Die SCHUFA genießt in Deutschland einen beinahe sakrosankten Status (die heilige Schufa), wenn es um die Kreditwürdigkeit von Menschen geht. Doch was passiert, wenn diese Instanz mit dem Selbstverständnis einer allwissenden Schwiegermutter auftritt – urteilsstark, meinungsfreudig, aber ohne vollständige Einsicht? Wer seine GEZ-Gebühren bewusst nicht zahlt oder sich mit Inkassodiensten streitet, kann trotz hoher Vermögenswerte als „wenig kreditwürdig“ eingestuft werden – weil das System hinter der SCHUFA genau solche Differenzierungen nicht vorsieht. Das wirft juristische und gesellschaftliche Fragen auf. In diesem Beitrag geht es darum, wie die SCHUFA rechtlich einzuordnen ist, welche Grenzen ihr gesetzt sind und wie Betroffene ihre Rechte aktiv wahrnehmen können. Von Dr. Thomas Schulte, Rechtsanwalt

SCHUFA als private Auskunftei: Rechtsgrundlagen der Datenverarbeitung

Die SCHUFA ist ein privater Auskunfteidienst, der Finanzdaten von Verbrauchern sammelt und verarbeitet. Rechtsgrundlage ist dabei vorrangig Art. 6 DSGVO (Rechtmäßigkeit) – insbesondere Lit. f (berechtigtes Interesse der Kreditgeber) – sowie ergänzend das BDSG. Nach Informationen des Hessischen Datenschutzbeauftragten erfolgt die Datenverarbeitung von Auskunfteien „auf der Grundlage von Art. 6 Abs. 1 lit. b) und lit. f) DSGVO sowie § 31 BDSG (a.F.)“ (Der Hessische Datenschutzbeauftragte). Das bedeutet: Banken und Händler greifen als berechtigte Dritte auf SCHUFA-Daten zurück und berufen sich auf ihr berechtigtes Interesse an der Risikovorsorge. Auch Banken selbst handeln oft nach Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Autorität von Vertragseinwilligungen ist nach DSGVO geringer (explizite „SCHUFA-Klauseln“ sind entbehrlich). Nach Einschätzung von Datenschützern bleibt vor allem Art. 6 Abs. 1 f DSGVO maßgeblich, da andere Rechtsgrundlagen schwer anwendbar sind.

Nach deutschem Recht gab es früher im BDSG a.F. eine Sondervorschrift (§ 28a BDSG a.F.) für Auskunfteien. Diese stellt enge Bedingungen, unter welchen Voraussetzungen Schuldendaten übermittelt werden dürfen: so ist eine Übermittlung u. a. nur gestattet, wenn die Forderung trotz Fälligkeit unbestritten blieb und entweder gerichtlich festgestellt oder nach mindestens zweifacher Mahnung (mit vierwöchigem Abstand) noch offen ist. Die aktuelle Fassung (§§ 28a ff. BDSG n.F.) enthält ähnliche Regeln. Demnach dürfen negative Zahlungsverhaltensdaten nur bei bestimmten Voraussetzungen (rechtssicher gefestigte Forderung, Anerkenntnis oder ordnungsgemäß erfolgte Mahnungen) an die SCHUFA gemeldet werden (Bundesdatenschutzgesetz [bis 25.05.2018] / § 28a Datenübermittlung an Auskunfteien). Diese Vorschriften begrenzen den Datenumfang, der in das Scoring eingeht, und sind Voraussetzung für eine Rechtfertigung der Verarbeitung. Zusätzlich gelten die allgemeinen DSGVO-Grundsätze (§ 5 DSGVO: Zweckbindung, Datenminimierung, Speicherbegrenzung) und die Informationspflichten des Verantwortlichen (Art. 12 ff. DSGVO).

Kritik am Bonitätsscore bei unvollständigen Daten

Kritiker bemängeln, dass das Bonitätsscoring der SCHUFA nur bestimmte Negativmerkmale („hartes“ Zahlungsverhalten) abbildet und viele relevante Informationen unberücksichtigt lässt. Beispielsweise werden nur Forderungen einbezogen, die den gesetzlichen Meldevoraussetzungen genügen (unbestrittene, fällige Schulden nach Mahnung). Einkommens- oder Vermögensverhältnisse der Person spielen im Score hingegen keine Rolle. Reiche Privatpersonen ohne offizielle Inkassovermerke erhalten daher oft einen hohen Score, während relativ geringfügige Forderungen (z.B. unbezahlte Gebühren) die Bonität kleiner Verdiener stark drücken können. Das Verfahren gilt als eine „prognostische Prognose“: Der Score ist eine statistische Vorhersage der Wahrscheinlichkeit, „mit welcher Wahrscheinlichkeit jemand seinen Zahlungsverpflichtungen nachkommt“. Allerdings basiert diese Vorhersage nur auf den der SCHUFA bekannten Daten. Kritiker sehen darin das Risiko verzerrter Ergebnisse, weil etwa nicht gemeldete Schulden (z.B. private Abbuchungsforderungen, Rundfunkgebühren ohne Vollstreckung) unberücksichtigt bleiben. Die Transparenz dieses Verfahrens ist zudem eingeschränkt: Nach bisheriger Rechtsprechung musste die SCHUFA nur die verwendeten Datengattungen und den Endscore offenbaren, nicht aber die genaue Berechnungslogik . Betroffene erhalten somit oft nur eine grobe Erklärung der „Score-Grundsätze“, aber keine detaillierte Einsicht in die Bewertungslogik.

Zulässigkeit von Bonitäts-Scoring durch private Unternehmen

Das automatisierte Bonitätsscoring fällt in den Bereich von Art. 22 DSGVO („automatisierte Einzelentscheidung“). Nach Art. 22 Abs. 1 DSGVO darf eine Person grundsätzlich nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung mit Rechtswirkung unterworfen werden, etwa einer „automatischen Ablehnung eines Online-Kreditantrags“ (Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling) (Erwägungsgrund 71 DSGVO – Profiling). Ausnahmen sind eng: Art. 22 Abs. 2 DSGVO erlaubt Ausnahmen nur, wenn a) die Entscheidung für Vertragsschluss/Vertragsdurchführung notwendig ist, b) eine ausdrückliche Einwilligung vorliegt, oder c) dies durch Unions- oder nationales Recht ausdrücklich gestattet wird. Nach ErwGr. 71 DSGVO müssen in jedem Fall angemessene Schutzmaßnahmen getroffen werden.

Konkret hat der EuGH im Schufa-Verfahren (C-634/21) entschieden, dass die SCHUFA-Scoreberechnung dann eine „automatisierte Entscheidung im Einzelfall“ (Art. 22 DSGVO) darstellt, wenn die daran übermittelten Scorewerte von einer Bank oder einem anderen Vertragspartner als maßgebliche Grundlage für die Kreditentscheidung herangezogen werden . In dieser Situation wäre das Verbot des Art. 22 DSGVO anwendbar, sofern nicht eine Ausnahme greift. Das deutsche Gesetz (§ 31 BDSG a.F.) versuchte früher, eine Rechtfertigung für Kredit-Scoring in deutschem Recht zu schaffen. Der EuGH und der Generalanwalt äußerten jedoch „erhebliche Zweifel“ an der Vereinbarkeit dieser nationalen Regelung mit der DSGVO . Es obliegt nun dem deutschen Gericht, zu prüfen, ob (§ 31 BDSG bzw. die Nachfolgeregelungen) eine gültige Ausnahme enthält. Unabhängig davon ist in der Praxis weiterhin Art. 6 Abs. 1 lit. f (berechtigtes Interesse der Banken bzw. Auskunftei) die maßgebliche Rechtsgrundlage für das Scoring.

Zusammengefasst: Bonitätsscoring durch private Firmen ist unter DSGVO nur zulässig, wenn einer der Ausnahmetatbestände greift (etwa Vertragsnotwendigkeit oder Gesetzesermächtigung) und strenge Voraussetzungen eingehalten werden. Derzeit gelten die Transparenz- und Widerspruchsrechte des Betroffenen, die etwa in § 28a ff. BDSG und Art. 22 ff. DSGVO normiert sind. Nach Auffassung des EuGH darf ein rein automatischer Entscheidungsprozess nur unter engen, durch Unionsrecht zugelassenen Bedingungen stattfinden. Zudem fordert das Datenschutzrecht klare Informationen über die Kriterien und die Funktionsweise des Scorings.

Datenschutzrechtliche Pflichten: Auskunft, Transparenz und Löschung

Betroffene haben umfassende Auskunftsrechte nach Art. 15 DSGVO. Dieser verlangt u. a. Angaben zu den Verarbeitungszwecken, den Datenkategorien und Empfängern sowie zur Speicherdauer (. Besonders relevant ist Art. 15 Abs. 1 h DSGVO: Er schließt die Offenlegung des Bestehens von automatisierter Entscheidungsfindung und Profiling ein und verlangt „aussagekräftige Informationen über die involvierte Logik“ sowie die Tragweite und Auswirkungen dieser Verarbeitung (. Der BGH hat das Auskunftsrecht jüngst sehr weit ausgelegt: Auch interne Vermerke oder E-Mail-Korrespondenz zum Fall müssen offengelegt werden 

Die EuGH-Rechtsprechung (C-203/22) hat weiter präzisiert, was unter „Logik der Verarbeitung“ zu verstehen ist: Demnach muss das Verfahren so erläutert werden, dass die betroffene Person nachvollziehen kann, welche ihrer Daten in welcher Weise bei der Scoring-Entscheidung berücksichtigt wurden . Es kann genügen, beispielhaft zu zeigen, wie unterschiedliche Eingabedaten das Ergebnis verändert hätten. Eine bloße Beschreibung des verwendeten Algorithmus oder nur allgemeiner Formel genügt nicht . Wichtig ist auch: Behauptet das Unternehmen, Details würden Geschäftsgeheimnisse enthalten, so muss es diese Informationen der Aufsichtsbehörde bzw. dem Gericht vorlegen. Die Behörde wägt dann ab, in welchem Umfang der Betroffene diese Informationen bekommen darf  . Eine rein nationale Regel, die Auskunft generell wegen Geschäftsgeheimnissen ausschlösse, würde der DSGVO widersprechen .

Recht auf Löschung (Art. 17 DSGVO): Die betroffene Person kann die unverzügliche Löschung verlangen, wenn die Daten nicht mehr erforderlich sind oder unrechtmäßig verarbeitet wurden  . Beispielsweise darf die SCHUFA nach EuGH nun keine Restschuldbefreiungs-Informationen länger speichern als dies im öffentlichen Insolvenzregister erlaubt ist (i. d. R. sechs Monate) . Nach EU-Recht und § 17 DSGVO müssen unzulässige Alt-Einträge entfernt werden.

In Deutschland ergänzen §§ 34–36 BDSG die Betroffenenrechte. § 34 BDSG (n.F.) etwa gewährt Anspruch auf Bestätigung und Auskunft – ähnlich Art. 15 DSGVO. § 35 BDSG regelt im Kontext von Verbraucherkrediten Löschungspflichten der Auskunftei. Insgesamt verlangt das Datenschutzrecht von der SCHUFA, Transparenz zu schaffen: Betroffene müssen über Score-Verfahren verständlich informiert werden und haben das Recht, fehlerhafte Einträge löschen zu lassen.

Aktuelle Rechtsprechung (EuGH, BGH, BVerfG)

EuGH (C-634/21, Urteil v. 7.12.2023): Der Europäische Gerichtshof stellte klar, dass das automatisierte SCHUFA-Scoring eine „automatisierte Entscheidung im Einzelfall“ i.S.d. Art. 22 DSGVO sein kann, sobald Dritte (z.B. Banken) diesem Score für ihre Kreditentscheidung „maßgeblich“ Bedeutung beimessen . Er ordnete an, zu prüfen, ob die deutsche Ausnahmenorm (§ 31 BDSG a.F.) mit DSGVO vereinbar ist . Außerdem entschied der EuGH, dass private Auskunfteien Informationen über eine Restschuldbefreiung nicht länger speichern dürfen als das öffentliche Insolvenzregister (sechs Monate) .

EuGH (C-203/22, Urteil v. 27.2.2025): Das Gericht stellte zum Dun-&-Bradstreet-Fall fest, dass Datensubjekte Auskunft über die Entscheidungslogik verlangen können. Die verantwortliche Stelle muss erklären, welche Daten auf welche Weise verwendet wurden, etwa durch Veranschaulichung, wie andere Eingaben das Ergebnis beeinflusst hätten . Ein detaillierter Algorithmus allein genügt nicht. Geschäftsgeheimnisse dürfen den Auskunftsanspruch nicht pauschal abschirmen; verlangte Informationen sind zur Prüfung den Behörden vorzulegen  .

BGH: Schon 2014 urteilte der BGH, die SCHUFA müsse angeben, welche Daten sie in das Scoring „hineinwirft“ und welches Ergebnis herauskommt – aber nicht, nach welchem konkreten Rechenweg (Algorithmus) das Ergebnis zustande kam . Im Juni 2021 entschied der BGH allgemein, dass das Auskunftsrecht nach Art. 15 DSGVO „betroffenenfreundlich“ weit auszulegen ist: Auch interne Notizen und E-Mails sind offenzulegen  Eine Entscheidung zur Auskunft in der konkreten SCHUFA-Situation steht noch aus.

BVerfG: Das Bundesverfassungsgericht hat in der allgemeinen Rechtsprechung das Grundrecht der informationellen Selbstbestimmung bestätigt (v. a. im Volkszählungsurteil). Daraus folgt, dass Personen in grundlegende Entscheidungen, die sie betreffen (wie Bonitätseinstufungen), einbezogen werden müssen. Eine neuere spezifische Verfassungsentscheidung zur SCHUFA liegt nicht vor.

Praktische Tipps für Betroffene im Umgang mit SCHUFA-Einträgen

• Selbstauskunft einholen: Betroffene sollten ihre kostenlose SCHUFA-Selbstauskunft beantragen (Art. 15 DSGVO) und alle gespeicherten Daten prüfen (. Achten Sie darauf, dass nur korrekte Forderungen gelistet sind (nach § 28a BDSG z. B. nur unbestrittene und zweimal angemahnte Forderungen (Der Hessische Datenschutzbeauftragte)).
• Berichtigung und Löschung verlangen: Finden Sie Fehler oder Altdateneinträge, können Sie nach Art. 16/17 DSGVO Berichtigung bzw. Löschung verlangen . Die SCHUFA ist gesetzlich verpflichtet, unrichtige Daten zu berichtigen oder zu entfernen. Wurde z. B. eine offene Forderung beglichen, muss die SCHUFA darüber umgehend informiert werden und den Eintrag löschen.
• Information über Scoring einfordern: Gemäß Art. 15 Abs. 1 h DSGVO steht Ihnen bei einer Entscheidung auf Basis des Scores die Information zu, dass eine automatisierte Entscheidungsfindung vorlag. Sie haben Anspruch auf eine verständliche Erläuterung, wie Ihr Score berechnet wurde (Art. 15 DSGVO – Auskunftsrecht der betroffenen Person) . Insbesondere nach der EuGH-Rechtsprechung dürfen Sie wissen, welche Kriterien ausschlaggebend waren und wie unterschiedliche Daten das Ergebnis verändert hätten .
• Widerspruch und vorläufige Sperrung: Solange Sie die Rechtmäßigkeit eines Eintrags prüfen lassen (z.B. bei Widerspruch gegen einen Bescheid der SCHUFA), muss die SCHUFA den Eintrag sperren und darf ihn nicht weitergeben . Das stärkt Ihre Position: Banken und Händler dürfen während der Prüfung nicht auf diese Daten zugreifen.
• Frühzeitige Löschung nach Zahlung: Wegen der aktuellen Selbstverpflichtung der SCHUFA können vollständig bezahlte Forderungen unter bestimmten Umständen bereits nach 18 Monaten gelöscht werden (statt früherer 3 Jahres‑Frist)). Fragen Sie ggf. gezielt danach oder beantragen Sie eine vorzeitige Löschung im Rahmen Ihrer Auskunft.
• Rechtsbehelf und Schadensersatz: Erhält man trotz Widerspruch keine Auskunft oder bleiben rechtswidrige Daten bestehen, kann ein Verwaltungsrechtsweg (Klage vor dem zuständigen Datenschutzgericht) nötig sein. Bei unzulässigen SCHUFA-Einträgen ist auch Schadensersatz möglich – Gerichte haben Summen zwischen etwa 100 € und 5.000 € zugesprochen), z.B. für entgangene Kreditmöglichkeiten oder erhöhte Zinskosten.

 🔍 SCHUFA-Scoring & Datenschutzrecht

• „Schufa-Scoring unter Beschuss: Wie der EuGH die Rechte der Verbraucher gegen automatisierte Entscheidungen stärkt“
  Analyse des EuGH-Urteils zur Zulässigkeit automatisierter Bonitätsbewertungen und deren Auswirkungen auf Verbraucherrechte. (schufa Archiv – Dr. Thomas Schulte Rechtsanwalt)
• „Schufa-Scoring auf 100? Geheimnisse, Herausforderungen und der Überblick“
  Erläuterung der Funktionsweise des SCHUFA-Scores, seiner Bedeutung für Kreditentscheidungen und der zugrunde liegenden Datenverarbeitung. (Schufa-Scoring auf 100? Geheimnisse, Herausforderungen und der …)

🗑️ Löschfristen & Speicherpraxis

• „Löschfristen-Chaos bei der SCHUFA“
  Diskussion über die unklare gesetzliche Regelung von Löschfristen bei der SCHUFA und die Problematik der fortdauernden Speicherung erledigter Schulden. (Löschfristen-Chaos bei der SCHUFA – Dr. Thomas Schulte)

⚖️ Inkasso & rechtliche Rahmenbedingungen

• „Inkassounternehmen – endlich gesetzlich Klarheit durchgesetzt“
  Überblick über die gesetzlichen Regelungen für Inkassounternehmen und deren Bedeutung für Verbraucher. (Inkassounternehmen – endlich gesetzlich Klarheit durchgesetzt)

🧾 Umgang mit SCHUFA-Einträgen

• „Schufa Einträge löschen – Wünsche aller Art von Seiten der Betroffenen“
  Informationen über die Möglichkeiten und Grenzen bei der Löschung von SCHUFA-Einträgen und die rechtlichen Voraussetzungen dafür. (Löschfristen-Chaos bei der SCHUFA – Dr. Thomas Schulte)