Bonify und der Verlust digitaler Identität

Am 1. Oktober 2025 wurde ein Datenschutzvorfall bekannt, der das Vertrauen in die digitale Bonitätswirtschaft weiter erschüttert: Die Schufa-Tochter Forteil, Betreiber des Dienstes Bonify, hat bestätigt, dass Unbefugte Zugriff auf Identifikationsdaten von Nutzer:innen hatten. Es handelt sich nicht um abstrakte Metadaten oder technische Logs – sondern um reale, personenbezogene Daten: Ausweisdokumente, Adressen, Fotos und Videoaufnahmen, aufgenommen im Rahmen des Videoident-Verfahrens.

Was genau ist passiert?

Wie zuerst heise online berichtete, wurde bei einem Angriff auf Bonify sensible Nutzerdaten erbeutet, die beim Onboarding-Prozess für neue Kunden erfasst werden – konkret:

• Ausweisdaten
• Adressinformationen
• Foto- und Videodaten aus dem Identifikationsprozess

Forteil gibt an, dass keine Passwörter, Bankdaten oder Bonitätsinformationen kompromittiert wurden. Dennoch reicht der Verlust der genannten Informationen aus, um potenziell erheblichen Identitätsmissbrauch zu ermöglichen. Besonders problematisch: Der Angriff betrifft jene, die sich per Videoident registriert haben – eine Methode, die sich durch ihre vermeintliche Nutzerfreundlichkeit zunehmend durchgesetzt hat.

Warum dieser Vorfall weit über Bonify hinausweist

Bonify versteht sich als digitale Schnittstelle zwischen Verbraucher und Schufa – mit dem Versprechen, mehr Transparenz in die ansonsten undurchsichtige Welt der Bonitätsscores zu bringen. Gleichzeitig vermittelt der Dienst Kredite und Bonitätsnachweise an Dritte (z. B. für Vermieter), was bereits in der Vergangenheit datenschutzrechtlich kritisch diskutiert wurde. Wenn nun ausgerechnet dieser Dienst selbst Opfer eines Angriffs wird, steht mehr auf dem Spiel als ein technisches Datenleck.

Es geht um Vertrauen. Und um systemisches Risiko.

• Der Vorfall zeigt, wie verwundbar digitale Identitätsinfrastrukturen sind – besonders dort, wo personenbezogene Daten gebündelt, gespeichert und monetarisiert werden.
• Wer sich bei Bonify anmeldet, öffnet nicht nur seine Schufa-Daten, sondern liefert auch eine vollständige digitale Kopie seiner Identität – samt Ausweisdokument und Gesichtserkennung.
• Dass diese Daten jetzt in den Händen Unbekannter sind, ist nicht nur für die Betroffenen bedrohlich, sondern auch für das gesamte Vertrauen in digitale Identitätsverfahren.

Die offenen Fragen

Bislang sind viele Details unklar. Weder wurde angegeben, wie viele Nutzer betroffen sind, noch, wann genau die Kompromittierung erfolgte. Auch zum Dienstleister ID Now, über den der Videoident-Prozess abgewickelt wird, gibt es bislang keine offizielle Stellungnahme – laut Heise ist derzeit aber nicht davon auszugehen, dass das Leck dort auftrat.

Zudem steht eine weitere Frage im Raum: Warum wurden diese Daten überhaupt dauerhaft gespeichert? Die Speicherung sensibler Videoident-Daten ist datenschutzrechtlich nur sehr begrenzt zulässig. Eine einmalige Verifikation müsste eigentlich ausreichen – mit sofortiger Löschung danach.

Was Betroffene jetzt tun sollten

Auch wenn keine Bankdaten betroffen sind, ist das Risiko für Identitätsdiebstahl real. Mit einem Ausweisdokument können Kriminelle:

• Mobilfunkverträge abschließen
• Fake-Konten auf Plattformen eröffnen
• Zahlungsdienstleister missbrauchen
• In Kombination mit weiteren Leaks sogar Kredite oder Abonnements erschleichen

Wer betroffen ist, sollte daher:

• Eine Anzeige wegen Identitätsdiebstahls erstatten
• Den alten Ausweis sperren und einen neuen beantragen
• Bei der Schufa einen Warnhinweis hinterlegen
• Auf verdächtige Mails, SMS und Anrufe achten
• Und die eigenen Daten mit einem Identitätsmonitoring im Blick behalten (Bonify stellt dies aktuell für sechs Monate kostenlos zur Verfügung – fraglich, ob das reicht)

Ein strukturelles Problem

Dieser Vorfall reiht sich ein in eine lange Liste kritischer Vorfälle bei Akteuren der digitalen Identitätswirtschaft. Er zeigt, wie schmal der Grat zwischen Innovation und Risiko ist – und wie wichtig verbindliche Datenschutzstandards, externe Audits und technische Mindeststandards sind. Wer sich als „Transparenzoffensive" vermarktet, muss sich auch an höchstmöglicher Sicherheit messen lassen.

Die Schufa selbst steht aktuell unter erhöhter Beobachtung: Im Zuge der Einführung eines neuen Scoresystems und diverser Gerichtsurteile wächst der Druck auf das Unternehmen, Verbraucherschutz ernst zu nehmen. Der Leak bei Bonify fällt in diese Phase – und untergräbt jede PR-Offensive.

Fazit: Identitätsdaten sind kein Kollateralschaden

Es geht hier nicht um eine E-Mail-Adresse oder eine Telefonnummer. Es geht um das, was einen Menschen eindeutig identifiziert – Name, Gesicht, Adresse, Ausweisdokument. Der Missbrauch dieser Daten kann langfristige Folgen haben, bis hin zu finanzieller Schädigung und rechtlichen Komplikationen.

Digitale Identität ist ein Versprechen – aber auch eine Verantwortung. Wer damit arbeitet, braucht nicht nur die Einwilligung der Nutzer:innen, sondern auch deren Vertrauen. Und genau das hat Bonify in diesem Fall verspielt.