Tracking-Technologien erfassen Nutzer auch beim Online-Banking

Peter Marwan,
Banking (Bild: Shutterstock.com/qvist)

Von 12 untersuchten Banking-Websites verwenden 7 mindestens ein trackendes Element Dritter. Darauf hat jetzt die Münchner Firma Cliqz – nicht ganz uneigennützig – hingewiesen. Sie bietet nämlich einen Browser mit Schwerpunkt auf Datenschutz an.

Diverse Tracking-Technologien im Web werden schon lange heiß diskutiert. Umstritten ist sowohl, ob diese Daten überhaupt ohne ausdrückliche Zustimmung erhoben werden dürfen und falls ja, was damit geschehen darf. In Bezug auf zahlreiche kostenlose Angebote bringen Nutzer noch Verständnis auf, da diese sich ja auf irgendeinem Wege finanzieren müssen. Firmenwebseiten werden dagegen generell kritischen gesehen. Dass aber auch auf vielfach auf für das Online-Banking gedachten Seiten von Banken das Nutzerverhalten getrackt wird, hat jetzt eine Erhebung der Münchner Firma Cliqz zutage gebracht.

Die hat das nicht ganz uneigennützig gemacht, schließlich bietet sie seit dem Frühjahr einen eigenen Browser an, der genau so etwas unterbinden und umfangreichen Datenschutz bieten soll. Dennoch sind die Ergebnisse zumindest als Diskussionsgrundlage interessant – auch vor dem Hintergrund des Streits darüber, was im Bezug auf den Besuch einer Website personenbezogene Daten sind.

Dass es beim Online-Banking auch ohne Tracking-Technologien geht, beweist etwa die Postbank (Screenshot: Cliqz)
Dass es beim Online-Banking auch ohne Tracking-Technologien geht, beweist etwa die Postbank (Screenshot: Cliqz)

Von den 12 von Cliqz untersuchten Banking-Sites nutzen 5 keinerlei Tracking-Elemente: DAB-Bank, Hypovereinsbank, Postbank, Stadtsparkasse München und Volksbank Mittelhessen. Sie machen also schon einmal vor, dass es technisch und organisatorisch auch ganz ohne geht. Mindestens ein trackendes Element dritter Firmen, entweder beim Log-in, nach dem Log-in oder beim Log-out fand sich dagegen bei Comdirect, Commerzbank, Consorsbank, Deutsche Bank, DKB, ING Diba und N26 (ehemals Number26). Bei N26 senden sogar im persönlichen Online-Kontobereich platzierte “Tracker” Daten an mehrere Fremdfirmen, darunter Google und Facebook.

Bei N26 (ehemals Numbers26) wird auch nach dem Log-in noch mehrfach getrackt. (Screenshot: Cliqz)
Bei N26 (ehemals Numbers26) wird auch nach dem Log-in noch mehrfach getrackt. (Screenshot: Cliqz)

Laut Marc Al-Hames, Geschäftsführer der Cliqz GmbH gefährden manche Banken dadurch “unnötigerweise die Sicherheit und Privatsphäre ihrer Kunden.” Das Risikopotenzial sei unterschiedlich groß und hänge davon, wo die Tracker platziert sind und welche Technologien (Cookies, Fingerprinting, Javascript) dafür verwendet werden. Auf jeden Fall erhielten Dritte somit Daten anhand denen sie feststellen können, wer bei der Bank ein Kunde ist. Denkbar sei aber auch, das durch die Verwendung von Javascript Angriffspunkte für Hacker entstehen.

Die meisten Tracker bemerkten die Cliqz-Experten auf den Seiten von N26 (ehemals Number26). Dort wurden Daten beim oder nach dem Log-in sowie auf der Log-out-Seite unter anderem an Google und Facebook gesendet. Teilweise führte aber Software dritter Firmen auch Javascript auf den Seiten der Bank aus.

Cliqz weist darauf hin, dass nicht untersucht wurde, wie vertrauenswürdig die dritten Parteien sind, welche Vereinbarungen zwischen ihnen und den Banken getroffen wurden und zu welchen Zweck die Tracking-Technologien verwendet werden. Ebenfalls nicht ermittelt wurde, ob die Bankkunden dem Tracking in irgendeiner Form zugestimmt haben und ob es rechtlich zulässig ist. Mit den Ergebnissen wolle man lediglich zeigen, dass es bei einigen Banken “potenzielle Risiken für die Privatsphäre und Sicherheit” gebe. Dass die vermeidbar seien, zeigten die Beispiele der Banken, die keine derartigen Technologien einsetzen.