Welche Schweizer eBanking-Lösungen Ihre Bankenbeziehung an Google weiterverraten

Vor rund einem Monat veröffentlichten wir gemeinsam mit Informatiker und Netzaktivist Simon Gantenbein die Postfinance-Recherche für die Republik. Gantenbein entdeckte dabei ein massives Sicherheitsleck und konnte sich damit eine Datenbank von 350’000 Kundinnen und Kunden anlegen.

Ausserdem fanden wir in der gemeinsamen Recherche noch weitere rechtliche Privacy-Probleme heraus: zum einen die automatische Vervollständigung von Namen und Adresse bei Postkontonnummern “as a service”, welches mutmasslich gegen das inländische Bankgeheimnis verstösst. Zum anderen die Integration jener Kontoangaben in “fremden” eBanking-Lösungen durch das historische Kontoverzeichnis, das nach unseren Recherchen jedoch eingestellt worden ist.

Doch im Zuge der Recherche sind wir noch auf einen weiteren Missstand gestossen: die Kommunikation mit Drittservern beim Besuch der Logins von eBanking-Lösungen. Oder anders gesagt: Das Ansteuern eines Loginformulars einer Bank verrät sehr wahrscheinlich auch etwas über Ihre Beziehung mit dieser Bank, und diese Information gelangt wiederum zu Firmen, die nicht zwingend davon wissen sollten.

So zwitscherte Postfinance den Besuch auch an Google weiter. Dabei holte die Posttochter die Zustimmung nicht explizit, sondern pauschal mit einem Häkchen ab- das Thema Einwilligung behandelte die Postfinance also genauso eigenwillig, wie sie es auch der “Handhabung des Bankkundengeheimnisses”-Merkblatt und der dazugehörigen AGBs (Ziffer 15) schon tut. (das Merkblatt einfach beilegen bei Vertragsabschluss)

Immerhin: Nach dem Hinweis von einigen Kunden wurde der Tracker entfernt. Damit entgeht die Postfinance einer weiteren heiklen Diskussion: ob das Ganze datenschutzkonform ist gemäss Schweizer Gesetz. Gemäss europäischem Recht DSGVO wäre das schon mal nicht der Fall.

Doch es gibt noch weitere Banken die Ihren Besuch an amerikanische Big Tech Riesen weiterflüstern, wie wir gemeinsam mit Marc Véron herausgefunden haben. Er betreibt den Service Dateninkontinenz.ch, mit dem er regelmässig abfliessende Datenströme von Firmen, Medienhäusern und weiteren Institututionen anschaulich visualisiert.

Etwa die Zuger Kantonalbank. Sie verwendet laut unseren genutzten Tools (Lightbeam, Privacy Badger, Ghostery,uBlock etc) folgende Elemente, die auch von Mediensprecher Tobias Fries bestätigt worden sind:

• Google: Google-Fonts um die Schriften zu laden im Verbund mit dem Chatbot
• Aiaibot: Chatbot mit allen Funktionalitäten
• Unblu: Online-Support mit Screen-Sharing für Kundenberaterinnen und Kundenberater

Auch einige weitere Privatbanken, die sich ja der Vermögensverwaltung wohlhabender KundInnen und damit auch vermeintlich der Diskretion verschrieben haben, holen sich die Schriften bei Google: Wer Kunde bei “Märki Baumann” , “UBP”,  CBH Bank und auch Bergos ist, weiss neben der jeweiligen Bank auch der Internetriese. Die Urner Kantonalbank holt die Schriften von einer anderen amerikanischen Firma: Adobe.

Was genau wird nun bei Google Fonts übermittelt?

Die IP Adresse der Besucherin. Und gemäss DSGVO handelt es sich um personenbezogene Daten, die einer Einwilligung bedürfen (alternativ könnte man Google Fonts lokal auf dem Server hosten, dann würde nicht bei jedem Besuch mit Google kommuniziert werden). Wenn es nach dem Landesgericht München geht, ist der Abruf von Google Fonts gemäss Google API jedenfalls NICHT dsgvo-konform. Auch hier beruft sich das Gericht auf das invalidierte Privacy Shield-Abkommen (das offenbar bald einen Nachfolger haben wird),

“Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat.”

Urteilsschrift, Landesgericht München zu Google Fonts

Der Webseiten-Betreiberin droht sogar bis zu 250000 Euro Busse, sollte sie diesen Service weiterhin einbinden und die IP-Adresse weitergeben. Um einer möglichen Klage zu entgehen, müssten Webseiten die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten, schreibt golem.de. Alternativ könnte die Zustimmung zur Weitergabe der IP-Adresse über einen Consent-Banner eingeholt werden.

Und wie ist der Sachverhalt in der Schweiz? Hier gibt es noch keine Rechtsprechung dazu, weder zu Webseiten von Banken noch allgemein zu anderen Branchen. DNIP fragte beim EDÖB nach, der in der Vergangenheit Bestimmungen zum Web-Tracking publizierte. Was Google Analytics angeht, so genüge zwar die Datenschutzerklärung der Postfinance auf den Webseiten, mit der man über 3 Ecken zum Opt-Out gelange, sagt die Sprecherin auf Anfrage.

Die Besucherinnen einer Website müssen transparent über die Datenbeschaffung und den Zweck der Bearbeitung informiert werden (Grundsätze der Erkennbarkeit und der Zweckbindung der Datenbearbeitung). Eine Einwilligung zur Datenbearbeitung bzw. eine Möglichkeit zum opt-out sollte auf der Grundlage angemessener Information angeboten werden. Die Datenschutzerklärungen der von Ihnen genannten Finanzanbieter (…) scheinen auf den ersten Blick entsprechende Erläuterungen zu enthalten.

Daniela Wittwer, Sprecherin EDÖB

In der Datenschutzerklärung findet man einen Link «Google Analytics Opt-out Browser Add-on» , dort wird also auf die Initiative der Userin gehofft, also dass sie sich selbst zu helfen weiss, wie sich dieser unliebsamen Tracker entledigt. In der Datenschutzerklärung wird darauf hingewiesen, dass man entsprechende Einstellungen in seinem Browser vornehmen kann. Es ist also ein Opt Out auf Umwegen, aber immerhin.

Es gilt im Gegensatz zur EU (wie bereits in der Pandemie) die vielgerühmte und -verhasste Tugend der Schweiz, die Eigenverantwortung.

Interessanterweise nennt der EDÖB jedoch bei Google Fonts die Notwendigkeit eines Widerspruchsrechts:

“Werden Google-Fonts dynamisch integriert [und nicht heruntergeladen und lokal installiert, Anmerkung der Redaktion], entsteht eine Verbindung zum Google-Server und somit wird die IP-Adresse des Besuchers übertragen. Es handelt sich hier, wie in der früheren Antwort erwähnt, um eine Datenbearbeitung und diese unterliegt dem Datenschutzgesetz. Somit muss den Nutzerinnen und Nutzern ein Widerspruchsrecht zur Datennutzung eingeräumt werden oder die Möglichkeit, die Installation (und somit die Datenweitergabe)  zu verweigern.”

Daniela Wittwer, Sprecherin EDÖB

Sind die Google Fonts lokal gehostet oder werden sie dynamisch geholt?

Nachfrage bei der Zuger Kantonalbank, bei der uns das als Erstes auffiel:

,,Wir holen die Schriften dynamisch von Google. Hierbei handelt es sich um eine etablierte Praxis bei Webseiten. Selbstverständlich ist diese Anbindung eng mit unserer IT-Security abgestimmt und wird regelmässig geprüft.“

Tobias Fries, Sprecher der Zuger Kantonalbank

Dies mag aus Sicherheitssicht stimmen, doch aus Privacy-Perspektive ist diese Praxis bedenklich,. Zumal auf der entsprechenden Login-Site bei der Zuger Kantonalbank oder bei oben genannten vier Privatbanken (Märki Baumann, UBP, CBH Bank und Bergos) kein Widerspruchsrecht (und auch keinen Consent-Banner) vorzufinden ist. Damit wird beim Besuch der Eingabemaske die IP Adresse an Google Server permanent kommuniziert.

Wird das vom EDÖB gutgeheissen? Die oberste Datenschutzbehörde der Schweiz lässt sich hierbei nicht in die Karten blicken. Eventuell werden hinter den Kulissen bereits die besagten Banken angemahnt.

“..die datenschutzkonforme Lösung [ist] das lokale Anbieten der Fonts auf dem Server der jeweiligen Webseiten. Wir behalten uns vor, die Webseitenbetreiber auf die Problematik und die datenschutzkonforme Umsetzung hinzuweisen.“

Silvia Böhlen, Sprecherin EDÖB

Die Frage bleibt ob diese bisherige Praxis am Bankgeheimnis (Artikel 47) ritzte. Doch auch hierzu wollte sich der EDÖB nicht äussern. Wir fragen bei der FINMA nach, Update folgt.