Infoscore Millionen Finanzdaten von deutscher Auskunftei unzureichend geschützt

  • Infoscore, eine der größten deutschen Auskunfteien, hat sensible Finanzdaten von 7,8 Millionen Menschen offenbar leichtfertig an Unbefugte herausgegeben.
  • Für eine Auskunft reichten Name, Adresse und Geburtsdatum der gesuchten Person aus.
  • Datenschützer kritisieren Infoscore scharf und beklagen "gravierende Verstöße".
  • Der Anbieter hat die betroffene Webseite vorübergehend vom Netz genommen.

Drei Angaben reichen

Name, Adresse, Geburtsdatum. Diese drei Angaben reichen in manchen deutschen Städten, um beispielsweise Briefwahlunterlagen zu beantragen. Sie reichten aber auch, um an finanzielle Interna von 7,8 Millionen Menschen zu gelangen, die sich in Zahlungsschwierigkeiten befinden. Einzige Voraussetzung: Man weiß, wie die betreffende Person heißt, wo sie wohnt und wann sie geboren wurde.

Schuld daran war eine Sicherheitslücke bei einer der größten Auskunfteien Deutschlands. Die Bertelsmann-Tochter Infoscore Consumer Data hat sensible Finanzdaten offenbar leichtfertig herausgegeben. Nach Recherchen des Radiosenders NDR Info erhielt man die Informationen über ein Portal für Mieter-Selbstauskünfte, das eigentlich für Verbraucher gedacht ist, die einem künftigen Vermieter die eigene finanzielle Bonität nachweisen wollen.

Die Schufa verlangt einen Personalausweis - Infoscore nicht

Wer jedoch Name, Adresse und Geburtsdatum einer beliebigen Person kennt, über die Informationen in der Auskunftei vorliegen, bekam für knapp 20 Euro die gewünschten Informationen - ohne weitere Überprüfung der Identität. Infoscore verzichtete dabei auf die Identifizierung durch einen Personalausweis, wie es beispielsweise die Schufa verlangt.

Als Auskunftei verfügt Infoscore nach eigenen Angaben über "ca. 40 Millionen aktuelle Informationen zum negativen Zahlungsverhalten von über 7,8 Mio. Konsumenten". Die Bonitätsauskünfte umfassen Daten aus Schuldnerverzeichnissen oder gerichtlichen Mahnverfahren, Angaben über Zahlungsrückstände, erfolglose Pfändungen und beinhalten laut NDR Info sogar Haftbefehle für hartnäckige Schuldner. Zwar verlangte Infoscore für die Auskunft eine gültige Handynummer, um eine Kontroll-SMS zu verschicken - dabei muss es sich aber nicht um die Nummer der betreffenden Person handeln.

"Gravierender Datenschutzverstoß"

Walter Krämer von der zuständigen Landesdatenschutzbehörde Baden-Württemberg bezeichnete das Vorgehen von Infoscore bei NDR Info als "gravierenden Datenschutzverstoß", der "jedes Mal einen Ordnungswidrigkeitentatbestand" darstelle. Auch der Bundesverband der Verbraucherzentralen kritisiert Infoscore und sieht eine Schutzlücke. Unbefugte könnten Informationen über finanzielle Probleme bekommen, darunter auch potenzielle Arbeitgeber.

Infoscore rechtfertigt sich, dass sie explizit darauf hinweisen würden, "dass die Einholung einer Mieterselbstauskunft ausschließlich für die eigene Person zulässig ist." Wer sich nicht daran halte, mache sich strafbar. Außerdem habe die Datenschutzaufsicht die Identifizierung per Personalausweis in einem anderen Fall für unzulässig erklärt - eine Darstellung, die das Landesamt für Datenschutz in Baden-Württemberg als "schlicht falsch" zurückweist.

Infoscore nimmt Mieterselbstauskunft vom Netz

Auf eine Anfrage von Süddeutsche.de erklärte Infoscore, dass "Registrierungs-, Bestell-, Bezahl- und Auslieferungsprozess intensiv überprüft" würden. Man gehe davon aus, "dass Personen nun versuchen werden, sich widerrechtlich Datenzugriff zu verschaffen". Deshalb habe sich Infoscore entschlossen, "die Mieterselbstauskunft bis auf weiteres vom Netz zu nehmen". Derzeit seien keine Abfragen möglich, und es würden keine weiteren Finanzdaten herausgegeben. Bislang sei Infoscore "kein einziger Missbrauchsfall bekannt".