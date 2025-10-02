Für viele Kund:innen der Bonitäts-App Bonify war es ein Schock, als sie erfuhren, dass Ausweisdokumente und Videoaufzeichnungen des KYC-Prozesses abgeflossen sind. Angreifer:innen ist es gelungen, bei einer Cyberattacke Daten abzuziehen, die für einen Identitätsdiebstahl, also beispielsweise das Eröffnen von Verträgen im Namen und auf Kosten der Kund:innen, benutzt werden können.

Auch wenn Zugangsdaten oder über die App recherchierbare Schufa-Informationen und weitere Bonitätsdaten nach Angaben der Betreiberfirma Forteil nicht betroffen sind oder waren: Für viele Kund:innen stellt sich die Vertrauensfrage – und die Frage, ob es zumindest sinnvoll ist, über die Sicherheitsvorkehrungen und Ratschläge des Unternehmens hinaus einen neuen Personalausweis zu beantragen und den alten sperren zu lassen. Das kostet natürlich Zeit (möglicherweise auch einen Urlaubstag) und Geld – doch wer steht für den Schaden ein? Und wie steht es, davon abgesehen, mit Schadensersatzforderungen?

In Ansätzen vergleichbare Fälle hat es in Deutschland etwa beim Neobroker Scalable Capital gegeben. Dort wurden 2020 unter anderem Personalausweisdaten, Kontonummern, Wertpapierabrechnungen und steuerliche Daten entwendet. Möglich gewesen sei dies, erklärte das Unternehmen damals gegenüber Medienvertreter:innen, „unter Zuhilfenahme von unternehmensinternem Wissen“. Einerseits sind hier also deutlich umfangreichere Daten geleakt worden, andererseits aber keine Videodaten aus dem Videoidentprozess.

Zwischen Kontrollverlust und Identitätsdiebstahl

Juristisch könnten somit also auch auf Forteil bezüglich der Bonify-App noch Forderungen zukommen, die weit über die Kosten für einen neuen Personalausweis hinausgehen. Unterschieden wird hier in der Regel zwischen einem immateriellen Schaden, also einem Kontrollverlust über die Daten ohne einen entstandenen finanziellen Schaden, und einem tatsächlichen Schaden, etwa im Rahmen von Identitätsdiebstahl oder Datenmissbrauch.

„Ein Datenabfluss bei Videoidentifizierungsverfahren ist rechtlich noch gravierender als der Scalable-Capital-Fall zu bewerten, da neben Ausweisdaten auch biometrische Gesichtsmerkmale und Videos der Personen aus ihren Privaträumen betroffen sind“, sagt Peter Hense, Rechtsanwalt und Partner bei Spirit Legal, der unter anderem auf IT- und Datenschutzrecht spezialisiert ist. Nach der aktuellen EuGH-Rechtsprechung stehe Betroffenen bereits bei der bloßen Befürchtung eines Datenmissbrauchs immaterieller Schadensersatz nach Art. 82 DSGVO zu.

„Während im Scalable-Fall bereits 2.500 Euro als Schadensersatz zugesprochen wurden, dürfte die Schadensersatzhöhe bei biometrischen Daten höher ausfallen. Die Kombination aus Personalausweiskopien, Biometrie und Videoaufzeichnungen schafft ein extremes Missbrauchspotenzial für Identitätsdiebstahl.“ Unternehmen müssten sich, so der Datenschutzexperte, auf erhebliche Schadensersatzforderungen und Bußgelder einstellen, wenn sie diese hochsensiblen Daten nicht angemessen schützen.

Allerdings – das muss man einschränkend sagen – ist jeder Datenschutzvorfall und jede Hacking-Attacke anders gelagert –und es kommt, wie immer in der Juristerei, auch auf das Gericht an, das hierüber zu befinden hat. Insofern kann unser Ratgeber zum Thema nur ein Anhaltspunkt für die Frage sein, ob Kund:innen Schadensersatz zusteht. Klar ist aber auch, dass die Frage nach der Anzahl der Fälle und dem Umfang der geleakten Daten zu betrachten ist. Hier wird das zur Schufa-Holding gehörende Unternehmen Forteil sicher in den nächsten Wochen weitere Klarheit schaffen.