Bonitätsprüfung und DSGVO: Leitfaden für Händler

Bonitätsprüfung und DSGVO: Leitfaden für Händler

Inhaltsverzeichnis

Einleitung: Warum Bonitätsprüfungen und DSGVO ein Spannungsfeld bilden

Für Online-Händler und Unternehmen, die in Vorleistung treten, ist die Absicherung gegen Zahlungsausfälle ein existenzieller Geschäftsprozess. Die Bonitätsprüfung ist hierbei ein zentrales Instrument. Gleichzeitig stellt die Verarbeitung von Finanzdaten einen erheblichen Eingriff in die Persönlichkeitsrechte der Verbraucher dar. Die Datenschutz-Grundverordnung, kurz DSGVO (auf Englisch: General Data Protection Regulation, GDPR), setzt diesem Vorgehen klare und strenge Grenzen. Dieser Leitfaden beleuchtet die Symbiose und die Konflikte von Bonitätsprüfung und DSGVO und bietet praxisnahe Lösungswege für eine rechtskonforme Umsetzung.

Die Herausforderung liegt darin, das wirtschaftliche Interesse an der Risikominimierung mit den hohen Schutzanforderungen der DSGVO in Einklang zu bringen. Fehler können nicht nur zu empfindlichen Bußgeldern durch Aufsichtsbehörden wie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) führen, sondern auch das Vertrauen der Kunden nachhaltig schädigen.

Rechtliche Grundlagen der Bonitätsprüfung nach der DSGVO

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Bei der Bonitätsprüfung kommen primär zwei Grundlagen aus Artikel 6 der DSGVO in Betracht, die gegeneinander abgewogen werden müssen. Die Wahl der korrekten Rechtsgrundlage ist die wichtigste Weichenstellung für die datenschutzkonforme Ausgestaltung des Prozesses.

Die zentralen Rechtsgrundlagen

  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Der Verantwortliche darf Daten verarbeiten, wenn dies zur Wahrung seiner berechtigten Interessen oder der eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Dies ist die häufigste, aber auch am komplexesten zu begründende Rechtsgrundlage für Bonitätsprüfungen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich zugestimmt, dass ihre Daten für einen oder mehrere festgelegte Zwecke verarbeitet werden. Die Anforderungen an eine wirksame Einwilligung sind sehr hoch.
  • Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Diese Rechtsgrundlage greift nur, wenn die Bonitätsprüfung zwingend erforderlich ist, um den Vertrag überhaupt abschließen oder durchführen zu können. Dies ist nur in seltenen Ausnahmefällen, etwa bei Kreditverträgen, der Fall, jedoch nicht beim standardmäßigen Kauf auf Rechnung.

Rechtsgrundlagen prüfen: Berechtigtes Interesse oder Einwilligung?

Die Entscheidung zwischen berechtigtem Interesse und Einwilligung hat weitreichende Konsequenzen für den gesamten Prozess. Eine falsche Einschätzung kann die gesamte Datenverarbeitung rechtswidrig machen.

Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO

Um eine Bonitätsprüfung auf das berechtigte Interesse zu stützen, muss eine dreistufige Prüfung erfolgreich durchlaufen werden:

  1. Feststellung des berechtigten Interesses: Das Interesse des Händlers, sich vor Zahlungsausfällen bei unsicheren Zahlungsmethoden (z. B. Kauf auf Rechnung, Ratenkauf) zu schützen, ist grundsätzlich als berechtigt anzusehen.
  2. Erforderlichkeit der Datenverarbeitung: Die Bonitätsprüfung muss zur Erreichung dieses Ziels geeignet und erforderlich sein. Es darf kein milderes, gleich wirksames Mittel zur Verfügung stehen (z. B. Anbieten von Vorkasse als alleinige Zahlungsart bei Neukunden).
  3. Interessenabwägung: Dies ist der kritischste Punkt. Das wirtschaftliche Interesse des Händlers muss gegen das Recht des Kunden auf Schutz seiner Daten abgewogen werden. Entscheidende Faktoren sind hier die Intensität des Eingriffs (welche Daten werden abgefragt?), die Konsequenzen für den Kunden (wird er pauschal abgelehnt?) und seine vernünftigen Erwartungen.

Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO

Eine Einwilligung ist nur dann eine valide Rechtsgrundlage, wenn sie freiwillig erteilt wird. Im Kontext von Online-Shops ist dies oft problematisch. Wenn einem Kunden bei Nicht-Einwilligung keine zumutbaren, gängigen Zahlungsalternativen (wie Kreditkarte, PayPal oder Sofortüberweisung) angeboten werden, gilt die Einwilligung als erzwungen und somit als unwirksam. Sie ist daher oft nicht die praxistauglichste Lösung für standardmäßige Bonitätsprüfungen im E-Commerce.

Automatisierte Entscheidungen und Scoring nach Artikel 22 DSGVO

Bonitätsprüfungen basieren fast immer auf einem Scoring-Verfahren, bei dem eine Auskunftei einen Wahrscheinlichkeitswert über die Zahlungsfähigkeit einer Person berechnet. Führt dieses Scoring zu einer rein automatisierten Entscheidung (z. B. die automatische Ablehnung des Kaufs auf Rechnung ohne menschliches Eingreifen), greifen die strengen Schutzmechanismen des Artikel 22 DSGVO.

Eine solche automatisierte Entscheidung ist nur zulässig, wenn sie:

  • für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist,
  • aufgrund von Rechtsvorschriften zulässig ist oder
  • auf der ausdrücklichen Einwilligung der betroffenen Person beruht.

Zudem müssen dem Betroffenen das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung eingeräumt werden.

DSFA: Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Eine Datenschutz-Folgenabschätzung, kurz DSFA (auf Englisch: Data Protection Impact Assessment, DPIA), ist immer dann durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die systematische und umfassende Bewertung persönlicher Aspekte, einschließlich Profiling, die als Grundlage für Entscheidungen dient, die ihrerseits rechtliche Wirkung entfalten, ist ein klarer Trigger.

Typische Trigger für eine DSFA bei Bonitätsprüfungen:

  • Umfangreiche Verarbeitung von Bonitätsdaten: Regelmäßige Abfragen für einen großen Kundenstamm.
  • Einsatz von Scoring-Verfahren: Insbesondere wenn diese zu automatisierten Entscheidungen führen.
  • Verarbeitung von Daten schutzbedürftiger Personen: Auch wenn dies im E-Commerce seltener der Fall ist.
  • Zusammenführung von Datensätzen: Anreicherung von Kundendaten mit Informationen von Auskunfteien.

Die Durchführung einer DSFA ist nicht nur eine Pflicht, sondern auch ein wertvolles Werkzeug zur Risikobewertung und zur Dokumentation der Rechtmäßigkeit des Verfahrens.

Vertragliche Gestaltung mit Auskunfteien

Die Zusammenarbeit mit einer Auskunftei (z. B. Schufa, Creditreform, CRIF) muss durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt sein. Dieser Vertrag stellt sicher, dass der Dienstleister die Daten nur auf Weisung und im Rahmen der datenschutzrechtlichen Vorgaben verarbeitet. Wesentliche Inhalte sind unter anderem die Festlegung der technischen und organisatorischen Maßnahmen (TOMs), die Regelung von Unterauftragsverhältnissen und die Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte.

Praktischer Entscheidungsbaum für Händler (Stand 11.2025)

Dieser Entscheidungsbaum hilft Ihnen, die Zulässigkeit einer Bonitätsprüfung im konkreten Fall zu bewerten.

Schritt 1: Besteht ein Zahlungsausfallrisiko?

Prüfen Sie, ob Sie als Händler in Vorleistung treten.

  • Ja: Bei Kauf auf Rechnung, Ratenkauf oder Lastschrift. -> Fahren Sie mit Schritt 2 fort.
  • Nein: Bei Vorkasse, Kreditkarte, PayPal. -> Eine Bonitätsprüfung ist hier unzulässig.

Schritt 2: Welche Daten sind für die Prüfung erforderlich?

Halten Sie sich an den Grundsatz der Datenminimierung. Es dürfen nur die für die Identifizierung notwendigen Daten (Name, Anschrift, Geburtsdatum) an die Auskunftei übermittelt werden.

Schritt 3: Ist die Bonitätsprüfung verhältnismäßig?

Die Prüfung muss anlassbezogen sein. Eine pauschale Prüfung aller Kunden, unabhängig von der gewählten Zahlungsart, ist unzulässig. Die Prüfung sollte erst nach Auswahl einer risikobehafteten Zahlungsart im Checkout-Prozess erfolgen.

Schritt 4: Rechtsgrundlage bestimmen (Interessenabwägung)

Führen Sie die oben beschriebene Interessenabwägung durch. Dokumentieren Sie, warum Ihr Schutzinteresse vor Zahlungsausfall das Datenschutzinteresse des Kunden überwiegt. Berücksichtigen Sie dabei die Höhe des Warenkorbs und die potenziellen Folgen für den Kunden.

Schritt 5: Informationspflichten erfüllen

Informieren Sie den Kunden klar, verständlich und transparent über die bevorstehende Bonitätsprüfung (Art. 13 und 14 DSGVO), bevor diese durchgeführt wird. Dies muss den Namen der Auskunftei und die Logik hinter dem Scoring umfassen.

Musterformulierungen für die Praxis

Die folgenden Formulierungen sind als Muster zu verstehen und müssen an den individuellen Fall angepasst werden.

Informationspflichten (Auszug für die Datenschutzerklärung)

Bonitätsprüfung bei Kauf auf Rechnung

Sofern Sie sich für eine risikobehaftete Zahlungsart (z. B. Kauf auf Rechnung) entscheiden, behalten wir uns zur Wahrung unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) vor, eine Bonitätsprüfung auf der Grundlage mathematisch-statistischer Verfahren bei der [Name und Anschrift der Auskunftei] durchzuführen. Hierfür übermitteln wir die zu einer Bonitätsprüfung benötigten personenbezogenen Daten an die [Name der Auskunftei] und verwenden die erhaltenen Informationen über die statistische Wahrscheinlichkeit eines Zahlungsausfalls für eine abgewogene Entscheidung über die Begründung, Durchführung oder Beendigung des Vertragsverhältnisses. Detaillierte Informationen hierzu und zu der eingesetzten Auskunftei finden Sie in deren Datenschutzhinweisen unter [Link zu den Datenschutzhinweisen der Auskunftei].

Einwilligung (falls erforderlich)

[ ] Ich willige ausdrücklich ein, dass die [Ihr Unternehmen] zur Prüfung meiner Bonität Daten (Vor- und Nachname, Anschrift) an die [Name der Auskunftei] übermittelt und von dort eine Bonitätsauskunft auf Basis mathematisch-statistischer Verfahren (Score-Wert) einholt. Mir ist bekannt, dass mir alternative, gängige Zahlungsarten ohne Bonitätsprüfung zur Verfügung stehen und ich diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Checkliste: Konkrete Umsetzungsschritte für Online‑Shops

  • Rechtsgrundlage definieren und dokumentieren: Führen Sie die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO durch und dokumentieren Sie diese schriftlich.
  • Datenschutz-Folgenabschätzung (DSFA) prüfen: Bewerten Sie, ob eine DSFA für Ihren Prozess erforderlich ist, und führen Sie diese gegebenenfalls durch.
  • AV-Vertrag abschließen: Stellen Sie sicher, dass ein gültiger Auftragsverarbeitungsvertrag mit der Auskunftei vorliegt.
  • Datenschutzerklärung anpassen: Erfüllen Sie Ihre Informationspflichten und erklären Sie transparent, wann, warum und bei wem eine Bonitätsprüfung durchgeführt wird.
  • Prozess im Shop implementieren: Die Bonitätsprüfung darf erst nach Auswahl einer unsicheren Zahlungsart und vor Vertragsabschluss erfolgen.
  • Alternative Zahlungsarten anbieten: Bieten Sie immer sichere Zahlungsarten an, die keine Bonitätsprüfung erfordern.
  • Prozesse für Betroffenenrechte schaffen: Stellen Sie sicher, dass Sie auf Auskunfts-, Lösch- oder Widerspruchsanfragen im Zusammenhang mit der Bonitätsprüfung reagieren können.
  • Technische und organisatorische Maßnahmen (TOMs) umsetzen: Sichern Sie die Übertragung der Daten durch Verschlüsselung und implementieren Sie Zugriffskontrollen und Protokollierungen.

Aktuelle Rechtsprechung und Aufsichtsentscheidungen

Die Rechtsprechung zur Thematik Bonitätsprüfung und DSGVO ist im stetigen Wandel. Insbesondere die Urteile des Europäischen Gerichtshofs (EuGH) zum Scoring haben die Anforderungen verschärft. Der EuGH hat klargestellt, dass bereits die Erstellung eines Score-Wertes durch eine Auskunftei eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO darstellen kann, wenn dieser Wert von Dritten (wie Händlern) maßgeblich für ihre Vertragsentscheidung genutzt wird. Dies erhöht den Druck auf Händler, ihre Prozesse und die Zusammenarbeit mit Auskunfteien noch genauer zu prüfen und zu rechtfertigen. Der Europäische Datenschutzausschuss, kurz EDPB (auf Englisch: European Data Protection Board), liefert hierzu ebenfalls regelmäßig Leitlinien.

FAQ: Häufige Fragen zur Bonitätsprüfung und DSGVO

Darf ich eine Bonitätsprüfung durchführen, bevor der Kunde eine Zahlungsart gewählt hat?

Nein. Eine Bonitätsprüfung ist nur zulässig, wenn ein konkretes Ausfallrisiko besteht. Dieses entsteht erst mit der Wahl einer unsicheren Zahlungsart wie dem Kauf auf Rechnung. Eine Prüfung im Vorfeld ist unverhältnismäßig.

Was muss ich tun, wenn ein Kunde aufgrund eines negativen Scores abgelehnt wird?

Sie müssen den Kunden über die Ablehnung informieren und ihm auf Anfrage die wesentlichen Gründe für die Entscheidung mitteilen. Zudem müssen Sie ihm die Möglichkeit geben, seinen Standpunkt darzulegen und die Entscheidung von einem Menschen überprüfen zu lassen (Art. 22 DSGVO).

Darf ich für die Bonitätsprüfung auch Daten aus sozialen Netzwerken nutzen?

Nein. Die Nutzung von Daten aus sozialen Netzwerken oder anderen nicht zweckgebundenen Quellen für eine Bonitätsprüfung ist grundsätzlich unzulässig. Es dürfen nur relevante und von spezialisierten Auskunfteien rechtmäßig erhobene Daten verwendet werden.

Empfohlene Fachartikel