Stell dir vor: Du bewirbst dich um eine Wohnung oder beantragst einen Kredit – und wirst abgelehnt. Nicht weil ein Mensch deine Situation geprüft hat, sondern weil ein Algorithmus deinen SCHUFA-Score errechnet hat und dieser Score automatisch zur Entscheidungsgrundlage wurde. Genau dieses Szenario hat der Europäische Gerichtshof im Dezember 2023 als rechtlich problematisch eingestuft. Was das für mehr als 68 Millionen bei der SCHUFA erfasste Deutsche bedeutet – und welche Rechte du jetzt hast.
1. Was das EuGH-Urteil genau besagt
Am 7. Dezember 2023 fällte der Europäische Gerichtshof in der Rechtssache C-634/21 ein Urteil mit weitreichenden Folgen für das deutsche Kreditwesen. Das Verfahren war von der hessischen Datenschutzaufsichtsbehörde angestoßen worden, nachdem eine Verbraucherin Auskunft über die Logik des SCHUFA-Scorings verlangt hatte und keine zufriedenstellende Antwort erhalten hatte.
Der EuGH stellte in seinem Urteil unmissverständlich fest: Das SCHUFA-Scoring stellt eine automatisierte Einzelentscheidung im Sinne von Art. 22 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) dar – zumindest dann, wenn Dritte wie Banken, Vermieter oder Telekommunikationsanbieter diesem Score eine maßgebliche Bedeutung bei ihrer Entscheidung beimessen und der Score damit faktisch die Entscheidung trifft.
- SCHUFA-Scoring = automatisierte Einzelentscheidung nach Art. 22 DSGVO, wenn der Score maßgeblich entscheidet
- Verbraucher haben das Recht auf menschliche Überprüfung ablehnender Entscheidungen
- § 31 BDSG, der Scoring nationalen Regeln unterstellt, ist möglicherweise nicht mit der DSGVO vereinbar
Was das auf den Alltag übersetzt bedeutet: Wenn du für einen Kredit abgelehnt wirst und diese Ablehnung maßgeblich auf deinem SCHUFA-Score basiert, dann hast du das Recht darauf, dass ein Mensch – nicht nur ein Algorithmus – diese Entscheidung überprüft. Das ist keine bloße Formalität, sondern ein einklagbares Recht nach europäischem Datenschutzrecht.
Das Urteil ist bindend für alle EU-Mitgliedstaaten und gilt unmittelbar. Deutsche Gerichte, Behörden und Unternehmen müssen es anwenden – auch wenn der deutsche Gesetzgeber die notwendigen Anpassungen bislang ausstehen ließ. Für Verbraucher ist das eine echte Stärkung ihrer Position gegenüber einem System, das lange als undurchdringlich galt.
Das EuGH-Urteil knüpft an eine lange Geschichte von Verbraucher-Beschwerden an. Seit Jahren kritisieren Datenschützer, Verbraucherzentralen und Organisationen wie noyb (None of Your Business), dass die SCHUFA ihre Scoring-Logik nicht ausreichend offenlegt und dass Verbraucher faktisch machtlos gegenüber algorithmischen Entscheidungen sind, die ihr Leben erheblich beeinflussen können. Das Urteil gibt diesen Kritikern recht.
2. Deine 5 Rechte nach DSGVO gegenüber der SCHUFA
Das EuGH-Urteil hat bestehende DSGVO-Rechte konkretisiert und verstärkt. Hier sind die fünf wichtigsten Rechte, die du gegenüber der SCHUFA und gegenüber Unternehmen, die den Score nutzen, geltend machen kannst:
Wenn eine Entscheidung – Kreditablehnung, Wohnungsverweigerung, abgelehnter Handyvertrag – maßgeblich auf deinem SCHUFA-Score beruht, hast du das Recht darauf, dass ein Mitarbeiter des betreffenden Unternehmens deine Situation individuell und menschlich prüft. Du hast außerdem das Recht, deinen eigenen Standpunkt darzulegen und die Entscheidung anzufechten. Dieses Recht musst du aktiv einfordern: Kontaktiere das ablehnende Unternehmen schriftlich und berufe dich ausdrücklich auf Art. 22 DSGVO und das EuGH-Urteil C-634/21 vom 7. Dezember 2023.
Du kannst jederzeit und kostenlos eine vollständige Auskunft über alle bei der SCHUFA gespeicherten Daten verlangen. Die SCHUFA muss dir mitteilen: welche Daten gespeichert sind, woher diese Daten stammen, an wen sie weitergegeben wurden – und seit dem EuGH-Urteil: aussagekräftige Informationen über die Logik des Scorings sowie die möglichen Auswirkungen auf dich. Die SCHUFA hat eine Frist von einem Monat für die Beantwortung. Über meineschufa.de ist die kostenlose Datenkopie nach Art. 15 DSGVO online abrufbar – einmal jährlich auch als gedrucktes Dokument auf Anfrage.
Die SCHUFA ist verpflichtet, bei der Datenerhebung oder auf Anfrage aussagekräftige Informationen über die Logik des Scorings bereitzustellen – also welche Faktoren in welcher Weise in den Score einfließen. Das bedeutet zwar nicht, dass die SCHUFA ihren gesamten Algorithmus offenlegen muss, aber sie muss erklären, welche Datenkategorien verwendet werden, wie sie gewichtet sind und wie sich Änderungen auf den Score auswirken. Bislang hat die SCHUFA dieses Recht oft restriktiv ausgelegt – nach dem EuGH-Urteil ist diese Praxis rechtlich kaum noch haltbar.
Soweit die SCHUFA ihre Datenverarbeitung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützt, kannst du der Verarbeitung widersprechen. Die SCHUFA muss dann nachweisen, dass ihre Interessen an der Verarbeitung deine schutzwürdigen Interessen überwiegen. In der Praxis ist ein vollständiger Widerspruch gegen das gesamte Scoring schwer durchzusetzen, da die SCHUFA gewichtige berechtigte Interessen geltend machen kann. Für spezifische Daten – etwa bestimmte veraltete Eintragsarten oder Daten, die zu einem unverhältnismäßigen Scoring führen – kann ein Widerspruch erfolgreich sein. Lege ihn schriftlich per Einschreiben ein.
Wenn bei der SCHUFA Daten gespeichert sind, die unrichtig, unvollständig oder nicht mehr erforderlich sind, hast du das Recht auf unverzügliche Löschung oder Berichtigung. Das gilt auch, wenn die gesetzliche Speicherfrist abgelaufen ist – bei erledigten Inkasso-Einträgen beträgt sie seit der SCHUFA-Reform 2023 noch 3 Jahre (statt vormals 6 Jahre). Wichtig: Prüfe deine Auskunft sorgfältig auf falsche Einträge. Fehler kommen vor und können deinen Score erheblich belasten. Ein unrichtiger Eintrag kann zum Beispiel entstehen, wenn eine Forderung bezahlt wurde, aber fälschlicherweise noch als offen gespeichert ist.
3. Der fehlende § 37a BDSG: Warum die Rechtslage unklar bleibt
Nach dem EuGH-Urteil entstand in Deutschland erheblicher Reformdruck. Art. 22 DSGVO erlaubt es den EU-Mitgliedstaaten zwar, automatisierte Entscheidungen unter bestimmten Bedingungen national zu regeln – aber nur dann, wenn dabei angemessene Schutzmaßnahmen für Verbraucher vorgesehen sind.
Der deutsche Gesetzgeber hatte die Verabschiedung eines § 37a BDSG (Bundesdatenschutzgesetz) geplant, der das SCHUFA-Scoring explizit als zulässige automatisierte Entscheidung im Sinne von Art. 22 Abs. 2 lit. b DSGVO legalisiert hätte. Dieser Paragraph wurde jedoch nicht verabschiedet. Die Folge: Es gibt keine klare nationale Regelung, die das SCHUFA-Scoring eindeutig erlaubt und gleichzeitig die vom EuGH geforderten Verbraucherschutzgarantien gewährleistet.
Der bestehende § 31 BDSG erlaubt Scoring-Verfahren zwar und legt Schutzregeln fest – der EuGH hat jedoch Zweifel geäußert, ob § 31 BDSG mit Art. 22 DSGVO vereinbar ist. Da die DSGVO als EU-Verordnung Vorrang vor nationalem Recht hat, könnten Scoring-Praktiken, die bisher als legal galten, angreifbar sein. Es ist damit zu rechnen, dass Datenschutzbehörden und Gerichte die Anforderungen an die SCHUFA schrittweise verschärfen werden.
Für Verbraucher bedeutet diese rechtliche Grauzone konkret: Deine Rechte aus Art. 15, 17, 21 und 22 DSGVO sind sofort anwendbar und durchsetzbar – auch ohne die nationale Umsetzung. Du musst nicht darauf warten, dass der Bundestag ein neues Gesetz verabschiedet. Das EuGH-Urteil ist geltendes Recht.
Die zuständige Datenschutzaufsichtsbehörde für die SCHUFA ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), da die SCHUFA Holding AG in Wiesbaden (Hessen) ansässig ist. Der HBDI hat nach dem EuGH-Urteil signalisiert, dass er die Compliance der SCHUFA genau beobachten wird. Auch die Anzahl der Verbraucherbeschwerden bei Datenschutzbehörden ist nach dem Urteil deutlich gestiegen.
Die Situation zeigt ein grundsätzliches Problem: Das deutsche Scoring-System hat jahrzehntelang in einer regulatorischen Grauzone operiert, die durch das EuGH-Urteil nun ausgeleuchtet wurde. Weder die SCHUFA noch der Gesetzgeber haben bislang die notwendige Klarheit geschaffen. Das bedeutet für Verbraucher mehr Unsicherheit – aber auch mehr Hebel, um ihre Rechte durchzusetzen.
4. So setzt du deine Rechte praktisch durch
Theorie ist gut, Praxis ist besser. So gehst du vor, wenn du deine DSGVO-Rechte gegenüber der SCHUFA oder einem ablehnenden Unternehmen geltend machen möchtest:
-
Kostenlose Datenkopie anfordern Fordere zunächst deine vollständige Datenkopie nach Art. 15 DSGVO an. Das geht online über meineschufa.de (Bereich "Datenkopie nach DSGVO" – kostenlos) oder schriftlich per Brief an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden. Prüfe alle gespeicherten Einträge sorgfältig auf Fehler, veraltete Daten und nicht mehr zulässige Speicherungen. Notiere dir alle Unstimmigkeiten.
-
Bei Ablehnung: schriftlich auf Art. 22 DSGVO berufen Wenn du auf Basis eines SCHUFA-Scores abgelehnt wurdest – für Kredit, Wohnung oder Handyvertrag – wende dich schriftlich an das ablehnende Unternehmen. Verlange Auskunft darüber, ob und wie dein SCHUFA-Score zur Entscheidung beigetragen hat. Berufe dich auf Art. 22 DSGVO und das EuGH-Urteil C-634/21 und verlange eine menschliche Überprüfung deiner Situation. Musterbriefe stellen die Verbraucherzentralen und noyb.eu kostenlos bereit.
-
Fehlerhafte Einträge schriftlich beanstanden Findest du in deiner Datenkopie unrichtige oder veraltete Daten, schreibe einen Brief an die SCHUFA. Berufe dich auf Art. 16 (Berichtigung) oder Art. 17 (Löschung) DSGVO. Füge alle verfügbaren Belege bei: Zahlungsbestätigungen, Kontoauszüge, Beschlüsse. Die SCHUFA hat einen Monat Zeit zu antworten. Schicke den Brief per Einschreiben mit Rückschein, damit du einen Nachweis hast.
-
Beschwerde bei der Datenschutzbehörde einlegen Wenn die SCHUFA nicht reagiert, die Auskunft unvollständig ist oder deine Berichtigungsanfrage abgelehnt wurde, lege Beschwerde ein – beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) unter poststelle@datenschutz.hessen.de oder beim Bundesbeauftragten für den Datenschutz (BfDI) unter poststelle@bfdi.bund.de. Die Beschwerde ist kostenlos und formlos möglich. Lege alle relevanten Dokumente bei.
-
Verbraucherzentrale oder noyb einschalten Die Verbraucherzentralen beraten in datenschutzrechtlichen Fragen – in vielen Bundesländern kostenlos für einfache Anfragen. Die Datenschutzorganisation noyb (None of Your Business) hat sich auf DSGVO-Durchsetzung spezialisiert und bietet Musterbeschwerden sowie rechtliche Unterstützung an. Noyb hat bereits mehrere erfolgreiche Verfahren gegen die SCHUFA geführt und ist eine starke Anlaufstelle für hartnäckige Fälle.
| Anliegen | Rechtsgrundlage | Adressat | Frist für Antwort |
|---|---|---|---|
| Datenkopie / Auskunft | Art. 15 DSGVO | SCHUFA direkt | 1 Monat |
| Berichtigung falscher Daten | Art. 16 DSGVO | SCHUFA direkt | 1 Monat |
| Löschung veralteter Daten | Art. 17 DSGVO | SCHUFA direkt | 1 Monat |
| Widerspruch gegen Verarbeitung | Art. 21 DSGVO | SCHUFA direkt | Sofort / 1 Monat |
| Menschliche Prüfung verlangen | Art. 22 DSGVO | Ablehnendes Unternehmen | Unverzüglich |
| Beschwerde bei Aufsichtsbehörde | Art. 77 DSGVO | HBDI / BfDI | Keine gesetzliche Frist |
5. Was passiert, wenn die SCHUFA nicht reagiert?
Die SCHUFA ist verpflichtet, auf Auskunftsersuchen nach Art. 15 DSGVO innerhalb von einem Monat zu antworten. Diese Frist kann auf zwei Monate verlängert werden, wenn das Ersuchen besonders komplex ist – die SCHUFA muss dich dann aber innerhalb des ersten Monats über die Verlängerung und die Gründe informieren. Eine einfache Auskunftsanfrage rechtfertigt in der Regel keine Verlängerung.
Reagiert die SCHUFA gar nicht, antwortet sie unvollständig oder verweigert sie berechtigte Lösch- oder Berichtigungsanfragen, hast du mehrere Möglichkeiten:
- Datenschutzbehörde einschalten: Die Beschwerde beim HBDI (für die SCHUFA in Wiesbaden zuständig) ist der schnellste und kostengünstigste Weg. Die Behörde kann die SCHUFA verpflichten, deinem Ersuchen nachzukommen, und im Wiederholungsfall Bußgelder verhängen – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
- Zivilklage auf Auskunft oder Löschung: Du kannst das zuständige Amts- oder Landgericht anrufen und auf Auskunft oder Löschung klagen. Bei klaren Datenschutzverstößen ist das Risiko überschaubar, da du bei Erfolg Kostenerstattung fordern kannst.
- Schadensersatz nach Art. 82 DSGVO: Wenn dir durch einen DSGVO-Verstoß der SCHUFA ein materieller oder immaterieller Schaden entstanden ist – etwa weil ein fehlerhafter Eintrag zur Kreditablehnung geführt hat – kannst du Schadensersatz geltend machen. Mehrere deutsche Gerichte haben in ähnlichen Fällen Schadensersatz zwischen 500 und 5.000 Euro zugesprochen.
- Noyb-Beschwerde: Die Organisation noyb hat sich auf DSGVO-Massenverfahren spezialisiert und kann Beschwerden bündeln. Das erhöht den Druck auf die SCHUFA erheblich und kann zu systemischen Änderungen führen.
- Antwortfrist SCHUFA auf Auskunftsersuchen: 1 Monat (verlängerbar auf 2 Monate bei Komplexität)
- Frist für Beschwerde bei Datenschutzbehörde: keine gesetzliche Ausschlussfrist, aber möglichst zeitnah einlegen
- Schadensersatzansprüche nach DSGVO: 3 Jahre (allgemeine zivilrechtliche Verjährungsfrist ab Kenntnis des Schadens)
- Löschfrist erledigte Inkasso-Einträge: 3 Jahre nach Ende des Jahres, in dem erledigt
- Kostenloses Musterbrief-Auskunft Art. 15 DSGVO: verfügbar bei den Verbraucherzentralen und noyb.eu
Ein wichtiger Hinweis zur Praxis: Die Datenschutzbehörden sind gut ausgelastet. Eine Beschwerde beim HBDI kann mehrere Monate dauern, bis sie bearbeitet wird. Für eilige Fälle – etwa wenn eine bevorstehende Wohnungssuche oder ein dringlicher Kredit von einer falschen SCHUFA-Auskunft abhängt – ist ein direktes Gespräch mit der SCHUFA oder eine anwaltliche Beratung mitunter schneller und gezielter.
Grundsätzlich gilt: Je besser du dein Anliegen dokumentierst, desto größer sind deine Erfolgschancen. Behalte Kopien aller Korrespondenz, dokumentiere Eingangsbestätigungen und halte Fristen penibel nach. Die SCHUFA ist verpflichtet, auf deine Anfragen einzugehen – und mit dem EuGH-Urteil im Rücken stehst du rechtlich besser da als je zuvor.
6. Mehr zum Thema
Verwandte FLORIN+-Artikel
7. FAQ: SCHUFA & DSGVO nach dem EuGH-Urteil
Was hat der EuGH im Dezember 2023 zur SCHUFA entschieden?
Der Europäische Gerichtshof entschied am 7. Dezember 2023 (Rechtssache C-634/21), dass das SCHUFA-Scoring eine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO darstellt, wenn Dritte den Score zur Grundlage ihrer Entscheidungen machen. Verbraucher haben damit das Recht auf menschliche Überprüfung von Ablehnungsentscheidungen, das Recht auf Auskunft über die Scoring-Logik und das Recht, ihren Standpunkt geltend zu machen.
Wie kann ich Auskunft über mein SCHUFA-Scoring verlangen?
Du kannst ein Auskunftsersuchen nach Art. 15 DSGVO an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden senden oder die kostenlose Datenkopie online über meineschufa.de anfordern. Die SCHUFA muss innerhalb eines Monats antworten und dir die gespeicherten Daten sowie aussagekräftige Informationen über die Logik des Scorings mitteilen. Musterbriefe gibt es kostenlos bei den Verbraucherzentralen und noyb.eu.
Was bedeutet der fehlende § 37a BDSG für Verbraucher?
§ 37a BDSG war als nationale Ausnahmeregelung geplant, die das SCHUFA-Scoring vom Verbot automatisierter Einzelentscheidungen nach Art. 22 DSGVO ausgenommen hätte. Da dieses Gesetz nicht verabschiedet wurde, bleibt die Rechtslage ungeklärt. Der bestehende § 31 BDSG, der Scoring erlaubt, hat der EuGH als möglicherweise nicht DSGVO-konform eingestuft. Das stärkt faktisch die Position der Verbraucher, da das EuGH-Urteil direkt anwendbar ist.
Was tue ich, wenn die SCHUFA auf mein Auskunftsersuchen nicht reagiert?
Wenn die SCHUFA nicht innerhalb eines Monats antwortet oder die Auskunft unvollständig ist, kannst du Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) einlegen: poststelle@datenschutz.hessen.de. Alternativ ist eine Beschwerde beim Bundesbeauftragten für den Datenschutz (BfDI) möglich: poststelle@bfdi.bund.de. Du kannst auch zivilrechtlich auf Auskunft klagen oder bei schwerwiegenden Verstößen Schadensersatz nach Art. 82 DSGVO geltend machen.
Kann ich der SCHUFA-Datenverarbeitung widersprechen?
Ja, nach Art. 21 DSGVO kannst du der Verarbeitung deiner Daten widersprechen, wenn die SCHUFA berechtigtes Interesse als Rechtsgrundlage nutzt. Die SCHUFA muss dann nachweisen, dass ihre Interessen deine schutzwürdigen Interessen überwiegen. In der Praxis ist ein vollständiger Widerspruch gegen das gesamte Scoring schwer durchzusetzen, für spezifische Datenkategorien aber möglich. Lege den Widerspruch schriftlich per Einschreiben ein und begründe ihn so konkret wie möglich.
