piwik no script img

Datenschutz bei Corona-SoforthilfeWer Geld will, macht sich nackt

Hamburg nutzt eine App, um bei Anträgen auf Soforthilfe die Identität festzustellen. Private Daten gehen damit an ein Wirtschaftsunternehmen.

Vor der ungewollten Weitergabe privater Daten schützt Hamburger Antragsstellende keine Maske Foto: Mark Claus Nunes/Unsplash

HAMBURG taz | Kontodaten, IP-Adresse, die Personalausweisnummer, die Meldeadresse und ein Handy-Selfie – sensible Daten, bei denen man gerne selbst bestimmt, wem man sie zu welchen Zwecken weitergibt. Wer die vom Staat zugesagte Nothilfe in Hamburg abrufen möchte, kann das nicht: Die Antragsstellung erfordert seit vergangenem Wochenende die Nutzung einer App. Deren Betreiber ist das Privatunternehmen Nect GmbH; die Daten verbleiben bis zu 48 Monate auf ihren Servern.

Hamburg wählt diese Lösung, um Betrug zu verhindern. Mit digitalen Anträgen sollten Solo-Selbstständige und kleine Unternehmen schnell an die Corona-Soforthilfen von Bund und Ländern kommen. Doch Betrüger*innen haben die Antragsportale der Förderbanken der Länder nachgebaut, um zu „phishen“, also an die Daten der echten Antragssteller*innen zu kommen. In deren Namen und mit veränderten Kontodaten stellten sie dann fingierte Anträge auf Soforthilfen. Auch in Hamburg gab es solche Betrugsversuche – sie wurden jedoch bemerkt, bevor das Geld ausgezahlt wurde.

Um sich vor diesen falschen Anträgen zu schützen, wurde die App „SelfieIdent“ von Nect gewählt. Über Videos vom Ausweisdokument und eine kurze Tonaufnahme samt Selfie soll das Programm die Identität der Antragssteller*innen einwandfrei nachweisen.

Die Methode ist alternativlos – zumindest für die Betroffenen in Hamburg: Ein Antragssteller berichtete der taz, dass er statt der Nutzung der App persönlich mit seinem Ausweis zur Identifizierung habe vorbeikommen wollen. Doch die Telefonauskunft der Förderbank IFB habe erklärt, dass das nicht vorgesehen sei. Die Digitalisierung schreite nun einmal voran, das solle er einsehen.

Mehrere Beschwerden beim Datenschutzbeauftragten

Wie weit die App des privaten Betreibers Datenschutzbedenken rechtfertigt, will die Hamburger Datenschutzbehörde noch nicht kommentieren: Man habe keine Zeit gehabt, die App zu prüfen oder auch nur anzusehen. Schließlich hatte die IFB vor der Entscheidung für die Software nicht zunächst beim Datenschutzbeauftragten nachgefragt.

Beim öffentlichen IT-Dienstleister Dataport wagt man sich an eine erste vorläufige Bewertung der App: „Die Datenschutzgrundlagen sahen auf den ersten Blick ganz gut aus“, so Dataport-Sprecherin Britta Heinrich – sie entsprächen der europäischen Datenschutzgrundverordnung und, ebenfalls wichtig, die Server stünden in Deutschland.

Viele Bürger*innen scheinen sich dennoch nicht wohl damit zu fühlen, dass sie für einen Antrag auf staatliche Fördergelder ihre persönlichen Daten an ein Privatunternehmen geben müssen: Beim Hamburger Datenschutzbeauftragten sind am gestrigen Mittwoch mehrere Beschwerden eingegangen.

Die Hamburger Finanzbehörde dagegen will von Beschwerden bisher nichts gehört haben. Sie rechtfertigt den Einsatz der Nect-App: „Der Vorteil des Robo-Ident-Verfahrens liegt in der sicheren, unkomplizierten, nutzerfreundlichen Anwendung und der hohen Verarbeitungsgeschwindigkeit“, wirbt die Behörde gleich in zwei Antworten auf taz-Fragen. Die App trage so dazu bei, den Bewilligungsprozess möglichst kurz zu gestalten. Zudem erfülle „die Nect GmbH alle derzeit in Deutschland gültigen Datenschutz-Anforderungen“, auch als private Firma.

Nach staatlichem Anbieter nicht gesucht

Ein staatlicher Anbieter, „der mit einer Vielzahl von Ausweisdokumenten verlässlich arbeiten kann“, sei ihnen nicht bekannt, so der Sprecher. Allzu intensiv nachgeforscht haben dürfte die Finanzbehörde dabei aber nicht – zumindest bei Dataport, dem IT-Dienstleister der öffentlichen Verwaltung in den fünf Nordländern und Sachsen-Anhalt, ist nichts über eine Anfrage der Finanzbehörde oder der IFB Bank bekannt.

Dabei bietet Dataport auch eine eigene Möglichkeit zur Authentifizierung von persönlichen Daten. Die Bürger*innen erhalten ein Servicekonto, mit dem sie verschiedene Verwaltungsleistungen in Anspruch nehmen können. Grenzen hat aber auch diese Leistung. So braucht man ab einer gewissen Sicherheitsstufe der Datenabfragen einen elektronischen Reisepass – den hat nicht jeder. Eine weitere Möglichkeit könnte im Elster-System liegen, das von den Finanzbehörden für die Steuererklärung genutzt wird.

Ungewöhnlich ist es nicht, dass die IFB auf die Dienste von Dataport verzichtet hat. Auch andere öffentlich-rechtliche Landesbanken mit gesetzlichem Auftrag nutzen eher Dienstleistungen und Softwareangebote privater Unternehmen. Auch in Bremen habe man über den Einsatz von Apps wie in Hamburg schon nachgedacht, sagt Wirtschaftsbehörden-Sprecher Kai Stührenberg.

Andere Länder wählen teil-digitale Lösungen

Von Betrugsversuchen überwältigt fühlt man sich bisher in Bremen nicht. Es gebe weniger Phishing-Versuche, auch, weil Bremen erst später auf die digitale Antragsstellung umgeschwenkt sei. „Außerdem liest jeden Antrag ein Mensch, da fallen Betrugsversuche schon auf“, so Stührenberg.

Schleswig-Holstein setzt auf eine nur teilweise digitale Lösung, um Betrugsversuche zu vereiteln: Jeder Antrag muss zusätzlich manuell mit Unterschrift versehen und dann eingescannt werden. Damit kommt es zu einem sogenannten „Medienbruch“, der Nutzer muss also einen Bearbeitungsschritt abseits des Rechners machen. „Ein Grund war, dass unseres Erachtens ein medienbruchfreies, rein digitales Verfahren ein höheres Betrugsrisiko birgt“, erklärt Harald Haase, Sprecher des Wirtschaftsministeriums.

Zudem erfolgt in Schleswig-Holstein eine automatische Überprüfung der Steuer- und Kontonummern, um Mehrfachzahlungen an die gleiche IBAN zu unterbinden. Auch Niedersachsen wählt diesen Weg – bisher seien dort so 17 Antragssteller als mögliche Betrugsfälle auffällig geworden, teilt die niedersächsische Wirtschaftsbehörde mit.

Für eine nur teildigitale Lösung spricht noch anderes. Neben den Datenschutz- und Sicherheitsbedenken bringen digitale Anträge und die Nutzung einer App noch andere Probleme mit sich: Was machen die Solo-Selbstständigen und Kleinunternehmer, die kein Smartphone besitzen – oder jene, deren Betriebssysteme zu alt sind? Antworten auf diese Fragen gibt die Hamburger Finanzbehörde nicht. „Aufgrund der aktuellen Pandemie-Situation hat die IFB keinen Publikumsverkehr mehr“, erwidert sie nur.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

3 Kommentare

 / 
  • Daten sind bares Geld wert. Es gibt schon Gründe dafür, weshalb hier "Privat" vor Staat geht. Ob nun dieser Anbieter oder die Schufa oder die Bertelsmann-Stiftung, die über eine Tochter die elektronische Krankenversicherungskarte exklusiv und bundesweit in ihren Fingern hat. 80 Millionen Krankenversicherte, sind eine solide Basis für Renditeerwartungen. Man muss ja nicht kleinlich sein: Wir haben ja alle nichts zu verbergen und Edward Snowden ist eine Erfindung der Chinesen.

    Apropos Schufa: Deren Scouringsystem, wird bei so manch einem Mitbürger demnächst zu einem bösen erwachen führen.

    MfG

  • Das ist geradezu kriminell. Da wird ein IT-Dienstleister auf dem "kleinen Dienstweg" beauftragt und die KundInnen haben keine Wahl.

    "Was machen die Solo-Selbstständigen und Kleinunternehmer, die kein Smartphone besitzen – oder jene, deren Betriebssysteme zu alt sind?"

    Es gibt Verfahren, die auf so ziemlich jeden Computer laufen. PGP ist 29 Jahre alt! Es war genug Zeit, eine dezentrale PKI [1] einzuführen, dass wir jetzt nicht diese Situation hätten. Es war offensichtlich nicht gewollt.

    [1] de.wikipedia.org/w...-Key-Infrastruktur

  • Der Staat kann prűfen zu wem eine Kontor. gehört. Bevor er an Phisher űberweist.



    Einem Dritten, Privaten Daten, Foto und sicherlich ein paar € zu űber lassen ist nicht nur umständlich.