Datenschutz bei Corona-Soforthilfe: Wer Geld will, macht sich nackt

Hamburg nutzt eine App, um bei Anträgen auf Soforthilfe die Identität festzustellen. Private Daten gehen damit an ein Wirtschaftsunternehmen.

Vor der ungewollten Weitergabe privater Daten schützt Hamburger Antragsstellende keine Maske Foto: Mark Claus Nunes/Unsplash

HAMBURG taz | Kontodaten, IP-Adresse, die Personalausweisnummer, die Meldeadresse und ein Handy-Selfie – sensible Daten, bei denen man gerne selbst bestimmt, wem man sie zu welchen Zwecken weitergibt. Wer die vom Staat zugesagte Nothilfe in Hamburg abrufen möchte, kann das nicht: Die Antragsstellung erfordert seit vergangenem Wochenende die Nutzung einer App. Deren Betreiber ist das Privatunternehmen Nect GmbH; die Daten verbleiben bis zu 48 Monate auf ihren Servern.

Hamburg wählt diese Lösung, um Betrug zu verhindern. Mit digitalen Anträgen sollten Solo-Selbstständige und kleine Unternehmen schnell an die Corona-Soforthilfen von Bund und Ländern kommen. Doch Betrüger*innen haben die Antragsportale der Förderbanken der Länder nachgebaut, um zu „phishen“, also an die Daten der echten Antragssteller*innen zu kommen. In deren Namen und mit veränderten Kontodaten stellten sie dann fingierte Anträge auf Soforthilfen. Auch in Hamburg gab es solche Betrugsversuche – sie wurden jedoch bemerkt, bevor das Geld ausgezahlt wurde.

Um sich vor diesen falschen Anträgen zu schützen, wurde die App „SelfieIdent“ von Nect gewählt. Über Videos vom Ausweisdokument und eine kurze Tonaufnahme samt Selfie soll das Programm die Identität der Antragssteller*innen einwandfrei nachweisen.

Die Methode ist alternativlos – zumindest für die Betroffenen in Hamburg: Ein Antragssteller berichtete der taz, dass er statt der Nutzung der App persönlich mit seinem Ausweis zur Identifizierung habe vorbeikommen wollen. Doch die Telefonauskunft der Förderbank IFB habe erklärt, dass das nicht vorgesehen sei. Die Digitalisierung schreite nun einmal voran, das solle er einsehen.

Mehrere Beschwerden beim Datenschutzbeauftragten

Wie weit die App des privaten Betreibers Datenschutzbedenken rechtfertigt, will die Hamburger Datenschutzbehörde noch nicht kommentieren: Man habe keine Zeit gehabt, die App zu prüfen oder auch nur anzusehen. Schließlich hatte die IFB vor der Entscheidung für die Software nicht zunächst beim Datenschutzbeauftragten nachgefragt.

Beim öffentlichen IT-Dienstleister Dataport wagt man sich an eine erste vorläufige Bewertung der App: „Die Datenschutzgrundlagen sahen auf den ersten Blick ganz gut aus“, so Dataport-Sprecherin Britta Heinrich – sie entsprächen der europäischen Datenschutzgrundverordnung und, ebenfalls wichtig, die Server stünden in Deutschland.

Viele Bürger*innen scheinen sich dennoch nicht wohl damit zu fühlen, dass sie für einen Antrag auf staatliche Fördergelder ihre persönlichen Daten an ein Privatunternehmen geben müssen: Beim Hamburger Datenschutzbeauftragten sind am gestrigen Mittwoch mehrere Beschwerden eingegangen.

Die Hamburger Finanzbehörde dagegen will von Beschwerden bisher nichts gehört haben. Sie rechtfertigt den Einsatz der Nect-App: „Der Vorteil des Robo-Ident-Verfahrens liegt in der sicheren, unkomplizierten, nutzerfreundlichen Anwendung und der hohen Verarbeitungsgeschwindigkeit“, wirbt die Behörde gleich in zwei Antworten auf taz-Fragen. Die App trage so dazu bei, den Bewilligungsprozess möglichst kurz zu gestalten. Zudem erfülle „die Nect GmbH alle derzeit in Deutschland gültigen Datenschutz-Anforderungen“, auch als private Firma.

Nach staatlichem Anbieter nicht gesucht

Ein staatlicher Anbieter, „der mit einer Vielzahl von Ausweisdokumenten verlässlich arbeiten kann“, sei ihnen nicht bekannt, so der Sprecher. Allzu intensiv nachgeforscht haben dürfte die Finanzbehörde dabei aber nicht – zumindest bei Dataport, dem IT-Dienstleister der öffentlichen Verwaltung in den fünf Nordländern und Sachsen-Anhalt, ist nichts über eine Anfrage der Finanzbehörde oder der IFB Bank bekannt.

Dabei bietet Dataport auch eine eigene Möglichkeit zur Authentifizierung von persönlichen Daten. Die Bürger*innen erhalten ein Servicekonto, mit dem sie verschiedene Verwaltungsleistungen in Anspruch nehmen können. Grenzen hat aber auch diese Leistung. So braucht man ab einer gewissen Sicherheitsstufe der Datenabfragen einen elektronischen Reisepass – den hat nicht jeder. Eine weitere Möglichkeit könnte im Elster-System liegen, das von den Finanzbehörden für die Steuererklärung genutzt wird.

Ungewöhnlich ist es nicht, dass die IFB auf die Dienste von Dataport verzichtet hat. Auch andere öffentlich-rechtliche Landesbanken mit gesetzlichem Auftrag nutzen eher Dienstleistungen und Softwareangebote privater Unternehmen. Auch in Bremen habe man über den Einsatz von Apps wie in Hamburg schon nachgedacht, sagt Wirtschaftsbehörden-Sprecher Kai Stührenberg.

Andere Länder wählen teil-digitale Lösungen

Von Betrugsversuchen überwältigt fühlt man sich bisher in Bremen nicht. Es gebe weniger Phishing-Versuche, auch, weil Bremen erst später auf die digitale Antragsstellung umgeschwenkt sei. „Außerdem liest jeden Antrag ein Mensch, da fallen Betrugsversuche schon auf“, so Stührenberg.

Schleswig-Holstein setzt auf eine nur teilweise digitale Lösung, um Betrugsversuche zu vereiteln: Jeder Antrag muss zusätzlich manuell mit Unterschrift versehen und dann eingescannt werden. Damit kommt es zu einem sogenannten „Medienbruch“, der Nutzer muss also einen Bearbeitungsschritt abseits des Rechners machen. „Ein Grund war, dass unseres Erachtens ein medienbruchfreies, rein digitales Verfahren ein höheres Betrugsrisiko birgt“, erklärt Harald Haase, Sprecher des Wirtschaftsministeriums.

Zudem erfolgt in Schleswig-Holstein eine automatische Überprüfung der Steuer- und Kontonummern, um Mehrfachzahlungen an die gleiche IBAN zu unterbinden. Auch Niedersachsen wählt diesen Weg – bisher seien dort so 17 Antragssteller als mögliche Betrugsfälle auffällig geworden, teilt die niedersächsische Wirtschaftsbehörde mit.

Für eine nur teildigitale Lösung spricht noch anderes. Neben den Datenschutz- und Sicherheitsbedenken bringen digitale Anträge und die Nutzung einer App noch andere Probleme mit sich: Was machen die Solo-Selbstständigen und Kleinunternehmer, die kein Smartphone besitzen – oder jene, deren Betriebssysteme zu alt sind? Antworten auf diese Fragen gibt die Hamburger Finanzbehörde nicht. „Aufgrund der aktuellen Pandemie-Situation hat die IFB keinen Publikumsverkehr mehr“, erwidert sie nur.