Gute Gründe, warum du die SCHUFA Web-App von Bonify nicht nutzen solltest!

Die im Juli 2023 wegen Sicherheitslücken in die Kritik geratene SCHUFA-eigene Bonify-App, über die ich am 19.07.2023 bei Mastodon und hier im Blog berichtet habe, ist seit Anfang August 2023 über das Web-Portal unter bonify.de wieder live geschaltet und erreichbar – allerdings nur als Web-App. Nachdem ich die SCHUFA Web-App von Bonify jetzt erneut untersucht und getestet habe, rate ich in Punkto Sicherheit und Datenschutz nach wie vor eindringlich von dem Gebrauch der Bonify-Web-App ab.

Das Testen der seit Anfang August wieder live geschalteten Bonify-Web-App hätte ich mir im Grunde genommen auch sparen können, denn allein die Angaben in der Datenschutzerklärung bzw. den Datenschutzhinweisen (Stand v. 01.08.2023, Version 6.18) unter bonify.de/datenschutz, sollten jeden Nutzer, der Wert auf einen sicheren, sparsamen, vertrauensvollen und verantwortungsbewußten Umgang mit seinen Daten legt, davon abhalten diese App zu nutzen.

Warum ich von der Nutzung der Bonify-Web-App abrate

Es gibt mehrere kritische Punkte, die mich bereits am 19.07.2023 dazu bewogen haben von der Nutzung der App abzuraten. Die “Auszeit”, die sich Bonify in der Zwischenzeit für “Sicherheitschecks und Wartungsarbeiten” gegönnt hat, hat nichts am meiner negativen Meinung zur Bonify-App geändert. Nach einem erneuten, aktuellen Test der Web-App fällt meine Beurteilung noch schlechter aus als im Juli 2023.

Nachfolgend führe ich die aus meiner Sicht markantesten Negativ-Aspekte der Bonify-Web-App auf:

Auf der SCHUFA-Website unter “Aktuelles & Wissenswertes – SCHUFA-Basisscore ist wieder bei bonify abrufbar“, nimmt die SCHUFA in ihrer Mitteilung vom 08.08.2023 kurz Stellung zur öffentlichen Kritik und zur Sicherheitslücke im Juli 2023.

Im weiteren Verlauf führt die SCHUFA folgendes an (Textauzug von der SCHUFA-Website, Stand: 12.08.2023):

“…Obwohl bonify und die SCHUFA nach der Übernahme zwei getrennt operierende Unternehmen bleiben, hat die SCHUFA ein großes Interesse daran, die hohen Sicherheits- und Qualitätsstandards der SCHUFA auch auf bonify zu übertragen. Derzeit unterstützt die SCHUFA bonify dabei, Produkte, Services und die Qualität bisheriger Kooperationspartner zu untersuchen und gegebenenfalls Veränderungen vorzunehmen. Diese Sicherheitsanalysen werden voraussichtlich bis Herbst dieses Jahres abgeschlossen sein.

Deshalb geht die Web-App von bonify in einem ersten Schritt noch nicht mit allen Services an den Start und die nativen Apps bleiben noch deaktiviert. Der SCHUFA-Basisscore ist ab sofort für die Vebraucher:innen wieder einsehbar. Die Abfrage des Boniversum-Scores wird bei bonify bis auf Weiteres dagegen nicht mehr möglich sein.

Bonify hat die Zeit nicht nur für Sicherheitschecks und Wartungsarbeiten genutzt, sondern auch um ein Versprechen aus der Pressekonferenz vom 18. Juli rascher als geplant umzusetzen: Ab sofort bietet bonify eine datensparsame Option für die Identifizierung mit dem Bankkonto an. Nutzer:innen können sich nun mit dem Bankkonto identifizieren, ohne dass die Transaktionsdaten von bonify verarbeitet werden. Folglich findet hier nur zur Identifizierung der Zugriff auf das Konto statt. Auch die Identifizierung mit dem Personalausweis, welche durch den Dienstleister IDNow durchgeführt wird, bleibt bestehen. Diese Variante ist ebenfalls datensparsam, aber man braucht einen gültigen Personalausweis oder einen Aufenthaltstitel, um sie nutzen zu können. Im Rahmen des Relaunches kann es sein, dass sich auch bestehende Nutzer:innen erneut identifizieren müssen, um die bonify-Services zu nutzen…”

Die hervorgehobene, grün hinterlegte Textpassage: “Nutzer:innen können sich nun mit dem Bankkonto identifizieren, ohne dass die Transaktionsdaten von bonify verarbeitet werden. Folglich findet hier nur zur Identifizierung der Zugriff auf das Konto statt…” habe ich auf den Wahrheitsgehalt der Aussage überprüft.

“Zugriff auf das Konto nur zur Identifizierung”, sagt die SCHUFA. “Das ist Quatsch!”, sage ich.

Um den Wahrheitsgehalt der SCHUFA-Aussage zu prüfen, habe auf der Bonify-Plattform (Web-App) die Möglichkeit zur kostenlosen Registrierung unter dem Menüpunkt “Neu bei Bonify” genutzt.

Beim Aufruf der Registrierungsseite werde ich von einem “Cookie-Hinweis” empfangen. Die einleitenden Hinweise sowie die aufgeführten Dienste unter dem Punkt “Notwendige Cookies”, haben mich gleich zu Beginn der Registrierung in Alarmbereitschaft versetzt und ein hohes Maß an Verwunderung sowie Mißtrauen hervorgerufen:

Abb. 1: Die Bonify Web-App im Test - Der Cookie-Hinweis
Abb. 1: Die Bonify Web-App im Test – Der Cookie-Hinweis

Insbesondere im Hinblick auf die sehr sensiblen Bonitätsdaten, Konto- und Transaktionsdetails, die die Nutzer dort freigeben, ergänzen, analysieren und auswerten, war ich über die Angaben im Cookie-Hinweis schon sehr überrascht:

Wir verwenden Cookies, um unsere Website nutzerfreundlicher zu gestalten, das Teilen von Informationen in sozialen Netzwerken zu erleichtern und auf deine Interessen zugeschnittene Werbung anzubieten. Außerdem geben wir Informationen zu deiner Verwendung unserer Webseite an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die du ihnen bereitgestellt oder die sie im Rahmen deiner Nutzung der Dienste gesammelt haben…”

Echt jetzt`? Sollen denn die Nutzer, wenn sie beispielsweise ihre Scheiß-Bonität um 2 Prozentpunkte verbessert haben, hinterher das immer noch beschissene Ergebnis bei Facebook, X oder womöglich bei WhatsApp öffentlich als Statusmeldung teilen? Also bitte!

Bei der Verarbeitung von hochsensiblen Finanzdaten in einer App haben Funktionen zum Teilen von Informationen in den sozialen Medien nichts zu suchen. Das ist verantwortungslos! Die Weitergabe von Daten an Partner für soziale Medien, Werbung und Analysen ist ebenso verantwortungslos.

Abb. 2: Die Bonify Web-App im Test - Notwendige Cookies?
Abb. 2: Die Bonify Web-App im Test – Notwendige Cookies?

Wirft man nun einen Blick auf die notwendigen Cookies, die im Consent-Tool nicht deaktiviert werden können, fragt man sich, warum Dienste wie Akamai, Amazon Web Services, Chargebee, Cloudflare, Google Tag Manager, Zendesk usw. an dieser Stelle aufgeführt und in der Web-App implementiert sind. Diese teils sehr datenhungrigen Dienste sind allesamt nicht notwendig! In Punkto Datensicherheit und Datenschutz sind sie äusserst kontraproduktiv.

Der erste große Schwachpunkt der Bonify-Web-App:

Wenn ich Bonify nutzen will und im Consent-Tool alle Cookies ablehne, habe ich trotz meiner Ablehnung die unter “Notwendig” aufgeführten, unsicheren, bedenklichen, nicht notwendigen Dienste, Cookies und Trackingmethoden akzeptiert.

Zurück zum Registrierungsprozess:

Nachdem ich meine E-Mail-Adresse und mein Passwort in der Registrierungsmaske eingegeben, auf “KOSTENLOS REGISTRIEREN” und meine Mail-Adresse via Double-Opt-In bestätigt habe, wird die Eingabe weiterer personenbezogener Daten zur Identifikation verlangt. Ich kann mich mit meinem Personalausweis und einem Selfie via IDnow oder mit meinem Bankkonto identifizieren. Ich entscheide mich für die Identifizierung bei Bonify mit meinem Bankkonto:

Abb. 3: Die Bonify Web-App im Test - Identifizierung mit dem Personalausweis via IDnow oder dem Bankkonto
Abb. 3: Die Bonify Web-App im Test – Identifizierung mit dem Personalausweis via IDnow oder dem Bankkonto

Da ich mich nicht per IDnow, einem Partner-Dienst von Bonify, mit meinem Personalausweis und einem Selfie identifizieren will, wähle ich die Möglichkeit mich mit meinem Bankkonto zu identifizieren. Diese alternative Option wird von Bonify als “datensparsame Option für die Identifizierung mit dem Bankkonto” aufgeführt.

Hier muss ich zunächst meinen Vor- und Nachnamen (wie bei der Bank geführt) eingeben:

Abb. 4: Die Bonify Web-App im Test - Ein fragwürdiger Checkbox-Text "Mit dem Bankkonto identifizieren"
Abb. 4: Die Bonify Web-App im Test – Ein fragwürdiger Checkbox-Text “Mit dem Bankkonto identifizieren”

Direkt unter den Formularfeldern für den Vor- und Nachnamen befindet sich eine Checkbox, die ich aktivieren muss, wenn ich die sogenannte “datensparsame” Identifikation unter Gewährung des Zugriffs auf mein Bankkonto abschließen möchte.

Wenn die Checkbox aktiviert und auf “WEITER” geklickt wird, erteilt der Nutzer Bonify bzw. der Forteil GmbH und seinen Partnern folgende Befugnisse:

Ich willige darin ein, dass die Forteil GmbH auf das angegebene Bankkonto zugreift und dabei meine im Bankkonto hinterlegten Stammdaten (Kontoinhaber, IBAN), den Kontosaldo sowie die Kontoumsatzdaten von bis zu vierundzwanzig Monaten abruft und ausschließlich die Stammdaten zum Zwecke der Identifikation verwendet, um mich für die Nutzung der Plattform zu identifizieren.

Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, z.B. per E-Mail an […]. Ausführliche Informationen zur Verarbeitung meiner personenbezogenen Daten kann ich den Datenschutzhinweisen entnehmen.

Hinweis: Die Schnittstellen der Banken lassen keinen alleinigen Abruf der für die Identifikation erforderlichen Daten ( Kontoinhaber, IBAN) zu, daher rufen wir über unseren Auftragsverarbeiter Finleap Connect GmbH alle o.g. Daten ab. Lediglich Kontoinhaber und IBAN werden für den genannten Zweck verarbeitet...”

Was heisst das und wie soll man das verstehen?

Die Identifizierung über das Bankkonto zergeht in seiner Widersprüchlichkeit unter dem Deckmantel der Datensparsamkeit

Bonify (Forteil GmbH) ruft über die Finleap Connect GmbH die im Bankkonto hinterlegten Stammdaten (Kontoinhaber, IBAN), den Kontosaldo sowie die Kontoumsatzdaten ab. Zur Identifikation werden ausschliesslich die Stammdaten verwendet, aber erst nachdem der Kontosaldo sowie die Kontoumsatzdaten abgerufen wurden, weil es angeblich technisch nicht anders geht. Der Zugriff auf die Kontosalden sowie die Kontoumsatzdaten bleibt bis zu 24 Monate bestehen.

Besonders dabei zu beachten ist der Hinweis: “Die Schnittstellen der Banken lassen keinen alleinigen Abruf der für die Identifikation erforderlichen Daten ( Kontoinhaber, IBAN) zu…”

Nutzer, die Wert auf die Vertraulichkeit und Integrität ihrer Bank- und Finanzdaten legen, sollten spätestens jetzt den begonnenen Registrierungsprozess abbrechen und die bereits eingegebenen Daten und das angelegte Bonify-Konto (Account) löschen.

Sicherheits-Tipp: Drittanbietern sollten grundsätzlich keine Zugriffe auf Bankkonten und -daten erteilt werden.

Wie Eingangs schon erwähnt, rate ich euch vom Gebrauch der Bonify-Web-App eindringlich ab! Allein die beiden von mir aufgeführten, markanten Negativ-Punkte sind Grund genug die Finger von dieser Web-App zu lassen.

In einem weiteren Beitrag werde ich auf die alternative Registrierungmöglichkeit mit dem Peronalausweis via IDnow und die als sehr grenzwertig zu betrachtenden Datenschutzhinweise der SCHUFA-eigenen Bonify-App eingehen.