Gastbeitrag
31. Oktober 2022 | 10:36 Uhr

DSGVO-konformes Banking nur noch gegen Aufpreis?

Gastbeitrag von Andreas Itzchak Rehberg

Itzchak, auch bekannt als IzzyOnDroid, betreibt sein eigenes F-Droid Repository, bietet Schulungen und Workshops an und ist freier Autor für das ct Magazin.

Feedback und Fragen können direkt an ihn gerichtet werden. Er freut sich auch über Spenden für seine Arbeit.

Immer mehr Banken vollziehen derzeit Umstellungen, die kostenloses Online-Banking nur noch mit der jeweiligen mobilen App ermöglichen – die nur über Play/Apple-Stores (und mit Ausnahme der Varengold Bank nicht etwa über F-Droid) erhältlich sind und somit ein entsprechendes Konto bei Apple/Google benötigen, auf Firebase Cloud-Messaging (FCM) setzen sowie diverse Analytics-Module einbinden. Eine DSGVO-konforme Nutzung via ChipTAN – sofern überhaupt noch vorgesehen – gibt es dann nur noch gegen Aufpreis, da die dafür benötigte Girocard nicht mehr gratis verfügbar ist. Kostenlos gibt es bei ihnen lediglich noch die Visa Debit Card, auf die jetzt immer mehr Banken umstellen (und die normale Giro/V-Pay-Karte durch diese ersetzen) – mit der aber angeblich kein ChipTAN möglich sein soll (obwohl auch diese Karten über einen Chip verfügen).

Beispiele, was für die Girocard berechnet wird:

  • PSD Bank: 20 Euro jährlich
  • DKB: 99 Cent pro Monat
  • ING: 99 Cent pro Monat
  • Consors: 1 Euro pro Monat
  • Sparkasse: je nach Sparkasse: 1 Euro pro Monat, 8 Euro pro Jahr …
  • Triodos: 15 Euro jährlich
  • Santander: 12 Euro jährlich

Da mich die DKB gerade zum Akzeptieren der entsprechenden AGB-Änderungen aufgefordert hat, habe ich dort vor ein paar Wochen einmal mit diesem Thema angeklopft – die finale Antwort steht leider noch aus. Deren App »DKB-TAN2go« hat neben FCM auch Google Firebase Analytics mit an Bord (die PSD-App kommt stattdessen mit Adjust und Splunk Mint – bzw. Crashlytics & Firebase Analytics in der Classic-Version; bei der ING sind es MS Analytics und Webtrekk, bei der Sparkasse Google Analytics, Firebase Analytics sowie Google Tag Manager, und so weiter).

Schlimmer geht immer: Wie schon berichtet, hat die Postbank ChipTAN gleich komplett abgeschafft. Dort geht es nur noch über die App – oder ein per USB mit dem PC verbundenes Gerät (SealOne), welches wiederum eine eigene (Closed-Source-)Software benötigt, die allerdings nicht für Geräte mit ARM-Architektur verfügbar ist. Und gleich mehrere Netzwerk-Verbindungen offen hält – unter anderem eine für, wer hätte das gedacht, Cloud Messages.

Es kann doch nicht angehen, dass man als Kunde für ein DSGVO-konformes Banking (also für das Einhalten rechtlicher Grundlagen durch die Bank) extra bezahlen muss. Als Alternative stünde zumindest die Banking-Card (quasi eine EC-Karte ohne EC, ausschließlich für HBCI gedacht) zur Verfügung – welche die Banken allerdings, sofern überhaupt, scheinbar nur an Geschäftskunden herausgeben wollen.

Befremdlich ist auch das (fehlende) Verständnis für die eingebundenen Fremd-Bibliotheken. So bestätigt beispielsweise die DKB-Bank, dass ihre App Firebase benutzt

um TAN-Push-Benachrichtigungen aus der DKB-TAN2go-App anzuzeigen

sowie Google Analytics eingebunden hat (»ist jedoch in der App deaktiviert«; warum ist es dann überhaupt drin?) – behauptet aber zeitgleich,

Eine Verknüpfung zu Google findet nicht statt.

Tja, dann kann das mit den TAN-Push-Benachrichtigungen ja wohl nicht funktionieren – denn dafür müsste sich die App ja bei Firebase (Google) registrieren. Dies tut sie beim ersten Start; womit dann eine Verknüpfung des auf dem Gerät verwendeten Google-Kontos erfolgt.

Eine offene Frage bleibt zudem, wie sich bei der App-Verwendung bzw. dem App-Zwang die Haftung gestaltet (auch in den jeweiligen AGB). Die wenigsten Kunden werden für das Banking mehrere Geräte einsetzen, um den »zweiten Faktor« auch als solchen umzusetzen. Die Praxis, Banking und 2FA App auf demselben Smartphone einzusetzen, dürfte da eher die Regel sein – womit es sich nicht mehr wirklich um einen zweiten Faktor handelt; ein Sachverhalt, vor dem auch die Bafin bereits 2015 gewarnt hat. Ein ChipTAN-Generator ist auch eher für unterwegs (besonders auf Reisen) mitgenommen als der heimische PC oder Laptop. Ganz davon abgesehen, dass es Menschen geben soll, die (bewusst) kein Smartphone besitzen – oder sich z. B. aufgrund fortgeschrittenen Alters damit schlicht überfordert fühlen.

Hier handelt es sich auch nicht um das Vorgehen einer einzelnen Bank; der Smartphone-Zwang (nicht nur) fürs Banking ist eher ein generelles Problem. Auch die Verbraucherschützer beschweren sich bereits darüber – unter anderem, da das PushTAN-Verfahren teils Angriffe ermöglicht (also nicht wie gern behauptet »mindestens genauso sicher« ist wie ChipTAN). Auch aus ihrer Sicht

gibt es gute Gründe, warum man seine Bankgeschäfte nicht mit dem Smartphone verknüpfen kann oder möchte.

Noch einen Schritt weiter geht die Wirtschafts-Redaktion der taz, und fordert

einen kostenlosen TAN-Generator, der für alle Banken kompatibel ist.

Selbst wenn jener 20 Euro kosten würde: »mit allen Banken kompatibel« wäre im Gegensatz zum App-Zwang ein großer Schritt nach vorn.

Abgesehen vom gesammelten Frust – insbesondere wenn die Banken kein Einsehen zeigen: Gibt es da kein »Gremium«, das sich dieses Themas einmal annehmen sollte? In wessen Verantwortung liegt dies?

Der Kuketz-Blog ist spendenfinanziert! Mitmachen ➡
Ähnliche Beiträge
Mobile-Banking
31. Januar 2022

Android & iOS: Sicheres Mobile-Banking am Smartphone

Sicheres Mobile-Banking am Smartphone (Android, iOS) mit dem chipTAN-Verfahren und der Sparkassen-App.
chipTAN-Verfahren
12. Juli 2018

Online-Banking: Aber sicher – Das chipTAN-Verfahren

Aussschlagebend für ein »sicheres« Online-Banking ist insbesondere das genutzte TAN-Verfahren.
Unsicheres Online-Banking
9. Juli 2019

Wie Banken Online-Banking durch Apps unsicher machen

Die flächendeckende Verbreitung von Banking-Apps wird die Betrugsfälle stark ansteigen lassen - Banken tragen hier eine erhebliche Mitschuld.
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Banken Risiko
25. Januar 2018

Wie Banken die Sicherheit und Privatsphäre ihrer Kunden aufs Spiel setzen

Mit der Einbindung von Trackern und Werbung risikieren Banken die Sicherheit und Privatsphäre ihrer Kunden.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.