Datenschutz bei Corona-Soforthilfe: Wer Geld will, macht sich nackt
Hamburg nutzt eine App, um bei Anträgen auf Soforthilfe die Identität festzustellen. Private Daten gehen damit an ein Wirtschaftsunternehmen.
Hamburg wählt diese Lösung, um Betrug zu verhindern. Mit digitalen Anträgen sollten Solo-Selbstständige und kleine Unternehmen schnell an die Corona-Soforthilfen von Bund und Ländern kommen. Doch Betrüger*innen haben die Antragsportale der Förderbanken der Länder nachgebaut, um zu „phishen“, also an die Daten der echten Antragssteller*innen zu kommen. In deren Namen und mit veränderten Kontodaten stellten sie dann fingierte Anträge auf Soforthilfen. Auch in Hamburg gab es solche Betrugsversuche – sie wurden jedoch bemerkt, bevor das Geld ausgezahlt wurde.
Um sich vor diesen falschen Anträgen zu schützen, wurde die App „SelfieIdent“ von Nect gewählt. Über Videos vom Ausweisdokument und eine kurze Tonaufnahme samt Selfie soll das Programm die Identität der Antragssteller*innen einwandfrei nachweisen.
Die Methode ist alternativlos – zumindest für die Betroffenen in Hamburg: Ein Antragssteller berichtete der taz, dass er statt der Nutzung der App persönlich mit seinem Ausweis zur Identifizierung habe vorbeikommen wollen. Doch die Telefonauskunft der Förderbank IFB habe erklärt, dass das nicht vorgesehen sei. Die Digitalisierung schreite nun einmal voran, das solle er einsehen.
Mehrere Beschwerden beim Datenschutzbeauftragten
Wie weit die App des privaten Betreibers Datenschutzbedenken rechtfertigt, will die Hamburger Datenschutzbehörde noch nicht kommentieren: Man habe keine Zeit gehabt, die App zu prüfen oder auch nur anzusehen. Schließlich hatte die IFB vor der Entscheidung für die Software nicht zunächst beim Datenschutzbeauftragten nachgefragt.
Beim öffentlichen IT-Dienstleister Dataport wagt man sich an eine erste vorläufige Bewertung der App: „Die Datenschutzgrundlagen sahen auf den ersten Blick ganz gut aus“, so Dataport-Sprecherin Britta Heinrich – sie entsprächen der europäischen Datenschutzgrundverordnung und, ebenfalls wichtig, die Server stünden in Deutschland.
Viele Bürger*innen scheinen sich dennoch nicht wohl damit zu fühlen, dass sie für einen Antrag auf staatliche Fördergelder ihre persönlichen Daten an ein Privatunternehmen geben müssen: Beim Hamburger Datenschutzbeauftragten sind am gestrigen Mittwoch mehrere Beschwerden eingegangen.
Die Hamburger Finanzbehörde dagegen will von Beschwerden bisher nichts gehört haben. Sie rechtfertigt den Einsatz der Nect-App: „Der Vorteil des Robo-Ident-Verfahrens liegt in der sicheren, unkomplizierten, nutzerfreundlichen Anwendung und der hohen Verarbeitungsgeschwindigkeit“, wirbt die Behörde gleich in zwei Antworten auf taz-Fragen. Die App trage so dazu bei, den Bewilligungsprozess möglichst kurz zu gestalten. Zudem erfülle „die Nect GmbH alle derzeit in Deutschland gültigen Datenschutz-Anforderungen“, auch als private Firma.
Nach staatlichem Anbieter nicht gesucht
Ein staatlicher Anbieter, „der mit einer Vielzahl von Ausweisdokumenten verlässlich arbeiten kann“, sei ihnen nicht bekannt, so der Sprecher. Allzu intensiv nachgeforscht haben dürfte die Finanzbehörde dabei aber nicht – zumindest bei Dataport, dem IT-Dienstleister der öffentlichen Verwaltung in den fünf Nordländern und Sachsen-Anhalt, ist nichts über eine Anfrage der Finanzbehörde oder der IFB Bank bekannt.
Dabei bietet Dataport auch eine eigene Möglichkeit zur Authentifizierung von persönlichen Daten. Die Bürger*innen erhalten ein Servicekonto, mit dem sie verschiedene Verwaltungsleistungen in Anspruch nehmen können. Grenzen hat aber auch diese Leistung. So braucht man ab einer gewissen Sicherheitsstufe der Datenabfragen einen elektronischen Reisepass – den hat nicht jeder. Eine weitere Möglichkeit könnte im Elster-System liegen, das von den Finanzbehörden für die Steuererklärung genutzt wird.
Ungewöhnlich ist es nicht, dass die IFB auf die Dienste von Dataport verzichtet hat. Auch andere öffentlich-rechtliche Landesbanken mit gesetzlichem Auftrag nutzen eher Dienstleistungen und Softwareangebote privater Unternehmen. Auch in Bremen habe man über den Einsatz von Apps wie in Hamburg schon nachgedacht, sagt Wirtschaftsbehörden-Sprecher Kai Stührenberg.
Andere Länder wählen teil-digitale Lösungen
Von Betrugsversuchen überwältigt fühlt man sich bisher in Bremen nicht. Es gebe weniger Phishing-Versuche, auch, weil Bremen erst später auf die digitale Antragsstellung umgeschwenkt sei. „Außerdem liest jeden Antrag ein Mensch, da fallen Betrugsversuche schon auf“, so Stührenberg.
Schleswig-Holstein setzt auf eine nur teilweise digitale Lösung, um Betrugsversuche zu vereiteln: Jeder Antrag muss zusätzlich manuell mit Unterschrift versehen und dann eingescannt werden. Damit kommt es zu einem sogenannten „Medienbruch“, der Nutzer muss also einen Bearbeitungsschritt abseits des Rechners machen. „Ein Grund war, dass unseres Erachtens ein medienbruchfreies, rein digitales Verfahren ein höheres Betrugsrisiko birgt“, erklärt Harald Haase, Sprecher des Wirtschaftsministeriums.
Zudem erfolgt in Schleswig-Holstein eine automatische Überprüfung der Steuer- und Kontonummern, um Mehrfachzahlungen an die gleiche IBAN zu unterbinden. Auch Niedersachsen wählt diesen Weg – bisher seien dort so 17 Antragssteller als mögliche Betrugsfälle auffällig geworden, teilt die niedersächsische Wirtschaftsbehörde mit.
Für eine nur teildigitale Lösung spricht noch anderes. Neben den Datenschutz- und Sicherheitsbedenken bringen digitale Anträge und die Nutzung einer App noch andere Probleme mit sich: Was machen die Solo-Selbstständigen und Kleinunternehmer, die kein Smartphone besitzen – oder jene, deren Betriebssysteme zu alt sind? Antworten auf diese Fragen gibt die Hamburger Finanzbehörde nicht. „Aufgrund der aktuellen Pandemie-Situation hat die IFB keinen Publikumsverkehr mehr“, erwidert sie nur.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Rechtspopulistinnen in Europa
Rechts, weiblich, erfolgreich
Wirkung der Russlandsanktionen
Der Rubel rollt abwärts
Buchpremiere von Angela Merkel
Nur nicht rumjammern
Rauchverbot in der Europäischen Union
Die EU qualmt weiter
Stellungnahme im Bundestag vorgelegt
Rechtsexperten stützen AfD-Verbotsantrag
Greenpeace-Mitarbeiter über Aufrüstung
„Das 2-Prozent-Ziel ist willkürlich gesetzt“