Digitalisierung Soziale Medien AfD Datenschutz Schufa Bürgerrechte Feminismus Menschenrechte Gesundheit Desinformation

Stell Dir vor, Du hast vor Jahren mal eine Rechnung vergessen und zu spät gezahlt. Eine Mahnung und etwas Stress später hast Du die Rechnung beglichen – Fall erledigt. Dachtest Du zumindest. Nur hat die Schufa den Eintrag wohl nie gelöscht – sondern fein säuberlich abgespeichert. Was steckt dahinter?

Ist die Schufa eine Behörde?

Nein, die Schufa ist eine private Aktiengesellschaft und eines der mächtigsten Unternehmen in Deutschland. Anteile haben unter anderem die Sparkasse, Volks- und Raiffeisenbanken, Privat- und Kreditbanken, Handel und Wohnungswirtschaft. Also Unternehmen, die auch Kunden sind und die Auskünfte nutzen.

Offiziell speichert die Auskunftei Daten über rund 68 Millionen Menschen in Deutschland. Das sind Kreditinformationen, Handyverträge, Zahlungsausfälle. Daten, die entscheiden, wer eine Wohnung, einen Kredit oder einen Handyvertrag bekommt. Wer online per Rechnung bezahlen darf oder in Vorkasse gehen muss. 

Läuft mit der Bezahlung alles glatt oder wird eine Schuld beglichen, müssen Einträge nach einer gesetzlichen Frist gelöscht werden. In Europa ist das ein Grundprinzip des Datenschutzes. Wer bezahlt hat, soll nicht ewig an seiner Vergangenheit gemessen werden – es ist das sogenannte „Recht auf Vergessenwerden“.

Die Schufa und ihr Datenschatz

Allerdings scheint die Schufa das „Vergessenwerden“ nicht so eng zu sehen, wie Recherchen von NDR und Süddeutscher Zeitung aufdeckten. Neben ihrer offiziellen Datenbank führt die Schufa eine versteckte Sammlung. Mit Daten, die längst hätten gelöscht sein müssen: Alte Kredite und Kreditkarten, Pfändungen, Privatinsolvenzen und Schulden, die manche Menschen schon vor Jahren beglichen haben. 

Neuer Schufa-Score

Erst Mitte März 2026 präsentierte die Schufa mit großem Werbeaufwand den „neuen, transparenten“ Schufa-Score. Statt einer Blackbox mit hunderten geheimen Kriterien, sollen nun zwölf nachvollziehbare Faktoren den Score bestimmen.

Die gewünschte Botschaft: Wir haben nichts zu verbergen, vertraut uns.

Dabei war dieses Mindestmaß an Transparenz hart umkämpft – auch mit der Unterstützung von Tausenden Unterzeichnenden unseres Appells:

Das ist kein Betriebsunfall. Diese Daten verwendet die Schufa, um auf Wunsch von Unternehmenskunden die Zahlungsfähigkeit von Verbrauchern in der Vergangenheit auf den Tag genau zu berechnen. Die ursprünglichen Daten bleiben zwar bei der Schufa, aber die Ergebnisse reicht sie weiter. Damit will die Schufa demonstrieren, wie zuverlässig ihr neuer, erst im Frühjahr vorgestellter Score funktioniert.

Werbung für das eigene Produkt

Das bedeutet: Die Schufa verwendet alte Daten von Millionen realer Menschen als Werbematerial für das eigene Produkt. Die Auswertungen bekommen Banken, Telekommunikationsunternehmen, Energieversorger, Onlinehändler und Zahlungsdienstleister.

Zwar betont die Schufa, alles sei auf Test- und Kontrollzwecke beschränkt und werde von den Banken und anderen Unternehmen danach gelöscht. Aber wie hoch ist die Versuchung, die vorliegende gesamte Finanzhistorie eines Kunden für Kreditentscheidungen zu nutzen? Auch historische Scores gewähren Einblicke in finanzielle Situationen von Personen, die die Vertragspartner*innen der Schufa nichts angehen. 

Schufa sieht sich im Recht

Trotzdem ist die Schufa überzeugt: Alles rechtens. Und beruft sich auf „gegenseitig ergänzende datenschutzrechtliche Erlaubnistatbestände“. Besonders Banken, aber auch andere Unternehmen bräuchten zuverlässige Verbraucherbewertungen und hätten daher „berechtigte Interessen“.

Ob veraltete Daten über sie gespeichert oder damit Experimente gemacht wurden, erfahren Betroffene aber erstmal nicht. Verbraucherinnen und Verbraucher würden nämlich vor allem ihre aktuelle Bonität und den Score interessieren, argumentiert die Auskunftei. „Das ist bei historischen Daten nicht der Fall.“

Der zuständige Hessische Landesdatenschutzbeauftragte hatte die Datentests seit Frühjahr 2025 auf dem Schirm. Die Rechtsgrundlage und ob Verbraucher informiert werden müssten, werde überprüft. Das Verfahren sei noch nicht abgeschlossen. 

Mehrere unabhängige Datenschutzrechtler*innen sagen: Nein, was die Schufa macht, ist nicht legal. Eine solche Menge an Daten dauerhaft für unbestimmte zukünftige Zwecke zu speichern, sei nach der Rechtsprechung des Europäischen Gerichtshofes nicht zulässig. Um ein neues Produktmodell zu prüfen, bräuchte Schufa außerdem nicht die Finanzgeschichten von Millionen von Menschen. Für Testzwecke wäre ein winziger Bruchteil dieses Datensatzes absolut ausreichend. 

Während sich die Schufa in rechtlicher Sicherheit wiegt, fordert Datenschutzexperte Matthias Spielkamp von AlgorithmWatch eine Untersuchung: „Die Schufa muss sich schon die Frage stellen lassen, welches Maß an Verantwortungslosigkeit hier herrscht.“ Womöglich könnte das der größte Datenskandal der deutschen Geschichte sein.


Die Schufa hortet millionenfach Daten. Informationen über Verbraucher*innen, die großen Schaden anrichten können, wenn sie in die falschen Hände geraten. Doch die Auskunftei nutzt diese sensiblen Daten für Werbetests, um ihr neues Produkt für Kund*innen schmackhaft zu machen – ohne, dass Verbraucher*innen davon wissen. Schließe Dich AlgorithmWatch an und fordere von der Schufa, die Schattenbank augenblicklich zu löschen!

Unterschreibe die Petition

Autor*innen

Appelle, Aktionen, Erfolge und weitere Themen aus dem Campact-Kosmos: Darüber schreibt das Campact-Team. Alle Beiträge

Auch interessant

Bürgerrechte Dr. Astrid Deilmann Bundespolizeigesetz: Das Ende der Anonymität Mehr erfahren
Datenschutz Anselm Renn Der unsichtbare Raum – warum Palantir mehr ist als eine Softwarefrage Mehr erfahren
Appell Campact-Team Erfolg: Endlich mehr Transparenz bei der Schufa Mehr erfahren
Datenschutz Campact-Team Erfolg: Kein Palantir für Bundesbehörden Mehr erfahren
Datenschutz Hannes Koch Wir brauchen einen Abschied von US-Digitalkonzernen Mehr erfahren
Bürgerrechte Lena Rohrbach Digitaler Omnibus: Hier wird nur Big Tech schnell ans Ziel gebracht Mehr erfahren
Datenschutz Campact-Team EU-Gesetz zur Chatkontrolle: Zwischen Kinderschutz und digitaler Massenüberwachung Mehr erfahren
Datenschutz Lena Rohrbach Neue „Sicherheitsgesetze“: Mit Sicherheit gefährlich Mehr erfahren
Datenschutz Markus Beckedahl Broligarchie, Überwachungsstaat und Überwachungskapitalismus – bald auch in Deutschland? Mehr erfahren
Datenschutz Campact-Team Drei Gründe gegen Palantir in Baden-Württemberg Mehr erfahren