Bonitätsprüfung und DSGVO: Praxisleitfaden für Händler und Vermieter

Bonitätsprüfung und DSGVO: Praxisleitfaden für Händler und Vermieter

Zuletzt geprüft: Mai 2026

Inhaltsverzeichnis

Einleitung: Zielsetzung und Anwendungsbereich

Die Durchführung einer Bonitätsprüfung ist für viele Unternehmen, insbesondere für Onlinehändler und Vermieter, ein unverzichtbares Instrument zur Risikominimierung. Gleichzeitig stellt der Umgang mit sensiblen Finanzdaten eine erhebliche datenschutzrechtliche Herausforderung dar. Die komplexe Beziehung zwischen Bonitätsprüfung und DSGVO erfordert ein tiefgreifendes Verständnis der rechtlichen Rahmenbedingungen, um Bußgelder und Reputationsschäden zu vermeiden. Dieser Leitfaden bietet eine praxisorientierte Hilfestellung für Datenschutzbeauftragte, Compliance-Verantwortliche und Entscheidungsträger. Er beleuchtet die rechtlichen Grundlagen, kombiniert sie mit konkreten Handlungsempfehlungen, Vorlagen und Checklisten und zielt darauf ab, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) im Kontext von Bonitätsprüfungen sicherzustellen.

Wann ist eine Bonitätsprüfung zulässig?

Eine Bonitätsprüfung stellt einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar. Daher ist sie nur unter strengen Voraussetzungen zulässig. Die DSGVO sieht hierfür verschiedene Rechtsgrundlagen vor, die sorgfältig geprüft werden müssen.

Zweck und Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten im Rahmen einer Bonitätsprüfung muss auf eine gültige Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden. Die relevantesten sind:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat freiwillig, informiert und unmissverständlich ihre Zustimmung erteilt. Dies ist oft der Fall, wenn risikoreiche Zahlungsarten wie der Kauf auf Rechnung angeboten werden, die nicht zwingend erforderlich sind.
  • Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Die Prüfung ist erforderlich, um einen Vertrag mit der betroffenen Person zu schließen oder zu erfüllen. Dies greift selten, da die Bonitätsprüfung meist dem Schutz des Unternehmens dient und nicht der eigentlichen Vertragserfüllung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Dies ist die häufigste Rechtsgrundlage. Das Unternehmen muss ein berechtigtes Interesse an der Prüfung nachweisen (z. B. Schutz vor Zahlungsausfällen), das die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegt.

Rechtsfolgen einer unzulässigen Prüfung

Eine ohne gültige Rechtsgrundlage durchgeführte Bonitätsprüfung ist rechtswidrig. Dies kann zu empfindlichen Bußgeldern durch die Aufsichtsbehörden, zu Schadensersatzansprüchen der Betroffenen und zu erheblichen Imageschäden führen. Eine saubere Dokumentation der Rechtsgrundlage und der dazugehörigen Abwägung ist daher unerlässlich.

Profiling und automatisierte Entscheidungen nach Art. 22 DSGVO

Bonitätsprüfungen basieren häufig auf Scoring-Verfahren, die als Profiling im Sinne der DSGVO gelten. Wenn das Ergebnis dieses Scorings zu einer automatisierten Entscheidung führt (z. B. die automatische Ablehnung eines Vertragsabschlusses), greifen die strengen Regelungen des Art. 22 DSGVO.

Was ist eine automatisierte Entscheidung?

Eine Entscheidung gilt als ausschließlich automatisiert, wenn sie ohne jegliches bedeutsames menschliches Eingreifen erfolgt und rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die automatische Ablehnung eines Mietvertrags oder eines Kaufs auf Rechnung ist ein klares Beispiel.

Voraussetzungen für die Zulässigkeit

Solche automatisierten Entscheidungen sind nur in drei Fällen zulässig:

  • Sie sind für den Abschluss oder die Erfüllung eines Vertrags erforderlich.
  • Sie sind durch Rechtsvorschriften der EU oder der Mitgliedstaaten zulässig.
  • Sie erfolgen mit der ausdrücklichen Einwilligung der betroffenen Person.

In jedem Fall müssen angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden, wozu mindestens das Recht auf Anfechtung der Entscheidung und Darlegung des eigenen Standpunkts gehört.

Abwägung: Legitimes Interesse versus Einwilligung – Praxisleitfaden

Die Wahl zwischen dem berechtigten Interesse (Interessenabwägung) und der Einwilligung als Rechtsgrundlage ist eine zentrale Weichenstellung für die Compliance im Bereich Bonitätsprüfung und DSGVO.

Wann genügt das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO)?

Das berechtigte Interesse ist dann eine tragfähige Grundlage, wenn ein klares und nachweisbares Zahlungsausfallrisiko besteht. Dies ist typischerweise der Fall bei:

  • Verträgen mit Vorleistungspflicht des Unternehmens: Kauf auf Rechnung, Ratenkauf, Lastschriftverfahren, Mietverträge.
  • Hohen Vertragssummen: Wenn ein Zahlungsausfall einen erheblichen wirtschaftlichen Schaden verursachen würde.

Eine saubere Legitimate Interest Assessment (LIA), also eine dokumentierte Interessenabwägung, ist hierbei zwingend erforderlich.

Wann ist eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erforderlich?

Eine Einwilligung wird unumgänglich, wenn:

  • Kein konkretes Ausfallrisiko besteht (z. B. bei Vorkasse-Zahlungen).
  • Besonders sensible Daten verarbeitet werden sollen, die über das für die Bonitätsprüfung notwendige Maß hinausgehen.
  • Eine automatisierte Entscheidung gemäß Art. 22 DSGVO getroffen wird und die anderen Zulässigkeitsgründe nicht greifen.
  • Das Ergebnis der Interessenabwägung negativ ausfällt, weil die Interessen des Betroffenen überwiegen.

Die Einwilligung muss freiwillig, informiert, spezifisch und widerrufbar sein. Sie darf nicht an die Erbringung einer Dienstleistung gekoppelt werden, wenn alternative, risikofreie Optionen (z. B. Vorkasse) zur Verfügung stehen.

Pflicht zur Datenschutz-Folgenabschätzung (DSFA) bei Scoring-Systemen

Die Nutzung von Scoring-Systemen zur Bonitätsbewertung birgt hohe Risiken für die Rechte und Freiheiten natürlicher Personen. Gemäß Art. 35 DSGVO ist daher in der Regel eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), erforderlich. Die Aufsichtsbehörden haben Scoring explizit in ihre Listen der Verarbeitungsvorgänge aufgenommen, die eine DSFA obligatorisch machen.

Die DSFA ist ein Prozess zur systematischen Beschreibung, Bewertung und Minderung der Risiken einer Datenverarbeitung. Sie muss vor Beginn der Verarbeitung durchgeführt werden und ist umfassend zu dokumentieren.

LIA Vorlage: Schritt für Schritt

Eine dokumentierte Interessenabwägung (LIA) ist die Grundlage für die Stützung auf Art. 6 Abs. 1 lit. f DSGVO. Führen Sie die folgenden Schritte durch und dokumentieren Sie sie schriftlich:

Schritt 1: Definition des berechtigten Interesses

  • Was ist das konkrete Interesse? (z. B. Schutz vor Forderungsausfällen, Betrugsprävention).
  • Warum ist dieses Interesse legitim? (z. B. Sicherung der wirtschaftlichen Existenz).
  • Ist die Bonitätsprüfung zur Erreichung dieses Ziels notwendig? (Gibt es mildere, gleich effektive Mittel?).

Schritt 2: Bewertung der Auswirkungen auf die betroffene Person

  • Welche Daten werden verarbeitet? (Name, Adresse, Score-Wert, Negativmerkmale).
  • Was sind die vernünftigen Erwartungen der betroffenen Person? (Rechnet ein Kunde beim Kauf auf Rechnung mit einer Prüfung?).
  • Welche potenziellen negativen Folgen drohen? (Ablehnung des Vertrags, Einschränkung der wirtschaftlichen Freiheit).

Schritt 3: Abwägung und finales Urteil

  • Überwiegt das Interesse des Unternehmens die Rechte und Freiheiten der betroffenen Person?
  • Begründung: Führen Sie eine detaillierte Begründung an, warum Ihr Interesse im konkreten Fall schwerer wiegt.
  • Zusätzliche Schutzmaßnahmen: Welche Maßnahmen werden ergriffen, um die Risiken für die betroffene Person zu minimieren (z. B. Datenminimierung, Transparenz, Möglichkeit zur manuellen Überprüfung)?

DSFA Checkliste für Bonitätenscores

Nutzen Sie diese Checkliste als Leitfaden für Ihre Datenschutz-Folgenabschätzung.

Systematische Beschreibung der Verarbeitung

  • [ ] Art, Umfang, Kontext und Zwecke der Verarbeitung sind klar definiert.
  • [ ] Die verwendeten Datenkategorien und die Datenquelle (z. B. Auskunftei) sind benannt.
  • [ ] Die Funktionsweise des Scoring-Algorithmus ist (soweit möglich) nachvollzogen.
  • [ ] Empfänger der Daten (intern/extern) sind identifiziert.
  • [ ] Aufbewahrungsfristen sind festgelegt.

Bewertung von Notwendigkeit und Verhältnismäßigkeit

  • [ ] Die Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. f DSGVO) ist geprüft und dokumentiert.
  • [ ] Die Maßnahmen zur Einhaltung der DSGVO-Grundsätze (Zweckbindung, Datenminimierung) sind beschrieben.
  • [ ] Die Maßnahmen zur Wahrung der Betroffenenrechte (Auskunft, Widerspruch) sind implementiert.

Risikobewertung für die Betroffenen

  • [ ] Ursprung, Art, Wahrscheinlichkeit und Schwere der Risiken (z. B. Diskriminierung, finanzielle Ausgrenzung) sind analysiert.
  • [ ] Eine Bewertung des Schadenspotenzials bei unberechtigtem Zugriff oder fehlerhaften Daten ist erfolgt.

Geplante Abhilfemaßnahmen

  • [ ] Technische und organisatorische Maßnahmen (TOM) zur Risikominderung sind geplant (z. B. Verschlüsselung, Zugriffskontrollen, Pseudonymisierung).
  • [ ] Prozesse zur Gewährleistung der Datensicherheit (z. B. regelmäßige Audits) sind etabliert.
  • [ ] Ein Prozess für die manuelle Überprüfung automatisierter Entscheidungen ist vorhanden.

Transparenzpflichten: Mustertexte nach Art. 13 und 14

Transparenz ist ein Eckpfeiler der DSGVO. Sie müssen Betroffene klar und verständlich über die Bonitätsprüfung informieren. Diese Informationen sollten in Ihrer Datenschutzerklärung oder zum Zeitpunkt der Datenerhebung bereitgestellt werden.

Musterbaustein für die Datenschutzerklärung (Art. 13/14 DSGVO)

Bonitätsprüfung und Scoring

Sofern wir in Vorleistung treten, z. B. bei einem Kauf auf Rechnung, holen wir zur Wahrung unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) zur Absicherung gegen Zahlungsausfälle eine Bonitätsauskunft auf der Basis mathematisch-statistischer Verfahren bei der [Name und Anschrift der Auskunftei] ein. Hierfür übermitteln wir die zu einer Bonitätsprüfung benötigten personenbezogenen Daten an die [Name der Auskunftei] und verwenden die erhaltenen Informationen über die statistische Wahrscheinlichkeit eines Zahlungsausfalls für eine abgewogene Entscheidung über die Begründung, Durchführung oder Beendigung des Vertragsverhältnisses. Die Bonitätsauskunft kann Wahrscheinlichkeitswerte (Score-Werte) beinhalten, die auf Basis wissenschaftlich anerkannter mathematisch-statistischer Verfahren berechnet werden und in deren Berechnung unter anderem Anschriftendaten einfließen. Welche Informationen die [Name der Auskunftei] genau verarbeitet und zu welchen Zwecken, können Sie deren Datenschutzerklärung entnehmen: [Link zur Datenschutzerklärung der Auskunftei]. Ihre schutzwürdigen Belange werden gemäß den gesetzlichen Bestimmungen berücksichtigt.

Technische und organisatorische Maßnahmen (TOM)

Der Schutz der hochsensiblen Bonitätsdaten erfordert robuste technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO.

  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden, um die direkte Zuordnung zu einer Person zu erschweren.
  • Zugriffskontrolle: Nur autorisierte Mitarbeiter mit einem klaren “Need-to-know”-Prinzip dürfen Zugriff auf Bonitätsdaten haben. Die Zugriffe müssen protokolliert werden.
  • Verschlüsselung: Daten müssen sowohl bei der Übertragung (Transportverschlüsselung, z. B. TLS) als auch bei der Speicherung (Verschlüsselung “at rest”) geschützt werden.
  • Protokollierung: Alle Zugriffe, Abfragen und Änderungen an Bonitätsdaten müssen lückenlos protokolliert werden, um eine Nachweisführung zu ermöglichen (Audit Trail).

Aufbewahrungsfrist und Datenminimierung

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, nur die für den Zweck absolut notwendigen Daten abzufragen. Fragen Sie nicht pauschal alle verfügbaren Daten ab, sondern nur den für Ihre Risikoentscheidung relevanten Score-Wert.

Die Aufbewahrungsfrist für Bonitätsdaten muss streng begrenzt sein. Das Ergebnis der Prüfung (z. B. “positiv” oder “negativ”) darf nur so lange gespeichert werden, wie es für die Entscheidung über den Vertragsabschluss erforderlich ist. Eine Speicherung über die gesamte Vertragsdauer ist in der Regel unzulässig. Der detaillierte Score-Wert sollte nach der Entscheidung unverzüglich gelöscht werden.

Rechte der Betroffenen

Betroffene haben im Kontext von Bonitätsprüfung und DSGVO weitreichende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Das Recht zu erfahren, ob und welche Bonitätsdaten verarbeitet werden, einschließlich Informationen über die Logik des Scorings.
  • Recht auf Berichtigung (Art. 16 DSGVO): Korrektur von fehlerhaften Daten, die der Bonitätsbewertung zugrunde liegen.
  • Widerspruchsrecht (Art. 21 DSGVO): Das Recht, der Verarbeitung auf Basis eines berechtigten Interesses aus Gründen, die sich aus ihrer besonderen Situation ergeben, zu widersprechen. Dies gilt insbesondere für das Profiling.
  • Recht auf menschliches Eingreifen (Art. 22 DSGVO): Bei automatisierten Entscheidungen das Recht, die Entscheidung anzufechten und eine manuelle Überprüfung durch eine Person zu verlangen.

Operative Prozesse: Protokollierung und Verantwortlichkeiten

Die Compliance muss in den operativen Abläufen fest verankert sein. Definieren Sie klare Prozesse und Verantwortlichkeiten:

  • Protokollierung: Jede einzelne Bonitätsabfrage muss mit Zeit Stempel, anfragendem Mitarbeiter, betroffener Person und dem Grund der Abfrage protokolliert werden.
  • Audit Trail: Stellen Sie sicher, dass Ihre Systeme einen unveränderlichen Audit Trail erzeugen, der für Prüfungen durch Aufsichtsbehörden oder interne Revisionen zur Verfügung steht.
  • Verantwortlichkeiten: Benennen Sie klare Verantwortliche für die Einhaltung der Datenschutzvorgaben, die Durchführung von DSFA und die Bearbeitung von Betroffenenanfragen.

Entscheidungs-Flowchart für Onlinehändler und Vermieter

Dieses vereinfachte Flowchart hilft bei der Entscheidung, wann welche Maßnahmen erforderlich sind.

  1. Bieten Sie eine Zahlungs- oder Vertragsart an, bei der Sie in Vorleistung treten (z. B. Kauf auf Rechnung, Mietvertrag)?
    • Nein: Eine Bonitätsprüfung ist in der Regel nicht zulässig.
    • Ja: Gehen Sie zu Schritt 2.
  2. Haben Sie eine dokumentierte Interessenabwägung (LIA) durchgeführt, die Ihr berechtigtes Interesse bestätigt?
    • Nein: Führen Sie eine LIA durch. Ist das Ergebnis negativ, ist die Prüfung unzulässig oder erfordert eine Einwilligung.
    • Ja: Gehen Sie zu Schritt 3.
  3. Führt das Ergebnis der Bonitätsprüfung zu einer vollautomatisierten Entscheidung ohne menschliches Eingreifen (z. B. automatische Ablehnung)?
    • Nein (ein Mitarbeiter prüft und entscheidet): Rechtsgrundlage kann Art. 6 Abs. 1 lit. f DSGVO sein. Eine DSFA ist dennoch sehr wahrscheinlich erforderlich. Transparenzpflichten nach Art. 13/14 beachten.
    • Ja: Sie benötigen eine ausdrückliche Einwilligung (Art. 22 Abs. 2 lit. c DSGVO) oder müssen nachweisen, dass die Entscheidung für den Vertragsschluss erforderlich ist (Art. 22 Abs. 2 lit. a DSGVO). Eine DSFA ist zwingend erforderlich. Betroffene müssen über ihr Recht auf manuelle Überprüfung informiert werden.

Praktische Muster

Muster: Einwilligungstext

□ Ja, ich willige ein, dass die [Ihr Unternehmen] zum Zweck der Entscheidung über die Gewährung der Zahlungsart „Kauf auf Rechnung“ eine Bonitätsprüfung bei der [Name der Auskunftei, Adresse] durchführt. Mir ist bekannt, dass auf Basis des übermittelten Score-Wertes eine automatisierte Entscheidung über die Bereitstellung der Zahlungsart getroffen werden kann. Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Weitere Informationen finde ich in der Datenschutzerklärung.

Muster: Ablehnungsbegründung (basierend auf Bonitätsprüfung)

Sehr geehrte/r [Kundenname],

vielen Dank für Ihre Bestellung/Ihren Antrag. Leider können wir Ihnen die gewünschte Zahlungsart „Kauf auf Rechnung“ / den gewünschten Mietvertrag derzeit nicht anbieten. Diese Entscheidung beruht auf einer im Rahmen unserer Risikoprüfung eingeholten Bonitätsauskunft der [Name der Auskunftei]. Gemäß Art. 22 DSGVO haben Sie das Recht, diese Entscheidung anzufechten, Ihren eigenen Standpunkt darzulegen und eine manuelle Überprüfung durch einen unserer Mitarbeiter zu verlangen. Bitte wenden Sie sich hierfür an [Kontaktadresse]. Alternative Zahlungsarten wie [z.B. Vorkasse] stehen Ihnen selbstverständlich zur Verfügung.

Aufsichtsbehördenpraxis und relevante Leitlinien

Die deutschen Datenschutzaufsichtsbehörden beobachten die Praxis der Bonitätsprüfungen sehr genau. Relevante Informationen und Orientierungshilfen bieten die Webseiten offizieller Stellen und Verbände. Es ist ratsam, die Veröffentlichungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Leitlinien von Fachverbänden wie der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. regelmäßig zu konsultieren, um über aktuelle Entwicklungen und Auslegungen der Thematik Bonitätsprüfung und DSGVO auf dem Laufenden zu bleiben.

Checkliste: Sofortmaßnahmen für Compliance-Schnellcheck

  • [ ] Rechtsgrundlage identifizieren: Für jeden Anwendungsfall der Bonitätsprüfung die korrekte Rechtsgrundlage (Einwilligung oder berechtigtes Interesse) definieren und dokumentieren.
  • [ ] LIA durchführen: Sofern auf berechtigtes Interesse gestützt, eine schriftliche Interessenabwägung (LIA) erstellen.
  • [ ] DSFA-Pflicht prüfen: Prüfen, ob eine Datenschutz-Folgenabschätzung zwingend erforderlich ist (in der Regel ja).
  • [ ] Transparenz sicherstellen: Datenschutzerklärung um alle geforderten Informationen gemäß Art. 13/14 DSGVO ergänzen.
  • [ ] Prozesse für Betroffenenrechte: Sicherstellen, dass Anfragen auf Auskunft, Widerspruch oder manuelle Überprüfung effizient bearbeitet werden können.
  • [ ] Vertrag zur Auftragsverarbeitung (AVV): Einen gültigen AVV mit der beauftragten Auskunftei abschließen.

Glossar der wichtigsten Begriffe

  • Bonitätsprüfung: Überprüfung der Kreditwürdigkeit einer Person oder eines Unternehmens.
  • DSGVO: Datenschutz-Grundverordnung; die zentrale Datenschutzverordnung der Europäischen Union.
  • Scoring: Ein mathematisch-statistisches Verfahren zur Prognose von Wahrscheinlichkeiten (z. B. Zahlungsausfall) auf Basis gesammelter Daten.
  • Profiling: Jede Art der automatisierten Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Eine Rechtsgrundlage, die die Datenverarbeitung erlaubt, wenn die Interessen des Verantwortlichen die Interessen der betroffenen Person überwiegen.
  • Datenschutz-Folgenabschätzung (DSFA): Ein Instrument zur Bewertung und Minimierung von Risiken bei Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Anhang: weiterführende Links und Vorlagen

Dieser Leitfaden dient der Orientierung. Für eine rechtssichere Umsetzung ist eine individuelle Prüfung und Beratung unerlässlich. Die in diesem Artikel dargestellten Muster und Checklisten müssen an die spezifischen Gegebenheiten Ihres Unternehmens angepasst werden. Für eine detaillierte Beratung und Unterstützung bei der Implementierung der Anforderungen von Bonitätsprüfung und DSGVO stehen wir Ihnen bei MUNAS Consulting zur Verfügung.

Weiterführende Beiträge