Die Schufa hat ihren Score überarbeitet. Fünf Millionen Menschen in Deutschland werden schlechter bewertet als zuvor – und die meisten wissen es nicht einmal. Wer in der Fahrschein-App der Hamburger Hochbahn ein Drei-Euro-Ticket per Kreditkarte kauft, riskiert eine Bonitätsabfrage, die seinen Score dauerhaft drückt. So weit, so absurd.
Aber die Schufa ist nur der Aufhänger. Sie ist das, was sichtbar wird, wenn man mal nachschaut. Die meisten Überwachungs- und Erfassungsmechanismen, mit denen wir täglich konfrontiert sind, bleiben unsichtbar – im Kleingedruckten vergraben, technisch verschleiert oder schlicht als Normalzustand akzeptiert. Es lohnt sich, einmal systematisch hinzuschauen: Wer sammelt eigentlich was – und warum?
Die private Datenwirtschaft: Scoring, Loyalty und das stille Abo
Die Schufa ist kein Einzelfall, sondern Teil einer gewachsenen Infrastruktur privater Bonitäts- und Verhaltensüberwachung. Ihre Anteilseigner – Sparkassen, Genossenschaftsbanken, Privatbanken – sind gleichzeitig die wichtigsten Datenlieferanten. Das System ist in sich geschlossen: Wer Daten einliefert, bekommt Auskünfte zurück. Verbraucher sind dabei nicht Kunden, sondern Gegenstand des Geschäftsmodells.
Ähnlich funktioniert Payback. Das Bonusprogramm, das offiziell Treue belohnt, ist in Wirklichkeit eines der größten privaten Verhaltensdaten-Systeme Deutschlands. Rund 31 Millionen aktive Karteninhaber hinterlassen bei jedem Einkauf einen vollständigen Datensatz: Was wurde gekauft? Wann? In welcher Filiale? Zu welchem Preis? In welcher Kombination? Diese Daten werden aggregiert, profiliert und an Partnerunternehmen weitergegeben – legal, weil zugestimmt wurde. Der Rabatt ist die Gegenleistung. Man bezahlt mit dem Einkaufszettel seines Lebens.
Noch tiefer geht die Datenerhebung durch Smartphone-Apps. Nahverkehrs-Apps, Supermarkt-Apps, Apotheken-Apps – sie alle verlangen beim ersten Start Zugriffsrechte, die weit über den eigentlichen Zweck hinausgehen: Standortdaten in Echtzeit, Zugriff auf Kontakte, Kamerazugriff im Hintergrund. Wer das wegklickt, kann die App oft nicht nutzen. Wer zustimmt, liefert kontinuierlich Daten an Infrastrukturen, die er weder kennt noch kontrolliert.
Smart-TVs, Sprachassistenten (Alexa, Google Assistant, Siri), Fitness-Tracker und vernetzte Haushaltsgeräte bilden eine weitere Schicht. Wer ein Amazon Echo im Wohnzimmer stehen hat, lebt mit einem dauerhaft aktiven Mikrofon in seiner Intimsphäre – im besten Fall schläft es, bis es sein Weckwort hört. Die Frage, was in den Millisekunden davor und danach übermittelt wird, ist bis heute nicht restlos beantwortet.
Hinzu kommt das digitale Werbeprofil, das Google, Meta und ähnliche Konzerne für nahezu jeden Internetnutzer anlegen. Es enthält – je nach Nutzungsverhalten – Alter, Geschlecht, politische Tendenzen, Gesundheitsinteressen, finanzielle Situation, Familienstand, religiöse Präferenzen und geografische Bewegungsmuster. Dieses Profil wird nicht verkauft, sondern vermietet – an Werbekunden, die damit Zielgruppen ansprechen, die so präzise segmentiert sind wie nie zuvor in der Geschichte der Werbung.
Staatliche Erfassung: Das, was erlaubt ist – und das, was niemand fragt
Der Staat erhebt Daten aus einem anderen Grund als die Privatwirtschaft: nicht für Profit, sondern für Steuerung, Kontrolle und – im besten Fall – Verwaltung. Das macht es nicht harmloser, nur anders.
Was Behörden über uns wissen, ist erheblich. Das Finanzamt kennt Einkommen, Immobilienbesitz, Schenkungen, Erbschaften und – seit dem automatischen Kontenabruf – Bankverbindungen. Die Krankenkassen verfügen über vollständige Behandlungshistorien: Diagnosen, Medikamente, stationäre Aufenthalte, psychotherapeutische Behandlungen. Die Rentenversicherung kennt den gesamten Erwerbsverlauf. Das Einwohnermeldeamt speichert jeden Wohnungswechsel – und gibt diese Daten auf Anfrage weiter, nicht nur an Behörden, sondern auch an Privatpersonen und Unternehmen, sofern kein Sperrvermerk eingetragen ist.
Neu hinzugekommen sind in den letzten Jahren weitreichende Befugnisse der Sicherheitsbehörden. Der Bundesnachrichtendienst darf seit der BND-Reform 2021 die internationale Telekommunikation in erheblichem Umfang überwachen – das Bundesverfassungsgericht hatte zuvor gerügt, dass Ausländer keinerlei Schutz genossen. Das Bundeskriminalamt kann unter bestimmten Voraussetzungen Quellen-TKÜ einsetzen: Dabei werden Geräte vor der Verschlüsselung abgehört – effektiv eine staatliche Spyware auf privatem Gerät.
Besonders brisant ist die Vorratsdatenspeicherung. Obwohl der Europäische Gerichtshof das deutsche Modell mehrfach kassiert hat, wird das Thema politisch nicht begraben. Die Ampelkoalition zerbrach auch daran. Das Prinzip – anlasslose Speicherung von Verbindungsdaten aller Bürger – ist mit der EU-Grundrechtecharta schwer vereinbar. Trotzdem bleibt es auf der politischen Agenda als Antwort auf Terrorismus und schwere Kriminalität.
Auf EU-Ebene kommt die Fluggastdatenspeicherung (PNR) hinzu: Wer innerhalb der EU fliegt, hinterlässt einen Datensatz, der bis zu fünf Jahre gespeichert wird – Buchungsdetails, Mitreisende, Zahlungsart, Sitzplatznummer. Der Zweck ist Strafverfolgung. Die Reichweite geht weit darüber hinaus.
Und dann ist da noch die biometrische Erfassung. Der neue Personalausweis enthält einen RFID-Chip mit Fingerabdruckdaten. Reisepässe ebenso. An Flughäfen werden zunehmend Gesichtserkennung und automatisierter Abgleich eingesetzt. Die EU hat im AI Act zwar strenge Regeln für den Einsatz von Biometrie im öffentlichen Raum formuliert – aber mit Ausnahmen für Strafverfolgung, die so weitreichend sind, dass sie die Regel de facto aushöhlen.
Die Schnittstelle: Wo Privat und Staat sich treffen
Besonders aufschlussreich ist, was passiert, wenn private Datenwirtschaft und staatliche Behörden zusammenkommen. Das geschieht häufiger, als die meisten ahnen.
Banken sind gesetzlich verpflichtet, verdächtige Transaktionen zu melden – an die Financial Intelligence Unit (FIU) beim Zoll. Telekommunikationsanbieter müssen auf richterliche Anordnung Verbindungsdaten herausgeben. Plattformen wie Facebook oder Google erhalten jährlich zehntausende Datenanfragen von deutschen Behörden – und geben in einem erheblichen Teil der Fälle zumindest Teilauskünfte.
Umgekehrt kaufen oder lizenzieren staatliche Stellen in einigen Ländern Daten von privatwirtschaftlichen Data-Brokern – Unternehmen, die aus öffentlich zugänglichen und halböffentlichen Quellen Personenprofile zusammensetzen. In Deutschland ist das bislang die Ausnahme. Aber die technische und rechtliche Infrastruktur dafür wächst.
Was dabei entsteht, ist kein koordinierter Überwachungsstaat nach Orwellschem Muster. Es ist etwas strukturell Unübersichtlicheres: ein fragmentiertes System aus Interessen, Zweckbindungen, Ausnahmetatbeständen und technischen Möglichkeiten, das in seiner Gesamtwirkung erheblich ist – und das kaum jemand in seiner Vollständigkeit überblickt. Auch die Behörden nicht.
Das eigentliche Problem: Die Zustimmung, die keine ist
All das geschieht weitgehend legal. Und das ist der eigentliche Befund. Die Instrumente der Einwilligung – Cookie-Banner, AGB-Häkchen, Kleingedrucktes bei der Fahrschein-App – sind formal vorhanden und inhaltlich wirkungslos. Wer eine App installieren, ein Konto eröffnen oder einen Mobilfunkvertrag abschließen will, hat keine echte Wahl. Er stimmt zu oder er verzichtet.
Diese strukturelle Asymmetrie ist das eigentliche Thema hinter der Schufa-Debatte. Nicht der einzelne fehlerhafte Score. Nicht die überflüssige Bonitätsabfrage beim HVV. Sondern die Normalität, in der wir Daten nicht freiwillig teilen, sondern sie als Eintrittspreis in die Alltagsinfrastruktur abgeben – ohne zu wissen, was genau, an wen, für wie lange und mit welchen Folgen.
Die Schufa macht das sichtbar, weil sie einen Score ausgibt, der konkrete Konsequenzen hat. Der Rest bleibt unsichtbar. Das macht ihn nicht weniger real.