Wie dürfen wir die Bonify-Sicherheitslücke nennen?

Im Juli 2023 haben wir auf unserem Blog über eine Sicherheitslücke bei der Schufa-Tochter Bonify berichtet. Das haben wir da allerdings anders bezeichnet, nämlich als „Datenleck“. Das fanden sowohl die Schufa als auch Bonify nicht gut, weil keine  Offenlegung vertraulicher Daten stattgefunden habe, und mahnten uns zunächst ab, später zogen sie dann in zwei einstweiligen Rechtsschutzverfahren vor die Landgerichte (LG) Köln und Hamburg. Die Frage, um die es hauptsächlich ging, war: Durften wir das Ganze „Datenleck“ nennen oder nicht? Die Schufa und Bonify meinten: Nein. Und wollten uns erst einmal unseren gesamten Artikel verbieten lassen. Das geht so allerdings nicht, mahnte das LG Köln direkt an, sodass sie das nicht weiter verfolgten. Danach ging es nur noch um einzelne Passagen, die den streitgegenständlichen Begriff „Datenleck“ enthielten.

Wir waren der Auffassung, wir dürfen diesen Begriff nutzen. Das LG Köln (Beschl. v. 31.08.2023, Az. 28 O 427/23) und auch das Oberlandesgericht (OLG) Köln (Beschl. v. 25.09.2023, Az. 15 W 108/23) haben uns im Verfahren der Schufa bestätigt. In Hamburg, wo die Schufa-Tochter Forteil GmbH, die die Bonify betreibt, Verfügungsklägerin war, sah es allerdings anders aus: Nach Ansicht der dortigen Vorsitzenden in der mündlichen Verhandlung dürften wir von einer „Sicherheitslücke“ sprechen nicht aber von einem Datenleck. Um die Streitigkeit einvernehmlich zu beenden und einen jahrelangen Rechtsstreit durch mehrere Instanzen zu vermeiden, haben wir nun einen Vergleich geschlossen und unser Wording im Blog angepasst: Nun sprechen wir dort nur noch von einer „Sicherheitslücke“.

Wir finden aber: Das Vorgehen wirft nicht gerade das beste Licht auf die eh schon streitbare Auskunftei, gegen die wir ja gerade für sehr viele Mandanten in Sachen „illegale Weitergabe von Positivdaten der Mobilfunkbetreiber“ vorgehen.

Hier können Sie prüfen, ob Sie von der illegalen Datenweitergabe an die SCHUFA betroffen sind:

Ihre Handyvertragsdaten wurden ohne Zustimmung an die SCHUFA weitergegeben? Verlieren Sie nicht Ihren Anspruch auf bis zu 5.000€ Schadensersatz!

Was genau ist bei Bonify passiert?

Mit der neuen App Bonify können Verbraucher ihren Boniversum- bzw. Schufa-Score kostenfrei online einsehen. Mithilfe von Tipps kann man sodann seinen Schufa-Score verbessern. 

Aufgrund einer unbestritten vorhandenen Sicherheitslücke bei Bonify konnte die Hackerin und Aktivistin Lillith Wittmann eine Fake-Mieterauskunft, die aufgrund einer Manipulation durch die Hackerin auf den Namen „Jens Spahn“ lautet, inklusive einem Bonitäts-Score erhalten. Das ging so, wie die IT-Sicherheitsexpertin in ihrem Blog beschreibt: Sie habe die App so manipulieren können, dass sie während eines Bankidentverfahrens einfach einen fremden Namen inkl. Geburtsdatum und Adresse eingeben konnte und so eine Mieterauskunft lautend auf einen fremden Namen – hier „Jens Spahn“ – erhielt, die dann als von „der Bank validiert“ ausgewiesen wirkte. Sogar ein Bonitätsscore erschien auf dieser Auskunft, wobei dieser nach Angabe der Schufa sowie Forteil GmbH von Frau Wittmann selbst sei.

Streit über zulässige Begrifflichkeiten

Der Hauptpunkt, über den wir uns nun aber gestritten haben, war also nicht, dass wir den Prozess der Hackerin nicht ganz zutreffend beschrieben haben. Denn das haben wir und ihr könnt euch eigentlich selbst ein Bild machen. Nein, es ging hauptsächlich darum: Durften wir das Ganze „Datenleck“ nennen?

Wir hatten den Begriff in der Vergangenheit häufiger als Synonym für IT-Schwachstellen genutzt, wenn dadurch jemand Zugang zu Inhalten (= Daten) erhalten hatte, die nicht für ihn bestimmt waren.  

Die Schufa bzw. Bonify sahen hier jedoch eine engere Definition: Der Begriff „Datenleck“ sei eine Tatsachenbehauptung und zwar eine unwahre. Bonify und die Schufa meinen nun, es gebe eine feste Definition für diesen Begriff und schreiben: „Unter dem Begriff Datenleck versteht der verständige Durchschnittsverbraucher den unberechtigten Abfluss von oder den missbräuchlichen Zugriff auf personenbezogene Daten.“ Und weil – nach Angabe von Schufa und Forteil GmbH – keine personenbezogenen Daten abgeflossen seien, handele es sich auch nicht um ein Datenleck.

Der Score, den Bonify ausgespuckt hat, sei nämlich nur ein nicht personenbezogener Geo-Score der Schufa-Konkurrentin Boniversum. Kurz zur Erklärung: Bevor Bonify von der Schufa aufgekauft wurde, hatte das Unternehmen die Bonitätsdaten noch vom Unternehmen Boniversum erhalten. Auch nachdem die Schufa Bonify gekauft hatte, bestand der Vertrag jedoch weiter. Sie schreiben weiter, dieser Geo-Score gehöre zu einer „willkürlich gewählten Adresse“ in Berlin – an der allerdings Jens Spahn Medienberichten vor Kurzem tatsächlich noch gewohnt hat. Sie schreiben weiterhin, dieser Geo-Score beziehe sich nicht auf die Person Jens Spahn, sondern ausschließlich auf die von der Aktivistin angegebene Adresse. Jedenfalls seien zu keiner Zeit persönliche oder finanzielle Daten von Herrn Spahn oder anderen Personen offengelegt worden. Tatsächlich habe der Geo-Score überhaupt keinen Personenbezug. Es handele sich um einen allein zu einer bestimmten Adresse generierten Wahrscheinlichkeitswert.  

LG Köln und OLG Köln: Zulässige Meinungsäußerung!

Das LG Köln sah das allerdings genau wie wir und wies einen Großteil der Anträge der Schufa ab (Az. 28 O 427/23). Schon in einem vorherigen unverbindlichen Hinweisbeschluss schrieb es:

„Im Übrigen dürfte es sich bei der Bezeichnung „Datenleck“ um eine zulässige Meinungsäußerung handeln. Unstreitig konnte Frau Wittmann durch die Eingabe der Anschrift von Herrn Spahn den seine Wohnanschrift betreffenden Geo-Score erhalten. Somit erhielt sie unbefugt eine andere Person betreffende Daten, womit eine Tatsachengrundlage für die Meinungsäußerung gegeben sein dürfte.“

In seinem endgültigen Beschluss schrieb es dazu nur kurz: Die Schufa kann uns die Aussage nicht verbieten, weil unsere Aussage „wertend“ sei, also eine Meinungsäußerung. Auch später im Beschluss benutzt das LG Köln den Begriff „Datenleck“ völlig selbstverständlich und bestätigt, dass die Schufa ein solches selbst eingeräumt habe.

Dagegen wollte die Schufa mit einer sofortigen Beschwerde zum OLG Köln vorgehen – doch auch hier hatte sie keinen Erfolg (Az. 15 W 108/23)! Relativ deutlich schreibt das Gericht: Das Beschwerdevorbringen rechtfertige keine günstigere Entscheidung für die Schufa und biete nur noch Anlass zu folgenden klarstellenden Äußerungen:

„Der Begriff „Datenleck“ ist bei gebotener äußerungsrechtlicher Würdigung jedenfalls im für die Würdigung allein maßgeblichen Gesamtkontext der hier streitgegenständigen Berichterstattung stark wertend. Er beschreibt nicht etwa abstrakt – nach dem allgemeinen Sprachverständnis – zwingend nur einen unfreiwilligen Verlust konkreter personenbezogener Daten (als „klassisches Datenleck“) (…), sondern den mit diesem offenen Begriff nur recht plastisch umschriebenen und im Detail auch erläuterten, konkreten atypischen IT-Vorfall. Dass es diesen IT-Vorfall gab, ist aber als solches unstreitig und es ist (…) im tatsächlichen Kern zudem unstreitig, dass die IT-Sicherheitsexpertin über die beschriebene Vorgehensweise tatsächlich zumindest einen auf die von ihr selbst eingegebenen Adresse konkret bezogenen, von der Auskunftei Creditreform Boniversum berechneten Geo-Score genau zu dieser Adresse abrufen konnte. Das war entgegen (…) der Antragsschrift keine „willkürlich“ gewählte Adresse, sondern man konnte auf diesem Weg faktisch zu jedem Wohnsitz/jeder Anschrift einer anderen Person (…) den konkret auf diesen Wohnsitz (und damit zumindest mittelbar auch wieder auf die betreffende Person) bezogenen Geo-Score irregulär beliebig abrufen. (…) Diesen Vorgang – den man im Übrigen hinreichend klar umschrieben hat – als ein „Datenleck“ zu bezeichnen, ist aber äußerungsrechtlich beanstandungsfrei (…) man muss sich nicht (…) auf den „milderen“ Begriff der „Sicherheitslücke“ festlegen, zumal der Geo-Score unstreitig „planwidrig“ abgerufen werden konnte und man so über die konkret eingegebene Adresse auch den Bezug zu den dort aktuell oder zuvor lebenden Personen konkret herstellen konnte und so den Geo-Score abgerufen hat, den die Person auch hätte selbst als „ihren“ Geo-Score abrufen können. (Hervorhebungen durch Autor)

LG Hamburg tendierte zur Auffassung der Gegenseite  

Außerdem hat das LG Köln von Anfang an mehrfach gesagt, dass die Schufa in Bezug auf die meisten Äußerungen überhaupt nicht gegen uns vorgehen kann, weil es ja um ihre Tochterfirma, die Forteil GmbH (Bonify) geht und nicht um sie. Die Schufa hat trotz des gerichtlichen Hinweises aber nur ihre Anträge etwas geändert, wollte aber dennoch eine Gerichtsentscheidung. Die haben sie bekommen, und zwar doppelt! Sowohl das LG Köln als auch das OLG Köln haben gesagt, dass sie durch unseren Artikel nicht betroffen ist und ihre Anträge allein schon deshalb nicht durchgehen.

Deswegen haben wir dann aber eine weitere Abmahnung von Bonify inklusive Antrag auf einstweiligen Rechtsschutz erhalten, das Verfahren fand aber dieses Mal in Hamburg statt (Az. 329 O 127/23). Die dortige Richterin sah den ganzen Sachverhalt in der mündlichen Verhandlung leider anders als die Richter in Köln. Sie meinte, sie neige zu der Auffassung, den Begriff „Datenleck“ nicht als Meinungsäußerung, sondern eher als Tatsachenbehauptung einzuordnen. Der Grund sei, dass es eine offizielle Definition für den Begriff im Duden gäbe und es so dem Beweis zugänglich wäre, ob hier nun ein Datenleck passiert wäre oder nicht. Im Duden steht: „durch einen Softwarefehler verursachte oder vorsätzlich herbeigeführte Offenlegung vertraulicher Daten.“ Dann wurde diskutiert, ob angesichts dieser Definition ein Datenleck vorliege und „ob insofern von fremden Daten gesprochen werden kann“. Auch wurde erörtert, inwiefern es sich bei dem verknüpften Geo-Score um ein solches persönliches Datum handelt.  

Die Richterin schlug vor, die beanstandeten Passagen umzuformulieren, etwa den Begriff „Datenleck“ zu ersetzen, z.B. durch den Begriff „Sicherheitslücke“. Es müssten ggf. auch weitere Formulierungen geändert werden, z.B. dort wo von „Zugriff auf fremde Daten“ die Rede ist. Hierzu wäre die Definition im Duden: „Sicherheitsmangel aufgrund fehlender Berücksichtigung eines speziellen Risikos.“ Später sagte die Richterin dann, der Leser, der den geänderten Beitrag erstmals aufruft, kein Störgefühl haben würde, die Änderung für uns also keinen merklichen Unterschied machen dürfte. Letztlich regte sie beide Parteien an, einen Vergleich zu schließen. Wir haben darüber lange nachgedacht, es war eine schwierige Entscheidung.

Der Vergleich

In Hamburg sah es also nicht besonders gut für uns aus. Wir hätten zwar das Urteil kassieren und in die nächste Instanz ziehen können, doch das ist bei einem Streitwert von 100.000 Euro mit hohen Kosten verbunden. Und ganz ehrlich: Das war uns ein einfacher Blogbeitrag dann doch auch nicht wert.

Daraufhin haben wir uns also auf einen Vergleich eingelassen: Wir sprechen somit nur noch von einer „Sicherheitslücke“.

Fazit

Unsere Meinung: Die uns eh schon unsympathische Schufa und ihre Tochter haben sich erwartbar unsympathisch verhalten. Ich finde, das wirft echt kein gutes Licht auf beide, dass sie so reagieren. Sie gehen radikal gegen Leute vor, die über einen tatsächlichen Fehler berichten und streiten dann um Begrifflichkeiten.

ahe/vtr