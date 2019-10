Im August wurde die Finanzdienstleisterin Revolut Opfer einer Phishing-Attacke. Diese Zeitung berichtete über Kunden, die teilweise innert weniger Minuten mehrere 10'000 Franken verloren haben. Revolut kam für den Schaden auf. Beim Phishing entlocken Betrüger mit gefälschten Internetauftritten oder Nachrichten ahnungslosen Kunden Zugangsdaten zu deren Konten. Im Fall von Revolut forderten sie deren Nutzer per SMS auf, das Konto zu bestätigen. Wer dies anklickte, wurde auf eine gefälschte Internetseite umgeleitet, die der Revolut-App ähnelte.

Pikant ist dabei, dass die App Phishing-Betrüger unterstützen kann. Revolut ist vor allem wegen günstiger Konditionen für Zahlungen im Ausland populär. Und funktioniert zu einem grossen Teil über eine Smartphone-App, weshalb oft von einer Smartphone-Bank die Rede ist. Die Nutzer sehen in ihrem Mobiltelefon, wer alles aus der Kontaktliste ein Revolut-Konto besitzt. Betrüger können nun beliebige Nummern erfassen, um Kontoinhaber ausfindig zu machen, und diese gezielt anschreiben. Kurz nach der Phishing-Attacke haben sich bei dieser Zeitung einzelne Nutzer beschwert, dass sie die Privatsphäre für ihr Revolut-Konto nicht besser schützen können.

Neue Funktion

Möglicherweise hat auch Revolut Reklamationen erhalten. Jedenfalls hat das Unternehmen auf die Phishing-Attacke rasch reagiert und im Bereich «Datenschutz» seiner App eine neue Funktion eingebaut, die ermöglicht, dass das Revolut-Konto für andere Nutzer unsichtbar bleibt. Das Unternehmen bestätigt, dass die ohnehin geplante Funktion aufgrund der Vorfälle im August rascher eingeführt worden sei.

Wie eine Testinstallation der App zeigt, bleiben die Kontoinhaber in der Standardeinstellung jedoch als solche erkennbar. Der Nutzer muss also von sich aus aktiv werden, wenn er nicht mehr als Revolut-Kunde erkannt werden will. Das kann nicht nur Phishing-Betrügern helfen, sondern ist auch datenschutzrechtlich heikel. «Der Zugriff auf das Adressbuch ist unverhältnismässig, da ein solcher für die Dienstleistung nicht zwingend nötig ist», antwortet das Büro des Eidgenössischen Datenschutzbeauftragten. Oder anders ausgedrückt: «Die Einwilligung der Betroffenen ist gesetzlich vorgeschrieben.» Die Schweizer Bezahl-App Twint, die bargeldloses Zahlen mit dem Smartphone ermöglicht, zeigt ihren Nutzern nicht an, welche Kontakte Twint nutzen, wie das Unternehmen betont.

Revolut hat weltweit über sieben Millionen Kunden, darunter laut «Handels-Zeitung» 250'000 in der Schweiz. Da es sich um ein britisches Unternehmen handelt, kann der Eidgenössische Datenschutzbeauftragte Revolut keine Vorschriften machen. Doch wie verträgt sich die Sichtbarkeit von Kunden in der Revolut-App mit dem Datenschutzrecht der EU? Auch hier gibt es aus Expertensicht kritische Einschätzungen: «Die neu eingeführte Funktion ist nicht ausreichend, sofern diese nur eine Abmeldemöglichkeit bietet», sagt Elena Sommer-Hörl, Rechtsanwältin bei Datenschutzexperte.de. Wie sie erläutert, wäre die App nur dann rechtskonform, wenn Revolut-Kunden für andere Nutzer grundsätzlich nicht sichtbar sind und für ihre Sichtbarkeit explizit ihre Einwilligung geben müssen.

Im vorliegenden Fall sei problematisch, dass es bei Telefonnummern um Einzelangaben von Personen gehe. Diese würden unter die europäische Datenschutzgrundverordnung (DSGVO) fallen. «Die Veröffentlichung der Telefonnummer und damit der Information über Revolut-Kunden bedarf einer vorherigen informierten und ausdrücklichen Einwilligung durch den Kunden.» Wie heikel die Sichtbarkeit der Kunden sei, zeige die Möglichkeit gezielter Phishing-Attacken.

Problem mit Drittpersonen

Revolut betont in einer Stellungnahme, dass man alle Vorgaben der DSGVO einhalte und den Datenschutz ernst nehme. Das Teilen der Kontaktinformationen ermögliche Dienstleistungen wie sofortige Zahlungen an die eigenen Kontakte. Zudem könnten die Nutzer diese Funktion jederzeit ausschalten.

Auch Martin Steiger, Zürcher Anwalt für Recht im digitalen Raum, beurteilt die Vereinbarkeit mit dem europäischen Datenschutzrecht skeptisch. Er relativiert zwar, dass die Nutzer bei der Installation der App der Datennutzung zustimmen. Problematisch sei aber, dass die App auch Nummern von unbeteiligten Drittpersonen erfasse, die selber gar kein Revolut-Konto hätten.