Die Bonify-App der Schufa verstößt nicht nur gegen Datenschutzbestimmungen. Sie ermöglicht es auch Nicht-EU-Staaten, uns zu überwachen.
Auch Jahre nach der Einführung der Datenschutz-Grundverordnung (DSGVO) haben einige Unternehmen immer noch Schwierigkeiten, die bestehenden Datenschutzgesetze einzuhalten. Ein bedenkliches Beispiel ist die App Bonify, die von der Forteil GmbH und der Schufa Holding AG entwickelt wurde.
In diesem Artikel werfen wir einen genaueren Blick auf die Version 2.0.11 der Bonify-App. Wir werden uns aber nicht nur mit den problematischen Datenweitergaben ohne Einwilligung an verschiedene Drittanbieter beschäftigen. Wir werden zudem auch ausführlich auf die nicht unerheblichen Risiken für die Privatsphäre der Nutzer eingehen.
Die Bonify-App ist ein erhebliches Risiko für die Privatsphäre der Nutzer
Gleich zu Beginn der Analyse, die Mike Kuketz auf dem Betriebssystem Android durchführte, stellte er fest, dass die Bonify-App in der Version 2.0.11 neun Tracker enthält. Bereits vor der ersten Interaktion des Nutzers werden Daten übermittelt, ohne dass eine ausdrückliche, informierte, freiwillige und aktive Einwilligung vorliegt. Dies verstößt gegen die geltenden Datenschutzbestimmungen und stellt ein erhebliches Risiko für die Privatsphäre der Nutzer dar.
Unmittelbar nach dem Start der Bonify-App der Schufa wird eine Verbindung zu Google Firebase (USA), einer Plattform für die Entwicklung mobiler Anwendungen, hergestellt. Ebenso besteht eine Verbindung zu Google Firebase Crashlytics (USA), einem Dienst zur Erstellung und Auswertung von Absturzberichten. Beide Verbindungen werden hergestellt, bevor der Nutzer eine Einwilligung erteilen kann, was gegen § 25 Abs. 1 TTDSG verstößt.
Darüber hinaus werden Daten an Facebook (USA) übermittelt, darunter Gerätedaten wie Modell und Auflösung sowie App-Informationen wie die Versionsnummer. Besonders kritisch ist die Übermittlung der Google Advertising-ID, da Facebook damit einen Bezug zwischen dem Nutzer und den übermittelten Informationen herstellen kann, wenn die Facebook-App auf dem Gerät installiert ist. Dies stellt nicht nur einen Verstoß gegen § 25 Abs. 1 TTDSG dar, sondern auch gegen die DSGVO, da die Google Advertising-ID als personenbezogenes Merkmal gilt.
Die App verstößt gegen Datenschutzbestimmungen und gefährdet die Anonymität der Nutzer
Bonify übermittelt personenbezogene Daten ohne die erforderliche Einwilligung an verschiedene Drittanbieter und verstößt damit gegen geltendes Datenschutzrecht.
- Identifizierung von Nutzern: Die Verbindung der Google Advertising-ID mit anderen persönlichen Daten ermöglicht es Firmen wie Facebook, detaillierte Profile von Benutzern zu erstellen. Dadurch können diese Unternehmen das Verhalten und die Vorlieben der Nutzer analysieren und personalisierte Werbung schalten. Eine solche Identifizierung ohne Einwilligung verstößt gegen die Datenschutzbestimmungen und gefährdet die Anonymität der User.
- Datenerhebung durch Dritte: Die Weitergabe von Daten an Drittanbieter wie Blueshift, Adjust und Twilio/Segment ermöglicht es diesen Unternehmen, breit gefächert Nutzerdaten zu sammeln. Die Kombination dieser Informationen mit bereits vorhandenen Erkenntnissen aus anderen Quellen kann zu einem umfassenden Profil führen, das sensible personenbezogene Daten enthält.
- Fehlende Einwilligung: Die Übermittlung von Daten ohne die Zustimmung des Nutzers verstößt gegen die Grundprinzipien des Datenschutzes. Die DSGVO verlangt eine klare, informierte und freiwillige Einwilligung, bevor personenbezogene Informationen verarbeitet werden dürfen. Das Fehlen einer solchen Zustimmung beeinträchtigt die Datenschutzrechte der Nutzer erheblich.
- Mangelnde Transparenz: Die Datenschutzhinweise von Bonify suggerieren, dass die Datenverarbeitung auf einer Einwilligung beruht. Tatsächlich werden die Informationen aber bereits vor der Zustimmung des Nutzers übertragen. Dies führt zu einem Mangel an Vertrauen und Sicherheit bei den Nutzern. Denn sie werden nicht ausreichend darüber informiert, wie ihre Daten verwendet werden.
Bonify übermittelt personenbezogene Daten an Nicht-EU-Staaten
Es ist erschreckend, was Mike Kuketz in seiner sehr ausführlichen Analyse der Schufa-App herausgefunden hat. Denn es zeigt sich nicht nur, dass die Schufa wiederholt gegen geltendes Recht verstößt. Nein, auch der Datenschutz und unsere Privatsphäre scheinen ihr egal zu sein.
Aber es kommt noch schlimmer. Zur Durchführung der Bonify-Dienstleistung „Finanzoptimierung“ werden personenbezogene Daten an Vermittlungspartner weitergegeben. Dafür verarbeitet und übermittelt Forteil, bzw. die Bonify-App, der Schufa folgende Informationen von uns:
Bonify User ID, Ipv4 Adresse, Anrede, Name, Geschlecht, Familienstand, Nationalität, Adresse, Geburtsdatum, Geburtsort, Wohnsitz, Arbeitnehmerstatus, Arbeitgeberdaten, Jahreseinkommen, Steuerklasse, IBAN, Krankenkassenbeitrag, Unterhaltsverpflichtungen, Darlehensverpflichtungen, Wohnstatus, Mobilfunknummer und unsere E-Mail-Adresse.
bonify.de
Doch damit nicht genug. Denn auch die Übermittlung dieser personenbezogenen Daten in Drittstaaten wie zum Beispiel die USA ist möglich.
Bei der Übermittlung personenbezogener Daten in die USA bestehen folgende Risiken: Es ist zu befürchten, dass US-Behörden auf der Grundlage von Section 702 des Foreign Intelligence Surveillance Act (FISA) auf diese personenbezogenen Informationen zugreifen (PRISM– und UPSTREAM).
MarvinOppong
Gestern haben wir uns schon die Frage gestellt: Wird die Schufa immer mehr zur Überwachungsinstanz? Spätestens heute sollte uns allen aber auch klar sein, dass die Bonify-App der Schufa ein wahr gewordener Datenschutz-Albtraum ist.
