Die SCHUFA Holding AG speichert Daten von rund 68 Millionen Verbrauchern in Deutschland und verarbeitet jährlich etwa 165 Millionen Bonitätsanfragen. Sie kontrolliert damit 80 bis 90 Prozent des deutschen Kreditauskunftsmarktes. Trotz dieser marktbeherrschenden Stellung zeigt unsere Analyse: Verbraucherrechte werden systematisch erschwert, kostenlose Auskünfte hinter Dark Patterns versteckt und Tracking-Technologien ohne ausreichende Rechtsgrundlage eingesetzt. Gleichzeitig erzwingt eine Serie von Urteilen des EuGH und deutscher Gerichte schrittweise mehr Transparenz — zuletzt durch die Einführung eines neuen, vereinfachten Scoring-Modells im März 2026. Dieser Report dokumentiert den aktuellen Stand auf Basis öffentlich zugänglicher Quellen, eigener technischer Analysen und juristischer Einordnung.
Die SCHUFA ist die mit Abstand größte Wirtschaftsauskunftei Deutschlands. Die zentralen Kennzahlen verdeutlichen ihre Reichweite. Nahezu jeder wirtschaftlich aktive Erwachsene in Deutschland ist bei der SCHUFA erfasst. Kein Mietvertrag, kein Handyvertrag, kein Kredit ohne SCHUFA-Abfrage.
Tabelle 1: Zentrale Kennzahlen der SCHUFA Holding AG
| Kennzahl | Wert | Quelle |
|---|---|---|
| Gespeicherte Personen | ca. 67,7 Mio. | SCHUFA Geschäftsbericht |
| Einzelne Datensätze | 943 Mio. | SCHUFA Unternehmensseite |
| Gespeicherte Unternehmen | ca. 6 Mio. | SCHUFA Unternehmensseite |
| Bonitätsanfragen pro Jahr | ca. 165 Mio. | SCHUFA Geschäftsbericht |
| Anfragen pro Tag | ca. 280.000 | SCHUFA Geschäftsbericht |
| Marktanteil (Kreditauskünfte) | 80–90 % | Branchenschätzung |
| Vertragspartner | ca. 10.000 | SCHUFA Unternehmensseite |
Im Geschäftsjahr 2023 erzielte die SCHUFA Holding AG einen Gesamtumsatz von 276,1 Millionen Euro, ein Anstieg von 3,3 Prozent gegenüber dem Vorjahr (267,3 Mio. Euro) [19]. Das operative Ergebnis (EBIT) lag bei 78,1 Millionen Euro. Der Umsatz teilt sich auf in 197,2 Millionen Euro aus dem Geschäft mit Firmenkunden und 85,3 Millionen Euro aus dem Geschäft mit Privatkunden — also jenen Produkten, die Verbrauchern als Alternative zur kostenlosen Datenkopie verkauft werden.
Die Eigentümerstruktur der SCHUFA ist bemerkenswert: Sie gehört jenen Institutionen, die zugleich ihre größten Kunden sind. Volksbanken und Raiffeisenbanken halten 27,2 Prozent, die Sparkassen-Finanzgruppe 26,4 Prozent. Weitere Anteile liegen bei Deutsche Bank, Commerzbank und anderen Finanzdienstleistern. Diese Konstellation wirft Fragen zur Unabhängigkeit auf: Die Datenlieferanten sind gleichzeitig Eigentümer und Nutznießer des Systems.
Ein beträchtlicher Teil des Umsatzes — 85,3 Millionen Euro — stammt aus dem Privatkundengeschäft. Die Produktpalette:
Tabelle 2: SCHUFA-Produktpalette für Privatkunden
| Produkt | Preis | Inhalt |
|---|---|---|
| Datenkopie (Art. 15 DSGVO) | kostenlos | Basisinformationen, ein Score-Wert |
| Bonitätsauskunft (Einzelabruf) | 29,95 € | Formatiertes Zertifikat für Vermieter |
| meineSCHUFA kompakt | 4,95 €/Monat | Basis-Monitoring, 30 Tage kostenlos testen |
| meineSCHUFA plus | 6,95 €/Monat | Identitätsschutz, Datenüberwachung |
| meineSCHUFA Premium | 9,95 €/Monat | Vollumfängliches Paket |
Die kostenpflichtigen Abonnements binden Verbraucher mit einer Mindestlaufzeit von 12 Monaten. Nach der 30-tägigen Testphase von meineSCHUFA kompakt verlängert sich der Vertrag automatisch. Dieses Modell erzielt Millionenumsätze — während Verbraucher ein gesetzliches Recht auf kostenlose Einsicht in ihre Daten haben.
Dieser Report basiert auf der Auswertung öffentlich zugänglicher Quellen: Gerichtsurteile, Aufsichtsbehörden-Dokumente, Geschäftsberichte, Verbraucherschutz-Publikationen und investigative Recherchen. Die technische Analyse der SCHUFA-Websites (Abschnitt 3) wurde durch den Herausgeber eigenständig durchgeführt [27]. Die Chatbot-Analyse (Abschnitt 3.5) basiert auf einer Live-Interaktion mit dem moinAI-Chatbot auf meineschufa.de im April 2026 [26]. Der Auskunfteien-Vergleich (Abschnitt 3.8) basiert auf Recherchen der jeweiligen Unternehmenswebsites. Die Score-Statistiken (Abschnitt 5) stammen aus einer offiziellen SCHUFA-Kundeninformation vom 31. März 2026 [25]. Die Dark-Pattern-Klassifikation erfolgte auf Basis der Taxonomien von Brignull [29], der EDPB Guidelines 3/2022 [30] und des OECD Dark Commercial Patterns Report [31]. Alle Angaben wurden nach bestem Wissen und Gewissen recherchiert; dieser Report stellt keine Rechtsberatung dar.
Seit Inkrafttreten der DSGVO am 25. Mai 2018 hat jeder Verbraucher das Recht, kostenlos eine vollständige Kopie aller über ihn gespeicherten Daten zu erhalten (Art. 15 DSGVO). Die SCHUFA ist verpflichtet, dieses Recht nicht nur zu gewähren, sondern aktiv zu erleichtern (Art. 12 Abs. 2 DSGVO).
Die Praxis sieht anders aus. Die Datenschutzorganisation noyb hat im Februar 2024 Beschwerde beim Hessischen Beauftragten für Datenschutz (HBDI) eingereicht [9] und dokumentiert, wie die SCHUFA dieses Recht systematisch untergräbt. Die Befunde im Einzelnen:
Ein systematischer Test zeigt die Bevorzugung des Bezahlwegs:
Tabelle 3: Systematische Bevorzugung des Bezahlwegs
| Kriterium | Kostenlose Datenkopie | Kostenpflichtige Auskunft |
|---|---|---|
| Auffindbarkeit | Unteres Drittel der Seite | Prominente Platzierung oben |
| Lieferzeit | Postalisch, 5–7 Tage (bis 4 Wochen) | Sofort als Online-Download |
| Score-Umfang | Nur Basisscore | Sechs Branchenscores |
| Format | Einfacher Brief | Formatiertes Zertifikat |
| Chatbot-Empfehlung | Wird nicht empfohlen | Aktiv beworben |
Der Kontrast ist frappierend: Wer zahlt, erhält seine Auskunft in Minuten als digitales Dokument. Wer sein gesetzliches Recht wahrnimmt, wird auf den Postweg verwiesen — die SCHUFA verspricht „innerhalb 5–7 Tagen“, Erfahrungsberichte dokumentieren jedoch Wartezeiten von bis zu vier Wochen. Die technische Infrastruktur für einen digitalen Sofortzugang existiert nachweislich — sie wird dem kostenlosen Recht bewusst vorenthalten.
Die SCHUFA steht mit ihrem Vorgehen nicht allein, unterscheidet sich aber deutlich von der Konkurrenz:
Tabelle 4: Zugang zur kostenlosen Auskunft im Vergleich
| Auskunftei | Datenbestand | Zugang kostenlose Auskunft |
|---|---|---|
| SCHUFA | ca. 68 Mio. | Versteckt, erschwert, postalisch |
| Creditreform Boniversum | ca. 55 Mio. | Online möglich, innerhalb von Minuten |
| CRIF Deutschland | ca. 40 Mio. | Unkomplizierter Online-Antrag |
| infoscore Consumer Data | ca. 8 Mio. | Dedizierter Link, einfacher Prozess |
Besonders auffällig: Creditreform Boniversum ermöglicht die kostenlose Selbstauskunft online und innerhalb weniger Minuten. Die SCHUFA, der mit Abstand größte Anbieter, bietet diesen digitalen Sofortzugang für die kostenlose Variante nicht an — wohl aber für die kostenpflichtigen Abo-Produkte.
Die in den vorangegangenen Abschnitten dokumentierte Versteckstrategie ist nur eine Dimension des Problems. Die zweite, subtilere Dimension betrifft die aktive Abwertung des kostenlosen Rechts durch ein seitenübergreifendes Framing-System. Eine Analyse aller relevanten Seiten auf meineschufa.de (Stand: April 2026) ergibt ein konsistentes Muster, das auf drei Mechanismen basiert: Abwertung der Datenkopie, Aufwertung der Bezahlprodukte und systematische Auslassung [27].
Mechanismus 1 — Abwertung durch Sprache: Überall dort, wo die kostenlose Datenkopie erwähnt wird, versieht die SCHUFA sie mit einschränkenden Attributen. Auf der Startseite heißt es: „Diese ist eine Momentaufnahme, die sensible Informationen enthält und Ihrer persönlichen Information dient.“ Auf der Datenkopie-Seite wird sie beschrieben als: „Sensible Daten und nur für die persönliche Information gedacht.“ Im Navigationsmenü erhält sie lediglich den juristischen Zusatz „(nach Art. 15 DS-GVO)“ — ohne jede positive Beschreibung. Drei Begriffe fallen auf: „Momentaufnahme“ (impliziert: veraltet), „sensible Informationen“ (impliziert: riskant zu teilen) und „persönliche Information“ (impliziert: nicht zur Weitergabe bestimmt).
Mechanismus 2 — Aufwertung der Bezahlprodukte durch Vermieter-Framing: Die kostenpflichtigen Produkte werden konsequent als das Gegenstück zur Datenkopie positioniert. Im Navigationsmenü steht die SCHUFA-Auskunft als „Ihr Original-Zertifikat zur Weitergabe“ — in direktem Kontrast zur Datenkopie, die „nur für die persönliche Information gedacht“ ist. Die Startseite bewirbt den BonitätsCheck als „für die Weiterleitung an Dritte geeignet.“ Die Auskunft-Seite trägt den Titel „SCHUFA-Auskunft zur Weitergabe“ und bewirbt das Produkt als „Die Nummer 1 bei Vermietern“. Besonders aufschlussreich ist das Privatsphäre-Argument: „Der Bonitätsnachweis enthält nur Informationen, die für einen Vertragsabschluss relevant sind. Ihre Privatsphäre bleibt geschützt.“ Im Umkehrschluss suggeriert dies: Die kostenlose Datenkopie enthält mehr als nötig und schützt die Privatsphäre nicht. Statt Verbrauchern zu empfehlen, die Datenkopie vor der Weitergabe zu schwärzen — oder eine datenschutzfreundliche Kurzversion kostenlos anzubieten —, nutzt die SCHUFA das berechtigte Privatsphäre-Bedürfnis als Verkaufsargument für ein 29,95-€-Produkt.
Mechanismus 3 — Auslassung: Die Produktübersicht — die zentrale Seite, auf der Verbraucher ihre Optionen vergleichen — listet sechs kostenpflichtige Produkte auf. Die kostenlose Datenkopie nach Art. 15 DSGVO wird dort nicht erwähnt. Auch auf der Auskunft-Seite und der Score-Monitoring-Seite fehlt jeder Hinweis auf die kostenlose Alternative. Die Datenkopie existiert auf der Website nur dort, wo der Verbraucher sie gezielt sucht — nicht dort, wo er Kaufentscheidungen trifft.
Artificial Friction — kalkulierte Entscheidungsmüdigkeit: Zusätzlich zum sprachlichen Framing erzeugt die SCHUFA eine bewusste Reibung im kostenlosen Prozess bei gleichzeitiger Optimierung des Bezahlwegs. Auf der Startseite steht: „In wenigen Minuten als Download verfügbar“ (für den BonitätsCheck). Die kostenlose Datenkopie wird „Postalisch innerhalb 5-7 Tagen“ zugestellt und bietet keinen digitalen Zugang. Verbraucher unter Zeitdruck werden durch dieses Gefälle systematisch zum Bezahlprodukt gedrängt.
Score-Aktualität als Upselling-Hebel: Die Datenkopie-Seite beschreibt den enthaltenen Score als „Quartalsweise* berechneter SCHUFA-Score“, während die Bezahlprodukte einen „tagesaktuellen“ Score versprechen. Recherchen ergeben: Der SCHUFA-Score wird grundsätzlich „jeweils zu Beginn eines neuen Quartals aktualisiert“. Was als „tagesaktuell“ beworben wird, ist der tagesaktuelle Abruf eines quartalsweise aktualisierten Scores — nicht eine tägliche Neuberechnung.
Der meineSCHUFA-Chatbot (Anbieter: moinAI) ist auf der Startseite über ein gelbes Icon am unteren rechten Bildschirmrand erreichbar. Eine Live-Analyse im April 2026 zeigt, wie er Verbraucher systematisch zu kostenpflichtigen Produkten lenkt [26].
Test 1 — Eingabe: „Ich möchte eine kostenlose Datenkopie“
Der Chatbot beantwortet die Frage nicht direkt. Stattdessen fragt er zurück: „Möchten Sie wissen, welche SCHUFA-Auskünfte Sie bestellen können?“ Erst nach Bestätigung bietet er drei Optionen an: „Auskunft – kostenlos“, „Einmal-Auskunft – kostenpflichtig“ und „Dauerhafter Dateneinblick – kostenpflichtig“. Die kostenlose Option steht neben zwei kostenpflichtigen — obwohl der Nutzer ausdrücklich nur nach der kostenlosen Variante gefragt hat. Der gesamte Pfad erfordert mindestens drei Interaktionen statt einer direkten Antwort mit Link.
Test 2 — Quick-Reply-Button: „Auskunft für Vermieter“
Der Button führt sofort zu einer Produktempfehlung: „Der digitale SCHUFA-BonitätsCheck zum Preis von 29,99 € ist speziell für anstehende Mietverträge gedacht“ und „die SCHUFA-BonitätsAuskunft zum Preis von 29,95 €“. Die kostenlose Datenkopie wird in dieser Antwort mit keinem Wort erwähnt.
Quick-Reply-Reihenfolge: „Auskunft für Vermieter“ | „SCHUFA-Auskunftsprodukte“ | „Kontaktdaten digital“ | „Lieferzeit SCHUFA-Auskunft“ | „Login-Daten vergessen“ | „Speicherfristen“ | „Scoring“. Die kostenlose Datenkopie erscheint in keinem der sieben Vorschläge.
Tracking-Befund: Die URL, über die der Chatbot Nutzer zur Datenkopie-Seite leitet, enthält die Tracking-Parameter etcc_med=chatbot und etcc_cmp=dk-verlinkung. Dies belegt, dass die SCHUFA genau misst, wie viele Nutzer über den Chatbot auf der Datenkopie-Seite landen.
Auch der Kaufprozess für kostenpflichtige Produkte enthält manipulative Elemente.
Upselling im Warenkorb: Beim Kauf des einmaligen BonitätsChecks (29,95 €) erscheint auf der Checkout-Seite ein prominentes Upselling-Angebot für das Abo-Produkt „meineSCHUFA kompakt“ (4,95 €/Monat). Das Angebot erscheint zweifach auf derselben Seite.
Versteckte Mindestlaufzeit: Die Abo-Produkte haben eine 12-monatige Mindestlaufzeit. Diese Information steht ausschließlich in Fußnoten auf der Checkout-Seite. Wer „meineSCHUFA plus“ für 6,95 €/Monat bestellt, verpflichtet sich faktisch zu 83,40 €.
„30 Tage kostenlos testen“-Landingpage: Die URL meineschufa.de/de/schufa-auskunft-kostenlos leitet nicht zur kostenlosen Datenkopie, sondern auf eine Werbung für die Testphase. Im Kleingedruckten: Nach der Testphase schließt sich ein Vertrag mit 12 Monaten Mindestlaufzeit zu 4,95 €/Monat an [28].
Upselling per E-Mail: Eine Kundeninformation vom 31. März 2026 enthält die Passage: „Ihr meineSCHUFA-Paket bietet Ihnen deutlich mehr Leistungen als der SCHUFA-Account“ — eine Kundenbindungsmaßnahme, die zugleich den kostenlosen Zugang abwertet [25].
Eine Analyse der häufigsten Suchanfragen (Stand April 2026) zeigt, dass Verbraucher selbst bei gezielter Suche nach der kostenlosen Option auf irreführende Ergebnisse stoßen [28]. Bei der Suche nach „SCHUFA Auskunft kostenlos“ erscheint auf Position 6 die oben beschriebene Abo-Falle. Bei „SCHUFA Auskunft beantragen“ rankt die kostenlose Datenkopie-Seite erst auf Position 7.
Tabelle 5: Datenkopie-Vergleich deutscher Wirtschaftsauskunfteien
| Auskunftei | Digital? | Lieferzeit | Klicks | Upselling | Dark Patterns |
|---|---|---|---|---|---|
| SCHUFA | Nein (postalisch) | 5–7 Tage (bis 4 Wochen) | 2–3 + Chatbot | Massiv | Ja — mehrere |
| Creditreform Boniversum | Ja (online) | Minuten bis Stunden | 1–2 | Minimal | Keine erkannt |
| CRIF Bürgel | Nein (postalisch) | 10–14 Tage | 2–3 | Gering | Keine erkannt |
| infoscore (Experian) | Nein (postalisch) | bis 30 Tage | 1 | Minimal | Keine erkannt |
| Regis24 | Ja (digital) | Einige Tage | 2–3 | Keine | Keine erkannt |
Die SCHUFA ist die einzige Auskunftei, die ein systematisches Framing-System einsetzt, um Verbraucher vom kostenlosen Angebot auf Bezahlprodukte umzulenken.
Die dokumentierten Praktiken lassen sich in etablierte Klassifikationssysteme einordnen [29][30][31].
Tabelle 6: Dark-Pattern-Taxonomie — Zuordnung der Kernbefunde
| Befund | Brignull-Typ | EDPB-Kategorie | Schweregrad |
|---|---|---|---|
| Datenkopie hinter Navigation versteckt | Hidden Information | Hindering | Hoch |
| Datenkopie als „sensibel“ gerahmt | Confirmshaming | Stirring | Hoch |
| Datenkopie fehlt auf Produktseite | Hidden Information | Hindering | Sehr hoch |
| Postalisch vs. Sofort-Download | Obstruction | Hindering | Hoch |
| Versteckte 12-Mon.-Mindestlaufzeit | Hidden Costs | Sneaking | Sehr hoch |
| „30 Tage kostenlos“ = Abo-Falle | Bait & Switch | Skipping | Sehr hoch |
| Chatbot empfiehlt nur Bezahlprodukte | Misdirection | Steering | Hoch |
| Upselling im Checkout | Forced Continuity | Overloading | Mittel |
Drei Befunde erreichen den Schweregrad „sehr hoch“: die versteckte 12-Monats-Mindestlaufzeit, die Bait-and-Switch-Landingpage und die vollständige Auslassung der Datenkopie von der Produktvergleichsseite. In der Systematik der EDPB Guidelines 3/2022 fallen die meisten Praktiken unter „Hindering“ und „Stirring“ [30].
Eine technische Analyse der Website meineschufa.de ergab einen bemerkenswerten Befund: Die SCHUFA setzt das Session-Recording-Tool Hotjar (Site-ID 6613050) auf ihrer Plattform ein — jener Website, auf der Verbraucher sensible Bonitätsdaten einsehen und verwalten.
Hotjar zeichnet Nutzersitzungen auf: Mausbewegungen, Klicks, Scrollverhalten und teilweise Tastatureingaben werden erfasst und als Session-Replays gespeichert.
type="text/plain", data-usercentrics="Hotjar") und wird erst nach Einwilligung geladen. Die Datenschutzinformation nach Art. 13 DSGVO enthält jedoch keinen Hinweis auf den Einsatz von Hotjar. Besonders bemerkenswert: Das KI-Chat-Widget moin.ai lädt hingegen als type="text/javascript" ohne data-usercentrics-Attribut — also ohne jede Consent-Steuerung bei jedem Seitenaufruf. Auch moin.ai fehlt in der DSE.Hotjar selbst stellt in seiner DSGVO-Dokumentation klar, dass Website-Betreiber für die ordnungsgemäße Einwilligungseinholung verantwortlich sind [24].
Das KI-Chat-Widget moin.ai wird auf meineschufa.de als type="text/javascript" ohne data-usercentrics-Attribut geladen — es lädt bei jedem Seitenaufruf ohne Consent-Steuerung. Im Gegensatz zu Hotjar, AB Tasty und Google Tag Manager, die korrekt über Usercentrics consent-gesteuert sind, umgeht moin.ai die CMP komplett. In der Datenschutzinformation wird moin.ai nicht erwähnt. (Verifiziert am 29.03., 01.04. und 02.04.2026)
Die SCHUFA betreibt mehrere Webdomains (schufa.de, meineschufa.de). Neben Hotjar umfasst die Tracking-Infrastruktur weitere Analyse- und Marketing-Tools, deren vollständige Auflistung mangels öffentlicher Transparenzberichte nicht möglich ist.
Tabelle 7: Datenschutz-Vergleich der Auskunfteien
| Auskunftei | Tracking-Transparenz | Besonderheiten |
|---|---|---|
| SCHUFA | Hotjar consent-gesteuert aber nicht in DSE, moin.ai ohne Consent, lückenhaftes Transparenzniveau | Session-Recording auf Bonitätsplattform, KI-Chat ohne Consent-Steuerung |
| Creditreform | Session-Cookies, Opt-in für Tracking | Keine Datenweitergabe an Dritte (laut DSE) |
| CRIF | Standard-DSGVO-Konformität | Eigene DSGVO-Verstöße dokumentiert |
| infoscore/Experian | Registrierung bei Datenschutzbehörden | Strikte Opt-in-Anforderungen |
Die SCHUFA verarbeitet Daten, die existenzielle Auswirkungen auf das Leben von Verbrauchern haben: Zugang zu Wohnraum, Krediten, Mobilfunkverträgen und Versicherungen. Wenn dieselbe Institution, die diese Daten verwaltet, auf ihrer Website Session-Recording-Tools einsetzt, ohne diese in der Datenschutzinformation zu dokumentieren, und ein KI-Chat-Widget gänzlich ohne Consent-Steuerung lädt, untergräbt das das Vertrauen in die gesamte Kreditauskunfts-Infrastruktur.
Die Verbraucherzentrale NRW hat die Praxis der SCHUFA öffentlich kritisiert [14][15]. Der vzbv hat Klage gegen die SCHUFA Holding AG erhoben [13]. Die noyb-Beschwerde argumentiert, dass die SCHUFA gegen Art. 12 Abs. 2 DSGVO verstößt [9].
Am 7. Dezember 2023 fällte der EuGH ein Urteil, das den Datenschutz bei Kreditauskunfteien grundlegend veränderte.
EuGH, Rs. C-634/21: Der EuGH entschied, dass die Erstellung eines Bonitäts-Scores eine „automatisierte Entscheidung im Einzelfall“ im Sinne von Art. 22 DSGVO darstellt — bereits dann, wenn Dritte diesen Score als maßgeblichen Faktor für Vertragsabschlüsse heranziehen [1]. Die Pflicht zur Einhaltung von Art. 22 DSGVO trifft die Auskunftei selbst [10].
EuGH, Rs. C-203/22 (27. Februar 2025): Auskunfteien müssen offenlegen, wie Bonitätsbewertungen zustande kommen. Die Berufung auf „Geschäftsgeheimnisse“ genügt nicht mehr als pauschale Rechtfertigung [2].
BGH, VI ZR 156/13 (28. Januar 2014): Die SCHUFA-Scoreformel ist als Geschäftsgeheimnis geschützt [3]. Offengelegt werden müssen dagegen die gespeicherten personenbezogenen Daten und welche kreditrelevanten Daten in die Score-Berechnung einfließen. Diese Zweiteilung war der Status quo bis 2023.
Die Löschfristen für SCHUFA-Einträge befinden sich in einer Phase tiefgreifender Veränderung. Auf Initiative des HBDI wurde ein neuer Verhaltenskodex verabschiedet [8]: Wird eine Zahlungsstörung innerhalb von 100 Tagen beglichen, wird der Eintrag nach 18 Monaten statt 36 Monaten gelöscht [23].
Tabelle 8: Aktuelle Löschfristen im Überblick
| Eintragsart | Löschfrist | Rechtsgrundlage |
|---|---|---|
| Erledigte Forderung (Standard) | 36 Monate nach Erledigung | Verhaltenskodex der Auskunfteien |
| Erledigte Forderung (100-Tage-Regel) | 18 Monate nach Erledigung | Neuer Verhaltenskodex (ab 01/2025) |
| Anfragen (Kreditkonditionsanfragen) | 12 Monate | SCHUFA-interne Regelung |
| Insolvenzverfahren | 36 Monate nach Aufhebung | Verhaltenskodex |
| Restschuldbefreiung | 6 Mon. (öffentl.) / 36 Mon. (SCHUFA) | EuGH Rs. C-634/21 (umstritten) |
BGH VI ZR 10/24 (November 2024): 500 Euro immaterieller Schadensersatz wegen rechtswidriger SCHUFA-Meldung [4].
LG Bayreuth (April 2025): 3.000 Euro Schadensersatz wegen intransparenter Score-Berechnung [7].
VG Wiesbaden (November 2025): Verpflichtung der SCHUFA zu detaillierten Score-Erklärungen. Die pauschale Mitteilung eines Score-Werts ohne Erklärung verstößt gegen Art. 15 DSGVO [6].
OLG Köln (April 2025): Bezahlte Negativeinträge müssen sofort gelöscht werden. Der BGH hat dieses Urteil im Dezember 2025 aufgehoben und zurückverwiesen [5].
Der HBDI unter Prof. Dr. Alexander Roßnagel ist seit Juli 2011 zuständig [8]. Der vzbv erfasste 2024 insgesamt 317 Beschwerden zu Bonitätsbewertungen, davon geschätzt 79 Prozent zu SCHUFA-Scoring-Problemen.
Unter dem Druck der EuGH-Rechtsprechung führte die SCHUFA am 17. März 2026 ein grundlegend neues Scoring-Modell ein [20][21][22].
Tabelle 9: Altes vs. neues Scoring-Modell
| Merkmal | Altes System | Neues System (ab März 2026) |
|---|---|---|
| Anzahl der Kriterien | ca. 250 | 12 |
| Skala | 0–100 % (Branchenscores) | 100–999 Punkte |
| Anzahl der Scores | 6 branchenspezifische Scores | 1 einheitlicher Score |
| Nachvollziehbarkeit | Nicht gegeben | Verbraucher kann Score selbst berechnen |
| Aktualisierung | Quartalsweise | Quartalsweise |
| Verfügbarkeit | Nur teilweise in Datenkopie | App, Web, Datenkopie |
Das neue 12-Faktoren-Modell soll ohne statistische Vorkenntnisse verständlich sein. Stand April 2026 haben etwa 25 Prozent der Unternehmenskunden auf den neuen Score umgestellt.
Laut einer SCHUFA-Kundeninformation vom 31. März 2026 bleiben 83 Prozent der Verbraucher in derselben Score-Klasse. Neun Prozent werden höher eingestuft, acht Prozent niedriger [25].
Die Anzahl der Girokonten und Kreditkarten hat im neuen Score keinen Einfluss mehr. Anfragen und Vertragsabschlüsse werden nicht mehr doppelt gezählt. Mehrere Anfragen innerhalb von 28 Tagen bleiben ohne negativen Einfluss. Zuverlässiges Zahlungsverhalten verbessert den Score schneller als zuvor. Langfristige Vertragsbeziehungen wirken sich positiv aus.
Trotz der Fortschritte: Die Auswahl der 12 Kriterien aus den ursprünglich 250 Faktoren ist nicht im Detail dokumentiert. Ein unabhängiges Peer Review liegt nicht vor. Die Übergangsphase erzeugt temporäre Unklarheiten — insbesondere für die acht Prozent, die sich nun in einer niedrigeren Klasse befinden.
Aktualisierungsfrequenz — Fakt vs. Marketing: Der neue Score wird weiterhin quartalsweise aktualisiert. Die Formulierung „tagesaktueller Score“ ist im besten Fall irreführend, im schlechtesten Fall bewusst täuschend.
Die Open Knowledge Foundation und AlgorithmWatch starteten 2018 mit OpenSCHUFA die erfolgreichste Datenspende-Kampagne Deutschlands [11][12]. Über 100.000 Bürger forderten ihre Datenkopie an. Die Analyse belegte systematische demografische Verzerrungen: Junge Männer erhielten durchgehend schlechtere Scores — unabhängig von ihrem Zahlungsverhalten. Das Projekt gewann den Data Journalism Award [18].
Die SCHUFA befindet sich im Umbruch — gezwungen durch EuGH- und BGH-Urteile, aufsichtsbehördliches Handeln und zivilgesellschaftlichen Druck. Das neue Scoring-Modell ist ein beachtlicher Schritt. Gleichzeitig bestehen gravierende Missstände fort: Die kostenlose Datenkopie wird durch Dark Patterns benachteiligt. Die fehlende Dokumentation von Session-Recording-Tools in der Datenschutzinformation und der Einsatz eines KI-Chat-Widgets ohne jede Consent-Steuerung sind mit den Anforderungen an eine vertrauenswürdige Kreditauskunftei unvereinbar. Die Eigentümerstruktur bleibt ein strukturelles Transparenzproblem.
An die SCHUFA: Gleichwertige digitale Bereitstellung der kostenlosen Datenkopie. Bereitstellung einer kostenlosen Kurzversion zur Weitergabe an Dritte. Offenlegung aller Tracking-Technologien. Veröffentlichung der Scoring-Methodik zur unabhängigen Überprüfung.
An den HBDI: Prüfung der fehlenden DSE-Dokumentation von Hotjar und des consent-losen Einsatzes von moin.ai auf meineschufa.de. Durchsetzung der Gleichbehandlung von Datenkopie und Bezahlprodukten nach Art. 12 Abs. 2 DSGVO.
An den Gesetzgeber: Gesetzliche Verankerung eines Rechts auf digitale Echtzeit-Einsicht in Bonitätsdaten. Prüfung der Eigentümerstruktur. Einführung verpflichtender Algorithmen-Audits.
[1] EuGH, Rs. C-634/21 (SCHUFA Holding — Scoring), 7. Dezember 2023. gdprhub.eu
[2] EuGH, Rs. C-203/22 (Dun & Bradstreet Austria), 27. Februar 2025. lhr-law.de
[3] BGH, VI ZR 156/13 (SCHUFA-Scoreformel), 28. Januar 2014. lto.de
[4] BGH, VI ZR 10/24 (Immaterieller Schadensersatz), November 2024. gdprhub.eu
[5] OLG Köln (Sofortlöschung bezahlter Einträge), 10. April 2025. anwalt.de
[6] VG Wiesbaden (Transparenzpflicht), November 2025. ppc.land
[7] LG Bayreuth (Schadensersatz), April 2025. dr-schulte.de
[8] HBDI — Verkürzung der Speicherfristen, Mai 2024. datenschutz.hessen.de
[9] noyb — Beschwerde gegen SCHUFA, Februar 2024. noyb.eu
[10] noyb — EuGH-Urteile zu Credit-Ranking. noyb.eu
[11] AlgorithmWatch — OpenSCHUFA-Ergebnisse, 2018. algorithmwatch.org
[12] OpenSCHUFA — GitHub-Repository. github.com
[13] vzbv — Klage gegen SCHUFA Holding AG. verbraucherzentrale.de
[14] VZ NRW — EuGH-Urteil zu Scoring. verbraucherzentrale.nrw
[15] VZ NRW — Kostenfreie SCHUFA-Auskunft. verbraucherzentrale.nrw
[16] Peeking Inside the Schufa Blackbox (arXiv), 2023. arxiv.org
[17] Columbia Journalism Review — Investigating Algorithms. cjr.org
[18] Data Journalism Awards — Black Box Schufa. datajournalismawards.org
[19] SCHUFA — Umsatzsteigerung 2024. schufa.de
[20] FEBIS — SCHUFA New Score, März 2026. febis.org
[21] PwC Legal — SCHUFA Score Reforms 2026. legal.pwc.de
[22] BANKINGCLUB — Der neue SCHUFA-Score. bankingclub.de
[23] SCHUFA — 100-Tage-Regel. schufa.de
[24] Hotjar — GDPR Compliance. hotjar.com
[25] SCHUFA-Serviceteam — Kundeninformation zum neuen Score, E-Mail vom 31. März 2026.
[26] Live-Analyse des meineSCHUFA-Chatbots (moinAI), April 2026.
[27] Systematische Framing-Analyse von meineschufa.de, April 2026.
[28] Google-Suchergebnis-Analyse für SCHUFA-Datenkopie, April 2026.
[29] Harry Brignull — Deceptive Patterns. deceptive.design
[30] EDPB Guidelines 3/2022 on Dark Patterns. edpb.europa.eu
[31] OECD — Dark Commercial Patterns, 2022. oecd.org