Lilith Witt­mann hat mal wie­der zuge­schla­gen. Getrof­fen hat es die Schufa, genau­er gesagt deren Toch­ter­ge­sell­schaft Fort­eil GmbH. Deren App Boni­fy gewährt den Nut­ze­rin­nen und Nut­zern die Mög­lich­keit, ihre Kre­dit­wür­dig­keits-Ein­stu­fung ein­zu­se­hen. Eben­so ist es damit mög­lich, sich eine kos­ten­pflich­ti­ge Mie­ter­aus­kunft ein­zu­ho­len. Über eine Sicher­heits­lü­cke gelang es Witt­mann, belie­bi­ge Daten aus dem Dienst abzu­ru­fen^[1]Schufa-App: Sicher­heits­leck in Boni­fy gibt kurz­zei­tig belie­bi­ge Daten preis. Mit der App frönt die Schufa kei­nes­falls einem Altru­is­mus: “Die Schufa ver­folgt dabei aller­dings auch noch wei­te­re Eigen­in­ter­es­sen. Denn nach einer Anmel­dung bei boni­fy soll man den Zugriff zum eige­nen Bank­kon­to gewäh­ren. Denn Boni­fy nutzt den Namen, unter dem das Bank­kon­to geführt wird, zur Iden­ti­fi­zie­rung der Per­son, die gera­de ihren Kre­dit­s­core ein­se­hen will. Sie erhal­ten dabei aber außer­dem noch Zugriff auf die Lis­te aller Trans­ak­tio­nen des ver­knüpf­ten Bank­kon­tos. Die­se nut­zen sie z.B. um mit KI zu ana­ly­sie­ren, wie viel Mie­te oder Haus­halts­aus­ga­ben vom Bank­kon­to jeden Monat vom Kon­to abge­hen. Ein wah­rer Daten­schatz um die Boni­tät von Men­schen zu bewer­ten”^[2]bonify—das Schufa-Start­up, das jedem sagt, ob Du kre­dit­wür­dig bist.

Ein beson­de­rer Schwach­punkt ist laut Witt­mann die Authen­ti­fi­zie­rung mit­tels Bank-Ident, wofür der Dienst fin­leap Con­nect ver­wen­det wird. In einem Ver­such for­der­te Witt­mann die kos­ten­pflich­ti­ge Mie­ter­aus­kunft über Jens Spahn an. Die Aus­kunft weist eine monat­li­che Miet­zah­lung in Höhe von 955.51 € aus. Die Info kommt nicht von Spahn, “son­dern von dem Kon­to, wel­ches zur Veri­fi­zie­rung ver­wen­det wur­de. Denn wenn bei der Anmel­dung Bank­ident ver­wen­det wird, dann erhält boni­fy wie gesagt nicht nur euren Name son­dern auch sämt­li­che Trans­ak­tio­nen des ver­knüpf­ten Kon­tos”.

Die Schufa habe sich ein Sta­rup zuge­legt, das “nicht mal über abso­lu­tes Grund­la­gen­wis­sen im Bereich Soft­ware­ar­chi­tek­tur ver­fügt und ein­fach irgend­wel­che Ver­fah­ren irgend­wie zusam­men­hackt. So ver­sto­ßen sie gegen ihre eige­nen AGBs und ich habe jetzt den Kre­dit­s­core von Jens Spahn. Des­halb bleibt mir hier nur die Emp­feh­lung an die Schufa: Abschal­ten und Abschrei­ben”.

Die von der Schufa pro­pa­gier­te “Daten­sou­ve­rä­ni­tät” bedeu­te nichts ande­res als “Du musst uns Dei­ne Daten in Zukunft sel­ber geben um einen guten Score zu bekom­men, dafür machen wir TrAnS­pa­Rent wie wir dich diskriminieren”.

In einem Inter­view mit der Bild-Zei­tung ließ die Schufa-Che­fin Tan­ja Birk­holz wis­sen, dass die Tat­sa­che, dass jemand zwei Giro­kon­ten habe, hei­kel sei. “Wenn Sie vie­le Giro­kon­ten haben, dann haben Sie auch meh­re­re Dis­po­kre­di­te”^[3]https://twitter.com/Thomas_Beutler/status/1683379213678592001.

Das ist schon eine stei­le Aus­sa­ge, die nun sel­ber ein wenig hei­kel ist.

.