Einsehen haben und die neuen Fristen nun auch im Verhaltenskodex mit dem Verband „Die Wirtschaftsauskunfteien e.V.“ umsetzen. Dies ist eine der zentralsten Änderungen im Vergleich zum alten Verhaltenskodex.
Vertragsdaten, Anschriftendaten und Anfragedaten
Der Verhaltenskodex sieht für störungsfreie Verträge eine Speicherung von drei Jahren nach Erledigung vor, wobei die Verträge auf Antrag vorzeitig gelöscht werden sollen. Erfolgt die Verarbeitung auf Grundlage einer Einwilligung oder evidenzbasiert (z.B. Pfändungsschutzkonto), bleiben die Daten gespeichert, solange die Einwilligung nicht widerrufen wurde oder der Vertrag besteht.
Anschriften werden grundsätzlich drei Jahre nach der letzten Aktivität gespeichert, wobei dies auf sechs Jahre verlängert werden kann, wenn die Adresse zur Identifizierung notwendig ist. Eine bestehende Adresse bleibt aber gespeichert. Positiv ist, dass die Ausübung von Betroffenenrechten nicht als Aktivität gilt und die Speicherfrist damit nicht verlängert wird. Negativ ist dagegen, dass „weitere“ Anschriften offenbar nicht vor dem Ablauf von drei Jahren gelöscht werden sollen.
Anfragedaten sollen nun für drei Jahre gespeichert werden, wobei eine Löschung auf Antrag nach einem Jahr erfolgen kann. Diese Regelung erscheint zu eng, da nicht zwischen verschiedenen Arten von Anfragen und deren Auswirkung auf den Scorewert unterschieden wird.
Betrugsverdachtsinformationen
Eine weitere wesentliche Klarstellung betrifft die sog. FraudPools, in welchen Informationen gespeichert werden, die im Rahmen der Geldwäsche- und Betrugsprävention auffallen. Solche Daten sollen für drei Jahre nach dem jeweiligen „Auftreten des auffälligen oder ungewöhnlichen Sachverhalts“ gespeichert werden.
Differenziert wird nur zwischen einem reinen Verdachtsfall und „hinreichend nachvollziehbare Anhaltspunkte“, dafür, dass ein entsprechender Sachverhalt auch tatsächlich vorliegt. Wo genau hier eine Grenze zu ziehen ist und wie diese strafrechtlich relevanten Sachverhalte von einer Bank oder einer Auskunftei beurteilt werden können, ist indes nicht geklärt. Dies kann weitreichende Eingriffe in die Grundrechte von betroffenen Personen bedeuten.
Weitere Regelungen
Eine weitere Neuigkeit ist, dass die Einhaltung des Code-of-Conduct nun von einer akkreditierten Überwachungsstelle kontrolliert werden soll. Diese soll neben der Einhaltung der Regelungen unter anderem auch Mitteilungen über Defizite des Verhaltenskodex an den Verband sowie an die Aufsichtsbehörden vornehmen und überdies prüfen, ob die Verhaltensregeln „praxistauglich, hinreichend präzise und verständlich formuliert sind“. Zudem werden der Überwachungsstelle einige Befugnisse an die Hand gegeben.
Letztlich können sich betroffene Personen an diese Stelle wenden, um Verstöße abstellen zu lassen. Allerdings kann die Überwachungsstelle nach dem Wortlaut der angeführten Befugnisse keine Löschung anordnen. Damit fehlt aus Sicht des Verbraucherschutzes die entscheidende Befugnis, um die Überwachungsstelle wirklich zu einem sinnvollen Instrument für Verbraucher werden zu lassen.
Zuletzt gelten die neuen Regelungen dann bis zum 25.05.2030, also für nunmehr sechs Jahre. Sollten sich durch höchstrichterliche Urteile oder gesetzliche Bestimmungen Zweifel an der Zuverlässigkeit oder Rechtswirksamkeit der Regeln ergeben, sollen diese innerhalb von drei Monaten ab Kenntnisnahme evaluiert und ggf. angepasst werden.
Fazit
Die Rechtsanwälte Dr. Raphael Rohrmoser und Dr. Sven Tintemann schätzt die neuen Regelungen wie folgt ein:
„Aus unserer Sicht sind die Regelungen kaum geeignet, betroffene Personen ausreichend zu schützen und das Verbraucherschutzniveau zu erhöhen. Die unterschiedlicher Begriffe im Vergleich zum Bundesdatenschutzgesetz wird zu enormen Auslegungsschwierigkeiten in der Praxis und vor den Gerichten führen.
Zudem werden wichtige Fragen, wie die Gleichbehandlung von außergerichtlichen Schuldenbereinigungsplänen und Insolvenzverfahren außer Acht gelassen. Die neue Kulanzreglung ist unnötig kompliziert und wirft etliche Umsetzungsfragen auf. Darüber hinaus ist dies nur ein kleiner Schritt in Richtung einer differenzierten Betrachtung der Gesamtthematik.
Ferner wird mit dem Verfahren vor der akkreditierten Überwachungsstelle ein weiteres Verfahren neben den zivilgerichtlichen, aufsichtsbehördlichen und Ombuds-Verfahren eingeführt. Ob dies zu einer besseren Durchsetzung von Betroffenenrechten führt, muss bezweifelt werden.
Darüber hinaus ist klarzustellen, dass der Verhaltenskodex nichts darüber aussagt, wann eine Meldung erfolgen darf. Da dieser eine freiwillige Selbstverpflichtung darstellt, ist dieser auch nicht geeignet, die Löschansprüche nach Art. 17 Abs. 1 DSGVO umfassend auszufüllen. Betroffene sollten sich daher im Zweifel weiter anwaltliche Hilfe suchen, um gegen negative Einträge vorzugehen.“
Wenn Sie Probleme mit negativen Einträgen bei Auskunfteien wie der Schufa, Creditreform, Infoscore oder CRIF haben, rufen Sie sich gerne bei unserer Kanzlei AdvoAdvice unter 030 921 000 40 an oder schreiben uns eine Email an info@advoadvice.de. Mit unserer langjährigen Erfahrung helfen wir Ihnen gerne weiter und unterstützen Sie bestmöglich dabei, Negativeinträge bei Auskunfteien jetzt auch nach den neuen Verhaltensregeln der Auskunfteien löschen zu lassen.