Die SCHUFA App Bonify, Teil 1 – Eine Datenschleuder die ihresgleichen sucht

In den letzten Tagen war die SCHUFA App Bonify in aller Munde. Viele Berichterstattungen in den Medien rankten sich darum. Es gab positive sowie auch kritische Stimmen in den Medien dazu. Doch wie ist es grundsätzlich um die Vertrauenswürdigkeit der Bonify-App, der SCHUFA und der damit verbundenen, kooperierenden Unternehmen bestellt? Wie ernst nehmen die Muttergesellschaft SCHUFA, die Tochtergesellschaft Bonify und die Kooperationspartner den Datenschutz? Wie sicher sind unsere Daten bei der SCHUFA aufgehoben? Welchen Nutzen haben die Anwender von der “kostenlosen” Bonify-App und in welcher Weise profitiert die SCHUFA davon? Auf diese und viele weitere Fragestellungen zur SCHUFA werde ich in einer Reihe von Artikeln in den kommenden Wochen detailliert eingehen.

Es ist jetzt knapp eine Woche her, dass eine Presse- und Marketingkampagne rund um die SCHUFA App Bonify losgetreten wurde, da der Bonify Bonitätsmanager, den die Schufa Ende vergangenen Jahres übernommen hat, seit vergangenen Dienstag einen neuen Service anbietet. Seitdem können sich Verbraucher dort “kostenlos” ein Bild davon machen, wie es um ihre Kreditwürdigkeit bestellt ist.

Abb. 1: Die SCHUFA Bonify-App im Google Playstore

Die Berichterstattung über die Bonify App hat wenig Begeisterung und viel Kritik hervorgerufen

Die Berichterstattung über die SCHUFA-eigene App, hinter der die vom BaFin-lizensierte Forteil GmbH steht,hat nicht nur Begeisterung ausgelöst, sondern zurecht auch viel Kritik hervorgerufen. So hat beispielsweise die Verbraucherzentrale die Kontofreigabe innerhalb der Bonify App kritisiert und vor dem SCHUFA-Firmensitz in Wiesbaden wurde gegen die die datenhungrige, datenschutzrechtlich sehr bedenkliche App demonstriert.

Mittlerweile ist die Berichterstattung in den Medien abgeklungen. Die Marketingkampagne läuft aber nach wie vor auf Hochtouren, z. B. in der Google-Suche:

Bonify SCHUFA App, Marketingkampagne, Werbung in der Google-Suche
Abb. 2: Bonify Werbung in der Google-Suche

Die Bonify App und die SCHUFA sind im negativen Sinne in Sachen Datenschutz und -sicherheit ein Fass ohne Boden

In den vergangenen Tagen habe ich die SCHUFA-Dienste sowie die Bonify-App (Web-App) technisch und inhaltlich geprüft und dabei sehr viele Fragwürdigkeiten, Sicherheitslücken und Datenschutzverletzungen zusammengetragen. Mit der Fülle an Material würde es mir inzwischen leicht fallen ein Buch oder eine Doktorarbeit darüber zu schreiben.

Die sehr offensichtlichen, datenschutzrechtlichen oder auch sicherheitstechnischen Kritikpunkte an der Bonify App haben bereits einige Akteure in den vergangenen Tagen, Wochen und Monaten zusammengetragen. Mit diesen offensichtlichen Lücken und Kritikpunkten werde ich mich in meiner Artikel-Reihe über die SCHUFA allerdings nur am Rande beschäftigen oder sie zur Verdeutlichung der Arbeits- und Vorgehensweise der SCHUFA heranziehen.

Die Bonify-App steht exemplarisch für eine zunehmend dreiste Missachtung des Datenschutzes

Meine Kritik an der SCHUFA betrifft nicht nur die Missachtung des Datenschutzes hochsensibler Daten innerhalb und ausserhalb der Bonify-App, sie geht vielmehr in die Breite und in die Tiefe. Meine Kritikpunkte zielen auf das gesamte System der “SCHUFA” ab.

Randnotiz: In den vergangenen Jahren habe ich mit zunehmender Tendenz festgestellt, dass auch viele andere Apps, Dienste, Institutionen und Unternehmen, die sensible Daten von uns verarbeiten (z. B. Finanzdienste, Banken, Gesundheits-Apps), ebenso wie die SCHUFA agieren, frei nach dem Motto:

“Wir pellen uns ein Ei auf die Sicherheit und den Datenschutz, hauen die App erstmal raus, schauen wie die Öffentlichkeit darauf reagiert und wenn es keine Kläger gibt, machen wir weiter wie bisher…und wenn es dann doch Kläger gibt passen wir das Ding zur allgemeinen Beruhigung der Gemüter eben hier und da ein bisschen an.”

Die SCHUFA und die Bonify App – Mein Stein des Anstoßes

Auch wenn ich hier nicht auf die teils in den Medien bereits publizierten Kritikpunkte an der Bonify App eingehe, werde ich dennoch den Stein des Anstoßes, der mich in der vergangenen Woche zu dieser Artikel-Reihe über die SCHUFA bewogen hat, kurz darstellen:

1

Die Registrierung

Wenn du dich bei Bonify (Web-App) registrieren willst, wirst du sogleich mit einem Consent-Tool empfangen. Wenn du dich registrieren möchtest, musst du wohl oder übel die “notwendigen” Cookies und eingebundenen, involvierten Dienste (Third-Parties) akzeptieren.

Ob Akamai, Amazon Web Services, BlueShift, Cloudflare, Google Tag Manager oder Segment, diese Dienste sind nicht dafür bekannt, dass sie vertraulich mit Daten umgehen.

Ausserdem können mit Hilfe dieser Dienste eingegebene und freigegebene Daten der Nutzerinnen und Nutzer auf Servern in Drittländern, ausserhalb der EU gespeichert, verarbeitet und weitergegeben werden, beispielsweise in den USA.

Abb. 3: Das Consent-Tool

Registrieren oder einloggen kannst du dich natürlich auch über deine Apple-ID, dein Google-Konto oder deinen Facebook-Account. Super, herzlichen Glückwunsch! Eine Registrierung oder ein Login über diese Dienste kommt in etwa einer öffentlichen Bekanntgabe deiner hochsensiblen Finanzdaten in der Bild-Zeitung gleich ;-)

2

Die Datenschutzhinweise

Nach dem Lesen der ersten Absätze der Datenschutzhinweise (Version 6.17 mit Stand vom 18. Juli 2023) wurde mir bereits klar, dass Bonify und somit die SCHUFA den Datenschutz und die Datensicherheit nicht ernst nehmen.

Hier wurde offensichtlich viel Wert darauf gelegt möglichst viele Dienste und Drittanbieter (Analytics, Tracking, Targeting, Marketing usw.) sowie das “Who is who” der Datenkraken in den Bonify-Dienst, die Webanwendung und die App mit einzubeziehen, z. B.

  • finleap connect
  • Tink Germany
  • Zendesk
  • Amazon Web Services AWS
  • SendGrid
  • Informa Solutions GmbH
  • Chargebee
  • Adyen
  • FusionAuth
  • PayPal
  • SCHUFA Holding AG
  • IDnow GmbH
  • WebID Solutions GmbH
  • Google Maps API und Places Autocomplete
  • Google Analytics
  • Facebook-Pixel & Facebook-Custom Audiences
  • Google Ads
  • Bing Universal Event Tracking
  • Google Tag Manager
  • FinanceAds Conversion Tracking, financeAds GmbH & Co. KG
  • Sentry
  • Affiliate Netzwerke
  • Outbrain
  • Taboola
  • Plista
  • Linkedin
  • Twitter Ads
  • Webtrekk
  • Hotjar
  • OneSignal
  • Segment
  • Blueshift
  • ConvertFlow
  • Pinterest-Tag
  • Adtriba
  • Landingi
  • Criteo
  • Adjust
  • Google Firebase

Wenn du die App bzw. die Webanwendung beispielsweise zur Bereitstellung von Bonitätsdaten nutzen willst, musst du unweigerlich der Datenübermittlung oder -abfrage von/an Drittanbieter, wie Creditreform Boniversum GmbH und Infoscore Consumer Data GmbH zustimmen,

Hier ein Auszug aus den Datenschutzhinweisen dazu:

b. Bereitstellung und Verwendung Ihrer Bonitätsdaten ("Bonitätsabfrage")

Um Ihre Bonitätsdaten, d.h. Informationen zu Ihrem bisherigen Zahlungsverhalten und Informationen zur Beurteilung Ihrer persönlichen Kreditwürdigkeit auf Basis mathematisch-statistischer Verfahren (sog. Scoring), bei Auskunfteien abrufen zu können, müssen wir Ihre personenbezogenen Daten, d.h. Ihr Geschlecht, Ihren Namen, Ihre Anschrift (ggf. Voranschriften) und Ihr Geburtsdatum und Geburtsort, an folgende Auskunfteien übermitteln, damit Sie dort eindeutig identifiziert werden können:

● Creditreform Boniversum GmbH, Hammfelddamm 13, 41460 Neuss
● Infoscore Consumer Data GmbH, Rheinstraße 99, 76532 Baden-Baden
● SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden

Damit wir die für Sie zum Abruf bereit gehaltenen Bonitätsdaten bei Änderungen aktualisieren können, müssen wir Ihre personenbezogenen Daten für jeden erneuten Abruf erneut an die betreffenden Auskunfteien übermitteln.

Ihre uns von den Auskunfteien (Creditreform Boniversum GmbH und Infoscore Consumer Data GmbH) übermittelten Bonitätsdaten verarbeiten wir, zur Erbringung der von Ihnen in Anspruch genommenen Services im Rahmen der Plattformnutzung (...)

Die Datenverarbeitung erfolgt nur nach Ihrer ausdrücklichen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a, 9
Abs. 2 lit. a DSGVO und § 51 Abs. 1 ZAG, im Rahmen der Nutzerführung.

...

Und so findet man in den Datenschutzhinweisen, neben den bereits genannten datenschutzrechtlichen Widrigkeiten oder möglichen Datenübermittlungen in Drittstaaten auch folgenden Passus, bei dem ich allein in Bezug auf diese Äusserung und Formulierung: “…Angaben über die rassische oder ethnische Herkunft…”, sehr zusammengezuckt bin:


l. Daten Dritter und besondere Kategorien personenbezogener Daten

Im Rahmen der Verarbeitung und Bereitstellung von Transaktionen kann es vorkommen, dass auch personenbezogene Daten Dritter durch Forteil verarbeitet werden, z.B. Namen und Zahlungsinformationen. Die Verarbeitung dieser Daten erfolgt auf Grundlage unserer berechtigten
Interessen, unser Angebot als BaFin regulierter Kontoinformationsdienstleister erbringen zu können, Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Im Rahmen der Verarbeitung und Bereitstellung von Transaktionen und Transaktionshistorien kann es vorkommen, dass besondere Kategorien personenbezogener Daten von Ihnen durch uns verarbeitet werden. 

Bei besonderen Kategorien personenbezogener Daten handelt es sich um
Daten, die Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit sowie Sexualleben enthalten können. 

Derartige Angaben können beispielsweise im Zusammenhang mit von Ihnen getätigten Überweisungen an Parteien, Gewerkschaften oder bestimmte Vereine im Verwendungszweck erscheinen. Forteil nutzt diese Angaben ausschließlich im Rahmen der Abbildung der Transaktionshistorie. Alle Daten werden unter höchsten Sicherheitsstandards verarbeitet.

Es ist technisch nicht möglich, bei der Extraktion der Transaktionshistorie Überweisungen, die besondere Kategorien personenbezogener Daten enthalten, auszuklammern bzw. solche
auszuklammern, die zukünftig getätigt werden. Die Datenverarbeitung erfolgt nur nach Ihrer ausdrücklichen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a, 9 Abs. 2 lit. a DSGVO und § 51 Abs. 1 ZAG,
im Rahmen der Nutzerführung.

Aktuell kann ich nur davon abraten die Bonify App zu nutzen!

Deshalb begrüße ich es sehr, dass sich die Bonify App seit heute Mittag (23.07.2023) im Wartungsmodus befindet und eine Registrierung bzw. ein Login derzeit nicht möglich sind.

Der Wartungsmodus spricht dafür, dass augenblicklich noch an der App bzw. Web-App gearbeitet wird. Inwiefern sich das möglicherweise positiv auf die in den Medien publizierten Kritikpunkte auswirken wird, wird sich zeigen.

Da die Mutter “SCHUFA” und auch die Tochter “Bonify” Mitglieder einer datenhungrigen, profitorientierten Familie sind und beide bereits seit Ende 2022 von ca. 1,1 Mio. Nutzerinnen und Nutzern hochsensible Daten erfassen, speichern, verarbeiten und vermutlich auch weitergeben, gehe ich nicht davon aus, dass der SCHUFA-Dienst Bonify eine 180-Grad-Wendung in Sachen Sicherheit und Datenschutz unternehmen wird.

In meiner Artikel-Reihe über die SCHUFA werde ich in den kommenden Wochen u.a. auf den Sinn und Nutzen, die Befugnisse sowie die Vor- und Nachteile der SCHUFA, das Firmenkonstrukt, die Kooperationspartner, die Unternehmenskunden und undurchsichtige Datenabfragen/-weitergaben eingehen. Es lohnt sich also am Ball zu bleiben :-)