München, 24.07.2023. Auf einen rasanten Start folgte der tiefe Fall der Bonify-App. Grund ist ein Datenleck und eklatante Sicherheitslücken, die es möglich machen, sensible Bonitätsdaten Dritter einzusehen und zu manipulieren, wie Sicherheitsexperten feststellten. Statt Pluspunkte für mehr Transparenz einzusammeln, hat die Schufa nun Ärger wegen des Datenlecks bei ihrer Tochter Bonify am Hals. Mehrere tausend Menschen könnten nach einem Bericht der Süddeutschen Zeitung (SZ) vom 24. Juli 2023 betroffen sein. Sie können Anspruch auf Schadenersatz wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) haben.
Anmeldungen bei der Bonify-App sind über den Personalausweis oder das eigene Bankkonto möglich. Bonify hat bestätigt, dass es über das Bankident-Verfahren, also der Verifizierung über das eigene Bankkonto, möglich war, Namen und Adresse zu manipulieren. So ließ sich der Bonitätsscore von fremden Menschen ablesen. Beispielsweise sei es ohne größere Schwierigkeiten möglich gewesen, an die Bonitätsdaten des ehemaligen Bundesgesundheitsministers Jens Spahn zu kommen. Das sei auch mit vielen anderen Personen möglich, die im Handelsregister stehen – und das, ohne irgendwelche Daten zu hacken, so die Sicherheitsexpertin.
Sie machte gegenüber der SZ deutlich, dass die Sicherheitslücke eklatant ist und selbst niedrigste Sicherheitsstandards nicht eingehalten werden. Die Schufa hat das Datenleck eingestanden, ihre eigenen Daten seien aber nicht betroffen. Nach Bekanntwerden des Datenlecks ging die Bonify-App zunächst vom Netz.
Die Auskunftei Schufa hatte das Start-up Bonify erst Ende 2022 übernommen. Mit der App sollen Kunden kostenlos ihre Bonität abfragen und ihren Schufa-Score einsehen können. Zudem soll die App sie über negative Einträge zu ihrer Kreditwürdigkeit informieren. Vor wenigen Tagen ging die App an den Start und wurde sofort massenhaft heruntergeladen. Umso heftiger ist die Erschütterung durch die offenbar eklatanten Sicherheitslücken.
Die betreffen nicht nur die Schufa, sondern auch die Auskunftei Creditreform Boniversum. Auch deren Bonitätsscores sind seit dem Start von Bonify über die App einzusehen und das auch noch nach der Übernahme durch die Schufa.
In welchem Umfang Daten abgeflossen sind, ist noch nicht bekannt. „Da solche sensiblen Daten natürlich streng vertraulich sind, liegt ein massiver Verstoß gegen den Datenschutz und gegen die Datenschutzgrundverordnung vor“, sagt Rechtsanwalt István Cocron, CLLB Rechtsanwälte. Nach Angaben der Berliner Datenschutzbeauftragten gegenüber der SZ könne ein Verstoß gegen Art. 32 DSGVO vorliegen, also gegen die Anforderungen an die Sicherheit bei der Verarbeitung von Daten.
„Bei Verstößen gegen die DSGVO haben die Betroffenen Anspruch auf Schadenersatz. Auch wenn kein materieller Schaden eingetreten ist, so besteht in der Regel ein Anspruch auf immateriellen Schadenersatz“, so Rechtsanwalt Cocron. Bezüglich des Datenlecks bei Facebook haben schon zahlreiche Gerichte Schadenersatz zugesprochen.