In Deutschland gibt es bestimmte Verhaltensregeln für die Prüfung und Löschfristen personenbezogener Daten durch Wirtschaftsauskunfteien wie die SCHUFA. Diese Verhaltensregeln wurden im Code of Conduct vom 25.05.2018 zusammengefasst. Der Verband “Die Wirtschaftsauskunfteien e.V.” vertritt die Interessen der großen Wirtschaftsauskunfteien, wie die SCHUFA Holding AG.
Der Zweck des Verbandes ist es, die Interessen der Wirtschaftsauskunfteien zu bündeln und durch gemeinschaftliche Zielsetzungen zu fördern. Ein wesentlicher Schwerpunkt liegt dabei auf der Festlegung von Qualitätsstandards, insbesondere im Bereich des Datenschutzes. Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DS-GVO) werden einige relevante Vorschriften des Bundesdatenschutzgesetzes entfallen. Darunter fällt auch die bisherige Prüf- und Löschfrist gemäß § 35 Abs. 2 Satz 2 Nr. 4 BDSG (a.F.). Um dennoch sicherzustellen, dass die Erforderlichkeitsprüfung weiterhin gewährleistet ist, wurden taggenaue Löschfristen festgelegt. Diese Fristen gelten unabhängig davon, ob die Daten auf gesetzlicher Grundlage oder aufgrund von Einwilligungen erhoben und gespeichert wurden.
Die Verhaltensregeln betreffen die Verarbeitung personenbezogener Daten durch die Mitgliedsunternehmen in Deutschland. Sie sollen sicherstellen, dass Datenschutzbelange in der Auskunfteienbranche auch nach Inkrafttreten der DS-GVO weiterhin einen hohen Stellenwert haben. Eine datenschutzkonforme Speicherung von Informationen zu Ihrer Person soll erfolgen, indem die berechtigten Interessen der betroffenen Personen und der Verantwortlichen in Einklang gebracht werden. Zudem soll für Transparenz hinsichtlich der Prüf- und Löschfristen von Wirtschaftsauskunfteien gesorgt werden, um eine faire Verarbeitung zu gewährleisten. Diese Verhaltensregeln enthalten keine Regelungen zur materiellen Berechtigung der Speicherung personenbezogener Daten und indizieren auch nicht die Rechtmäßigkeit dieser Speicherung.
Die Prüf- und Löschfristen variieren je nach Art der personenbezogenen Daten. Hier sind einige Beispiele:
1. Personenbezogene Daten über fällige, offene und unbestrittene Forderungen
- Diese Daten bleiben gespeichert, solange der Ausgleich der Forderung nicht bekannt gegeben wurde.
- Die Notwendigkeit der fortwährenden Speicherung wird jeweils drei Jahre nach dem Ereigniseintritt (z.B. erstmalige Einmeldung der Forderung oder Saldenaktualisierung) überprüft.
- Eine Löschung erfolgt taggenau drei Jahre nach Ausgleich der Forderung. Es besteht jedoch die Möglichkeit einer individuellen Prüfung auf Antrag der betroffenen Person, ob die Speicherung der Daten noch notwendig ist.
2. Personenbezogene Daten, denen Eintragungen in das Schuldnerverzeichnis oder Veröffentlichungen zu (Verbraucher- bzw. Regel-)Insolvenzverfahren zugrunde liegen
- Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungsgerichte werden drei Jahre taggenau nach Eintragung gelöscht, außer es liegt eine Löschung durch das zentrale Vollstreckungsgericht vorzeitig vor.
- Informationen über (Verbraucher- bzw. Regel-)Insolvenzverfahren oder Restschuldbefreiungsverfahren werden taggenau drei Jahre nach Beendigung des Verfahrens oder Erteilung der Restschuldbefreiung gelöscht.
- Informationen über bestimmte Sachverhalte wie die Abweisung eines Insolvenzantrages mangels Masse, die Aufhebung von Sicherungsmaßnahmen oder die Versagung der Restschuldbefreiung werden ebenfalls taggenau nach drei Jahren gelöscht.
3. Personenbezogene Daten über Dauerschuldverhältnisse (Vertragsdaten)
- Informationen über störungsfreie Vertragsdaten über Kreditverhältnisse bleiben gespeichert, bis die damit begründete offene Forderung ausgeglichen ist. Eine Löschung erfolgt drei Jahre nach dem Ausgleich der Forderung.
- Informationen über störungsfreie Vertragsdaten über Konten bleiben gespeichert, solange die Konten bestehen. Bei Beendigung der Konten werden die Informationen gelöscht.
- Informationen über Verträge, bei denen eine gesetzliche Evidenzprüfung vorgesehen ist, bleiben so lange gespeichert, wie sie bestehen. Bei Beendigung der Verträge werden sie gelöscht.
- Informationen über Bürgschaften werden gelöscht, sobald die Beendigung der Bürgschaft mitgeteilt wird.
- Handelskonten, die kreditorisch geführt werden, werden drei Jahre nach Rückzahlung aller Forderungen gelöscht.
4. Sonstige Daten
- Personenbezogene Voranschriften bleiben drei Jahre gespeichert. Anschließend wird die Erforderlichkeit der fortwährenden Speicherung geprüft. Sie werden taggenau gelöscht, sofern keine längere Speicherung zum Zwecke der Identifizierung erforderlich ist.
- Informationen über den Missbrauch eines Kontos oder einer Karte durch den rechtmäßigen Kontoinhaber werden drei Jahre lang gespeichert.
- Informationen zu zweifelhaften und ungewöhnlichen Sachverhalten im Rahmen der Geldwäsche- und Betrugsprävention werden zunächst bis zum 31.12.2019 gespeichert. Danach wird die Erforderlichkeit der fortwährenden Speicherung evaluiert und die Dauer festgelegt.
- Angaben über Anfragen Dritter werden ein Jahr lang gespeichert. Auf Antrag des Betroffenen müssen diese Angaben nach Ablauf eines Jahres gelöscht werden.
- Daten aus sonstigen öffentlichen/öffentlich zugänglichen Quellen werden spätestens nach drei Jahren überprüft und gelöscht, wenn sie erledigt sind.
Die Unternehmen, die diesen Verhaltensregeln beigetreten sind, gewährleisten, dass die Einhaltung der Prüf- und Löschfristen jederzeit überprüft werden kann. Hierfür wird eine Kontrollstelle benannt, die ihre Unabhängigkeit und ihr Fachwissen nachweisen muss. Diese Kontrollstelle überwacht die Einhaltung der Verhaltensregeln und dokumentiert ihre Überwachungstätigkeit. Bei Verstößen gegen die Verhaltensregeln werden geeignete Maßnahmen ergriffen mit dem Ziel, den Verstoß zu unterbinden und eine Wiederholung zu vermeiden.
