Yet another Number26 privacy horror: Customer information was forwarded to SCHUFA without permission

Update: Please differentiate query (first entry in the screenshot, greyed out) and data forwarding (second entry and what this is really about). This is a common misconception. Their overdraft policy only allows data about the account to be forwarded if there is an actual overdraft set up!

Update 2 (2016-03-03): Because I blogged about the issue, they are now refusing to resolve it or even reply to my inquiries about that matter any further. My bank account data is still listed with SCHUFA and no explanation was given by Number 26 to support their claim that they were allowed to forward this information.

Update 3 (2016-05-31): Number26 again queried my SCHUFA. There has been no explanation and the support representative failed to come back to me why that happened. I have canceled my contract with them effective immediately.

 

Original Post

Two weeks ago when finding out that Number 26 MasterCards are storing and revealing information about your transaction history I was yet to discover another privacy issue, that might affect German users even more.

Number 26 will be listed as checking account (“Girokonto”) in your SCHUFA

In Germany, everyone more or less knows what the SCHUFA is. For everyone else, I’ll explain it in a few sentences:

Schufa’s purpose is to protect its clients from credit risks. It also offers protection from insolvency to borrowers. They are doing this by collecting data through their customers (like Number 26) about your contracts and if you failed to pay your debt. Whenever you apply for a loan, mobile phone contract, checking account or credit card, the company will check your SCHUFA (if they are a customer) and deny your request based on the data provided. Too many checking accounts may lead to a denial in your loan or credit card application.

 

So, where is the problem?


Screenshot of my meineschufa.de with my bank account information forwarded to them.

Number 26 has again violated your privacy by sharing your data with third parties without your consent. I have read their terms of service for overdraft (the only place, where they mention data sharing with SCHUFA) in German and English a couple of times now. The Internet Archive has a snapshot as of the time of this writing, in case Number 26 changes it. You can read the full overdraft terms here.

In a nutshell:

9. Transmission of personal data to SCHUFA

9.1 The Bank transfers personal data of the Customer regarding the establishment, proper execution and termination of the Overdraft Credit Contract to SCHUFA […], for the purposes of credit assessment […]. The Customer hereby releases the Bank from bank secrecy.

9.2 The Customer may obtain information from SCHUFA regarding stored data that pertains to the Customer. […]

9.3 The Customer hereby consents that data relevant to the credit with regard to the application, the receipt ([…]) and settlement ([…]) may be transferred to SCHUFA Holding AG […].

[…] the SCHUFA financial institution will also transfer data regarding its existing receivables due by the Customers. […]

[…] the financial institution shall also transfer data regarding miscellaneous non-contractual behaviour (e. g., fraudulent behaviour) to SCHUFA. […]

In this respect, the Customer simultaneously releases the financial institution from bank secrecy.

[…]

So as they stated, they are permitted to do the following once you are granted an overdraft (I applied in December 2015 but did not get it granted):

  • Retrieve information about you from SCHUFA (i.e. for the initial application)
  • Share with SCHUFA about your overdraft allowance (i.w. amount and date)
  • Share should you not pay your debt after they told you to pay it back or otherwise commit fraud

But nowhere it says, that they are allowed to tell SCHUFA about your checking account (including account number) if there is no overdraft set up for your account.

 

Wait, it (again) gets better:

I have asked the Number 26 support about my entry and told them, that according to their terms of service, they are not allowed to share this information, as long as no overdraft was set up. Their response leaves me puzzled:

ich habe jetzt Rückinfo erhalten. Der Fehler lag nicht bei uns laut Schufa AG. Die Eintragungen des Girokontos von NUMBER26 werden zur Zeit bearbeitet und wieder raus genommen, der Vorgang wird allerdings etwas Zeit beanspruchen.

Translated:

I got a response now. The error was not with us according to Schufa AG. The entries of your chekings account at NUMBER 26 are being worked on at the moment and will be taken out again, this process will take a while.

No, I didn’t ask why the SCHUFA is storing this info, that’s their goddamn job. I was asking why Number 26 provided this info to SCHUFA. Who, if not Number 26, told SCHUFA about my account? How can Schufa AG claim it was not the fault of Number 26? They must be joking. And even if someone else told SCHUFA about that account, how did they know?

 

Do they even care?

It seems to me that Number 26 does not care about their customers. This is the third blog post in a month about their product. They go through big effort pushing their product and growing their userbase, but they are forgetting the most crucial things: privacy and security.

30 thoughts on “Yet another Number26 privacy horror: Customer information was forwarded to SCHUFA without permission

  1. Wenn du einen Dispo beantragst, woher soll der denn sonst stammen wenn nicht von einem Girokonto?
    Und beim beantragen von dem heißt es, wir checken kurz deine bonität bei der Schufa

    1. Bonität checken ist ein anderer Vorgang als die Daten zum Girokonto als eigenes Merkmal senden. Ich habe Number 26 aber nur insoweit vom Bankengeheimnis befreit, als dass sie einen beantragten Dispo und seine ggf. unsachgemäße Verwendung übermitteln dürfen. Es gibt aber keinen Dispo, daher auch keine Befreiung vom Bankengeheimnis:

      Der Kunde willigt ein, dass der SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, Daten über die Beantragung, die Aufnahme (in jedem Fall Kreditnehmer und Kreditbetrag bzw. Limite sowie bei Ratenkrediten zusätzlich Laufzeit und Ratenbeginn) und vereinbarungsgemäße Abwicklung (z. B. vorzeitige Rückzahlung, Laufzeitverlängerung) dieses Kredits übermittelt werden.

      Unabhängig davon wird das Kreditinstitut der SCHUFA auch Daten über seine gegen den Kunden bestehenden fälligen Forderungen übermitteln. Dies ist nach dem Bundesdatenschutzgesetz (§ 28a Absatz 1 Satz 1) zulässig, wenn sie die geschuldete Leistung trotz Fälligkeit nicht erbracht haben, die Übermittlung zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und

      – die Forderung vollstreckbar ist oder der Kunde die Forderung ausdrücklich anerkannt haben oder

      – der Kunde nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, das Kreditinstitut den Kunden rechtzeitig, jedoch frühestens bei der ersten Mahnung, über die bevorstehende Übermittlung nach mindestens vier Wochen unterrichtet hat und sie die Forderung nicht bestritten haben oder

      – das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen vom Kreditinstitut fristlos gekündigt werden kann und das Kreditinstitut den Kunden über die bevorstehende Übermittlung unterrichtet hat.

      Darüber hinaus wird das Kreditinstitut der SCHUFA auch Daten über sonstiges nichtvertragsgemäßes Verhalten (z. B. betrügerisches Verhalten) übermitteln. Diese Meldungen dürfen nach dem Bundesdatenschutzgesetz (§ 28 Absatz 2) nur erfolgen, soweit dies zur Wahrung berechtigter Interessen des Kreditinstituts oder Dritter erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt.

      Insoweit befreit der Kunde das Kreditinstitut zugleich vom Bankgeheimnis.

      1. Soweit ich weiß muss n26 einen Grund für die Anfrage bei der Schufa nennen. In dem Fall Dispo. Und wie du ja selbst geschrieben hast soll es kein Fehler seitens N26 gewesen sein, daher wäre meines Erachtens alles ok.

        Gibt zwar Leute wie du die das anders sehen und das versteh ich auch.

        Eine Frage hab ich aber: dich stört ja recht viel an N26. Warum bist dann immer noch dabei

        1. Bitte nicht “Anfrage” und “Übermittlung der Daten” verwechseln. Anfragen sind völlig legitim, die Übermittlung meiner Vertragsdaten (Girokonto) muss aber explizit erlaubt werden—und das ist in der Vertragsbeziehung zwischen Number 26 und mir nicht der Fall.

          Die Antwort zu deiner einen Frage: Ich habe nach diesen und einigen weiteren Problemen meine Konsequenzen gezogen und nutze Number 26 nicht mehr als Hauptkonto. Ich werde es aber nicht kündigen, weil ich gerne über Entwicklungen im Bankensektor schreibe und gerne neues ausprobiere. Und nachdem noch niemand anderes darüber geschrieben hat, ist es vermutlch auch noch niemanden aufgefallen—ich finde jeder hat das Recht, solche Dinge zu erfahren.

          1. Aber wie gesagt es hat sich ja herausgestellt das es ein Fehler war un der behoben wird. Außerdem ist das ja schon viel länger bekannt, dass es zur Schufaeintrsgung kommt.

            Aber aus seinen Fehlern lernt man. Hat n26 schon mehrfach bewiesen.

          2. Der Fehler lag nicht bei uns laut Schufa AG

            Der Fehler muss bei Number 26 liegen, denn es fand eine Datenweitergabe statt. Die SCHUFA würfelt ja nicht und errät, dass ich ein Konto mit dieser Kontonummer habe. Number 26 hat diese Informationen eindeutig weitergegeben! Bei regulären Anfragen (z.B. bei Krediten) melden potentielle Kreditgeber ja auch keine Kontonummern—Number 26 hat hier einen Fehler begangen.

            Number 26 kann diesen Fehler auch nicht mehr beheben, eine Weitergabe fand ja bereits statt. Sie können nur noch der SCHUFA sagen, dass sie diese Information löschen sollen.

    1. Das Bankkundengeheimnis ist ein hohes Gut, ein Verstoß dagegen verdient eine große Glocke.

      Have a nice day. I hope you will never be affected by something like this.

  2. Normalerweise gibt es bei Number26 keine Schufaabfrage, auch weil diese für die Bank Geld kostet. Wenn du einen Dispo beantragst wollen die natürlich Wissen wie es um deine Finanzen steht.

    1. Du bist also jemand, der nicht begriffen hat, dass die Abfrage etwas anderes ist als die Bestandsdatenmeldung—und Number26 für letzteres keine Genehmigung des Kunden hat (obwohl ich in der ersten Zeile des Blogeintrages fett darauf hinweise).

      Und auf Deiner Seite plapperst du auch nur das Marekting Bla-Bla à la “Dein Geld ist sicher weil die Bank ja eine Banklizenz hat” nach. “Das Konto von NUMBER26 ist so sicher wie jedes andere Girokonto.” ist eine Aussage, mit der du dich ganz Weit aus dem Fenster lehnst. PushTAN als solches, und die Implementierung von Number 26 weisen ganz klare Schwächen auf – wie Sicher dein Geld war, kannst du hier nachlesen. Dass eine Bank PushTAN derart dilettantisch implementiert, zeigt mir, dass man sich über die Sicherheit nicht allzuviele Gedanken gemacht haben kann.

  3. Hallo Christian, erstmal vielen Dank für deine Recherche. Auch ich habe ein Konto bei Number26 und bin ein wenig schockiert über die hier beschriebene Vorgehensweise / Sicherheitslücke (dein Beitrag zum Auslesen der MasterCard) und kann ehrlichgesagt auch nicht verstehen, dass hier versucht wird das Ganze so herunterzuspielen.

    Du hast absolut Recht – die Meldung an die Schufa dürfte gemäß AGBs nicht erfolgen, bzw. nur dann, wenn ein Dispo beantragt und in Anspruch genommen wird. Hierfür hat Number26 einen eigenständigen Antragsprozess, sodass die Beantragung des Dispos und der Schufa-Übermittlungs-Prozess losgelöst von der eigentlichen Kontoeröffnung / Registrierung stattfindet (es sei denn, man beantragt bei der Kontoeröff. bereits einen Dispo). Und ganz ehrlich, auch ich hatte mich damals über das Schufa-Update gewundert, es allerdings nicht weiter hinterfragt…#Lessonlearned!

    Ich bin (bis dato) ein großer Fan von Number26 und habe seit Go-Live ein Konto dort. Zur Zeit nutze ich es sogar als mein Hausbankkonto, da Funktionalität, Design und Handhabung der App ist einfach klasse und zeitgemäß sind – da können sich die großen Player noch einiges abschauen. Umso bedauerlicher sind deine Befunde hier. Ganz gleich, ob es andere Banken vielleicht ähnlich handhaben. Von einem angehenden “Banken-Player” erwarte ich diesbezüglich mehr Professionaität, insbesondere im Umgang mit Kundendaten (passt ja zu beiden Themen).

    Gibt es hierzu zwischenzeitlich ein Update?

  4. You seem to misunderstand how credit reference agencies work. When you apply for a credit application, you perform a query on the credit report which is marked. The credit reference agencies use this as part of credit scoring (i.e. if you apply for lots of credit cards in one short space of time)

    “The Bank transfers personal data of the Customer regarding the establishment, proper execution and termination of the Overdraft Credit Contract to SCHUFA”

    In that part, when you applied for credit in December you consented to your personal data being transmitted to SCHUFA as part of the establishment of the contract. Just because your overdraft wasn’t granted didn’t mean you didn’t initially agree to the terms.

    1. Please read the terms again. I have explained this often enough. Overdraft was never established, therefore transmitting my account number to SCHUFA was unlawful and not covered by their overdraft terms.

  5. Thanks for the useful info, Christian. Quick question – how can I check my SCHUFA data, and what info would it include? I see on their website that I have to pay them to access my own info, is this really true? I am curious whether any previous accounts of mine are listed, or potentially Number26, as well as any outstanding debt…

  6. Thanks a lot for your research! Me as N26 customer and developer appriciate such blog posts – security is not a feature! 😉 I’ll check my Schufa records …

  7. This is an interesting aspect that you definitely should mention in your blog post.

    Maybe someone from the press is interested in a headline such as “Fintech gives a shit about data protection legislation details/consumer rights”. Maybe you know someone with contacts to Heise, FAZ, Handelsblatt, Tagesspiegel, Berliner Zeitung, Spiegel, whatever. Further examples (same or different Fintechs) would of course be needed to make it a viable story.

    1. Well, you’d think that. After I posted the story about Number26’s broken 2 factor authentication, no-one wanted to pick that up. However, a post about how you can read transaction data over the air from your Mastercard made a huge rumble. In my opinion, those newspapers are clickbaiters at best—in for a quick story. I do not have the resources to collect enough cases of privacy issues to make a case for them.

    1. Well, the entry got removed eventually, but N26 is still refusing to talk to me about this issue, because I blogged about it.

  8. Thank you. I didn´t like the recent changes with N26 strategy and your post made me delete my account on the spot and ask for schufa request just to check.
    Sadly, in general, i don´t have a good experience with German banks (specially with DKB which rejects my application with no explanation).

    1. DKB seems to be very restrictive (even more restrictive than Consorsbank and ING-DiBa). Maybe your schufa report will give you a clue. If you are not a native German speaker and you need help with it, just contact me.

      1. Thank you very much for your fast reply. In fact, I made the request and I´m waiting for my schufa paper. What made me suspicious is the following: I applied for DKB and got rejected on my arrival to Germany. So I used N26 because I needed a Visa/Master card to pay for an urgent flight. And now after 7 months, I´m trying to apply again at DKB and I can´t even get through the automatic initial check (I´ve never left anything without payement including TV fees).

        1. I think the problem you are facing with DKB is caused by the fact, that Schufa knows nothing about you. Maybe they don’t even have a file on you.

          Who are you banking with now?

          Schufa doesn’t only Store negative information, but also mobile phone contracts for example. You might have benefited from them registering your checking account with Schufa.

          1. Now I´m using a girokonto with a local VR Bank and Ing-Diba (a collegue recommeded it for free worldwide money withdraw since I travel to my home country for vacation and I would like to use this feature. But they get 1,75% as exchange rate).
            I don´t have a phone contract but I have a DSL contract (with 1&1) and an electricity contract.

          2. Great! If you have the ING-DiBa Visa (and a smartphone), get a Revolut account. It is a Prepaid Mastercard that has (from mo-fr) awesome exchange rates, 0% fee on foreign currency and up to 600 EUR/Month (or equivalent) free withdrawals from ATMs. With your ING-DiBa Visa, you can top up Revolut in realtime without fees, so you don’t have to carry a balance on it “just in case”. Be sure to check their fair use policy.

            https://revolut.com/

            Local VR Bank, ING-DiBa and Revolut is a really good combination for doing savvy banking and getting the best combined offers and prices!

Leave a Reply

Your email address will not be published. Required fields are marked *