Bitte beachten Sie: SCHUFA selbst trifft keine Entscheidungen; sie unterstützt ihre verbundenen Geschäftspartner nur durch die Bereitstellung von Informationen für ihren jeweiligen Entscheidungsprozess. Der spezifische Geschäftspartner ist allein für die Risikobewertung und die Beurteilung der Kreditwürdigkeit verantwortlich, da nur er Zugang zu einer Vielzahl zusätzlicher Informationen hat, z. B. zu Denkgut. Dies gilt auch dann, wenn sie sich ausschließlich auf die von SCHUFA gelieferten Informationen und Punktzahlen stützen. Die Bedeutung eines bestimmten FPC-Wertes für den jeweiligen Geschäftspartner ist immer eine Entscheidung für den Geschäftspartner selbst auf Basis der jeweiligen Risikostruktur. Eine erhöhte Anzahl von Anomalien kann beispielsweise dazu führen, dass der Geschäftspartner keine riskanten Zahlungsmethoden wie den Kauf auf Rechnung anbietet, aber dies allein ist kein Grund, einen Antrag abzulehnen. Neben dem FPC-Wert verwenden Geschäftspartner auch eigene Betrugspräventionsverfahren, die häufig in Kombination eingesetzt werden, da eine Transaktion im Fernabsatz mehrere Schritte dauern kann, bis die bestellte Ware geliefert wird, z. B. kann der Geschäftspartner bis zum Abschluss der Transaktion auf neue Informationen über Anomalien in Form aktualisierter FPC-Werte zugreifen. Die Datenschutzgesetze versuchen seit langem, diesem Mangel an Verständlichkeit durch die Schaffung eines Rechtsanspruchs auf Information entgegenzuwirken.
Eine betroffene Person, die in der englischen Fassung der DSGVO treffend als “betroffene Person” bezeichnet wird, muss herausfinden können, wer welche Daten über sie gespeichert hat und wann und zu welcher Gelegenheit oder aus welcher Quelle die Daten erhoben wurden. Das Recht auf Information gemäß Art. 15 DSGVO ist daher auch Ausdruck des Transparenzprinzips, das der gesamten DSGVO zugrunde liegt, Art. 5 DSGVO. Darüber hinaus ist die Verpflichtung des Art. 30 DSGVO, dass ein für die Verarbeitung Verantwortlicher Beschreibungen seiner Verarbeitungstätigkeiten erstellen und pflegen muss und diese in einem Register erfassen muss, zwingt die Fürdier, ihre eigenen Verarbeitungsverfahren zu dokumentieren. Die Unternehmen müssen daher genau wissen, wo welche Daten zu finden sind. Obwohl es oft als bürokratischer Aufwand empfunden wird, besteht ein Ziel der Pflicht, ein Register der Verarbeitungstätigkeiten der Unterlagen zu führen, darin, zunächst den Verantwortlichen in die Lage zu versetzen, Informationen zu geben. Die DSGVO enthält keine spezifischere Definition der Form, in der die Informationen bereitgestellt werden müssen. Im Gegensatz zur EU-Datenschutzrichtlinie gibt es für die nationalen Gesetzgeber jedoch nur sehr begrenzte Möglichkeiten, spezifischere Vorschriften umzusetzen. Daher ist es sinnvoll, den Grundgedanken des EuGH-Beschlusses auf Art. 15 Abs.
3 DSGVO: Das Recht auf Information erstreckt sich nicht so weit, dass der betroffenen Person Teile von Datenbanken zur Verfügung gestellt werden müssen, die auch Daten anderer betroffener Personen enthalten können. Es genügt, die Daten vollständig (!) und gleichzeitig lesbar und verständlich zur Verfügung zu stellen. Tatsächlich findet sich die vom EuGH vorgebrachte Idee der “Verständlichkeit” auch in Art. 12 Abs. 1 DSGVO. Demnach müssen Informationen in einer “präzisen, transparenten, verständlichen und leicht zugänglichen Form mit klarer und einfacher Sprache” übermittelt werden.