Ein großes Datenleck bei Infoscore, einer der wichtigsten Auskunfteien in Deutschland. Die Bonitätsdaten von mehreren Millionen Verbrauchern waren zwischenzeitlich im Netz zu finden.
„Am Wochenende hatte ich Zugang zu den Kreditauskünften aller Menschen in Deutschland bei Arvato Infoscore“, schrieb Wittmann dazu auf LinkedIn und Mastodon. Fast acht Millionen Verbraucher sind von der massiven Datenpanne bei der Baden-Badener Wirtschaftsauskunftei Infoscore betroffen.
Bonitäts-Score, Mahnverfahren, Privatinsolventen…
Infoscore bewertet die Zahlungsfähigkeit von Verbrauchern, genauso wie der Konkurrent Schufa. Diese Bewertungen werden von Banken, im Handel und nahezu überall genutzt, um feststellen zu können, ob ein Verbraucher seine Rechnungen bezahlt oder kreditwürdig ist.
Lilith Wittmann hatte eigenen Angaben zufolge Ende der vergangenen Woche die Schwachstelle ausfindig gemacht. So erhielt sie Zugang zu den sensiblen Datenbanken. Die Bonitätsdaten waren dann über eine von Wittmann eingerichtete Webseite offen zugänglich.
In den Datenbanken befanden sich sog. Negativdaten von rund 8 Millionen Menschen. Neben Daten zum Bonitäts-Score, also zur Zahlungsfähigkeit von Verbrauchern, umfasst der Datensatz auch detaillierte Informationen über erfolglose Mahnverfahren oder auch Privatinsolvenzen. Hochsensible Daten, die darüber bestimmen können, ob Verbraucher bei Unternehmen Verträge abschließen können, angefangen bei Mobilfunkverträgen oder Darlehen.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Zugriff auf Infoscore-Verbraucherdaten über Smava
Der Zugriff gelang über die kostenlose Bonitätsscore-App Score Kompass, betrieben von Kreditvermittler Smava. Der Zugriff fand damit über Partnerunternehmen von Infoscore statt. Wittmann selbst schreibt:
https://www.linkedin.com/posts/lilith-wittmann_am-wochenende-hatte-ich-zugang-zu-den-kreditausk%C3%BCnften-activity-7264293472944222209-5k-A?utm_source=share&utm_medium=member_desktop„Das war möglich, weil das vom Unternehmen smava betriebene Portal „scorekompass“ mir erlaubte, dort bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte. Damit konnte ich den Identifizierungsprozess per Ausweis/Bankkonto überspringen und bekam direkt Zugriff auf den Score der Person.“ (Quelle LinkedIn)
Neben den offengelegten Daten ließen sich im Anschluss auch Informationen über das Scoring-Verfahren ableiten. So wurde etwa klar, dass Personen ab 50 Jahren pauschal 15 Punkte mehr als 25-jährige auf ihr Konto bekämen, während Menschen in Gefängnissen oder Wohnungslosen-Unterkünften in Sachen Score hinten herunterfielen.
Nach Angaben von Infoscore werde der „mutmaßliche IT-Sicherheitsvorfall bei zwei Partnerunternehmen“ nun untersucht. Es seien unverzügliche Maßnahmen ergriffen worden, um den Zugriff zu unterbinden. Allerdings waren die zuständigen Landesdatenschutzbehörden in Stuttgart und Berlin bis Montag noch nicht informiert.
Neben Infoscore waren auch schon Schufa und Bonify betroffen
Die Panne bei Infoscore war nicht der erste erfolgreiche Zugriff dieser Art. Schon mehrmals konnte Wittmann bei Wirtschaftsauskunfteien vollständige Score-Auskünfte von anderen Personen einholen, so bekanntermaßen im Sommer 2023 über Jens Spahn per Bonify-App. Im Fall von Bonify/Schufa führte unsere Berichterstattung gar zu einem Rechtsstreit mit den Unternehmen. Spahns Daten traf es nur wenige Tage zuvor erneut, dieses Mal über das Webportal der Itsmydata GmbH.
Sicherheitslücken bei Bonitätsauskünften sind extrem heikel, vor allem wegen den weitreichenden finanziellen Konsequenzen, die eine Offenlegung für Verbraucher haben kann. Die wiederholten Sicherheitsvorfälle werfen durchaus die Frage auf, ob Bonitätsauskunfteien überhaupt mit solchen Daten betraut werden sollten.
Anspruch auf Auskunft & Schadensersatz?
Auf der Grundlage von Art. 15 DSGVO können Nutzer aber Auskunft gegenüber Infoscore verlangen, ob sie vom Datenleck betroffen sind. Erteilt Infoscore keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben können grundsätzlich bei Datenlecks immer auch weitere Pflichtverletzungen in Betracht kommen, die möglicherweise Schadensersatzansprüche zur Folge haben.
Nach ganz aktueller Rechtsprechung des Bundesgerichtshofs löst schon der reine Kontrollverlust über personenbezogene Daten einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) aus. Wenn die Person über den reinen Kontrollverlust hinaus entsprechende Befürchtungen nachweisen kann, so erhöht das den Schadensersatz. Es ist jedoch keine Voraussetzung für diesen. Der EuGH hatte hierzu bereits geurteilt, dass ein Datenverlust seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Daher kann im Einzelfall ab jetzt auch mit einem deutlich höheren Schadensersatz gerechnet werden.
