Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Häufig gestellte Fragen zu Auskunfteien

Haben Sie sich schon gefragt, welche Informationen Auskunfteien speichern und wer sie einholen darf? Auf diese und weitere Fragen erhalten Sie hier Antworten.

ein Sparschwein wird unter einer Lupe betrachtet
Quelle: ©Elnur - stock.adobe.com

Was ist eine Auskunftei, was macht eine Auskunftei?

Auskunfteien sind private, gewerbliche Unternehmen, die bestimmte Informationen über die Identität, Kreditwürdigkeit, Zahlungsfähigkeit und Zahlungswilligkeit von Privatpersonen und Unternehmen sammeln. Diese Informationen werden gespeichert, ausgewertet und als Bonitätsinformationen an Dritte übermittelt.

Wer arbeitet mit Auskunfteien zusammen?

Vor allem Kreditinstitute, Kreditkarten- und Leasinggesellschaften sowie sonstige Unternehmen, die mit ihren Leistungen und Lieferungen gegenüber ihren Kunden in Vorleistung treten und damit ein Kreditrisiko eingehen, arbeiten mit Auskunfteien zusammen. Informationen zur Beurteilung der Kreditwürdigkeit werden aber auch von Versicherungen, Vermietern und Ärzten (bei Privatpatienten) eingeholt. 

Ist die Datenverarbeitung durch Auskunfteien zulässig?

Nach der Datenschutz-Grundverordnung (DSGVO) ist die Verarbeitung personenbezogener Daten nur zulässig, wenn ein gesetzlicher Erlaubnistatbestand vorliegt. Die DSGVO und das Bundesdatenschutzgesetz (BDSG) lassen die Tätigkeit von Auskunfteien - in bestimmten Grenzen - grundsätzlich zu. Die Verarbeitung personenbezogener Daten durch Auskunfteien erfolgt in der Regel auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie § 31 BDSG. Dies gilt allerdings nur für sogenannte Negativdaten. Eine Einwilligung ist zur Rechtmäßigkeit der Verarbeitung von Negativdaten durch Auskunfteien, aber auch zu deren Einmeldung an eine Auskunftei, in aller Regel nicht erforderlich (s.a. "Welche Daten dürfen Auskunfteien erheben und verarbeiten?" unter 2.).

Für die Datenverarbeitung sogenannter Positivdaten ist in der Regel hingegen eine Einwilligung erforderlich (s.a. "Welche Daten dürfen Auskunfteien erheben und verarbeiten?" unter 3.)

Für eine sogenannte Einmeldung personenbezogener Daten an eine Auskunftei ist es notwendig, dass die Übermittlung der Daten an die Auskunftei zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Das bedeutet, dass eine Abwägung im Einzelfall unter Berücksichtigung dieser Kriterien vorzunehmen ist. 

Auskunfteien dürfen Bonitätsauskünfte grundsätzlich nur erteilen, wenn es zur Wahrung eines berechtigten Interesses eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Welche Daten dürfen Auskunfteien erheben und verarbeiten?

Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO ist die Verarbeitung folgender personenbezogener Daten zulässig: 

1. Identifikationsdaten

Zulässig ist die Verarbeitung von Identifikationsdaten (z. B. Name, Adresse, Geburtsdatum und frühere Anschriften), da dies dazu dient, die Daten richtig zuzuordnen und Personenverwechslungen zu vermeiden. 

2. Negativdaten

Negativdaten sind Informationen über negative Zahlungserfahrungen. Im Rahmen der jeweils vorzunehmenden Einzelfallprüfung entfalten die nachfolgenden Fallgruppen eine Indizwirkung für eine zulässige sogenannte Einmeldung an eine Auskunftei:

  • die Forderung ist durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden oder es liegt ein Schuldtitel nach § 794 der Zivilprozessordnung vor,
  • die Forderung ist nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden,
  • der Betroffene hat die Forderung ausdrücklich anerkannt,
  • der Betroffene ist nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden,
    die erste Mahnung liegt mindestens vier Wochen zurück,
    der Betroffene ist zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden
    und der Betroffene hat die Forderung nicht bestritten
  • das der Forderung zugrunde liegende Vertragsverhältnis kann aufgrund von Zahlungsrückständen fristlos gekündigt werden und der Betroffene ist zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden

 3. Positivdaten, Vertragsdaten

Sogenannte Positivdaten sind Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben. 

Kreditinstitute dürfen aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO in aller Regel die Begründung, ordnungsgemäße Durchführung und Beendigung von Kredit- und Giroverträgen sowie Bürgschaften an Auskunfteien übermitteln. 

Im Übrigen dürfen Auskunfteien Positivdaten zu Privatpersonen grundsätzlich nicht auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten. Hier überwiegt regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihrer Daten zu bestimmen. Dies gilt auch für eine Übermittlung von Positivdaten an Auskunfteien. Will eine Auskunftei Positivdaten zu Privatpersonen erheben, bedarf es dafür im Regelfall einer wirksamen Einwilligung der betroffenen Personen (Art. 6 Abs. 1 lit. a DSGVO). Die Anforderungen hierfür sind aber sehr hoch und liegen in aller Regel nicht vor (siehe zur Verarbeitung von Positivdaten auch die Beschlüsse der Datenschutzkonferenz (DSK) vom 11.06.2018 und 22.09.2021).

Wie lange dürfen Auskunfteien Daten zu einer Person speichern?

Auskunfteien dürfen Informationen über das Zahlungsverhalten so lange speichern, wie dies für die Zwecke, für die sie gespeichert wurden, erforderlich ist. Daten zum Zahlungsverhalten sind daher spätestens dann zu löschen, wenn sie keine belastbare Aussagekraft mehr für die Bonität haben. Danach ist die Auskunftei zur Löschung verpflichtet (Art. 17 Abs. 1 lit. a DSGVO). 

Eine gesetzliche Regelung, die eine in Tagen, Monaten oder Jahren konkretisierte Speicherdauer für Daten zum Zahlungsverhalten enthält, gibt es nicht. Zur Schaffung von Rechtssicherheit hat der Verband der Auskunfteien Verhaltensregeln zur Speicherdauer (einen sogenannten Code of Conduct) gemäß Art. 40 DSGVO formuliert. Diese sehen die Löschung von Daten zum Zahlungsverhalten drei Jahre auf den Tag genau nach der Erledigung des gespeicherten Ereignisses vor.

Die Verhaltensregeln - und die darin vorgesehenen Fristen - wurden von der hierfür zuständigen Datenschutzaufsichtsbehörde, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, genehmigt.

Wie lange dürfen Auskunfteien Insolvenzdaten speichern?

Personenbezogene Daten dürfen so lange gespeichert werden, wie dies für die Zwecke, für die sie gespeichert sind, erforderlich ist. Danach ist die Auskunftei zur Löschung verpflichtet. Eine gesetzliche Regelung, die eine nach Tagen, Monaten oder Jahren konkretisierte Speicherdauer für Daten aus Insolvenzverfahren vorsieht, gibt es nicht. 

Daten aus Insolvenzverfahren werden zu dem Zweck gespeichert, die Bonität zu beurteilen. Personen, die ein Privatinsolvenzverfahren durchlaufen haben, geraten erheblich häufiger erneut in Zahlungsschwierigkeiten als andere Personen. Die Daten aus einem Insolvenzverfahren wirken sich aber immer weniger auf die Bonität aus, je länger dieses zurückliegt. Der Eintrag zur Restschuldbefreiung ist daher spätestens dann zu löschen, wenn ihm keine belastbare Aussagekraft mehr für die Bonität zukommt. 

Zur Schaffung von Rechtssicherheit hat der Verband der Auskunfteien Verhaltensregeln zur Speicherdauer (einen sogenannten Code of Conduct) formuliert. Die Auskunfteien haben sich mit den Verhaltensregeln dazu verpflichtet, personenbezogene Daten aus Insolvenzverfahren auf den Tag genau drei Jahre nach deren Beendigung und Daten zu Restschuldbefreiungen drei Jahre nach deren Erteilung zu löschen. Diese Verhaltensregeln - und die darin vorgesehenen Fristen - wurden von der hierfür zuständigen Datenschutzaufsichtsbehörde, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, genehmigt. Ob eine Löschung bereits vor Ablauf der drei Jahre zu erfolgen hat, bedarf einer besonderen Prüfung im Einzelfall.

Woher stammen die Daten? Von wem erhalten die Auskunfteien die Daten?

Auskunfteien dürfen unter bestimmten Voraussetzungen personenbezogene Daten aus öffentlichen Registern, wie beispielsweise dem Handelsregister, den Insolvenzbekanntmachungen oder dem Schuldnerverzeichnis entnehmen und verarbeiten. Daneben dürfen Vertragspartner der betroffenen Personen, wie z. B. Banken, Telekommunikationsunternehmen, Versandhändler, Energieversorger oder Inkassounternehmen, unter bestimmten Voraussetzungen bonitätsrelevante Informationen bei den Auskunfteien einmelden. Eine Einmeldung von Positivdaten ist – mit Ausnahme bei den Banken – allerdings nur auf der Basis einer wirksamen Einwilligung zulässig.

Wer darf Auskünfte bei einer Auskunftei einholen?

Die Abfrage von Bonitätsauskünften bei Auskunfteien ist nur dann zulässig, wenn die Voraussetzungen einer gesetzlichen Vorschrift erfüllt sind. Auskunfteien dürfen Bonitätsauskünfte grundsätzlich nur erteilen, wenn es zur Wahrung eines berechtigten Interesses eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Hier kommt es wieder auf den Einzelfall an. Die Anforderungen sind aber beispielsweise in aller Regel bei der Vergabe eines Kredits erfüllt. 

Was sind Scorewerte?

Sogenannte Scorewerte sind Wahrscheinlichkeitswerte, die auf der Grundlage eines mathematisch-statistischen Verfahrens aus den über Sie vorhandenen Informationen errechnet werden. Die Scorewerte der Auskunfteien enthalten eine Aussage über die Wahrscheinlichkeit Ihres künftigen Zahlungsverhaltens und damit über Ihre Kreditwürdigkeit. 

Was kann ich tun, wenn ich nicht sicher bin, ob meine Daten bei einer Auskunftei richtig gespeichert sind?

Werden beispielsweise beantragte Kredite ohne für Sie erkennbaren Grund nicht gewährt, können auch falsch gespeicherte Daten der Grund dafür sein. Bei Zweifeln an der Richtigkeit gespeicherter Daten ist die Einholung einer Selbstauskunft sinnvoll.

Welche Rechte habe ich als Betroffener?

Sie haben insbesondere das Recht auf Information. So müssen Sie beispielsweise darüber informiert werden, wenn eine Auskunftei Ihre Daten ohne Ihre Kenntnis speichert.

Sie können Auskunft verlangen über die zu Ihrer Person gespeicherten Daten, den Zweck und die Dauer der Speicherung, die Herkunft und die Empfänger Ihrer Daten (Art. 15 DSGVO). Bei Scoringverfahren können Sie zudem Auskunft über die danach gegebenen Scorewerte zu Ihrer Person, einschließlich aussagekräftiger Informationen über die involvierte Logik, verlangen. Zudem haben Sie ein Recht auf Informationen zu Ihren Rechten als betroffene Person. Und Sie können natürlich Ihre Rechte auf Berichtigung, Einschränkung der Verarbeitung oder sogar Löschung (Art. 16, 17 und 18 DSGVO) geltend machen, wenn Sie z. B. feststellen, dass die Auskunftei unrichtige Daten speichert. 

Was kostet die Selbstauskunft?

Die Auskunft ist grundsätzlich unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen kann der Verantwortliche allerdings entweder ein angemessenes Entgelt verlangen oder sich weigern, tätig zu werden.

An wen kann ich mich bei Problemen wenden?

Sollte Auskunftsansprüchen nicht nachgekommen werden oder es zum Streit über die Zulässigkeit oder Richtigkeit der über Sie gespeicherten Daten oder deren Übermittlung kommen, können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden. Federführend zuständig ist jeweils die Aufsichtsbehörde des Bundeslands, in dem die Auskunftei ihren Sitz hat. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit berät sich zwar regelmäßig mit den Aufsichtsbehörden der Länder über fachliche Fragen des Datenschutzes bei Auskunfteien, hat aber selbst keine Aufsichtszuständigkeit.