Freitag, 19. April 2024

Schufa-App Bonify
Bonitätscheck mit Sicherheitslücken

Digital und transparent soll es mit der Schufa-App Bonify zugehen. Kritiker befürchten dagegen noch mehr Macht für die Auskunftei. Denn diese will in die Konten der Nutzer schauen. Und dann gibt es da noch fragwürdige Angebote und einen Hack.

31.07.2023
    Ein Screenshot der Schufa-App Bonify auf dem Bildschirm eines Smartphones.
    Die Schufa-App Bonify steht in der Kritik, weil sie viele Daten von Nutzern sammelt. (picture alliance / dpa / Peter Kneffel)
    Wer einen neuen Handyvertrag abschließen oder eine Wohnung mieten will, kommt oft an der Schufa nicht vorbei. Die 1927 gegründete „Schutzgemeinschaft für allgemeine Kreditsicherung“ ist die größte Auskunftei in Deutschland und sammelt Daten von rund 68 Millionen Deutschen, um deren Kreditwürdigkeit zu bewerten. Jetzt hat die Schufa angekündigt, mit der Finanz-App "Bonify" mehr Transparenz zu gewähren. Ihre Kritiker nehmen das der Auskunftei nicht ab.

    Inhaltsverzeichnis

    Was soll die App "Bonify" leisten?

    Die Schufa will digitaler werden. Dafür wurde das Berliner Finanz-Startup „Bonify“ gekauft, dessen App „Bonify-Finanzmanager“ hat die Bonität bisher auf Grundlage von Kontodaten des Nutzenden berechnet.
    "Bonify" bekommt nun auch noch die Schufa-Berechnung dazu. So können Nutzer den sogenannten Schufa-Basiscore jederzeit in der App einsehen, zuvor war dies nur auf Antrag einmal im Jahr möglich. Verkauft wird die App deswegen unter dem Schlagwort Transparenz.
    Demnächst soll die Anwendung sogar über einen negativen Schufa-Eintrag per Push-Benachrichtigung informieren. Bisher haben Betroffene davon nichts erfahren, es sei denn, sie haben um schriftliche Auskunft gebeten.
    Außerdem macht die Schufa in ihrer App ein Angebot: Um die aktuelle Bonität genauer berechnen zu können, sollen die Nutzenden 90 Tage Einblick in sämtliche Buchungen ihres Girokontos gewähren. Die Angabe sei freiwillig und die Daten würden streng vertraulich behandelt, heißt es von der Auskunftei.

    Was wird an der App "Bonify" kritisiert?

    Transparenz diene lediglich als Lockmittel für noch mehr Datenzugriff durch die App, sagen die Kritiker. „Finger weg von meinem Konto!“ fordern deshalb die "Bürgerbewegung Finanzwende" und "Campact", denn mit dem Einblick aufs Konto würde die Schufa mächtiger werden.
    Die beiden Organisationen haben eine Onlinepetition gestartet, die 300.000 Mal unterzeichnet wurde. Am 19. Juli wurden die Unterschriften am Schufa-Hauptsitz übergeben und mit Vertretern des Unternehmens diskutiert.

    Redaktionell empfohlener externer Inhalt

    Mit Aktivierung des Schalters (Blau) werden externe Inhalte angezeigt und personenbezogene Daten an Drittplattformen übermittelt. Deutschlandradio hat darauf keinen Einfluss. Näheres dazu lesen Sie in unserer Datenschutzerklärung. Sie können die Anzeige und die damit verbundene Datenübermittlung mit dem Schalter (Grau) jederzeit wieder deaktivieren.

    Da es für Menschen mit guter Bonität kaum einen Anreiz gibt, ihre Schufa-Bewertung zu verbessern, ist die freiwillige Option vor allem für diejenigen mit negativem Wert interessant. Doch das könnte ein Einfallstor für die Schufa sein, um vollen Einblick in die bisher nicht einsehbaren Kontodaten der Bürger zu bekommen.
    Ein zweiter Kritikpunkt betrifft skurril anmutende Angebote in der App. So werden Nutzenden „Schufa-freie Kredite“ vorgeschlagen. Deren variable Zinssätze können nach ARD-Recherchen bis zu 15,99 Prozent betragen - eine große Belastung für die Kundinnen und Kunden, die darauf eingehen und bereits in finanziellen Schwierigkeiten stecken.

    Der Bonify-Hack: Welche Daten waren einsehbar?

    Die Bonify-App ist nach Bekanntwerden einer Sicherheitslücke erst einmal offline. Die Hackerin und Sicherheitsaktivistin Lilith Wittmann hatte auf Twitter den Bonitäts-Score von CDU-Politiker Jens Spahn veröffentlicht. Durch eine Sicherheitslücke im Authentifizierungsverfahren habe sie, so ihre Behauptung, unberechtigt Mietbonitätsbescheinigungen anderer Personen abrufen können. Allerdings nicht den umfassenderen Kredit-Score der Schufa, bei dem auch Handy-Verträge, Kredite, Kreditkarten-Aktivitäten, Bankkonten und andere Daten erfasst werden.

    Redaktionell empfohlener externer Inhalt

    Mit Aktivierung des Schalters (Blau) werden externe Inhalte angezeigt und personenbezogene Daten an Drittplattformen übermittelt. Deutschlandradio hat darauf keinen Einfluss. Näheres dazu lesen Sie in unserer Datenschutzerklärung. Sie können die Anzeige und die damit verbundene Datenübermittlung mit dem Schalter (Grau) jederzeit wieder deaktivieren.

    Die Sicherheitslücke sieht Wittmann beim sogenannten Bank-Ident-Verfahren. Sie kritisiert, dass es immer noch zur Authentifizierung verwendet wird, obwohl das Verfahren in den vergangenen Jahren viele Lücken gehabt habe.
    Bei Bonify hieß es auf Nachfrage: "Zu keinem Zeitpunkt haben unberechtigte Dritte Zugriff gehabt, weder auf Bonify-Nutzerkonten, noch auf Systeme und Daten von Bonify. Die Daten von Nutzern von Bonify waren nicht in Gefahr."

    Was ist die Schufa und wie arbeitet sie?

    Mehrere hunderttausend Mal am Tag fragen Banken, Vermieter, Onlinehändler oder Energieversorger bei der Schufa die Bonität von Einzelpersonen ab. Dabei geht es schlicht um die Frage: Wie wahrscheinlich ist es, dass der Kunde oder die Kundin die Ware oder Dienstleistung bezahlen oder eben nicht bezahlen kann.
    Die etwa 10.000 Vertragspartner sichern sich damit gegen mögliche Zahlungsausfälle ab. Mit Daten von mehr als 68 Millionen Menschen in Deutschland ist die 1927 gegründete „Schutzgemeinschaft für allgemeine Kreditsicherung“, kurz Schufa, die größte Auskunftei in Deutschland. Creditreform und Crif sind namhafte Mitbewerber.
    Verbraucher können den Service der Schufa nutzen, um ihre Bonität nachzuweisen. Für knapp 30 Euro stellt das Unternehmen schriftliche Bestätigungen aus, zum Beispiel um den Zuschlag für eine neue Mietwohnung zu bekommen.
    Erklärtes Ziel der Schufa ist es zudem, Menschen vor dem weiteren Abrutschen in die Schuldenfalle zu bewahren. Ein negativer Eintrag macht es für Betroffene schwieriger, neue Schulden aufzunehmen. Doch bisher mit wenig Erfolg. Hunderttausend Privatinsolvenzen gibt es jährlich in Deutschland, ohne große Veränderungen in den vergangenen Jahren.
    Weil der Sitz der Schufa in Hessen ist, kontrolliert der hessische Datenschutzbeauftragte, ob die Schufa dem Datenschutz gerecht wird. Der sei allerdings dafür bekannt, besonders "sanft" mit der Schufa umzugehen, kritisiert Arne Semsrott von netzpolitik.org.

    Wie wird der Schufa-Score berechnet?

    Bisher kann die Schufa nicht auf Kontobewegungen zugreifen. Der Score wird deshalb aus anderen Daten berechnet, die das Unternehmen von seinen Kunden bekommt. Das sind zum einen Personendaten wie Name, Geburtsdatum, Geburtsort und Anschrift, zum anderen die "Kredithistorie" bestehend aus der Anzahl der Konten, Krediten, Handy- und Leasingverträgen, unbezahlten Rechnungen oder Insolvenzen.
    Negativ auf den Score kann sich zum Beispiel auswirken, wenn man häufig den Wohnort wechselt oder über eine größere Anzahl Kreditkarten verfügt. Der Algorithmus, der den Schufa-Wert errechnet, ist indes geheim. Die Auskunftei sieht das als Geschäftsgeheimnis.
    Die Nutzung dieses Schufa-Scores ist allerdings mit einem Urteil des Europäischen Gerichtshofs vom 7. Dezember 2023 eingeschränkt worden. Demnach dürfen Kunden der Auskunftei - also beispielsweise Banken - ihre Entscheidung über einen Kredit nicht maßgeblich auf Grundlage des Scores treffen. Das sei eine verbotene automatisierte Bewertung der Kreditwürdigkeit, teilten die Richter in Luxemburg mit.

    Dorothee Holz, Mischa Erhardt, Jens Krepela, mfied