Diese Banking-App nutzt 12 Tracker – und andere kommen ganz ohne Schnüffel-Tools aus

Was ist eigentlich das Geschäftsmodell von Banken? Geld verleihen und damit selbst Geld verdienen? Oder Kredite vergeben? Das ist zunehmend schwierig geworden, seit die Zinsen das nicht mehr hergeben und die Bank im Zweifelsfall noch draufzahlt, respektive händeringend das Geld an die Kunden vergibt. Vielleicht noch ein paar Versicherungen verkaufen? Funktioniert angesichts der Konkurrenz durch Vermittlungsportale oder gänzlich netzaffine InsurTechs auch nicht mehr so wirklich gut. Daten der Kunden sammeln und damit etwas machen? „Hold my beer…“, sagt da so mancher Banker. Wer einmal die einschlägigen Apps der Banken unter die Lupe nimmt, trifft auf eine Vielzahl von Trackern – aber auch auf einige Apps, die komplett ohne die potentiellen Schnüffel-Tools auskommen.

Eine Banking-App braucht heute jeder. Und wer auf mobiles Banking setzt, der kommt meist nicht ohne mindestens zwei pro Bankverbindung aus. Wer nur am PC seine Bankgeschäfte erledigt, braucht eine andere App – nämlich in der Regel eine Push-Tan-App oder eine für die Zwei-Faktor-Authentifizierung. Schaut man sich solche Apps genauer an, wie wir es – inspiriert übrigens durch Mike Kuketz und sein Security-Blog – getan haben, wird deutlich, dass es da offensichtlich noch andere Befindlichkeiten der Banken gibt. Denn zahlreiche Banking-Apps arbeiten mit einer Vielzahl von Trackern. Das hat die Datenschutz-Audit-Plattform Exodus ermittelt, die auf die Phoning-home-Funktionen von Android-Apps spezialisiert ist.

Ein paar Kostproben? Die Banking-Plattform Vivid, die bekanntermaßen mit diversen Cashback-Funktionen arbeitet, bringt es auf stolze acht Tracker und 25 Berechtigungen – darunter so schöne Dinge wie das Auslesen der Kontakte, das Mitschneiden von Ton und das Modifizieren oder Löschen der Inhalte auf der SD-Karte.

Tracker in Apps: Es werden immer mehr

Doch da geht noch mehr: Einsame Spitze – im negativen Sinne ist N26, die es auf stolze zwölf Tracker und 25 Berechtigungen bringt: Adjust, AltBeacon, Branch, Button, Google AdMob, Google Analytics, Google CrashLytics und Google Firebase Analytics sowie Tag Manager, ferner MixPanel sowie die Salesforce Marketing Cloud und Snowplow. Ist wahrscheinlich auch notwendig, weil die schwindelerregenden 0,1 Prozent Cashback für den Kunden ausgerechnet werden müssen, die er für bestimmte Käufe bekommt. Unter den 25 (!) Berechtigungen finden sich mehrere zur präzisen Ortsbestimmung des Nutzers, der Zugriff auf die Video- und Fotokamera, das Auslesen von Kontakten, das Auslesen des Telefonstatus und der Identity-Angaben, ferner auch hier wieder das Verändern und Beschreiben der integrierten Speicherkarte.

Bemerkenswert ist dabei das regelrechte Aufrüsten der Banken: Kam die N26 – hier nur exemplarisch genommen – ursprünglich mal mit „nur“ drei Trackern und 21 Berechtigungen aus, waren es erst in den letzten Versionen ab 3.5x die genannten 12 Tracker.

Banking-App	Version	Tracker	Berechtigungen
N26	3.65	12	25
Vivid	1.54.2	8	25
Bunq	17.10.2	7	36
Fidor Bank	3.21.0.2	5	14
Teo-App	1.5.0	4	26
C24 Bank	1.40.1.2	4	19
Trade Republic	1.1.5504	4	18
O2 Banking	2.21.1.3	4	18
Tomorrow	2.54.0	4	17
Kontist	2.1.57	3	39
Revolut	8.17.2	3	32
Sparkassen-App	5.12.1	3	25
BW-Bank Mobilbanking	5.6.3	3	22
Commerzbank Banking App	10.0.5	3	21
Scalable Capital	7.0.1.3	3	17
ING Banking to go	5.5.3	3	15
Starmoney	3.16.1	3	12
Targobank Mobile Banking	9.27.1	3	12
Starmoney Banking K’übersicht	3.10.3	3	12
VR Banking Classic	21.58.0	2	22
BBBank	19.20.5	2	21
Comdirect	1.58.2	2	20
Deutsche Bank Mobile	1.14.1	2	19
VR Secure Go Plus	20.23.0	2	10
Sparda App	3.8.4.0	2	9
Volksbank ID	1.0.8	1	28
DKB Banking	3.10.0	1	16
S-Push-Tan	3.3.0	1	13
1822 Direkt Banking	4.0.0	1	12
Postbank Finanzassistent	2019.2	0	19
GLS mBank	7.12.7894	0	17
Postbank BestSign	1.2.7	0	13
Comdirect Photo TAN App	7.3.19	0	5
Commerzbank Photo TAN	7.1.23	0	3
Deutsche Bank Photo TAN	2.21.13	0	3

Interessant ist aber auch, dass es durchaus auch anders geht: Sowohl die Postbank als auch die GLS Bank kommen ganz ohne Tracker aus – und auch einige der TAN-Tools, etwa von Commerzbank, Comdirect oder Deutscher Bank, verzichten darauf.

Insgesamt haben wir 35 Apps – sowohl Banking-Apps als auch Push-TAN-Apps der unterschiedlichen Bankengruppen unter die Lupe genommen und herausgefunden, dass tendenziell vor allem die modernen Neobanken mehr Tracker und Berechtigungen einfordern als traditionelle Bankhäuser. Und dass ein großer Prozentsatz die Google Firebase Analytics verwendet. Die kommen, so erklärt es Exodus, bei immerhin 53 Prozent aller untersuchten Apps (branchenübergreifend!) zum Einsatz. Dabei handelt es sich um ein kostenlos nutzbares Framework zum Auslesen und Auswerten des Nutzerverhaltens in Apps – übrigens sowohl unter Android als auch unter iOS. Dieses protokolliert automatisch vorgefertigte Ereignisse.

Sind Tracker schädlich oder gefährlich? Kommt darauf an

Ob Tracker gefährliche Schnüffel-Tools sind und was sie wohin weitertragen, lässt sich für den Laien nicht so einfach sagen. Klar ist, dass sie Daten über das Nutzerverhalten erfassen können und dies entweder für das eigene Unternehmen tun oder aber die Daten verkaufen. Letzteres ist zwar datenschutzrechtlich eine Grauzone, lässt sich aber, so erklären Juristen, mit einer bestehenden Kundenbeziehung durchaus rechtfertigen.

Argumentiert wird meistens damit, dass Tracker ermöglichen, dem Kunden optimale Funktionalitäten zur Verfügung zu stellen oder beispielsweise entsprechende Unterstützung bei Suggest- oder Single-Sign-On-Funktionen zu bieten. Insbesondere beim Smartphone, dem persönlichsten aller Endgeräte, verraten Tracker bemerkenswert umfassende Daten über den Nutzer, die eine seriöse Bank aus Diskretionsgründen anderweitig nicht einfordern würde. Klar ist, dass der Kunde hier durch die Nutzung der entsprechenden App (s)einer Bank einen enormen Vertrauensbonus gibt.

Übrigens – um die zwölf Tracker des negativen Spitzenreiters mal in einen Vergleichskontext zu bringen: Die als eher übergriffig bekannte Chip-Online-App bringt es auch „nur“ auf 12 Tracker und neun Berechtigungen. Spiegel Online in der App auf sechs Tracker und neun Berechtigungen. Und dabei handelt es sich immerhin um Apps von Medienangeboten, deren Geschäftsmodell bis zu einem gewissen Grade die Refinanzierung durch Werbung ist.

Wer übrigens weitere Apps analysieren will, kann das gerne über das Exodus-Portal selbst tun. Und natürlich wissen wir, dass wir mit den 35 Apps, die wir hier exemplarisch hervorgehoben haben, nur eine Stichprobe ausgewertet haben. Pressesprecher von Banken, die gerne darauf hinweisen möchten, dass ihre App ganz oder weitgehend ohne Tracker auskommt, können dies gerne in den Kommentaren tun. Gleichzeitig würde uns natürlich auch interessieren, was die Erfahrungen unserer Leser sind: Haben wir eine besonders neugierige App übersehen? Dann diskutieren Sie gerne auch mit! tw