Kreditinstitute sind besonders stark reguliert und haben gut ausgestattete Compliance-Abteilungen. Dass sie sich auch in Punkto Datenschutz an geltende Gesetze halten, kann also vorausgesetzt werden.
Aber ist das wirklich so? decareto hat die Websites von 28 der größten Banken in Deutschland untersucht, und das Ergebnis ist ernüchternd: Nur auf 4 der untersuchten Websites wurden keine Mängel gefunden.
46% setzen unerlaubt Cookies
Ohne Einwilligung des Benutzers darf eine Website keine nicht notwendigen Cookies setzen, darin ist sich die Rechtsprechung einig. Dennoch setzen 13 der Banken (46%) derartige Cookies ohne Zustimmung. Fast alle von diesen (11 Banken) tun das, obwohl sie gleichzeitig durch ein Cookie-Banner den Eindruck erwecken, die Entscheidung des Benutzers zu respektieren.
Die Quellen dieser Cookies sind in die Websites eingebaute Tracker, meist die der großen US-Tech-Konzerne, vor allem Google und Facebook.
Viele Verstöße gegen Schrems II-Urteil
Seitdem der Europäische Gerichtshof Mitte 2020 das Privacy-Shield-Zertifikat gekippt hat, gelten die USA als „unsicherer Drittstaat“, damit dürfen ohne Zustimmung des Benutzers streng genommen überhaupt keine externen Dienste aus den USA eingebunden werden, selbst wenn diese keine Cookies setzen, denn in jedem Fall wird die IP-Adresse des Benutzers übertragen.
Dagegen verstoßen 82% der untersuchten Websites (23 Banken). Vor allem auf Google Fonts und Youtube mag man nicht verzichten (ohne Zustimmung eingesetzt von 43% bzw. 37% der Websites). Besonders schwer wiegt aber, dass der Werbedienst Doubleclick von 27% und Google Analytics von 13% der Banken ohne Erlaubnis eingesetzt wird.
Gesamtwertung
Mit dem decareto Risiko Score bewerten wir die Menge an gefundenen Schwachstellen auf einer Website, mit einem Wert von A bis F. Nur für 4 der 28 Banken konnten wir einen Score von A vergeben, immerhin weitere 11 haben einen Score von B und damit nur einige wenige Schwachstellen. 13 Banken haben einen Score von D oder schlechter.
Wir haben die folgenden Banken untersucht:
Bayerische Landesbank, Comdirekt Bank, Commerzbank, DekaBank Deutsche Girozentrale, Deutsche Apotheker- und Ärztebank, Deutsche Bank , Deutsche Pfandbriefbank, DZ Bank, Hamburg Commercial Bank, Hamburger Sparkasse, Hessische Landesbank, ING, KfW, L-Bank, Landesbank Berlin, Landesbank-Baden Württemberg, Landwirtschaftliche Rentenbank, N26 Bank, Norddeutsche Landesbank, Norisbank, NRW Bank, Postbank, Santander Consumer Bank, Sparda Bank, Sparkasse, UniCredit Bank AG („HypoVereinsbank“), Volksbank, Volkswagen Bank
Autor: Eckhard Schneider