Märchen statt Fakten

»Hätten Sie gewusst, dass Erdbeeren gar keine Beeren sind?« Mit dieser Frage fordert die Schufa Besucher ihrer Internetseite auf, beim großen »Fakten statt Märchen«-Quiz mitzumachen. Hier sollen sie sich über »Irrglauben zur Schufa« informieren und lernen, dass das Zerbeißen von Bonbons gar nicht so schlecht für die Zähne und die Schufa vertrauenswürdiger ist, als man bisher vielleicht angenommen hat.
Leider speichert die Schufa aber nicht nur Antworten auf Quizfragen, sondern vor allem 479 Millionen Informationen über 66,2 Millionen Personen. Kürzlich wurde erneut über die Sicherheit dieser Daten diskutiert. Der Blogger David Vieira-Kurz meldete, er habe auf einer Internetseite der Schufa eine Standardsicherheitslücke gefunden. Dabei handele es sich um eine sogenannte Local File Inclusion, eine Schwachstelle, die seit den neunziger Jahren bekannt und so oft beschrieben worden sei, dass selbst Anfänger Inhalte der Seite auslesen könnten. Betroffen war die Domain meineschufa.de, auf der sich Bürger registrieren können, um online die über sie gespeicherten Daten einzusehen. Die Meldung wurde von gulli.com, Heise Online und Tagesschau.de aufgegriffen. Die Schufa ließ in den Medien verlauten, an personenbezogene Daten komme man auf diesem Weg nicht heran, auf dem Server seien lediglich für Kunden bestimmte Formulare gespeichert. Natürlich gab es trotzdem Kritik. Ein Unternehmen, das über eine derartige Datenbank verfügt, kann sich, so sollte man meinen, solche Schlampereien nicht leisten.

Der mögliche Missbrauch ist aber nur ein Aspekt, der solche Datenbanken gefährlich macht. Schon der ordnungsgemäße Betrieb der Schufa ist problematisch genug. Wer einen Kredit aufnehmen, einen Handyvertrag abschließen oder beim Versandhandel etwas bestellen will, kommt um die Schufa meistens nicht herum. Bei Vertragsabschluss muss man regelmäßig eine Klausel unterzeichnen, in der man sich mit der Schufa-Abfrage einverstanden erklärt.
Die Abkürzung Schufa steht für »Schutzgemeinschaft für allgemeine Kreditsicherung«. Dabei handelt es sich um ein privatrechtliches Unternehmen in Form einer Aktiengesellschaft. Anteilseigner der Schufa Holding AG sind Sparkassen, Banken, Versandhandels- und Telekommunikationsunternehmen. Diese Branchen haben ein Interesse daran, dass Daten ihrer Kunden zentral gespeichert werden – dadurch können sie auf Kundenprofile zugreifen. Die Unternehmen sind zugleich Kunden und Zulieferer der Schufa. Sie geben einerseits Daten aus ihren Vertragsabschlüssen weiter und können andererseits Daten abfragen, um die Zahlungsfähigkeit ihrer Vertragspartner zu überprüfen. Damit verfügt die Schufa nach eigenen Angaben über den größten Datenpool zur Beurteilung des Zahlungsverhaltens von Bürgern in Deutschland. »Im Prinzip sind von nahezu jedem erwachsenen Bürger, der in Deutschland am Wirtschaftsleben teilnimmt, kreditrelevante Daten bei der Schufa notiert«, heißt es auf der Internetseite. Gespeichert werden neben Name, Geburtsdatum und Anschrift etwa auch die Eröffnung von Girokonten, die Ausgabe von Kreditkarten, die Aufnahme von Krediten und deren Erfüllung sowie Kundenkonten im Handel. Nicht gespeichert werden Daten wie Einkommen, Vermögen, Beruf oder Nationalität.

Neben der Übermittlung solcher Merkmale führt die Schufa außerdem ein sogenanntes Scoring-Verfahren durch. Dabei wird anhand bestimmter Kriterien ermittelt, wie hoch die Wahrscheinlichkeit ist, dass der Kunde seine Zahlungsverpflichtung erfüllt. Das geschieht anhand eines statistischen Verfahrens, in dem das Verhalten des Kunden einer Vergleichsgruppe zugeordnet wird. »Da wird also unabhängig davon, ob der Verbraucher in der Vergangenheit irgendwie negativ aufgefallen ist, versucht einzuschätzen, ob er möglicherweise in der Zukunft negativ auffallen könnte«, erklärt Frank-Christian Pauli vom Bundesverband Verbraucherzentralen. »Das funktioniert über einen Vergleich von Eigenschaften, die für sich genommen eigentlich noch gar nichts aussagen.« Wie das genau aussehen kann, macht er an einem Beispiel deutlich: »Wenn ein Verbraucher aus beruflichen Gründen gezwungen ist, häufig umzuziehen, ist das an sich überhaupt nichts Negatives. Es könnte aber sein, dass die Berechnungsverfahren der Auskunfteien das damit vergleichen, dass auch Personen, die sich ihren Gläubigern entziehen wollen, häufig umziehen, was dann zu einem schlechten Scoring-Wert führt.« In einem Fall, mit dem der Bundesverband Verbraucherzentralen befasst war, hatten sich Verbraucher bei mehreren Kreditgebern unverbindlich über Kredite informiert, um die jeweiligen Konditionen zu vergleichen. Die Schufa interpretierte das als jeweils abgelehnte Kreditanfragen. Das beeinflusste den Score, mit der Folge, dass die Angebote sich mit jeder Anfrage verschlechterten. »Das zeigt uns, dass die Fehlinterpretation eines einzigen Merkmals dazu führen kann, dass etwa ein Kredit nicht gewährt wird«, sagt Pauli.
Wehren kann man sich dagegen praktisch nicht. Das Bundesdatenschutzgesetz sieht lediglich einen Anspruch auf Auskunft über die gespeicherten Daten vor. Sollten falsche Informationen gespeichert worden sein, kann man deren Löschung beziehungsweise Berichtigung verlangen. Möglich ist es auch, der Schufa die Durchführung des Scoring-Verfahrens zu untersagen oder die Unterzeichnung einer Schufa-Klausel bei Vertragsabschluss zu verweigern. Die Konsequenzen trägt aber der Verbraucher: ohne Schufa-Abfrage kein Kredit.
Ein Beispiel, das für die Lebensgestaltung entscheidende Konsequenzen haben kann, ist der Abschluss von Mietverträgen. Vermieter dürfen zwar nach einem Urteil des Bundesgerichtshofes ohne Einwilligung des Mietinteressenten keine Auskünfte von Dritten einholen. Sie sind jedoch dazu übergegangen, immer umfangreichere Selbstauskünfte zu verlangen. Der potentielle Mieter muss dann nicht nur Angaben zu Einkommen, Vermögen und Beruf machen, sondern oft auch eine Schufa-Selbstauskunft vorlegen. Nach dem Bundesdatenschutzgesetz kann er die zwar einmal im Jahr kostenlos bei der Schufa bestellen. Pauli warnt jedoch: »Da ist Vorsicht geboten. Auf der Selbstauskunft stehen alle Daten, etwa auch die Kontoverbindung. Unternehmen erhalten dagegen normalerweise nur eine Auskunft, die besagt, es gibt soweit keine Probleme. Auch eine solche Auskunft kann man als Mieter selbst bei der Schufa bestellen – das kostet dann allerdings recht viel.«

Aber nicht nur bei der Ablehnung von Verträgen spielt die Schufa eine Rolle. »Wir haben den Verdacht, dass sie auch dazu genutzt wird, um zu fragen, wie interessant ein Verbraucher ist«, sagt Pauli. Tatsächlich stellt die Schufa ihren Geschäftskunden auch andere Angebote zur Verfügung. So können etwa Adressen von potentiellen Neukunden überprüft werden. »Eine Akquise kann immer nur so gut sein wie der Kunde selbst«, wirbt die Schufa. Unternehmen können dadurch sicherstellen, dass sie nur zahlungskräftige Kunden anschreiben. Wer negative Schufa-Einträge hat, erspart sich also unerwünschte Werbung. Immerhin das ist praktisch: Kaufen kann man sich in diesem Fall ja meistens ohnehin nichts.