Banken Tracking

Tauchanalogie: Sie schwimmen nackig im Fluss und lassen sich treiben. Doch am Rand stehen nicht nur Google, Amazon, Facebook und andere und filmen Sie, machen Fotos und wollen jede Pore Ihrer Haut kennenlernen. Auch Ihre Bank steht da und will viel über Sie wissen.

Es ist schon ziemlich nervig, was so an Tracking passiert. Heute habe ich im Kuketz-Blog, den ich Ihnen sehr empfehlen kann, über die Ing-Diba und deren Tracking in den Apps gelesen. Das habe ich zum Anlass genommen, mal zu schauen, was meine Hausbank Online so treibt. Ich verwende keine Banken-App auf dem Smartphone, aus Sicherheitsgründen. Und auf dem Rechner auch nur mit Vorsicht. Mehr Details dazu kommen später.

Testumgebung:
Betriebsystem: Linux
Browser: Brave für fpmon, Firefox
Datenschutz Plug-In: uMatrix (erweitert die Funktionalität des Browsers um anzuzeigen, wie wir überwacht werden)

Alle anderen Sicherheitsmechanismen meiner Firewall, meines Routers, uvm. habe ich deaktiviert.

Die gute Nachricht: Das von mir beschriebene Fingerprinting bevor das Cookie Fenster kommt, enthielt nichts, was mir Sorgen machen würde. fpmon zeigte grün an, bevor ich zum Firefox wechselte und dort alles ausprobierte.

Dann kam das Cookie Fenster. Hier habe ich mich wie die Masse der Menschen verhalten und einfach „Alle akzeptieren“ angeklickt. Dann habe ich mir die Ausgabe von uMatrix angeschaut. uMatrix und andere Add-ons werde ich später noch genauer beschreiben, daher hier nur die Ausgabe von uMatrix:

comdirect Tracking

Grün sind die Sachen, die ich in uMatrix schon mal erlaubt habe oder die standardmässig erlaubt sind, rot die Sachen, die ich nicht erlaubt habe oder über die ich noch nicht gestolpert bin.

Wenn sie also bei comdirect alle Cookies akzeptieren, dann werden Verbindungen zu Facebook, adition (ein bekannter Datensammler) und Google geöffnet. Auch wenn laut uMatrix keine Skripte von diesen Anbietern gesammelt werden und es so aussieht, als wenn nur Bilddateien von dort geladen werden, werden doch Verbindungen aufgebaut um die Bilder zu holen. D.h. Ihre IP Adresse wird gesendet und natürlich wissen die Sammler, für welche Seite (comdirect) die Bilder geholt werden. Facebook weiss daher, welche IP Adresse sich wie oft und wann bei comdirect anmeldet. Da die IP Adresse unter normalen Umständen zeigt, woher Sie kommen und Sie diese vielleicht auch bei anderen Diensten abgeben, wo Sie ein Konto haben, können Sie damit zugewiesen werden. Und obwohl Sie vielleicht niemals bei Facebook oder Google waren, dort kein Konto haben, wissen diese alleine dadurch, wer Sie sind und was Sie so treiben.

Schauen Sie sich die Cookie-Einstellungen an, dann zeigt comdirect:

Marketing-Cookies, um die Erfolgsmessung und Personalisierung bei Kampagnen gewährleisten zu können

Adobe Analytics, Adform, Adition, DoubleClick Floodlight, Google Ads, Facebook, Smartadserver, Personalisierte Angebote.

comdirect Cookie-Anzeige

So, bis hierher so gut so schlecht. Aber dann lesen Sie doch einfach mal, was unter den Techniken Cookies steht, die unbedingt benötigt werden, damit die Bank online ihren Dienst erbringen kann.

JSESSIONID, cdLogin – Steuert den Inhalt, der in aktuellen Sitzungen auf unserer Website angezeigt wird 
qSession – Browsersitzungscookies nach erfolgreicher Anmeldung
kunde, nutzer, cookie_www – Steuert die Lastverteilung unserer Server
AdvertisingID, AffiliateId – In diesen Cookies speichern wir Informationen, die für die Abrechnung mit unseren Werbepartnern erforderlich sind. Wenn Sie uns eine Einwilligung erteilen, speichern wir in diesen Cookies zusätzlich Informationen zu Marketing-Zwecken
secondDelay – Schützt vor Missbrauch

comdirect, benötigte Cookies

Also die Bank benötigt die Advertising ID und AffiliateID um ihren Dienst am Kunden zu erbringen. Ich verstehe ja die qSession und auch die Lastenverteilung. Obwohl ich in meiner Karriere bei Lastenverteilung von Servern niemals an Cookies gedacht habe, aber sei es drum. Aber dass die Advertising ID zu den „notwendigen“ Informationen gehören, finde ich dann doch bedenklich.

Und wenn Sie dann weiterlesen wozu die Marketing-Cookies verwendet werden:

Marketing- und Ziel-Cookies werden normalerweise verwendet, um Ihnen Werbung zu zeigen, die Ihren Interessen entspricht. Wenn Sie eine andere Website besuchen, wird der Cookie Ihres Browsers erkannt, und Ihnen werden anhand der in diesem Cookie gespeicherten Informationen ausgewählte Anzeigen angezeigt.
Rechtsgrundlage: Die Verarbeitung beruht auf Art. 6 (1) a DSGVO.

comdirect, Marketing-Cookies

Also mal eben meinen Vereinsbeitrag überwiesen und schon wissen Facebook, Google und andere, dass ich bei comdirect war, es werden andere Cookies ausgelesen um mir Werbung anzuzeigen.

ICH WOLLTE DOCH NUR EBEN WAS ÜBERWEISEN.

Und das ist anscheinend DSGVO konform.

Beschweren Sie sich bei Ihrer Bank darüber! Zeigen wir Ihnen, dass wir das so nicht akzeptieren.
Oops, habe ich getan. Schon länger her. Ich bekam zuerst eine Email und dann einen sehr langen Brief (das alte Zeug aus Bäumen mit Tinte oder so drauf, das gibt es noch). Tod durch Papierkram!
Antwort:

Sehr geehrte XXXX,

vielen Dank für Ihre E-Mail vom XX.YY.2020. Der sorgfältige Umgang mit personenbezogenen Daten ist für comdirect sehr wichtig. Hierbei richten wir uns nach der Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO), dem Bundesdatenschutzgesetz (BDSG) und weiteren datenschutzrechtlichen Vorgaben. Wir speichern lediglich Daten, zu deren Aufbewahrung wir vertraglich bzw. rechtlich verpflichtet sind.
Unter dem folgenden Link (s. Anhang) haben wir unsere Datenschutzhinweise für Sie zusammengestellt:
www.comdirect.de/datenschutzhinweise 
Unter Punkt 6 finden Sie die gesetzlichen Aufbewahrungsfristen.
comdirect holt gemäß der Datenschutzgrundverordnung vom Besucher unserer Website eine Einwilligung ein. Die Erlaubnis gilt für die Verarbeitung, z. B. in Cookies, von personenbezogenen Daten, die technisch nicht für den Betrieb der Website erforderlich sind. Mit dem angezeigten Cookie-Layer kommen wir dieser gesetzlichen Verpflichtung nach.
Falls sich Ihr Widerspruch auf Tracking-Maßnahmen auf unserer Website www.comdirect.de bezieht, bitten wir Sie, die Einwilligungseinstellungen selbsttätig auf der Website unter dem Reiter Hilfe & Service/Sicherheit/Datenschutz bei Einsatz von Cookies vorzunehmen. (Anmerkung des Autors: Das ist das Cookie-Fenster, dass ich sowieso immer bekomme)
Um die Speicherung der von Ihnen vorgenommenen Cookie-Einstellungen zu gewährleisten, ist es erforderlich, dass Cookies von Ihnen für die Session auf der comdirect-Website übergreifend erlaubt sind. Sollte Ihr Browser so eingestellt sein, dass Cookies nicht gespeichert werden, können auch die Cookie-Einstellungen nicht gespeichert werden.
Sie haben die Möglichkeit, Cookies selektiert zuzulassen, wenn Sie diese nicht generell akzeptieren möchten. Für die vollständige Nutzung unserer Website sollten Sie folgende Seiten freigeben:
kunde.comdirect.de
nutzer.comdirect.de
Die Freigabe für diese Seiten hinterlegen Sie folgendermaßen in Ihrem Browser:
Internet Explorer
Wählen Sie in der Menüleiste des Browsers Extras (bzw. das Zahnrad in der oberen, rechten Ecke) > Internetoptionen > Registerkarte „Datenschutz“ > Sites. Hier tragen Sie die Adresse der Website ein und klicken „Zulassen“ an. Abschließend verlassen Sie das Menü mit „OK“.
Firefox
Wählen Sie in der Menüleiste des Browsers Extras (bzw. den Menü-Button in der oberen, rechten Ecke) > Einstellungen > Datenschutz. Aktivieren Sie „Firefox wird eine Chronik: nach benutzerdefinierten Einstellungen anlegen“. Anschließend öffnen Sie die „Ausnahmen“. Hier tragen Sie die Adresse der Website ein und klicken „Erlauben“ an. Abschließend verlassen Sie das Menü mit „Änderung speichern“.
Chrome
Wählen Sie den Menü-Button in der oberen, rechten Ecke > Einstellungen > Erweiterte Einstellungen anzeigen > Datenschutz Inhaltseinstellungen. Unter „Ausnahmen verwalten“ tragen Sie die Adresse der Website ein und beenden mit „Fertig“
Edge
Wählen Sie den Menü-Button in der oberen, rechten Ecke > Einstellungen > Erweiterte Einstellungen. Unter Cookies setzen Sie die Einstellung auf „Nur Cookies von Drittanbietern blockieren“.
XXXX, wir freuen uns, wenn diese Erläuterungen zu einer Klärung Ihrer Anfrage führen. Selbstverständlich stehen wir Ihnen für weitere Fragen gerne auch telefonisch rund um die Uhr zur Verfügung.
Zusätzlich haben wir Ihnen heute eine Aufstellung der bei uns nach Art. 15 DSGVO gespeicherten Daten auf dem postalischen Wege zugesandt.

comdirect Email-Antwort auf meine Beschwerde

Der besagte Brief kam und zeitigte diese Aussagen (Auszug):

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt zu nachstehenden Zwecken:

Verhinderung des Marktmissbrauchs im Wertpapiergeschäft, Kundenbindungs- und -gewinnungsprogramme, Werbung oder Markt- und Meinungsforschung.

Außerhalb der comdirect waren folgende Stellen Empfänger von Daten:
Behörden, Auftragsverarbeiter, Dienstleister, Auskunfteien, beauftragte Banken, Zahlungsverkehrsteilnehmer, Börsen, bei Namensaktien an die jeweilige Aktiengesellschaft bzw. den Aktienbuchführer, bei Sonderverwahrung von Wertpapieren (Streifbanddepot) an die jeweilige, mit der Verwahrung beauftragte Stelle, bei Beantwortung ausländischer Auskunftsverlangen (insbesondere ausländische Kapitalmarktaufsichtsbehörden, Börsen und andere zur Überwachung des Kapitalmarkts befugter Stellen) im Zusammenhang mit der Anschaffung, Veräußerung oder Verwahrung ausländischer Wertpapiere für deutsche Kunden nach 20.1 unserer produktbezogenen Geschäftsbedingungen „Trading“.

comdirect Brief-Antwort zu meiner Beschwerde über das Tracking

Fassen wir zusammen: Die comdirect tätigt kein schlimmes Fingerprinting bevor Sie überhaupt etwas auf der Webseite geklickt haben. Sie zeigt den gesetzlich notwenigen Cookie-Banner und sammelt, selbst wenn Sie nur das Notwendige zulassen, Daten zu Werbezwecken. Wenn Sie alle Cookies erlauben sind Google, Facebook und ein paar unbekannte, aber sehr grosse und wichtige Datensammler involviert.

Ich kann nicht so viel essen wie ich kotzen möchte.

Urban Priol

Empfehlungen zum untertauchen:

  • Akzeptieren Sie Cookies nicht blind, nirgends, niemals.
  • Verwenden Sie Plug-Ins in Ihrem Browser, mit denen Sie diese Dinge unterbinden können.
    Bei Firefox sind das u.a. uBlock Origin und uMatrix. Dazu kommt bald mehr.
  • Wenn Sie Windows verwenden schauen Sie sich Glasswire an. Auf einem Mac sollten Sie sich unbedingt Little Snitch anschauen. Es gibt eine kostenlose Demo. Dazu kommt noch mehr.
  • Installieren Sie zu Hause evtl. eine Tracking-Firewall. Ein kleines Gerät, dass Sie mit Ihrem Router verbinden und somit alle Geräte in Ihrem Heimnetz absichern. Der eBlocker ist einfach, kostet wenig, hat eine kleine aber gute Community die hilft und ist Open Source und spendenfinanziert. Dazu schreibe ich auch mal was, wenn gewünscht.