Hessischer Landesdatenschutzbeauftragter: Mehr als nur Langmut bei der Überwachung der Schufa?
Die SCHUFA Holding AG, (Schutzgemeinschaft für allgemeine Kreditsicherung) ist die größte deutsche Wirtschafts-Auskunftei. Zu den Aktionären gehören Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Ihr Geschäftszweck ist, ihre Vertragspartner mit Informationen zur Bonität (Kreditwürdigkeit) Dritter zu versorgen. Die Schufa verfügt über 813 Millionen Einzeldaten zu 67,2 Millionen Menschen und zu 5,3 Millionen Unternehmen in Deutschland. Sie bearbeitet jährlich mehr als 140 Mio. Anfragen zur Kreditwürdigkeit. Davon sind 2,1 Millionen Auskünfte an Verbraucher, die ihre Daten einsehen wollen. Diese Daten nennt Wikipedia.
Da die Schufa ihren Geschäftssitz in Wiesbaden hat, ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit die zuständige Datenschutz-Aufsichtsbehörde. Und diese beweist gegenüber der Schufa nach einem Bericht der Internet-Plattform AlgorithmWatch vom 07.12.2018 einen Langmut, der an Rechtswidrigkeit grenzt. In diesem Bericht wird u. a. festgestellt: “Nach mehrmonatiger Prüfung ist nun offenbar auch für den Hessischen Datenschutzbeauftragten geklärt, was selbstverständlich sein sollte: Die Schufa muss den Verpflichtungen des Artikels 15 Absatz 3 der Datenschutzgrundverordnung (DSGVO) nachkommen, also Auskünfte über gespeicherte Daten in gewissen Fällen elektronisch zur Verfügung stellen. Allerdings hat der Datenschutzbeauftragte der Schufa noch ‘bis Anfang kommenden Jahres’ Zeit gegeben, diese Verpflichtung umzusetzen – und der Schufa zudem ein Verfahren erlaubt, das an Nutzerunfreundlichkeit schwer zu überbieten ist. Seit Ende Mai 2018 sieht die DSGVO vor, dass Daten, zu deren Herausgabe ein Unternehmen gesetzlich verpflichtet ist, in einem ‘elektronischen’ Format geliefert werden müssen, wenn eine Auskunftsanfrage ‘elektronisch’ (über eine Website, per E-Mail oder ähnlich) gestellt wurde… Die Schufa tut das bei der kostenfreien Auskunft weiterhin nicht, mehr als ein halbes Jahr, nachdem die DSGVO in Kraft getreten ist… Die Schufa wählt ein Auskunftsverfahren, das ihr Geschäftsmodell schützt und die Ziele der DSGVO unterläuft, und die zuständige Aufsichtsbehörde lässt es zu. Dieses Desaster verdeutlich drei Dinge: die Dreistigkeit der Schufa, die aus der massiven Kritik an ihrem Verhalten gegenüber Betroffenen offenbar nichts gelernt hat, die Zahnlosigkeit des Hessischen Datenschutzbeauftragten und die Unzulänglichkeit der DSGVO. Der Vorteil, den eine Auskunft im digitalen Format offenkundig hat, ist, dass sie deutlich schneller erfolgen könnte als über den Postweg. Dieser Vorteil wird durch das geplante Verfahren der Schufa zunichte gemacht.”
Was in diesem Zusammenhang auch nicht einer gewissen Pikanterie entbehrt, ist folgender Sachverhalt: Zwar gibt es auch in Hessen seit dem 25.05.2018 ein Informationsfreiheitsgesetz (als “Vierter Teil – Informationsfreiheit” Teil des Hessisches Datenschutz- und Informationsfreiheitsgesetzes – HDSIG). Der Hessische Datenschutz- und Informationsfreiheitsbeauftragte selbst ist aber nach § 81 Abs. 1 Ziffer 3 HDSIG von Auskunftsverpflichtungen über seine inhaltliche Tätigkeit befreit. Es ist daher nicht möglich, die Stellungnahme des Hessischen Datenschutzbeauftragten zur Schufa im Rahmen des HDSIG anzufordern und einzusehen. Eine Ausnahmeregelung, die sich so z. B. im Informationsfreiheitsgesetz des Bundes (IFG) oder im Hamburgischen Transparenzgesetz (HmbTG) nicht wiederfindet.
Zitat:
Der Hessische Datenschutz- und Informationsfreiheitsbeauftragte selbst ist aber nach § 81 Abs. 1 Ziffer 3 HDSIG von Auskunftsverpflichtungen über seine inhaltliche Tätigkeit befreit. Es ist daher nicht möglich, die Stellungnahme des Hessischen Datenschutzbeauftragten zur Schufa im Rahmen des HDSIG anzufordern und einzusehen. Eine Ausnahmeregelung, die sich so z. B. im Informationsfreiheitsgesetz des Bundes (IFG) oder im Hamburgischen Transparenzgesetz (HmbTG) nicht wiederfindet.
Gilt folgender juristische Grundsatz nicht mehr:
Bundesrecht bricht Landesrecht?