Was verlangt die Schufa Petition bei versteckten Altdaten jetzt praktisch?

Stand: 16.07.2026. AlgorithmWatch hat am 16.07.2026 eine Petition zur sogenannten Schufa-Schattendatenbank gestartet und stellt zusätzlich ein Formular bereit, mit dem Betroffene eine Auskunft zu historischen Daten verlangen können. Die Organisation bezieht sich dabei auf Recherchen von NDR und Süddeutscher Zeitung zu älteren Verbraucherinformationen, die nach ihrer Darstellung nicht in der üblichen Datenkopie sichtbar seien. Die WeAct-Petition fordert die Löschung dieser Daten und eine schnelle Prüfung durch den hessischen Datenschutzbeauftragten.

Der neue Tageskern liegt nicht darin, die Schufa-Recherche noch einmal nachzuerzählen. Neu ist der praktische Hebel: Eine zivilgesellschaftliche Organisation macht aus dem öffentlich berichteten Verdacht einen massenhaften Auskunfts- und Löschdruck. Damit verschiebt sich der Fall von einer Recherche über interne Datenbestände zu einer konkreten Frage für Auskunfteien, Datenbroker und Unternehmen mit historischen Test- oder Score-Daten. Was passiert, wenn Betroffene nicht nur allgemein Auskunft verlangen, sondern gezielt nach Daten fragen, die in normalen Portalen oder Datenkopien bislang nicht auftauchen?

Warum eine gezielte Auskunft mehr Druck erzeugt als ein Portalblick

Nach Angaben von AlgorithmWatch können potenziell Betroffene über ein Formular direkt eine Anfrage an die Schufa schicken. Die Anfrage soll ausdrücklich auch Daten erfassen, die in der beschriebenen historischen Datenbank liegen. AlgorithmWatch verweist darauf, dass die Schufa historische Daten nach eigener Darstellung in der Datenkopie nach Art. 15 DSGVO nicht gesondert ausweise. Zugleich zitiert die Organisation eine Rechtswissenschaftlerin mit der Einschätzung, dass diese Praxis nicht mit dem Auskunftsrecht vereinbar sei.

Für Datenschutzteams ist dieser Punkt wichtiger als die Petition selbst. Ein Auskunftsprozess muss nicht nur eine hübsche Oberfläche liefern, sondern die tatsächlichen Verarbeitungskontexte abdecken. Wenn alte Kunden-, Vertrags-, Zahlungs- oder Bonitätsdaten in Testbeständen, Modellprüfungen, Qualitätssicherung oder Partnerauswertungen weiterleben, reicht eine Standardantwort schnell nicht mehr. Betroffene fragen dann nicht nach einer App-Ansicht, sondern nach der vollständigen Datenrealität.

Welche Lehre Unternehmen jetzt ziehen sollten

Der Fall zeigt ein Risiko, das weit über Auskunfteien hinausgeht. Viele Organisationen trennen produktive Systeme, Archive, Analyseumgebungen und Entwicklungsdatenbanken technisch sauber. Datenschutzrechtlich entsteht trotzdem eine gemeinsame Pflichtfrage: Sind diese Bestände in Auskunft, Löschung, Zweckbindung und Speicherfrist wirklich mitgedacht? Wer historische Daten für Tests oder Score-Logiken nutzt, braucht eine belastbare Antwort, warum diese Daten noch erforderlich sind und wie Betroffene darüber informiert werden.

Praktisch sollten Verantwortliche jetzt drei Dinge prüfen. Erstens: Gibt es Nebenbestände mit alten personenbezogenen Daten, die in normalen Kundenportalen oder Standardauskünften nicht sichtbar werden? Zweitens: Werden diese Daten noch für Tests, Modelle, Risikoanalysen oder Partnerprüfungen genutzt? Drittens: Kann die Organisation kurzfristig erklären, welche Löschregel, Rechtsgrundlage und Betroffeneninformation für diese Bestände gilt? Wer diese Fragen erst unter öffentlichem Druck klärt, riskiert widersprüchliche Auskünfte und ein Vertrauensproblem.

Warum der Fall heute eigenständig berichtenswert ist

Die Berichte vom Vortag machten sichtbar, dass alte Daten in einer zusätzlichen Datenbasis ein Transparenzproblem auslösen können. Der heutige Schritt ist operativer. AlgorithmWatch baut daraus eine Petition und ein Auskunftswerkzeug. Dadurch kann aus einer Recherche ein Strom konkreter Betroffenenanfragen werden. Für Unternehmen ist genau diese Eskalation lehrreich: Ein verborgenes Datenfeld bleibt selten intern, wenn Betroffene, Medien und Aufsicht denselben Verarbeitungszweck gezielt abfragen.

Die rechtliche Bewertung bleibt offen, solange keine abschließende Behördenentscheidung vorliegt. Der Datenschutzkern ist trotzdem klar. Auskunftsrechte funktionieren nur, wenn Nebenbestände, historische Daten und Testnutzungen nicht aus dem Antwortprozess herausfallen. Der Schufa-Fall erinnert daran, dass Transparenz kein Screenshot aus dem Kundenkonto ist. Sie muss auch dort tragen, wo Daten intern weiter genutzt werden und für Betroffene gerade deshalb schwer zu erkennen sind.

Bildquelle: Eigene DSGVOScan-Grafik, generisches Symbolbild.

Quellen: AlgorithmWatch Pressemitteilung zur Petition und Auskunftshilfe; WeAct Petition von AlgorithmWatch; DSGVOScan Einordnung vom 15.07.2026 zur ursprünglichen Recherche; SCHUFA Newsroom, im 13:00 Uhr Lauf erneut geprüft; Pressebereich der hessischen Datenschutzaufsicht, im 13:00 Uhr Lauf geprüft.

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Weitere News rund um DSGVO und Datenschutz