Auskunfteien-Hinweise

1. Name und Kontaktdaten der Verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

2. Datenverarbeitung durch die SCHUFA

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen

Die SCHUFA verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Scorewerte ermittelt und übermittelt. Sie stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben.

Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Seriositätsprüfung, Geldwäscheprävention, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung oder Risikosteuerung sowie der Tarifierung oder Konditionierung.

Neben den vorgenannten Zwecken verarbeitet die SCHUFA personenbezogene Daten auch zu internen Zwecken (z. B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, Weiterentwicklung von Dienstleistungen und Produkten, Forschung und Entwicklung — insbesondere zur Durchführung interner Forschungsprojekte (z. B. SCHUFA-Kreditkompass) oder zur Teilnahme an nationalen und internationalen externen Forschungsprojekten — sowie Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse hieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur. Es können auch anonymisierte Daten verarbeitet werden. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die SCHUFA gemäß Art. 14 Abs. 4 DSGVO informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung

Die SCHUFA verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes. Die Verarbeitung erfolgt auf Basis von Einwilligungen (Art. 6 Abs. 1 Buchstabe a DSGVO) sowie auf Grundlage des Art. 6 Abs. 1 Buchstabe f DSGVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DSGVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

2.3 Herkunft der Daten

Die SCHUFA erhält ihre Daten einerseits von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert oder Standardvertragsklauseln vereinbart wurden, die unter www.schufa.de eingesehen werden können) ansässige Institute, Finanzunternehmen und Zahlungsdienstleister, die ein finanzielles Ausfallrisiko tragen (z. B. Banken, Sparkassen, Genossenschaftsbanken, Kreditkarten-, Factoring- und Leasingunternehmen) sowie weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der SCHUFA nutzen, insbesondere aus dem (Versand-)Handels-, eCommerce-, Dienstleistungs-, Vermietungs-, Energieversorgungs-, Telekommunikations-, Versicherungs- oder Inkassobereich.

Darüber hinaus verarbeitet die SCHUFA Informationen aus allgemein zugänglichen Quellen wie etwa öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (z. B. Schuldnerverzeichnisse, Insolvenzbekanntmachungen) oder von Compliance-Listen (z. B. Listen über politisch exponierte Personen und Sanktionslisten) sowie von Datenlieferanten. Die SCHUFA speichert ggf. auch Eigenangaben der betroffenen Personen nach entsprechender Mitteilung und Prüfung.

2.4 Kategorien personenbezogener Daten, die verarbeitet werden

• Personendaten, z. B. Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
• Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z. B. Girokonten, Ratenkredite, Kreditkarten, Pfändungsschutzkonten, Basiskonten)
• Informationen über nicht erfüllte Zahlungsverpflichtungen wie z. B. unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
• Informationen zu missbräuchlichem oder sonstigen betrügerischem Verhalten wie z. B. Identitäts- oder Bonitätstäuschungen
• Informationen aus allgemein zugänglichen Quellen (z. B. Schuldnerverzeichnisse, Insolvenzbekanntmachungen)
• Daten aus Compliance-Listen
• Informationen ob und in welcher Funktion in allgemein zugänglichen Quellen ein Eintrag zu einer Person des öffentlichen Lebens mit übereinstimmenden Personendaten existiert
• Anschriftendaten
• Scorewerte

2.5 Kategorien von Empfängern der personenbezogenen Daten

Empfänger sind im europäischen Wirtschaftsraum, in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission existiert oder Standardvertragsklauseln vereinbart wurden, die unter www.schufa.de eingesehen werden können) ansässige Vertragspartner gemäß Ziffer 2.3. Weitere Empfänger können externe Auftragnehmer der SCHUFA nach Art. 28 DSGVO sowie externe und interne SCHUFA-Stellen sein. Die SCHUFA unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung

Die SCHUFA speichert Informationen über Personen nur für eine bestimmte Dauer. Maßgebliches Kriterium für die Festlegung dieser Dauer ist die Erforderlichkeit der Verarbeitung zu den o. g. Zwecken. Im Einzelnen sind die Speicherfristen in einem Code of Conduct des Verbandes „Die Wirtschaftsauskunfteien e. V." festgelegt. Dieser sowie weitere Details zu den Löschfristen können unter www.schufa.de/loeschfristen eingesehen werden.

3. Betroffenenrechte

Jede betroffene Person hat gegenüber der SCHUFA das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO.

Darüber hinaus besteht die Möglichkeit, sich an die für die SCHUFA zuständige Aufsichtsbehörde, den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden.

Nach Art. 21 Abs. 1 DSGVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, widersprochen werden. Das Widerspruchsrecht gilt auch für die nachfolgend dargestellte Profilbildung. Der Widerspruch kann formfrei erfolgen und z. B. an SCHUFA Holding AG, Privatkunden ServiceCenter, Postfach 10 34 41, 50474 Köln gerichtet werden.

4. Profilbildung (Scoring)

Neben der Erteilung von Auskünften über die zu einer Person gespeicherten Informationen unterstützt die SCHUFA ihre Vertragspartner durch Profilbildungen, insbesondere mittels sogenannter Scorewerte. Unter dem Oberbegriff der Profilbildung wird die Verarbeitung personenbezogener Daten unter Analyse bestimmter Aspekte zu einer Person verstanden. Besondere Bedeutung nimmt dabei das sogenannte Scoring im Rahmen der Bonitätsprüfung und Betrugsprävention ein. Beim Scoring wird anhand von gesammelten Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse oder Verhaltensweisen erstellt. Anhand der zu einer Person bei der SCHUFA gespeicherten Informationen erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit eine ähnliche Datenbasis aufwiesen.

Zusätzlich zu dem etablierten Verfahren der Logistischen Regression können bei der SCHUFA auch Scoringverfahren aus den Bereichen sogenannter Komplexer nicht linearer Verfahren oder Expertenbasierter Verfahren zum Einsatz kommen. Dabei ist es für die SCHUFA stets von besonderer Bedeutung, dass die eingesetzten Verfahren mathematisch-statistisch anerkannt und wissenschaftlich fundiert sind. Unabhängige externe Gutachter bestätigen die Wissenschaftlichkeit dieser Verfahren. Darüber hinaus werden die angewandten Verfahren der zuständigen Aufsichtsbehörde offengelegt.

Die Ermittlung von Scorewerten zur Bonität erfolgt auf Grundlage der zu einer Person bei der SCHUFA gespeicherten Daten, die auch in der Datenkopie nach Art. 15 DSGVO ausgewiesen werden. Für die Ermittlung von Scorewerten zur Bonität werden die gespeicherten Daten in sogenannte Datenarten zusammengefasst, die unter www.schufa.de/scoring-faq eingesehen werden können. Angaben zur Staatsangehörigkeit oder besonders sensible Daten nach Art. 9 DSGVO (z. B. ethnische Herkunft oder Angaben zu politischen oder religiösen Einstellungen) werden bei der SCHUFA nicht gespeichert und stehen daher für die Profilbildung nicht zur Verfügung. Auch die Geltendmachung der Rechte der betroffenen Person nach der DSGVO hat keinen Einfluss auf die Profilbildung. Darüber hinaus berücksichtigt die SCHUFA beim Scoring die Bestimmungen des § 31 BDSG.

Mit welcher Wahrscheinlichkeit eine Person bspw. einen Baufinanzierungskredit zurückzahlen wird, muss nicht der Wahrscheinlichkeit entsprechen, mit der sie eine Rechnung beim Versandhandel termingerecht bezahlt. Aus diesem Grund bietet die SCHUFA ihren Vertragspartnern unterschiedliche branchen- oder sogar kundenspezifische Scoremodelle an. Scorewerte verändern sich stetig, da sich auch die Daten kontinuierlich verändern.

Wichtig zu wissen: Die SCHUFA selbst trifft grundsätzlich keine Entscheidungen. Sie unterstützt die angeschlossenen Vertragspartner lediglich mit ihren Auskünften und Profilbildungen in ihrem Risikomanagement. Die Entscheidung für oder gegen ein Geschäft trifft hingegen allein der direkte Geschäftspartner. Verlässt sich ein Vertragspartner bei seiner Entscheidung maßgeblich auf das Scoring der SCHUFA, gelten ergänzend die Bestimmungen des Art. 22 DSGVO. Weiterführende Informationen können unter www.schufa.de/scoring-faq eingesehen werden.

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

2. Datenverarbeitung durch die CRIF GmbH

2.1 Zwecke der Datenverarbeitung und berechtigte Interessen

Die CRIF GmbH verarbeitet personenbezogene Daten, um berechtigten Empfängern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen zu geben. Hierzu werden auch Wahrscheinlichkeitswerte errechnet und übermittelt. Die CRIF GmbH stellt die Informationen nur dann zur Verfügung, wenn ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit finanziellem Ausfallrisiko gegeben.

Die Kreditwürdigkeitsprüfung dient der Bewahrung der Empfänger vor Verlusten im Kreditgeschäft und eröffnet gleichzeitig die Möglichkeit, Kreditnehmer durch Beratung vor einer übermäßigen Verschuldung zu bewahren. Die Verarbeitung der Daten erfolgt darüber hinaus zur Betrugsprävention, Geldwäscheprävention, Seriositätsprüfung, Identitäts- und Altersprüfung, Anschriftenermittlung, Kundenbetreuung sowie Monitoring, Direktmarketing oder Risikosteuerung inklusive KYC-Prüfung, Nachhaltigkeits- und Naturgefahrenrisiken sowie Tarifierung oder Konditionierung.

Neben den vorgenannten Zwecken verarbeitet die CRIF GmbH personenbezogene Daten auch zu internen Zwecken (z. B. Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten, allgemeine Geschäftssteuerung sowie Optimierung der Geschäftsprozesse, Weiterentwicklung von Dienstleistungen, Produkten und Scoringverfahren — wie z. B. dem Einsatz von Machine Learning, künstlicher Intelligenz und Deep Learning — sowie Gewährleistung der IT-Sicherheit und des IT-Betriebs). Das berechtigte Interesse hieran ergibt sich aus den jeweiligen Zwecken und ist im Übrigen wirtschaftlicher Natur. Über etwaige Änderungen der Zwecke der Datenverarbeitung wird die CRIF GmbH gemäß Art. 14 Abs. 4 DSGVO informieren.

2.2 Rechtsgrundlagen für die Datenverarbeitung

Die CRIF GmbH verarbeitet personenbezogene Daten auf Grundlage der Bestimmungen der Datenschutz-Grundverordnung. Die Verarbeitung erfolgt entweder auf Basis von Einwilligungen gemäß Art. 6 Abs. 1 Buchstabe a oder auf Grundlage einer Interessenabwägung gemäß Art. 6 Abs. 1 Buchstabe f DSGVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DSGVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten.

2.3 Herkunft der Daten

Die CRIF GmbH erhält ihre Daten von ihren Vertragspartnern. Dies sind im europäischen Wirtschaftsraum oder in der Schweiz sowie ggf. weiteren Drittländern ansässige Unternehmen aus den Bereichen Handel, Dienstleistung, Vermietung, Energieversorgung, Telekommunikation, Versicherung oder Inkasso sowie Kreditinstitute, Finanz- und Zahlungsdienstleister und weitere Vertragspartner, die zu den unter Ziffer 2.1 genannten Zwecken Produkte der CRIF GmbH nutzen.

Darüber hinaus verarbeitet die CRIF GmbH Informationen aus allgemein zugänglichen Quellen wie öffentlichen Verzeichnissen und amtlichen Bekanntmachungen (Handelsregister, Schuldnerverzeichnisse, Insolvenzbekanntmachungen) sowie von EURO-PRO Gesellschaft für Data Processing mbH, Lindenhof 1–3, 61279 Grävenwiesbach (nähere Informationen unter www.europro.de/datenschutz). Ferner erhält die CRIF GmbH auch Daten der CRIF GmbH, Rothschildplatz 3/Top 3.06.B, A-1020 Wien, Österreich, und der CRIF AG, Hagenholzstraße 81, 8050 Zürich, Schweiz.

2.4 Kategorien personenbezogener Daten, die verarbeitet werden

• Angaben zur Person: Name (ggf. auch vorherige Namen, die auf gesonderten Antrag beauskunftet werden), Vorname(n), Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften, E-Mail-Adresse(n), Telefonnummer(n)
• Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z. B. Girokonten, Ratenkredite, Kreditkarten, Pfändungsschutzkonten, Basiskonten)
• Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
• Informationen zur postalischen (Nicht-)Erreichbarkeit
• Informationen zu Funktionsträgereigenschaften inkl. des wirtschaftlich Berechtigten in Unternehmen, Vereinen oder Stiftungen
• Informationen, die im Rahmen einer Selbstauskunft übernommen werden (Name(n), Vorname(n), Anschrift(en), E-Mail-Adresse(n), Telefonnummer(n), Videoaufzeichnung)
• Device-Daten
• Informationen zur Bankverbindung
• Einkommensnachweise
• Informationen zum Einkaufsverhalten (z. B. Warenkorbhöhe)
• Hinweise auf missbräuchliches oder sonstiges betrügerisches Verhalten wie Identitäts- oder Bonitätstäuschungen im Zusammenhang mit Telekommunikations- oder Finanzdienstleistungs-Verträgen
• Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen
• Wahrscheinlichkeitswerte
• Informationen zur Bestimmung von Risiken aus chronischen und akuten Naturgefahren (Starkregen, Überschwemmung, Erdrutsch, Wirbelsturm, Waldbrand, Meeresspiegelanstieg, Bodenerosion, Dürre) an der jeweiligen Adresse
• Informationen zur Einschätzung der Nachhaltigkeitsbemühungen eines Unternehmens (ESG-Kriterien und branchenübliche Kennzahlen, z. B. jährlicher CO₂-Ausstoß, Energieeffizienzquote, durchschnittliche Wochenarbeitszeit, gewerkschaftlicher Organisationsgrad, Anzahl tödlicher Arbeitsunfälle p. a.)

2.5 Kategorien von Empfängern der personenbezogenen Daten

Empfänger sind Vertragspartner der in Ziffer 2.3 genannten Branchen. Die Übermittlung von personenbezogenen Daten in Länder außerhalb des europäischen Wirtschaftsraumes erfolgt gemäß den Anforderungen der Europäischen Kommission. Ggf. übermittelt die CRIF GmbH personenbezogene Daten zum Zwecke der Adressermittlung an die EURO-PRO Gesellschaft für Data Processing mbH (siehe www.europro.de/datenschutz). Empfänger können auch die CRIF GmbH, Wien, und die CRIF AG, Zürich, sein (Datenschutzhinweise: www.crif.at/datenschutz bzw. www.crif.ch/dsgvo).

Weitere Empfänger können externe Auftragnehmer der CRIF GmbH nach Art. 28 DSGVO sowie externe und interne CRIF-Stellen sein. Innerhalb der CRIF-Gruppe werden viele Systeme und Technologien gemeinsam genutzt. Sofern technische Dienstleister personenbezogene Daten außerhalb der Europäischen Union verarbeiten, stellt die CRIF GmbH sicher, dass die betreffenden Dienstleister vertraglich oder auf andere Weise ein gleichwertiges Datenschutzniveau garantieren. Die CRIF GmbH unterliegt zudem den gesetzlichen Eingriffsbefugnissen staatlicher Stellen.

2.6 Dauer der Datenspeicherung

Die CRIF GmbH speichert Informationen über Personen nur für eine bestimmte Zeit. Maßgebliches Kriterium ist die Erforderlichkeit. Im Einzelnen sind die Speicherfristen in einem Code of Conduct des Verbandes „Die Wirtschaftsauskunfteien e. V." festgelegt, einsehbar unter www.crif.de/code-of-conduct. Die CRIF GmbH hat sich diesen von den Aufsichtsbehörden genehmigten Verhaltensregeln angeschlossen.

3. Betroffenenrechte

Jede betroffene Person hat gegenüber der CRIF GmbH das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO. Darüber hinaus besteht die Möglichkeit, sich an die für die CRIF GmbH zuständige Aufsichtsbehörde — das Landesamt für Datenschutz und Informationsfreiheit in Baden-Württemberg, Postfach 10 29 32, 70025 Stuttgart — zu wenden. Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden.

Nach Art. 21 Abs. 1 DSGVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben (z. B. Aufenthalt im Frauenhaus), widersprochen werden. Der Widerspruch kann formfrei erfolgen und ist zu richten an: CRIF GmbH, Datenschutz, Victor-Gollancz-Str. 5, 76137 Karlsruhe.

4. Profilbildung (Scoring)

Vor Geschäften mit einem wirtschaftlichen Risiko möchten Geschäftspartner möglichst gut einschätzen können, ob den eingegangenen Zahlungsverpflichtungen nachgekommen werden kann. Durch die Auskunft und mittels sogenannter Wahrscheinlichkeitswerte unterstützt die CRIF GmbH Unternehmen bei der Entscheidungsfindung und hilft dabei, alltägliche (Waren-)Kreditgeschäfte rasch abwickeln zu können. Hierbei wird anhand von vorliegenden Informationen und Erfahrungen aus der Vergangenheit eine Prognose über zukünftige Ereignisse erstellt („Scoring").

Die Berechnung der Wahrscheinlichkeitswerte erfolgt bei der CRIF GmbH primär auf Basis der zu einer betroffenen Person bei der CRIF GmbH gespeicherten Informationen, die auch in der Auskunft gemäß Art. 15 DSGVO ausgewiesen werden. Anhand der zu einer Person gespeicherten Einträge und der sonstigen Daten erfolgt eine Zuordnung zu statistischen Personengruppen, die in der Vergangenheit ähnliches Zahlungsverhalten aufwiesen („Scoreberechnung"). Zur Entwicklung des statistischen Modells werden maschinelle Lernverfahren eingesetzt, wie z. B. die logistische Regression. Die eingesetzten Verfahren sind fundierte, seit langem praxiserprobte, mathematisch-statistische Methoden.

Mit welcher Wahrscheinlichkeit eine betroffene Person einen Hypothekenkredit zurückzahlen wird, muss nicht der Wahrscheinlichkeit entsprechen, mit der sie eine Rechnung im E-Commerce-Handel störungsfrei ausgleicht. Aus diesem Grund bietet die CRIF GmbH ihren Vertragspartnern unterschiedliche branchenspezifische Scoremodelle an. Scorewerte verändern sich, da sich die gespeicherten Informationen verändern: neue Informationen kommen hinzu, andere werden aufgrund von Speicherfristen gelöscht; auch zeitabhängige Größen (z. B. Dauer einer Geschäftsbeziehung) verändern sich.

Bitte beachten: Die CRIF GmbH selbst trifft grundsätzlich keine maßgeblichen Entscheidungen im Sinne des Art. 22 DSGVO. Sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen bei deren Entscheidungsfindung. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit erfolgt allein durch den Auskunftsempfänger. Die jeweils aktuellste Fassung des Informationsblatts nach Art. 14 DSGVO ist einsehbar unter www.crif.de/datenschutz.

1. Name und Kontaktdaten der ICD sowie des betrieblichen Datenschutzbeauftragten

2. Zwecke der Datenverarbeitung der ICD

Die ICD verarbeitet und speichert personenbezogene Daten, um ihren Vertragspartnern Informationen zur Beurteilung der Kreditwürdigkeit von natürlichen und juristischen Personen sowie zur Prüfung der postalischen Erreichbarkeit von Personen zu geben. Hierzu werden auch Wahrscheinlichkeits- bzw. Scoringwerte errechnet und übermittelt. Solche Auskünfte sind notwendig und erlaubt, um das Zahlungsausfallrisiko z. B. bei einer Kreditvergabe, beim Rechnungskauf oder bei Abschluss eines Versicherungsvertrages vorab einschätzen zu können.

Die Datenverarbeitung und die darauf basierenden Auskunftserteilungen der ICD dienen gleichzeitig der Bewahrung der Auskunftsempfänger vor wirtschaftlichen Verlusten und schützen Verbraucher gleichzeitig vor der Gefahr der übermäßigen Verschuldung. Die Verarbeitung der Daten erfolgt darüber hinaus zur Identitätsprüfung, Betrugsprävention, Anschriftenermittlung, Risikosteuerung, Festlegung von Zahlarten oder Konditionen sowie zur Tarifierung. Neben den vorgenannten Zwecken verarbeitet die ICD personenbezogene Daten auch zu weiteren Zwecken (z. B. Nachverfolgung und Geltendmachung rechtlicher Ansprüche, Weiterentwicklung von Dienstleistungen und Produkten, Qualitätsanalysen). Es können auch anonymisierte Daten verarbeitet werden.

3. Rechtsgrundlagen für die Datenverarbeitung der ICD

Die ICD ist ein Auskunfteiunternehmen, das als solches bei der zuständigen Datenschutzaufsichtsbehörde gemeldet ist. Die Verarbeitung der Daten durch die ICD erfolgt auf Basis einer Einwilligung gemäß Art. 6 Abs. 1a i. V. m. Art. 7 DSGVO oder auf Grundlage des Art. 6 Abs. 1f DSGVO, soweit die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern die Interessen und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Die ICD stellt ihren Vertragspartnern die Informationen nur dann zur Verfügung, wenn eine Einwilligung des Betroffenen vorliegt oder von den Vertragspartnern ein berechtigtes Interesse hieran im Einzelfall glaubhaft dargelegt wurde und eine Verarbeitung nach Abwägung aller Interessen zulässig ist. Das berechtigte Interesse ist insbesondere vor Eingehung von Geschäften mit wirtschaftlichem Risiko gegeben (z. B. Rechnungskauf, Kreditvergabe, Abschluss eines Mobilfunk-, Festnetz- oder Versicherungsvertrages).

4. Kategorien der personenbezogenen Daten der ICD

Von der ICD werden personenbezogene Daten (Name, Vorname(n), Geburtsdatum, Anschrift(en), Telefonnummer(n), E-Mail-Adresse(n)), Informationen zum vertragswidrigen Zahlungsverhalten, zu Schuldnerverzeichniseintragungen, (Privat-)Insolvenzverfahren und zur postalischen (Nicht-)Erreichbarkeit sowie entsprechende Scorewerte verarbeitet bzw. gespeichert.

5. Herkunft der Daten der ICD

Die Daten der ICD stammen aus den amtlichen Insolvenzveröffentlichungen sowie den Schuldnerverzeichnissen, die bei den zentralen Vollstreckungsgerichten geführt werden. Dazu kommen Informationen von Vertragspartnern der ICD über vertragswidriges Zahlungsverhalten, basierend auf gerichtlichen sowie außergerichtlichen Inkassomaßnahmen. Darüber hinaus werden personenbezogene Daten aus den Anfragen von Vertragspartnern der ICD gespeichert sowie Daten von Adressdienstleistern.

6. Kategorien von Empfängern der personenbezogenen Daten der ICD

Empfänger sind insbesondere Unternehmen, die ein wirtschaftliches Risiko tragen und ihren Sitz im Europäischen Wirtschaftsraum oder auch außerhalb in einem Drittland (z. B. Vereinigtes Königreich, Indien, Costa Rica, Malaysia, USA und Schweiz) haben. Es handelt sich dabei im Wesentlichen um eCommerce-, Telekommunikations- und Versicherungsunternehmen, Finanzdienstleister (z. B. Banken, Kreditkartenanbieter), Energieversorgungs- und Dienstleistungsunternehmen. Darüber hinaus gehören zu den Empfängern Unternehmen, die Forderungen einziehen, wie etwa Inkassounternehmen, Abrechnungsstellen, Rechtsanwälte, Adressdienstleister sowie (interne und externe) Dienstleister der ICD (z. B. Softwareentwickler, Support/Wartung, Rechenzentrum, Postdienstleister) oder andere Auskunfteien.

Empfänger außerhalb der Europäischen Union und des europäischen Wirtschaftsraums fallen entweder unter einen gültigen Angemessenheitsbeschluss oder haben die erforderlichen Standardvertragsklauseln zur Sicherstellung eines adäquaten Datenschutzniveaus bei der Verarbeitung von personenbezogenen Daten unterzeichnet.

7. Dauer der Datenspeicherung der ICD

Die ICD speichert Informationen über Personen nur für eine bestimmte Zeit, nämlich solange, wie deren Speicherung i. S. d. Art. 17 Abs. 1 lit. a) DSGVO notwendig ist. Die bei der ICD zur Anwendung kommenden Prüf- und Löschfristen entsprechen einer Selbstverpflichtung (Code of Conduct) der im Verband „Die Wirtschaftsauskunfteien e. V." zusammengeschlossenen Auskunfteiunternehmen.

• Forderungen: Informationen über fällige und unbestrittene Forderungen bleiben gespeichert, solange deren Ausgleich nicht bekannt gegeben wurde; die Erforderlichkeit wird taggenau nach drei Jahren überprüft. Wird der Ausgleich bekannt gegeben, erfolgt die Löschung taggenau drei Jahre danach.
• Schuldnerverzeichnisse: Daten nach § 882c Abs. 1 Satz 1 Nr. 1–3 ZPO werden taggenau nach drei Jahren gelöscht, jedoch vorzeitig, wenn der ICD eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen wird.
• Insolvenzen: Informationen über Verbraucher-/Insolvenzverfahren oder Restschuldbefreiungsverfahren werden taggenau drei Jahre nach Beendigung des Insolvenzverfahrens oder nach Erteilung oder Versagung der Restschuldbefreiung gelöscht.
• Abweisung mangels Masse sowie Aufhebung der Sicherungsmaßnahmen oder Versagung der Restschuldbefreiung: taggenau nach drei Jahren.
• Anfragen: spätestens taggenau nach drei Jahren.
• Voranschriften: taggenau drei Jahre gespeichert; danach Prüfung der Erforderlichkeit für weitere drei Jahre, sofern nicht zur Identifizierung eine längere Speicherung erforderlich ist.

8. Betroffenenrechte gegenüber der ICD

Jede betroffene Person hat gegenüber der ICD das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO. Darüber hinaus besteht die Möglichkeit, sich an die für die ICD zuständige Aufsichtsbehörde — Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart — zu wenden.

Einwilligungen können jederzeit gegenüber dem betreffenden Vertragspartner widerrufen werden. Dies gilt auch für Einwilligungen, die bereits vor Inkrafttreten der DSGVO erteilt wurden. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten personenbezogenen Daten. Nach Art. 21 Abs. 1 DSGVO kann der Datenverarbeitung aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, gegenüber der ICD widersprochen werden.

Eine schriftliche Selbstauskunft ist unentgeltlich; aus datenschutzrechtlichen Gründen sind telefonische Auskünfte nicht möglich. Benötigte Angaben: Name (ggf. Geburtsname), Vorname(n), Geburtsdatum, aktuelle Anschrift, ggf. Voranschriften der letzten fünf Jahre. Die Selbstauskunft kann auch online beantragt werden: www.experian.de/selbstauskunft.

9. Profilbildung / Profiling / Scoring

Die ICD-Auskunft kann um sogenannte Scorewerte ergänzt werden. Beim Scoring der ICD wird anhand von Informationen und Erfahrungen aus der Vergangenheit eine Prognose insbesondere über Zahlungswahrscheinlichkeiten erstellt. Das Scoring basiert primär auf Basis der zu einer betroffenen Person bei der ICD gespeicherten Informationen. Anhand dieser Daten, von adressbezogenen Daten sowie von Anschriftendaten erfolgt auf Basis mathematisch-statistischer Verfahren (insbes. Verfahren der logistischen Regression) eine Zuordnung zu Personengruppen, die in der Vergangenheit ähnliches Zahlungsverhalten aufwiesen.

Folgende Datenarten werden bei der ICD für das Scoring verwendet, wobei nicht jede Datenart auch in jede einzelne Berechnung mit einfließt:

• Daten zum vertragswidrigen Zahlungsverhalten
• Daten zu Schuldnerverzeichnis-Eintragungen und Insolvenzverfahren
• Geschlecht und Alter der Person
• Adressbezogene Daten (Bekanntsein des Namens bzw. des Haushalts an der Adresse, Anzahl bekannter Personen im Haushalt, Bekanntsein der Adresse)
• Anschriftendaten (Informationen zu vertragswidrigem Zahlungsverhalten im Wohnumfeld — Straße/Haus)
• Daten aus Anfragen von Vertragspartnern der ICD

Besondere Kategorien von Daten i. S. d. Art. 9 DSGVO (z. B. Staatsangehörigkeit, ethnische Herkunft, politische oder religiöse Einstellungen) werden von der ICD weder gespeichert noch bei der Berechnung von Wahrscheinlichkeitswerten berücksichtigt. Auch die Geltendmachung von Rechten nach der DSGVO hat keinen Einfluss auf das Scoring. Die ICD selbst trifft keine Entscheidungen über den Abschluss eines Rechtsgeschäfts oder dessen Rahmenbedingungen; sie unterstützt die ihr angeschlossenen Vertragspartner lediglich mit ihren Informationen. Die Risikoeinschätzung und Beurteilung der Kreditwürdigkeit sowie die darauf basierende Entscheidung erfolgt allein durch deinen Geschäftspartner.

1. Name und Kontaktdaten der verantwortlichen Stelle sowie des betrieblichen Datenschutzbeauftragten

2. Kategorien der verarbeiteten personenbezogenen Daten

In der Creditreform Auskunftsdatenbank werden Angaben über den Namen, die Firmierung, die Anschrift, die berufliche Tätigkeit, die Vermögensverhältnisse, etwaige Verbindlichkeiten, Hinweise zum Zahlungsverhalten oder Negativmerkmale wie Insolvenzinformationen und Schuldnerverzeichniseintragungen gespeichert.

3. Zwecke der Datenverarbeitung

Creditreform verarbeitet die Daten zu unterschiedlichen Zwecken: Creditreform verarbeitet Daten zur Erteilung von Auskünften über die Kreditwürdigkeit der angefragten Personen/Firmen. Im Rahmen der gesetzlichen Bestimmungen wird ein Teil der in der Wirtschaftsdatenbank vorhandenen Daten auch für die Belieferung anderer Firmendatenbanken — u. a. für Zwecke des Dialogmarketings und zur Aktualisierung, Validierung und Anreicherung von Adressbeständen — sowie die Herstellung entsprechender Datenträger genutzt. Wenn Creditreform als Inkassounternehmen eine Forderung gegen dich als Schuldner bearbeitet, werden die dafür erforderlichen Daten auch im Creditreform Inkassobereich verarbeitet.

4. Rechtsgrundlagen für die Datenverarbeitung

Im Bereich Datenverarbeitung für Auskunfteizwecke und im Bereich Datenverarbeitung für Direktwerbung und Marketing ist Rechtsgrundlage Art. 6 Abs. 1f DSGVO. Eine Auskunft darf nur erteilt werden, wenn ein Kunde ein berechtigtes Interesse an der Kenntnis der Informationen glaubhaft dargelegt hat. Berechtigte Interessen können sein: Kreditentscheidung, Geschäftsanbahnung, Beteiligungsverhältnisse, Forderung, Bonitätsprüfung, Versicherungsvertrag, überfällige Forderung, Vollstreckungsauskunft. Rechtsgrundlage im Bereich Forderungsmanagement ist Art. 6 Abs. 1b und f DSGVO.

5. Herkunft der Daten

Die Auskunfts- und Adressmarketingdaten stammen zum Teil aus öffentlich zugänglichen Quellen wie öffentlichen Registern, dem Internet, der Presse und sonstigen Medien. Zum Teil werden die Daten bei den Betroffenen direkt erhoben. Daten können auch aus dem Bereich des Forderungsmanagements übernommen werden.

6. Kategorien von Empfängern der personenbezogenen Daten

Zu den Creditreform-Kunden zählen sowohl im Inland als auch im Ausland tätige Kreditinstitute, Leasinggesellschaften, Versicherungen, Telekommunikationsunternehmen, Unternehmen des Forderungsmanagements, Versand-, Groß- und Einzelhandelsfirmen sowie andere Unternehmen, die Waren oder Dienstleistungen gegen Rechnung liefern bzw. erbringen. Sofern Daten in Staaten außerhalb der EU übermittelt werden, erfolgt dies auf Basis der Standardvertragsklauseln, die unter folgendem Link eingesehen oder zugesendet werden können: eur-lex.europa.eu/legal-content/…/32021D0914.

7. Dauer der Datenspeicherung

Im Bereich der Creditreform Auskunftsdatenbank und im Bereich Direktwerbung und Marketing werden die Daten solange gespeichert, wie ihre Kenntnis für die Erfüllung des Zwecks der Speicherung notwendig ist. Notwendig ist die Kenntnis in der Regel für eine Speicherdauer von zunächst drei Jahren. Nach Ablauf wird geprüft, ob eine Speicherung weiterhin notwendig ist, andernfalls werden die Daten taggenau gelöscht. Im Falle der Erledigung eines Sachverhalts werden die Daten drei Jahre nach Erledigung taggenau gelöscht. Eintragungen im Schuldnerverzeichnis werden gemäß § 882e ZPO nach Ablauf von drei Jahren seit dem Tag der Eintragungsanordnung taggenau gelöscht.

Weitere Einzelheiten finden sich in den vom Verband „Die Wirtschaftsauskunfteien e. V." aufgestellten „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien" (Code of Conduct, PDF). Im Inkassobereich werden die Daten solange gespeichert, wie ihre Kenntnis für die Erfüllung des Inkassomandats notwendig ist.

8. Betroffenenrechte

Jede betroffene Person hat gegenüber Creditreform das Recht auf Auskunft nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO und das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO. Sofern eine Einwilligung zur Verarbeitung erteilt wurde, kann diese jederzeit widerrufen werden. Durch den Widerruf wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Über die Verarbeitung der Daten kann bei dem für das Bundesland zuständigen Landesbeauftragten für Datenschutz Beschwerde eingelegt werden. Die Übermittlung der Daten an Creditreform ist weder gesetzlich noch vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich. Wer die gewünschten Daten nicht überlässt, dem kann dieser Umstand die Beurteilung der Kreditwürdigkeit erschweren oder unmöglich machen — was zur Folge haben kann, dass ein Kredit oder eine Vorleistung verweigert wird.

Widerspruchsrecht

Die Verarbeitung der bei Creditreform gespeicherten Daten erfolgt aus zwingenden schutzwürdigen Gründen des Gläubiger- und Kreditschutzes, die die Interessen, Rechte und Freiheiten der betroffenen Person regelmäßig überwiegen, oder dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Nur bei Gründen, die sich aus einer besonderen Situation ergeben und nachgewiesen werden müssen, kann der Verarbeitung der Daten widersprochen werden. Liegen solche besonderen Gründe nachweislich vor, werden die Daten nicht mehr verarbeitet. Werden die Daten für Werbe- und Marketingzwecke verarbeitet, besteht jederzeit ein Widerspruchsrecht; in diesem Fall werden die Daten zu diesem Zweck nicht mehr verarbeitet.