Man kann kaum behaupten, dass die Schufa einen guten Ruf hat. Die mächtige Auskunftei entscheidet darüber, ob Bürger einen Kredit bekommen oder einen Handyvertrag, ob sie im Versandhandel einkaufen können oder ein Auto leasen dürfen. Selbst mancher Vermieter will die Daten der Schufa einsehen, bevor er eine Wohnung vergibt.
Rund 700 Schufa-Mitarbeiter wachen über die Daten von 63 Millionen Personen. Faktisch jeder erwachsene Deutsche ist in der Datenbank erfasst. Die Eröffnung eines Girokontos bei einer deutschen Bank genügt, um in der Datenbank zu landen. Wohl nur die GEZ, die Gebühreneinzugszentrale des öffentlich-rechtlichen Rundfunks, und die Deutsche Post besitzen einen ähnlich umfangreichen Adressbestand.
In die Kritik gerät die Schufa immer wieder, wenn sie falsche Auskünfte über Personen erteilt. Namensverwechslungen oder schlicht Fehler im Datenbestand können sogar existenzbedrohende Folgen für Betroffene haben: Da wird plötzlich ein Kreditkauf verweigert oder eine Baufinanzierung abgelehnt. Im Jahr 2001 berichtete der Datenschutzbeauftragte Schleswig-Holsteins von einem Architekten, der bei Banken kein Konto mehr eröffnen konnte. Diese verwiesen ihn wiederholt auf eine schlechte Schufa-Auskunft. Dabei handelte es sich jedoch um eine veraltete Information: Die Schufa hatte dem Mann bereits schriftlich bestätigt, ein bestimmtes Negativmerkmal gesperrt und später gelöscht zu haben. "Im vorliegenden Fall handelte es sich um einen dubiosen Mahnbescheid, dessen
Existenz der angebliche Gläubiger nicht nachweisen konnte", heißt es in dem Bericht.
Das Regierungspräsidium Darmstadt, die für die Schufa zuständige Datenschutzaufsichtsbehörde, hat in seinen jährlichen Berichten diverse Personenverwechslungen dokumentiert. Beispielsweise wurden einem Versandhändler die Negativdaten einer Frau übermittelt, die zwar im gleichen Ort wie die Bestellerin wohnte, jedoch in einer anderen Straße, und auch an einem anderen Tag Geburtstag hatte. Die Schufa erklärte später, dass hier eine Auskunft nicht hätte erfolgen dürfen, sondern zuvor die Identität hätte geklärt werden müssen. In einem anderen Fall waren zwei Datensätze mit gleichem Namen und Geburtsdatum im Schufa-Datenbestand vorhanden. Als eine Suchanfrage einging, gab die Auskunftei eine der beiden gespeicherten Adressen als "mögliche Anschrift" heraus. Der notwendige Hinweis, dass zwei Adressen mit gleichem Namen und Geburtsdatum vorlagen, unterblieb.
Wie häufig derartige, mitunter folgenschwere Falschauskünfte vorkommen, ist nicht bekannt. "Es wäre reine Spekulation", schreiben die hessischen Datenschützer, "wollte man angesichts der bekannt gewordenen Verwechslungsfälle auf die Dimension des Problems schließen." Die Schufa selbst verweist auf die große Menge von 77 Millionen Anfragen, die sie jährlich beantwortet. "Dabei passieren pro Jahr leider wenige, einzelne Fehler", sagte Unternehmenssprecherin Katrin Haase. Das sei "sehr bedauerlich". Die meisten Anfragen würden jedoch "reibungslos und zur Zufriedenheit der Bürger" beantwortet.
Mitunter liegt die Schuld für falsche Auskünfte nicht einmal bei der Schufa selbst. Sie fungiert nämlich nur als Sammelstelle von Daten, die Banken, Mobilfunkbetreiber und Versandhäuser liefern. Neue Informationen über Kunden, die nicht weitergeleitet werden, fehlen dann in der Datenbank. Der Bundesdatenschutzbeauftragte Peter Schaar sieht darin Gefahren für die Bürger: "Zu kritisieren ist, dass die Informationen teilweise nicht aktuell sind, weil das mitunter zu falschen Schlüssen führt."
Schaar kritisiert nicht nur Fehler in der Schufa-Datenbank. Für bedenklich hält er auch die große Macht der Auskunftei: "Als das Bundesdatenschutzgesetz Ende der 70er-Jahre geschrieben wurde, erschien es ziemlich undenkbar, dass ein privates Unternehmen derartig viele Adressen haben könnte." Eine Organisation, die Informationen unter anderem von Banken, Vermietern und Zahnärzten bündle, sei gegenüber dem Einzelnen in einer so starken Position, dass der Betroffene es schwer habe, seine Rechte zur Geltung zu bringen.
Einen Datenbestand, wie ihn die Schufa hat, wünscht sich wohl so manche Ermittlungsbehörde. Doch das Melderecht verbietet eine zentrale Speicherung der Adressdaten aller Deutschen. Was das BKA nicht hat, hat die Schufa. Sie speichert jedoch nicht allein aktuelle und frühere Anschriften praktisch aller Bundesbürger. Auch die Zahlungsmoral und die monatliche Kreditbelastung werden erfasst, ebenso wie sämtliche Konten, Kreditkarten, Leasing- und Handyverträge. Immer häufiger, im Jahr 2005 schon über 40 Millionen Mal, nutzen Schufa-Kunden auch den umstrittenen Scoring-Dienst der Auskunftei, der aus den bestehenden Daten das Kreditausfallrisiko einer Person berechnet. Datenschützer haben das Verfahren wiederholt kritisiert, weil für die Betroffenen völlig unklar bleibt, wie der Scoring-Wert überhaupt zustande kommt.
Die Schufa sieht sich schon lange nicht mehr nur als Dienstleister für die Kreditbranche. Längst vermarktet sie ihre Datenbank auch für andere Zwecke. Beispielsweise lässt das Auktionshaus eBay schon seit mehreren Jahren die Identität von Neukunden, die sich online anmelden, von der Schufa prüfen. Dabei wird die von dem neuen eBay-Mitglied angegebene Anschrift an die Schufa übermittelt, die dann nachschaut, ob die Person in ihrer Datenbank überhaupt existiert. "Die Kredithistorie des Bürgers bleibt gänzlich unbetrachtet und unberührt", betonte Schufa-Sprecherin Haase. Eine Anmeldung unter Fantasie-Identitäten wird so zwar verhindert, nicht jedoch eine mit einer fremden, gestohlenen Identität.
Ein neues Produkt für Versicherungen, das die Schufa nach eigenen Angaben derzeit prüft, dürfte Datenschützern in Zukunft noch mehr Kopfschmerzen bereiten. Die Auskunftei will anhand ihrer Informationen über eine Person auch das Risiko kalkulieren, dass der Betroffene seine Versicherung in Anspruch nimmt. Die Schufa verweist dabei auf angebliche statistische Zusammenhänge von Kreditausfällen und Versicherungsfällen. Man könnte auch sagen, dass die Schufa die Seriosität von Menschen kalkulieren will, denn hinter solchen statistischen Analysen steckt offenbar auch die Annahme, dass Menschen, die Kredite nicht zurückzahlen können, sorgloser mit ihrem und fremdem Eigentum umgehen oder auch gern mal ihre Versicherung betrügen.
Der oberste deutsche Datenschützer Peter Schaar sieht eine solche Ausweitung der Schufa-Geschäftsfelder sehr kritisch: "Meine Forderung ist, dass sich die Schufa auf die Kreditauskunft beschränkt." Mittlerweile gebe es kaum noch einen Wirtschaftszweig, der nicht angeschlossen sei. Die Schufa allerdings erkläre, sie helfe der Wirtschaft bei der allgemeinen Risikovorsorge. "Wenn man das weiterdenkt", so Schaar, "dann ist es aus meiner Sicht nur eine Frage der Zeit, bis auch Arbeitgeber Stellenbewerber erst mal durch die Schufa überprüfen lassen. Hier sehe ich die Notwendigkeit, dass der Gesetzgeber das Geschäftsfeld solcher Auskunfteien beschränkt."
Der Autor ist Redakteur von "Spiegel Online" in den Ressorts Wissenschaft und Netzwelt in Hamburg.