Code of Conduct

Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien

I. Vorbemerkung
Der Verband „Die Wirtschaftsauskunfteien e.V.“ (nachfolgend „DW“) vertritt die Interessen der großen Wirtschaftsauskunfteien.

Die Unternehmen, die diesen Verhaltensregeln beigetreten sind, verpflichten sich zu deren Einhaltung ab Zeitpunkt des Beitritts. Der Beitritt der Unternehmen wird vom Verband dokumentiert und in geeigneter Form bekannt gegeben.

Zu den Mitgliedern zählen die Unternehmen Bisnode Deutschland GmbH, Creditreform Boniversum GmbH, CRIF GmbH, IHD Gesellschaft für Kredit- und Forderungsmanagement mbH, infoscore Consumer Data GmbH, SCHUFA Holding AG sowie Verband der Vereine Creditreform e.V.

Zweck des Verbandes ist es, die Interessen der Wirtschaftsauskunfteien durch einen freiwilligen Zusammenschluss von Unternehmen und Unternehmensverbänden, die in dieser Branche tätig sind, zu bündeln und durch eine gemeinschaftliche Zielsetzung zu fördern. Der Verband vertritt die In- teressen seiner Mitglieder, indem er gegenüber den Aufsichtsbehörden der Bundesländer, den Ministerien und politischen Entscheidungsträgern Stel- lung zu den Themen bezieht, die für die Tätigkeit der Mitglieder von wesentlicher Bedeutung sind.

Ein wesentliches Anliegen des Verbandes ist es darüber hinaus, Qualitätsstandards für die Branche zu setzen. Dies betrifft vor allem den Bereich des Datenschutzes, der für die Wirtschaftsauskunfteien einen besonders hohen Stellenwert hat.

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) wird das Bundesdatenschutzgesetz (BDSG) weitgehend ablösen. Mit Inkrafttreten der Datenschutzgrundverordnung entfallen u. a. für die Datenverarbeitung durch die deutschen Wirtschaftsauskunfteien relevante Vorschriften. Hierzu zählt auch die bisher in § 35 Abs. 2 Satz 2 Nr. 4 BDSG (a.F.) enthaltene Prüf- und Löschfrist. Diese sollte nach Ablauf von vier bzw. drei Jahren eine Prüfung sicherstellen, ob eine länger währende Speicherung noch erforderlich ist. Im Regelfall wurde damit die Löschung nicht mehr relevanter Sachverhalte erreicht. Umgekehrt war mit den in § 35 Abs. 2 Satz 2 Nr. 4 BDSG (a.F.) niedergelegten Fristen aber auch anerkannt, dass jedenfalls die innerhalb der Fristen erfolgende Speicherung erforderlich und interessengerecht ist. Die EU-DSGVO behält zwar in Art. 5 Abs. 1lit. e) das Prinzip der Erforderlichkeit bei, enthält jedoch keine definierten Prüffristen. Um aber die Erforderlichkeitsprüfung tatsächlich sicherzustellen geht Erwägungsgrund 39 gleichwohl davon aus, dass der Verantwortliche entsprechende Fristen vorsieht.

Zur Klarstellung wird darauf hingewiesen, dass die im Folgenden vorgesehene taggenaue Löschung jeweils auch die Löschung am auf den Stichtag folgenden Wochenende mit einschließt.

Diese Verhaltensregeln schließen eine besondere Prüfung im Einzelfall auf Antrag der betroffenen Person (gem. Art. 17, 21 EU- DSGVO) nicht aus.

Im Einvernehmen mit seinen Mitgliedern hat der Verband DW im Sinne der Rechtssicherheit bei der Verarbeitung der zur Kreditwürdigkeitsprüfung zulässigerweise herangezogenen Daten daher die nachfolgend aufgeführten Fristen für eine Prüfung der Erforderlichkeit der Löschung zu den Stammdaten gespeicherter personenbezogener Daten formuliert. Die hier niedergelegten Fristen schaffen einheitliche Standards und begründen eine freiwillige Selbstverpflichtung der Mitglieder, die in diesem Dokument aufgestellten Regelungen einzuhalten und an diesen Verhaltensregeln auszurichten.

Den Betroffenen sollen die hier genannten Verhaltensregeln die Gewähr bieten, dass

  • Datenschutzbelange in der Auskunfteienbranche auch nach Wirksamwerden der EU-DSGVO ab dem 25.05.2018 weiterhin einen sehr hohen Stellenwert einnehmen,
  • eine datenschutzkonforme, weil erforderlichkeitsorientierte Speicherung von Informationen zu ihrer Person erfolgt, indem die berechtigten Interessen der betroffenen Personen und der Verantwortlichen in Einklang gebracht werden, und
  • für sie auch weiterhin Transparenz hinsichtlich der von Wirtschaftsauskunfteien praktizierten Prüf- und Löschfristen besteht und damit eine faire Verarbeitung erfolgt.

Die hier genannten Verhaltensregeln betreffen die Verarbeitung von personenbezogenen Daten durch die Mitgliedsunternehmen in Deutschland; sie enthalten keine Aussage zu Speicher- und Löschfristen für die Verarbeitung personenbezogener Daten außerhalb Deutschlands.

Diese Verhaltensregeln enthalten keine Regelungen zur materiellen Berechtigung der Speicherung der personenbezogenen Daten. Die Regelung von Speicher- und Löschfristen indiziert auch nicht die Rechtmäßigkeit von deren Speicherung.
Die nachfolgenden Lösch- und Speicherfristen gelten unabhängig davon, ob die zugrunde liegenden Daten auf gesetzlicher Grundlage oder aufgrund von Einwilligungen erhoben und gespeichert wurden.
Die Verhaltensregeln sollen schrittweise um weitere zu anderen datenschutzrechtlich relevanten Sachverhalten erweitert werden.

II. Prüf- und Löschfristen von personenbezogenen Daten

1. Personenbezogene Daten über fällige, offene und unbestrittene Forderungen:

a) Personenbezogene Daten über fällige und unbestrittene Forderungen bleiben gespeichert, so lange deren Ausgleich nicht bekannt gegeben wurde; die Notwendigkeit der fortwährenden Speicherung wird jeweils drei Jahre (taggenau) nach dem jeweiligen Ereigniseintritt (z. B. erstma- lige Einmeldung der Forderung oder Saldenaktualisierung) überprüft.

b) Eine Löschung der personenbezogenen Daten erfolgt taggenau drei Jahre nach Ausgleich der Forderung.
Unabhängig davon erfolgt auf Antrag betroffener Personen eine individuelle Prüfung, ob die Speicherung der Daten noch notwendig ist (Art. 17 Abs. 1 lit. a) DSGVO).

2. Personenbezogene Daten, denen Eintragungen in das Schuldner verzeichnis oder Veröffentlichungen zu (Verbraucher- bzw. Regel-) Insolvenzverfahren zugrunde liegen:

a) Daten aus den Schuldnerverzeichnissen der zentralen Vollstreckungs- gerichte (Eintragungen nach § 882c Abs. 1 Satz 1 Nr. 1 – 3 ZPO) werden drei Jahre taggenau nach Eintragung in das Schuldnerverzeichnis ge- löscht, jedoch vorzeitig, wenn der Auskunftei eine Löschung durch das zentrale Vollstreckungsgericht nachgewiesen/mitgeteilt wird.

b) Informationen über (Verbraucher- bzw. Regel-) Insolvenzverfahren oder Restschuldbefreiungsverfahren werden taggenau drei Jahre nach Been- digung des Insolvenzverfahrens oder Erteilung der Restschuldbefreiung gelöscht.

Informationen über

die Abweisung eines Insolvenzantrages mangels Masse,
die Aufhebung der Sicherungsmaßnahmen oder
die Versagung der Restschuldbefreiung werden taggenau nach drei Jahren gelöscht.

3. Personenbezogene Daten über Dauerschuldverhältnisse (Vertragsdaten), die aufgrund einer Vorleistung ein finanzielles Ausfallrisiko bergen:

a) Informationen über störungsfreie Vertragsdaten über Kreditverhältnisse, die mit der damit begründeten Forderung dokumentiert werden (insbesondere Darlehen, Finanzierungshilfen, Ratenlieferungsverträge oder Teilzahlungen), bleiben gespeichert, bis die damit begründete offene Forderung ausgeglichen ist; wird deren Ausgleich bekannt gegeben, erfolgt eine Löschung der personenbezogenen Daten taggenau drei Jahre danach.

b) Informationen über störungsfreie Vertragsdaten über Konten, die ohne die damit begründete Forderung dokumentiert werden (z. B. Girokonten, Kreditkarten, Telekommunikationskonten oder Energiekonten), bleiben so lange gespeichert, so lange die Konten bestehen; wird deren Beendi- gung bekannt gegeben, werden die Informationen gelöscht.

c) Informationen über Verträge, bei denen die Evidenzprüfung gesetzlich vorgesehen ist (wie bei Pfändungsschutzkonten oder Basiskonten), bleiben so lange gespeichert, so lange sie bestehen; wird deren Beendi- gung bekannt gegeben, werden sie gelöscht.

d) Informationen über Bürgschaften werden gelöscht, sobald die Beendigung der Bürgschaft mitgeteilt wird.

e) Handelskonten, die kreditorisch geführt werden, werden taggenau nach drei Jahren gelöscht, nachdem sämtliche Forderungen zurückgezahlt wurden.

Die vorgenannten Daten sind nach Erledigung gemäß den vorstehenden Regelungen auf Antrag des Betroffenen sofort zu löschen.

4. Sonstige Daten:
a) Personenbezogene Voranschriften bleiben taggenau drei Jahre gespei- chert; danach erfolgt die Prüfung der Erforderlichkeit der fortwährenden Speicherung für weitere drei Jahre. Danach werden sie taggenau gelöscht, sofern nicht zum Zwecke der Identifizierung eine länger währen- de Speicherung erforderlich ist.

b) Informationen über den Missbrauch eines Kontos oder einer Karte durch den rechtmäßigen Kontoinhaber werden taggenau nach drei Jahren gelöscht.

c) Informationen zu zweifelhaften und ungewöhnlichen Sachverhalten, die im Rahmen der Geldwäsche- und Betrugsprävention zu prüfen und zu überwachen sind und bei denen die Prüfung ergibt, dass nicht nur ein reiner Verdachtsfall gegeben ist, sondern hinreichend nachvollziehbare Anhaltspunkte dafür vorliegen, dass ein Geldwäsche– oder betrugsrelevanter Sachverhalt auch tatsächlich vorliegt, bleiben im Hinblick auf die Erforderlichkeit der Ermittlung aussagekräftiger Ergebnisse zunächst bis zum 31.12.2019 gespeichert. Danach erfolgt eine Evaluierung der Ergebnisse und anschließend die Festlegung der Erforderlichkeit der zukünftigen regelmäßigen Dauer der fortwährenden Speicherung.

d) Angaben über Anfragen Dritter bleiben mindestens für ein Jahr, längstens jedoch drei Jahre taggenau gespeichert. Nach Ablauf eines Jahres müssen Angaben über diese Anfragen auf Antrag des Betroffenen gelöscht werden.

e) Die Erforderlichkeit der fortwährenden Speicherung von aus sonstigen öffentlichen/öffentlich zugänglichen Quellen entnommenen Daten, die einen Personenbezug aufweisen, wird spätestens nach drei Jahren überprüft. Im Falle der Erledigung wie z. B. Änderung oder Löschung im Handelsregister erfolgt eine Löschung der personenbezogenen Daten nach drei Jahren.

III. Prüfung der Einhaltung der hier niedergelegten Löschfristen
Die Unternehmen, die diesen Verhaltensregeln beigetreten sind, ge- währleisten, dass die Einhaltung der hier niedergelegten Prüf- und Löschfristen jederzeit überprüft werden kann. Der Verband DW wird – unbeschadet der Aufgaben und Befugnisse der jeweiligen betrieblichen Datenschutzbeauftragten und zuständigen Aufsichtsbehörden – für die Überwachung der Einhaltung dieser Verhaltensregeln eine von der zu- ständigen Aufsichtsbehörde zu akkreditierende Stelle gemäß Art. 41 Abs. 1 EU-DSGVO benennen. Es kann sich dabei nach Wahl des Verbandes DW um eine über die erforderliche Akkreditierung verfügende externe Stelle oder eine entsprechende verbandsinterne Stelle handeln.

1. Für die Überwachung wird DW eine Kontrollstelle benennen, die

a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegen- stands der Überwachung zur Zufriedenheit der zuständigen Auf- sichtsbehörde nachgewiesen hat;
b. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen;
c. über eine angemessene finanzielle und personelle Ausstattung in Abhängigkeit von der Anzahl, Größe und Komplexität der zu überwa- chenden Unternehmen sowie dem Risikogehalt der Datenverarbei- tung verfügt und dies zur Zufriedenheit der zuständigen Aufsichts- behörde nachgewiesen hat;
d. bei der Durchführung der Kernaufgaben der Überwachung eigene Mitarbeiter und keine Subunternehmer einsetzt;
e. der zuständigen Aufsichtsbehörde konkrete Ansprechpartner und deren Kontaktdaten für die Überwachung bekannt gegeben hat;
f. sofern es sich um eine verbandsinterne Überwachungsstelle handelt, aufbauorganisatorisch bis einschließlich der Ebene unterhalb der Geschäftsleitung von den übrigen Bereichen des Verbandes getrennt ist; DW wird in diesem Fall sicherstellen, dass die interne Überwachungsstelle weisungsfrei handeln kann und im Rahmen ihrer Aufgabenerfüllung vor etwaigen Sanktionen geschützt ist.

2. Die mit der Überwachung dieser Verhaltensregeln beauftragte Kontrollstelle erfüllt die nachfolgend aufgeführten Aufgaben und Pflichten:
a. Fortlaufende Überwachung sowie jährliche rotierende Überprüfung einer angemessenen Anzahl der beigetretenen Unternehmen in Abhängigkeit vom Risikogehalt der Datenverarbeitung und identifizierter Beschwerdeschwerpunkte sowie anlassbezogene Über- prüfung des jeweils beigetretenen Unternehmens (insbesondere bei Beschwerden bezüglich einer vermeintlichen Nichteinhaltung dieser Verhaltensregeln durch ein beigetretenes Unternehmen).

b. Regelmäßige sowie anlassbezogene Überwachung der Geeignetheit dieser Verhaltensregeln. Dies umfasst die konzeptionelle Überprüfung, ob diese Verhaltensregeln praxistauglich, hinreichend präzise und verständlich formuliert sind, den Regelungsbedarf abdecken und von der Praxis akzeptiert werden.

c. Anlassbezogene unverzügliche Unterrichtungspflicht über die getroffene Maßnahme und deren Begründung sowohl gegenüber der Geschäftsleitung des betroffenen Unternehmens als auch gegen- über der für das betroffene Unternehmen zuständigen Datenschutzaufsichtsbehörde. Der Kontrollstelle wird ein unmittelbarer Berichtsweg zur Geschäftsleitung der beigetretenen Unternehmen ermöglicht.

d. Der Kontrollstelle stehen alle zur Aufgabenerfüllung erforderlichen Untersuchungsbefugnisse zu. Die beigetretenen Unternehmen stellen ihr die hierfür erforderlichen Informationen auf Verlangen zur Verfügung. Sie erhält Zugang zu allen personenbezogenen Daten, Verarbeitungsvorgängen und sonstigen Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind. Außerdem ermöglichen ihr die beigetretenen Unternehmen den Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen. Die Kontrollstelle kann auch Untersuchungen in Form von Datenschutzüberprüfungen durchführen. Die Untersuchungsbefugnisse bestehen auch gegenüber Auftragsverarbeitern der beigetretenen Unternehmen sowie Dritten im Sinne von Art. 4 Nr. 10 EU-DSGVO.

e. Die Kontrollstelle dokumentiert ihre Überwachungstätigkeit und er- greift, sofern erforderlich, geeignete Maßnahmen gegenüber den beigetretenen Unternehmen, damit die hier niedergelegten Verhal- tensregeln eingehalten und durch DW — sofern Bedarf identifiziert wurde – in Abstimmung mit den zuständigen Aufsichtsbehörden weiterentwickelt werden.

f. Die Kontrollstelle ergreift bei Verletzungen dieser Verhaltensregeln gegenüber den betreffenden Unternehmen geeignete Maßnahmen mit dem Ziel, den identifizierten Verstoß zu unterbinden und eine Wiederholung zu vermeiden. Sie wird sämtliche Informationen über Unternehmen und natürliche Personen (einschließlich betroffener bzw. beschwerdeführender Personen) vertraulich behandeln und geheim halten. Zur Weitergabe von Informationen an die zuständige Aufsichtsbehörde ist die Kontrollstelle berechtigt, soweit die Wei- tergabe zur Erfüllung ihrer Aufgaben und Pflichten erforderlich ist. Sie informiert die Geschäftsleitung des betreffenden Unternehmens sowie die für das Unternehmen zuständige Aufsichtsbehörde bei festgestellten Verstößen gegen diese Verhaltensregeln ohne schuldhaftes Zögern über die getroffenen Maßnahmen sowie deren Begründung.

g. Die Kontrollstelle hat das Recht, beigetretene Unternehmen bei wiederholten Verstößen oder im Fall der Nichtabhilfe festgestellter Verstöße gegen diese Verhaltensregeln von diesen Verhaltensregeln auszuschließen.

IV. Sonstiges
• Vorbehaltsklausel
Diese Verhaltensregeln sowie die in Ziffer III. festgelegten Überwachungsregelungen gelten vorbehaltlich ihren Regelungsgehalt betreffenden Rechts- änderungen bzw. anderslautender Entscheidungen auf europäischer Ebene (Europäischer Datenschutzausschuss, Europäischer Gerichtshof).
• Evaluierung
Diese Verhaltensregeln gelten bis zum 24.05.2024 (6 Jahre ab Genehmi- gung). Spätestens zwei Jahre vor Ablauf legt der Verband „DW“ der zuständigen Aufsichtsbehörde einen schriftlichen Evaluationsbericht vor.
Sofern die Aufsichtsbehörde keine Beanstandungen erhebt, verlängern sich diese Verhaltensregeln um jeweils weitere sechs Jahre.