News & Datenschutz

Schufa-Schattendatenbank: Millionen Altdaten von Verbrauchern gespeichert

Von Kevin Pabst
IT-Security Expert
Schufa Schattendatenbank 2026: historische Kredit- und Bonitätsunterlagen
Bildquelle: Unsplash (Gemeinfrei)

Ihre Vergangenheit ist in fremden Systemen oft langlebiger als in Ihrem eigenen Gedächtnis. Werbeprofile bei über 100 Brokern löschen lassen

Was ist passiert? Die Schufa führt nach Recherchen von NDR und Süddeutscher Zeitung neben ihrer regulären Datenbank eine zweite, intern als Schattendatenbank bezeichnete Sammlung mit historischen Daten von Millionen Verbrauchern. Darin liegen Angaben zu Krediten, Kreditkarten, Schulden und Insolvenzen. Ob Ihre Daten dort gespeichert sind, erfahren Sie von sich aus nicht.

Auf einen Blick: Die Schattendatenbank

  • Inhalt: historische Daten zu Krediten, Kreditkarten, Schulden und Insolvenzen.
  • Zweck laut Schufa: Testabfragen, mit denen Firmenkunden den neuen Score prüfen.
  • Transparenz: Betroffene erfahren nicht, ob ihre Daten dort liegen.
  • Status: Der Hessische Datenschutzbeauftragte prüft seit Frühjahr 2025.

Ein Archiv, das eigentlich abgelaufen ist

Bonitätsdaten haben Verfallsdaten. Erledigte Forderungen, abbezahlte Kredite und Insolvenzeinträge verschwinden nach festen Fristen aus der regulären Auskunft. Genau das ist der Kern der Kritik: In der zweiten Datenbank sollen Informationen weiterleben, die aus der aktiven Auskunft längst herausgefallen sind.

Die Schufa begründet das mit Testzwecken. Firmenkunden können damit abfragen, wie zahlungsfähig eine Person zu einem bestimmten Stichtag in der Vergangenheit war, um die Zuverlässigkeit des neuen Schufa-Scores zu bewerten. Technisch ist das eine Qualitätskontrolle. Datenschutzrechtlich ist es heikel, denn dafür müssen echte Menschen mit echter Finanzhistorie herhalten.

Die Datenschutzexpertin Ruth Janal von der Universität Bayreuth wird bei heise online deutlich: Historische Scores gäben einen gewissen Einblick in die finanzielle Situation der Betroffenen in der Vergangenheit, und das gehe die Vertragspartnerinnen der Schufa "schlichtweg überhaupt nichts an". Claudio Zeitz-Brandmeyer vom Verbraucherzentrale Bundesverband verweist auf das Risiko der Zweckentfremdung: Unternehmen könnten die Daten auch tatsächlich für Kreditentscheidungen heranziehen.

Security Alert / Real Talk

Ein Zahlungsproblem aus dem Jahr 2016, längst geregelt und aus der Auskunft verschwunden, kann in einem Testsystem weiterhin abrufbar sein. Sie merken davon nichts, Sie werden nicht gefragt, und Sie erhalten keine Benachrichtigung. Genau diese Unsichtbarkeit ist das eigentliche Problem.

Was Sie jetzt konkret tun können

Der wirksame Hebel gegenüber einer Auskunftei heißt Auskunft, nicht Löschung. Nach Art. 15 DSGVO haben Sie Anspruch auf eine kostenlose Datenkopie. Bei der Schufa beantragen Sie diese über meineSchufa.de unter dem Punkt "Datenkopie (nach Art. 15 DSGVO)". Sie sehen darin, welche Daten gespeichert sind und welche Vertragspartner in den letzten zwölf Monaten angefragt haben. Die Verbraucherzentrale weist ausdrücklich darauf hin, dass dieses Recht kostenlos ist. Zahlen Sie keinen Dienstleister dafür.

Finden Sie einen nachweislich falschen Eintrag, greift Art. 16 DSGVO (Berichtigung). Wie Auskunft, Berichtigung, Löschung und Widerspruch zusammenspielen, lesen Sie in unserer Übersicht zu den DSGVO-Artikeln 17 bis 21.

Klartext: Bonitätsdaten sind kein Fall für einen Löschantrag

Hier muss Datenputzer ehrlich sein, auch wenn es gegen das eigene Verkaufsinteresse spricht: Wir löschen keine Schufa-Einträge, und niemand kann Ihnen das seriös versprechen. Auskunfteien verarbeiten Bonitätsdaten auf eigener Rechtsgrundlage, etwa aus Vertrag, berechtigtem Interesse oder gesetzlichen Aufbewahrungspflichten. Ein Antrag nach Art. 17 DSGVO läuft dort ins Leere. Wer etwas anderes behauptet, verkauft Ihnen ein Versprechen, das er nicht halten kann. Bei der Schufa sind Art. 15 (Auskunft) und, bei falschen Einträgen, Art. 16 (Berichtigung) Ihre Werkzeuge.

Wo der Löschhebel dagegen sehr wohl greift, ist die andere Hälfte der Datenwirtschaft: die kommerziellen Werbe- und Trackingprofile bei Adress- und Datenbrokern. Acxiom, AZ Direct, Deutsche Post Direkt, Schober oder Criteo führen keine gesetzlich verankerte Auskunftei, sondern verarbeiten Ihre Daten für Marketing und Profiling. Fällt die Rechtsgrundlage weg, muss gelöscht werden. Dass diese Trennung selbst innerhalb eines Konzerns verläuft, zeigt unser Artikel zu Experian und Riverty: Marketingdaten ja, Bonitätsauskunft nein.

Der Fall Schufa ist deshalb vor allem eines: ein Beleg dafür, wie lange Datensätze überdauern, wenn niemand aktiv aufräumt. Bei einer Auskunftei müssen Sie diese Langlebigkeit hinnehmen und kontrollieren. Bei Werbebrokern müssen Sie das nicht. Dort setzen wir den Hebel an, wo er juristisch trägt.

Datenputzer versendet gebündelte Löschanfragen nach Art. 17 DSGVO an über 100 Werbe- und Adressbroker und dokumentiert die Rückmeldungen für Sie. Wir garantieren keine Ergebnisse bei Dritten, die wir nicht kontrollieren, aber wir fordern konsequent ein, was Ihnen zusteht: die Löschung der Daten, für die es keine Verarbeitungsgrundlage mehr gibt.

Machen Sie sich unsichtbar.

Ihre Bonitätsakte bleibt bei der Auskunftei. Ihr Werbeprofil muss es nicht: Wir fordern für Sie die Löschung Ihrer Datenbestände bei über 100 Werbe- und Adressbrokern an.

SSL-verschlüsselt, DSGVO-konform & jederzeit kündbar