Wie lange dürfen Kreditauskunfteien Daten über mich speichern?

  • Wirtschafts- oder Kreditauskunfteien (wie z. B. die SCHUFA in Deutschland) sammeln Daten zum Zahlungsverhalten von Firmen und Privatpersonen (z. B. Daten zu Zahlungsrückständen, Kreditausfällen usw.).
  • Diese „Zahlungserfahrungsdaten“ werden in Bonitätsdatenbanken der Kredit- bzw. Wirtschaftsauskunfteien zur Berechnung der Kreditwürdigkeit bzw. eines „Scores“ einer Person verarbeitet („Scoring“ bzw. „Verbraucher-Scoring“).
  • Es gibt keine klare gesetzliche Frist, wie lange Wirtschaftsauskunfteien solche Bonitätsdaten speichern dürfen. Eine Speicherung von negativen „Zahlungserfahrungsdaten“ über einen Zeitraum von 3 bis 5 Jahren wird aber normalerweise zulässig sein.

Wenn Sie von der Bank keinen Kredit bekommen, keinen Mobilfunkvertrag mit Smartphone um EUR 0,- abschließen können oder Ihnen bei Ihrer Online-Bestellung nicht die Zahlungsart „Kauf auf Rechnung“ angeboten wird, könnte ein niedriger „Bonitätsscore“ (in Deutschland „SCHUFA-Score“) der Grund dafür sein. Viele Unternehmen fragen vor einem Vertragsschluss mit Neukunden nämlich deren Bonitätsscore ab, um zu entscheiden, ob und zu welchen Konditionen sie einen Vertrag mit dem Kunden abschließen wollen.

Der Bonitätsscore ist ein Wahrscheinlichkeitswert, der eine Aussage über die Wahrscheinlichkeit der Erfüllung zukünftiger Zahlungsverpflichtungen trifft. Er wird von Wirtschafts- oder Kreditauskunfteien aufgrund von Daten errechnet, die von Inkassobüros oder anderen Unternehmen bereitgestellt werden („Zahlungserfahrungsdaten“). Dieser Score kann dann ein Problem sein, wenn er aus veralteten oder unrichtigen Daten errechnet wird.

Darf eine Kreditauskunftei eine Akte über mich führen?

Die Speicherung von Daten durch Wirtschaftsauskunfteien unterliegt den Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Wirtschafts- und Kreditauskunfteien dürfen Daten über Sie (z. B. Daten über nicht beglichene Rechnungen usw.) zwar gemäß Art 6 Abs 1 lit DSGVO verarbeiten und speichern, weil sie im Rahmen ihrer Gewerbsausübung nach § 152 Gewerbeordnung (GewO) ein berechtigtes Interesse an der Verarbeitung Ihrer Daten haben (vgl. BVwG, W214 2216836-1 und OGH 23.6.2021, 6 Ob 87/21v, Rn. 30, mwN). Nach Art 5 Abs. 1 lit e DSGVO dürfen Ihre Daten aber nur so lange gespeichert werden, wie es für den Zweck der Bewertung Ihrer Kreditwürdigkeit erforderlich ist. Für Wirtschaftsauskunfteien bedeutet dies, dass sie Ihre Daten spätestens dann löschen müssen, wenn sie für die Bewertung Ihrer Bonität nicht mehr relevant sind.

Wie lange sind Daten für die Bonitätsbewertung relevant?

Es gibt keine gesetzliche Frist, wie lange Daten (z. B. Daten über nicht bezahlte Rechnungen oder Gerichtsverfahren) für die Bonitätsbewertung relevant sind und gespeichert werden dürfen. Die rechtliche zulässige Frist kann nur bezogen auf den jeweiligen Einzelfall bestimmt werden, wobei die folgenden Umstände dafür relevant sind (Entscheidung der Datenschutzbehörde vom 20.02.2019, DSB-D123.319/0002-DSB/2019):

  • die Höhe der einzelnen Zahlungsforderungen: Es besteht klarerweise ein Unterschied zwischen einem Zahlungsverzug bei einem Ratenkauf über eine Waschmaschine und dem Ausfall eines Wohnungskredits über EUR 300.000,-.
  • das „Alter“ der Forderungen bzw. der Zeitpunkt des Feststehens des endgültigen Ausfalls der Forderung: Historische Zahlungsinformationen haben umso weniger Aussagekraft, je länger sie zurückliegen und je länger es zu keinen weiteren Zahlungsstockungen und Zahlungsausfällen gekommen ist;
  • die Anzahl der eingetriebenen Forderungen (z. B. im Wege eines Inkassounternehmens),
  • der Zeitpunkt der Tilgungen der Forderungen und das seitherige „Wohlverhalten“ des Schuldners (d. h. rechtzeitige Zahlungen seit dem Zahlungsausfall);
  • die Herkunft der Daten: Es macht einen Unterschied, ob die Daten über angebliche ausbleibenden Zahlungen von einer Bank oder einem dubioser Online-Dienst zur Verfügung gestellt werden.

Die zulässige Dauer der Speicherung von Daten über Zahlungsausfälle ergibt sich aus einer Kombination dieser Umstände.

Beispiel: A ist vor vielen Jahren mit der Zahlung des einer Rate für einen Kühlschrank versehentlich in Verzug geraten und ist erst nach Zustellung eines gerichtlichen Zahlungsbefehls darauf aufmerksam geworden. B bestellt hingegen immer wieder neue Sachen, die sie aber nicht bezahlen kann und erhält seit Jahren monatlich Post von einem Inkassobüro. Die Daten über A dürfen weniger lang gespeichert werden als die Daten über B.

Wie lange werden Daten über Zahlungsausfälle gespeichert?

Die Praxis zeigt, dass Wirtschaftsauskunfteien Daten häufig für eine Dauer von sieben Jahren und mehr speichern. Solche starren Fristen basieren auf einem veralteten Bescheid der Datenschutzkommission Gz. K600.033-018/0002-DVR/2007 betreffend „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung“. Mit Bescheid zu Az. DSB-D123.193/0003-DSB/2018 hat die Datenschutzbehörde erklärt, dass hinsichtlich der Löschung der bonitätsrelevanten Daten aus der Datenbank einer Kreditauskunftei keine starren Fristen mehr Anwendung finden sollen. Vielmehr sei eine Einzelfallbeurteilung unter Berücksichtigung aller maßgeblichen Umstände erforderlich.

Als Richtlinie können dennoch Beobachtungs- oder Löschungsfristen aus Gläubigerschutzvorschriften [z. B. die Kapitaladäquanzverordnung - Verordnung (EU) Nr 575/2013] herangezogen werden. Hier geht der (EU-)Verordnungsgeber davon aus, dass für die Beurteilung der Bonität eines (potenziellen) Schuldners bzw. des Risikos einer Forderung Daten über etwaige Zahlungsausfälle über einen Zeitraum von zumindest fünf Jahren relevant sind. In einem anderen konkreten Fall erachtete der Oberste Gerichthof die Speicherung der Bonitätsdaten für einen Zeitraum von drei Jahren jedenfalls für zulässig und führte aus, dass er auch die im Löschungskonzept der Auskunftei vorgesehene zehnjährige Speicherdauer für zulässig ansieht, weil es notwendig sei, Zahlungserfahrungsdaten über einen langen Zeitraum zu erfassen, um Momentaufnahmen vermeiden zu können und im Interesse Dritter eine objektive, transparente und wahrheitsgemäße Auskunft über die Zahlungsfähigkeit zu gewährleisten (OGH 23.06.2021, 6 Ob 87/21v).

Spezialfall: Insolvenzverfahren bzw. Privatkonkurs

Im Fall eines Insolvenzverfahrens bzw. eines Privatkonkurses werden Informationen für einen gewissen Zeitraum im Insolvenzregister öffentlich bekannt gemacht. Die Fristen betragen hier zwischen einem und drei Jahren, abhängig von der Art des Insolvenzverfahrens (§ 256 Insolvenzordnung). Manche Kreditauskunfteien speichern Daten von solchen Insolvenzverfahren über den Zeitpunkt der Löschung dieser Daten aus dem Insolvenzregister hinaus, um sie in die Bonitätsbewertung des Insolvenzschuldners einfließen zu lassen, auch nachdem keine Daten zu dem Insolvenzverfahren mehr öffentlich abrufbar sind (siehe auch VwGH Ro 2020/04/0037). Nach einem Urteil des Europäischen Gerichtshofes dürfen Wirtschaftsauskunfteien jedoch Informationen über die Erteilung einer Restschuldbefreiung, die aus einem öffentlichen Insolvenzregister stammen, zu Scoring-Zwecken in ihren Datenbanken nicht über die öffentliche Speicherdauer hinaus verarbeiten (EuGH Rs C-26/22 und C-64/22 - SCHUFA Holding II, Rn 99).

Welche Rechte habe ich als betroffene Person?

Wenn Sie von einem negativen Bonitätswert betroffen sind, können Sie folgende Rechte nach der Datenschutz-Grundverordnung (DSGVO) wahrnehmen:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft darüber verlangen, welche Daten über Sie gespeichert sind und wie lange diese gespeichert werden ("Wie erfahre ich meine Bonität?").
  • Recht auf Löschung (Art. 17 DSGVO): Daten müssen gelöscht werden, wenn der Zweck der Speicherung entfällt oder die Speicherung unrechtmäßig erfolgt ist ("Wie kann ich meine Daten löschen lassen?").
  • Recht auf Berichtigung (Art. 16 DSGVO): Falsche oder veraltete Daten müssen unverzüglich korrigiert werden.

Im Übrigen hat der Europäische Gerichtshof Schranken dafür gesetzt, dass ein Bonitätsscore automatisch einer Entscheidung mit einer rechtlichen Wirkung zugrunde gelegt werden darf (Rs C-634/21 (SCHUFA Holding I). Schon die automatisierte Erstellung eines „Score-Werts“ zur Zahlungsausfallswahrscheinlichkeit durch eine Kreditauskunftei unterliegt den strengen Vorgaben für „automatisierte Entscheidungen“ nach Art 22 DSGVO ("Sind automatisierte Entscheidungen zulässig?"). 

Dürfen sensible Daten verarbeitet werden?

Die Datenverarbeitung von sensiblen Daten ist streng geregelt. Es gibt zehn Fälle, in denen diese verarbeitet werden dürfen.

Wie stimme ich einer Datenverarbeitung wirksam zu?

Es gibt gewisse Kriterien, damit eine Einwilligungserklärung wirksam ist: Unter anderem müssen Sie freiwillig eingewilligt haben. Außerdem müssen Sie darüb...

Kann ein Kind wirksam einwilligen?

Ihr minderjähriges Kind kann eine wirksame Einwilligungserklärung abgeben, wenn es einsichts- und urteilsfähig ist. Ob und inwieweit Ihr Kind über die notw...

Dürfen meine Daten für etwas anderes verarbeitet werden als ursprünglich angegeben?

Die Weiterverarbeitung von Daten zu einem anderen Zweck, als zu dem sie ursprünglich erhoben wurden, ist nur sehr eingeschränkt zulässig. Dies würde nämlic...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 10.12.2024