Ursprünglich veröffentlicht: https://www.kuketz-blog.de/der-grosse-online-banking-und-tan-app-test/
Online-Banking und Banking-Apps machen immer größere Fortschritte im Komfort, aber der Datenschutz bleibt dabei leider fast immer auf der Strecke. Die von uns hier beobachteten Verbindungen lassen den Schluss zu, dass nur eine einzige Bank in Deutschland die gesetzlichen Regelungen beim Datenschutz erfüllt: Die kleine Privatbank Sperrer in Freising bei München – Kontoeröffnung geht dort aber nur persönlich. Bei den anderen Banken ist fast immer Analysesoftware in ein oder zwei Angebote eingebaut. Bei den Fintech-Startups finden sich darüber hinaus auch meistens Marketingtracker, über die aussagekräftige Daten abfließen können. Zum Glück gibt es aber noch sehr vielen Banken, bei denen man…
SChöner Beitrag! Bedankt!
Was mir noch fehlen täte: Der Unterschied ob INNERHALB des geschützten Bereichs getrackt wird oder nur vor dem Login.
Das ist nich ganz klar draus hervorgegangen/geworden.
Sieh auch: https://www.kuketz-forum.de/t/dkb-tracking-im-neuen-banking/9259
Seh gerad, es wird im Einleitenden gesagt, man konnte sich nicht bei allen Banken anmelden. Ok, verstanden.
Bei Sperrer, dem Datenschutztestsieger läuft aber Google Tagmanager!
https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fwww.sperrer.de%2F
Das wird mir mit Ublock angezeigt und bei Webkoll steht’s auch unter Subresource Integrity (SRI) .
Akamai wird auch angezeigt.
Als DKB Kunde habe ich mich über den folgenden Satz aus dem Fazit etwas erschrocken:
Ich wollte das selber einmal überprüfen und habe mir mit der iOS DKB App Version (Stand heute) 2.23.0 die Queries in meinem AdGuard Home angesehen, die rausgehen wenn ich die Transaktionen aufrufe (so dass die Markenlogos sichtbar werden).
Ich konnte aber keine ausgehenden Requests zu snowdropsolutions.com beobachten wie im Artikel beschrieben war - kann das jemand anders evtl. verifizieren? Oder kann es sein, dass die DKB das in der App mittlerweile wieder entfernt hat?
Ich habe eben in Adguard geschaut aber dort auf die Schnelle nichts gesehen. Es kann aber sein, dass die Logos gecached werden und nur Neue nachgeladen.
Was mich etwas nervt ist, dass viele Banken über FinTS/HBCI keine Aufträge mehr annehmen und Transaktionen nur noch für maximal 90 Tage abrufbar sind. Gibt es Banken die das noch unterstützen? Ich würde gerne nur KMyMoney nutzen. Soweit ich verstanden habe, ist PSD2 kein Grund HBCI so einzuschränken, aber eine gute Ausrede die Nutzer zur App zu drängen.
Ich meine, die Comdirect unterstützt das. So ist jedenfalls mein letzter Wissensstand. Aber keine Garantie und es könnte sich geändert haben.
Ja, Googletagmanager ist dort integriert. Die Domain wird eigentlich nicht für Tracking verwendet und setzt normalerweise auch keine IDs oder Cookies. Ich werte sie daher nicht als Tracker. Aber natürlich könnte man wie auch bei Schriftarten oder Skripten von Google argumentieren, dass eine IP-Adresse an Google übertragen wird und die IP-Adresse für die Werbevermarktung verwendet werden kann. Soweit ich weiß, fällt der Tagmanager auch unter die allgemeinen Google Policies, wo IP-Adressen für Werbung genutzt werden dürfen.
Mir ist klar, dass diese Linie zwischen Tracker und Nicht-Tracker hier diskutierbar ist. Ich schaue vor allem auf IDs, aber ich überlege mal mit Mike, die Linie zu verschärfen, insbesondere weil es ein Urteil zu Google Fonts gibt, dass die scharfe Linie stützt.
https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
Ja, es gab sogar Abmahnwellen (wurden aber als Missbrauch gestoppt)
Artikel wurde geupdated, finde die Fakten überzeugend, man muss den Tagmanager auch als Trackingeinbettung werten.
Das kann ich bestätigen, comdirect unterstützt Aufträge und Umsatzabruf (90 Tage) über FinTS/HBCI. Ich nutze das seit Jahren mit KMyMoney (aqbanking).
Cortalconsors funktioniert nur der Datenabruf.
andere Banken kann man mal recherchieren, z.B.:
https://www.aquamaniac.de/rdm/
Hallo und danke für den Artikel!
Ich frage mich bei der ganzen Misere, was ich als Individuum dagegen tun kann?
Welche Dinge sind „nur“ kritisch zu betrachten? Welche sind tatsächlich rechtswidrig? Da fehlt mir bei Google ein wenig der Überblick.
Und falls etwas rechtswidrig ist und dennoch von Banken genutzt wird: Wie gehe ich da weiter vor?
LG
Hallo albler,
gern! Ich denke wirklich, dass alle orangenen/roten Einbettungen rechtswidrig sind. Es gibt nur einige Grauzonen, wo ich nicht weiß, wie gut eine Bank sich herausreden könnte, z.B. wenn einfach behauptet wird, dass eine Analysesoftware für Betrugserkennung genutzt wird.
Ich hab lange geglaubt, dass Einreichen einer Beschwerde die beste Lösung für alle ist. Aber wie man in diesem Beitrag nachlesen kann, besteht auch nach 1-2 Jahren in manchen Bundesländern nur eine Bearbeitungsquote von 15%. Aber probieren kann man es dennoch. Kostet nix und ist schnell erledigt.
Sonst bin ich auch einigermaßen ratlos. Der „privacy labor“ steigt und steigt, man bekommt seinen Alltag vor lauter Schutzmaßnahmen und Adblocker-Feinjustierung kaum mehr organisiert. Alternativen fallen weg oder sind ebenso arbeitsintensiv.
Die einzig richtig erfolgreiche und sichere Maßnahme sind Unterlassungsklagen. Da gibt’s wenigstens irgendwann eine Entscheidung und ein Echo, das auch andere Unternehmen mitbekommen. Das kann man am besten mit einem Rechtsanwalt und paar tausend Euro Kriegskasse für ein Tool durchziehen. Und dann das nächste Tool bei einem Unternehmen ins Korn nehmen. Vermutlich gibt’s das Geld zurück - aber da besser den Anwalt fragen. Wer Geld hat, könnte hier viel bewegen.
Wenn Kuketzblog bei 5000€ Spenden im Monat ankommt, wird Mike ein paar Klagen finanzieren. Das könnte auch etwas helfen. Noyb hilft auch viel, aber klagt vor allem gegen die großen Plattformen.
Meine Frage:
Ist das wirklich so? Ich hatte bisher verstanden, dass Tracker in Apps sich an der lokalen Firewall auf dem Gerät aber auch evtl. an Pihole vorbei mogeln können.
Wäre dankbar für weitere Hinweise bzw. Klärung.
Da mir die DKB imer mehr unsympatisch wird, suche ich nach einer Alternative. Ich hätte mit der Comdirect erstmal keine Probleme, da ich die TAN App nicht nutzen muss. Also hab ich mir mal bei Exodus die Comdirect App angesehen: https://reports.exodus-privacy.eu.org/de/reports/de.comdirect.app/latest/
Da stehen aber drei Tracker drin. In der Übersicht steht 0. Sind das dann keine Tracker? Oder haben die drei beim Start noch nix gemacht/übertragen?
Ja, das ist gut möglich, dass die ordnungsgemäß nur mit Einwilligung aktiv sind. Denn die Tracker kenne ich und hätte sie auch bemerkt. Aber klar, man kann nicht garantieren, dass sie nicht irgendwann später noch feuern. Ist aber unwahrscheinlich nach meiner Testerfahrung.
Die Banking-App der Problembank DKB verbindet sich zudem auch mit ci360.marketing.
Scheinbar erst im „geschützten“ Bereich.
Danke für den tollen Beitrag.
Ich muss gestehen, hier ist ein Punkt erreicht, in dem ich mein Datenschutz nicht meinem Leben unterordnen will und kann.
Sprich, ich nutze meine Bank mit passender App und gebe mich geschlagen.
Ob mein Pi Hole ein bisschen was abfangen kann, weiß ich nicht.
Ich finde es wirklich schade, dass es kein großes Netzwerk gibt, welche digitale Dienste anbietet aber eben auf solche Themen wie Datenschutz achtet.
Hier könnte die EU mal ein richtig starkes Projekt angehen, egal ob es um Betriebssysteme, Bezahldienste, Banken oder eben Sozial Media Dienste wie YouTube, Facebook und Whats App geht.
Naja Wunschdenken.
Vielen Dank für den tollen Artikel!
Eine Frage zum Artikel: In der Tabelle sind in den Spalten „TAN-App“ und „Banking-App“ sowie „TAN ohne App“ die Felder mit einem „–“ in verschiedenen Farben hervorgehoben, teils grün, teils orange, teils rot. Hat das einen tieferen Sinn, den ich nicht verstehe? Oder ist das vielleicht ein Versehen?
Ja, steht auch grob über der Tabelle, aber ich gebe zu, dass es etwas unintuitiv ist.
Grün: Kein Tracking
rot: Tracking (und Alternative fehlt)
orange: Wie rot, aber trackingfreie Alternative vorhanden
Sinn ist, dass man auf einen Blick schnell die Banken findet, die eine trackingfreie Kombination erlauben.
Was ich aber nicht explizit erklärt habe: Auch das Fehlen einer Option („-“) kann entsprechend mal rot und mal orange sein, je nachdem ob die Alternative der Bank trackingfrei ist oder nicht.
Ah, ok, das ist schon noch naheliegend. Danke für die Erläuterung!
Mir ist durch Zufall aufgefallen, dass sich die DKB- App als App-Zugriff selbst eine „WLAN-Steuerung“ gegönnt hat.
Mir ist nicht bekannt dies aktiv bestätigt zu haben. Kann dem jemand beipflichten?
Und wofür benötigt solch eine App dies?