Warum alte Schufa-Daten trotz Auskunft unsichtbar bleiben können

Stand: 15.07.2026. Nach einer Recherche von NDR und Süddeutscher Zeitung soll die Schufa alte Verbraucherdaten in einer nicht für Betroffene sichtbaren Datenbasis länger speichern als bislang bekannt. Der Deutschlandfunk weist die Recherche in seinem Audio-Archiv aus und nennt als Kern, dass es bei Schufa-Kontoabfragen keinen Hinweis auf diese Speicherung gebe. Google-News-Einträge zeigen denselben Fall am 15.07.2026 unter anderem bei SZ, Stern, Berliner Zeitung und weiteren Medien. Die Schufa-Newsroom-Startseite und die Startseite der hessischen Datenschutzaufsicht wurden im 13:00-Uhr-Lauf geprüft. Eine direkt abrufbare aktuelle Stellungnahme war dort im schnellen Check nicht sichtbar.

Der Fall ist datenschutzrechtlich relevant, weil eine Auskunft nur dann Vertrauen schafft, wenn Betroffene verstehen, welche Daten über sie gespeichert und wofür sie genutzt werden. Nach den heute sichtbaren Berichten geht es um ältere Informationen wie frühere Kredite, Kreditkarten, Pfändungen, Privatinsolvenzen oder beglichene Schulden. Der entscheidende Punkt ist nicht nur die bloße Speicherung. Problematisch wird die Lage, wenn solche Angaben für interne Tests oder neue Score-Modelle verwendet werden und Betroffene diese Daten in ihrer eigenen Kontoansicht nicht erkennen können.

Warum Transparenz mehr verlangt als eine Kontoansicht

Aus Sicht von Unternehmen ist die Schufa ein bekannter Dienstleister im Bonitätsumfeld. Gerade deshalb wirkt der Vorgang zunächst wie ein Verbraucherstreit. Für Datenschutzteams steckt aber eine breitere Lehre darin. Das Auskunftsrecht nach der Datenschutz-Grundverordnung ist kein reines Anzeigeformat. Es soll Betroffenen ermöglichen, Verarbeitung, Zweck, Datenkategorien und mögliche Folgen zu verstehen. Wenn eine Datenbasis in operativen Tests oder Score-Entwicklungen eine Rolle spielt, wird die Zweckfrage schnell praktisch.

Die heute sichtbaren Meldungen müssen sauber eingegrenzt werden. Sie belegen keine abgeschlossene Behördenentscheidung und auch kein rechtskräftig festgestelltes Fehlverhalten. Belegt ist aber der öffentlich berichtete Konflikt: Nach NDR und SZ sollen ältere Daten länger vorhanden sein, während Betroffene bei Kontoabfragen keinen Hinweis darauf sehen. Außerdem wird berichtet, dass neu entwickelte Scores getestet und Ergebnisse an andere Firmen weitergegeben worden sein sollen. Genau an dieser Stelle berühren sich Transparenz, Löschfristen, Datensparsamkeit und Zweckbindung.

Was Unternehmen aus dem Schufa-Fall lernen sollten

Für Verantwortliche außerhalb der Auskunftei-Branche ist die wichtigste Frage nicht, ob sie selbst Kreditscores berechnen. Entscheidend ist, ob auch sie Daten in Nebenbeständen, Testumgebungen, Analysepipelines oder Modellentwicklung weiter nutzen, während die sichtbare Kunden- oder Nutzeransicht nur einen Teil davon zeigt. Eine Auskunft, ein Portal oder ein Self-Service-Konto kann formal gut aussehen und trotzdem unvollständig wirken, wenn relevante Verarbeitungszwecke im Hintergrund fehlen.

Praktisch sollten Datenschutzverantwortliche deshalb drei Kontrollen anstoßen. Erstens: Welche Altdaten liegen außerhalb der primären Produkt- oder Kundenansicht noch vor? Zweitens: Werden diese Daten für Tests, Modellbildung, Qualitätssicherung oder Partnerauswertungen genutzt? Drittens: Ist nachvollziehbar dokumentiert, warum die Daten noch benötigt werden, wann sie gelöscht werden und wie Betroffene darüber informiert werden? Wer diese Fragen erst stellt, wenn eine Recherche öffentlich wird, verliert die Deutungshoheit über den eigenen Datenbestand.

Warum der Fall über Bonität hinausweist

Der Schufa-Fall zeigt, wie schnell Hintergrunddaten zur Vertrauensfrage werden. Für Betroffene zählt nicht nur, ob ein Score heute unmittelbar über einen Vertrag entscheidet. Schon die Möglichkeit, dass alte Informationen in Tests, Modellen oder Ergebnisweitergaben auftauchen, berührt die Erwartung an faire Datenverarbeitung. Unternehmen müssen deshalb klar zwischen Archivierung, gesetzlicher Aufbewahrung, Testnutzung und produktiver Entscheidungsunterstützung unterscheiden.

Solange keine behördliche Entscheidung vorliegt, bleibt die rechtliche Bewertung offen. Gerade deshalb ist der Vorgang ein gutes Frühwarnsignal. Datenschutz wird nicht erst relevant, wenn eine Auskunft komplett fehlt. Er beginnt dort, wo eine sichtbare Auskunft und eine interne Datenrealität auseinanderfallen könnten. Wer Bonitäts-, Risiko-, Betrugs-, Kundenwert- oder KI-Modelle betreibt, sollte diese Lücke nicht als Nebendetail behandeln. Sie entscheidet darüber, ob Transparenz als echte Kontrolle funktioniert oder nur als Oberfläche.

Bildquelle: Eigene DSGVOScan-Grafik, generisches Symbolbild.

Quellen: Deutschlandfunk-Audio-Archiv zur NDR/SZ-Recherche; Google-News-RSS mit SZ-, Stern-, Berliner-Zeitung- und weiteren Same-Day-Nachweisen; SCHUFA Newsroom, im 13:00-Uhr-Lauf ohne direkt sichtbare Same-Day-Stellungnahme; Hessische Datenschutzaufsicht, Startseite im 13:00-Uhr-Lauf geprüft.

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Weitere News rund um DSGVO und Datenschutz