Presseartikel mit Niveau – Einfach gut!

Banken-Websites im Datenschutz-Check 2026: 80 % mit Datenschutzmängeln

decareto hat die Websites von 25 großen deutschen Banken automatisiert auf DSGVO- und TDDDG-Konformität untersucht. Das Ergebnis: Alle Institute setzen Consent-Banner ein — dennoch weisen die meisten Datenschutzmängel bei Cookie-Konfiguration, externen Diensten und Datenschutzerklärungen auf. Die Analyse deutet darauf hin, dass viele Kreditinstitute zentrale Anforderungen der DSGVO und des TDDDG nicht vollständig umsetzen.

Kreditinstitute und Banken unterliegen umfassenden Compliance- und aufsichtsrechtlichen Anforderungen. Neben klassischen Finanzregulierungen müssen sie auch gesetzliche Vorgaben zum Datenschutz, zur digitalen Barrierefreiheit und zum rechtskonformen Betrieb ihrer Websites erfüllen.

Umso überraschender sind die Ergebnisse einer aktuellen Analyse von decareto: Trotz hoher regulatorischer Anforderungen weisen zahlreiche Websites deutscher Kreditinstitute erhebliche Defizite bei der Umsetzung datenschutzrechtlicher Vorgaben auf. Viele der untersuchten Websites erfüllen zentrale Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) nur unzureichend.

25 große Banken untersucht

Für die Untersuchung analysierte decareto die Websites von 25 großen Kreditinstituten und Banken in Deutschland hinsichtlich ihrer technischen Datenschutzkonfiguration. Im Fokus standen die Einhaltung der Einwilligungspflichten nach § 25 TDDDG – insbesondere:

  • Einsatz von Consent-Bannern und Consent-Management-Plattformen
  • Laden externer Dienste
  • Setzen von Cookies
  • Vollständigkeit der Datenschutzerklärungen

Die Ergebnisse zeigen, dass Datenschutzverstöße trotz vorhandener Consent-Banner und umfassender Datenschutzerklärungen weit verbreitet sind.

80 % der Consent-Banner fehlerhaft konfiguriert

Ein Consent-Banner, auch Cookie-Banner genannt, dient der Einholung und Verwaltung von Einwilligungen für zustimmungspflichtige Datenverarbeitungen auf Websites und soll sicherstellen, dass diese erst nach wirksamer Zustimmung der Nutzer erfolgen.

Alle untersuchten Banken setzen eine Consent-Management-Software ein. Die technische Umsetzung des Consent Banners entspricht jedoch häufig nicht den gesetzlichen Anforderungen.

Bei 20 von 25 Websites (80 %) wurden zustimmungspflichtige Dienste bzw. Cookies bereits beim ersten Seitenaufruf aktiviert – noch bevor Besucher ihre Einwilligung erteilt hatten. Damit verliert das Consent-Banner seine eigentliche Schutzfunktion.

76 % setzen nicht notwendige Cookies ohne Einwilligung

Cookies sind eine von mehreren Technologien zur Speicherung oder zum Auslesen von Informationen auf Endgeräten. Notwendig sind laut TDDDG nur Cookies, die für die Grundfunktion der Seite zwingend erforderlich sind (z. B. ein Warenkorb).

Die Analyse ergab, dass 19 der 25 Kreditinstitute und Banken (76 %) nicht erforderliche Cookies bereits vor einer Zustimmung der Nutzer speichern.

Nach der Rechtsprechung des Europäischen Gerichtshofs sowie des Bundesgerichtshofs dürfen solche Cookies grundsätzlich erst nach einer wirksamen Einwilligung gesetzt werden.

Besonders kritisch: Ein Großteil der betroffenen Websites vermittelt durch ein Cookie-Banner den Eindruck, die Entscheidung der Nutzer abzuwarten, verarbeitet jedoch bereits vorher personenbezogene Daten.

80 % laden externe Dienste bereits vor Zustimmung

Noch häufiger als Cookies werden externe Drittanbieterdienste ohne Einwilligung eingebunden, denn nicht alle zustimmungspflichtigen Dienste setzen auch Cookies.

20 von 25 Kreditinstituten und Banken (80 %) luden mindestens einen zustimmungspflichtigen externen Dienst bereits beim Seitenaufruf.

Dabei handelt es sich überwiegend um Dienste aus den Bereichen:

  • Webanalyse
  • Marketing
  • Werbung
  • Tag Management

Diese Technologien übertragen regelmäßig personenbezogene Daten an Drittanbieter und bedürfen daher häufig einer vorherigen Einwilligung.

Fehlende Transparenz in Datenschutzerklärungen bei 72 % der Bank-Websites 

Neben der technischen Analyse untersuchte Decareto auch die Datenschutzerklärungen der Kreditinstitute und Banken.

Das Ergebnis:

18 von 25 Websites (72 %) enthielten externe Dienste, die in der jeweiligen Datenschutzerklärung nicht oder nicht eindeutig erwähnt wurden.

Damit bestehen mögliche Verstöße gegen die Informationspflichten nach Art. 13 DSGVO, wonach Verantwortliche sämtliche Empfänger personenbezogener Daten transparent benennen müssen.

Google-Dienste dominieren die eingebundenen Technologien

Die Untersuchung zeigt eine deutliche Konzentration auf wenige große Technologieanbieter.

Unter den am häufigsten identifizierten Diensten befinden sich:

Rang / Dienst / Anbieter / Hauptzweck

1. Google Tag Manager / Google / Tag Management
2. Google Ads / Google / Werbung
3. Google Adsense / Google / Werbung
4. Meta Pixel / Meta / Werbung / Conversion Tracking
5. Usercentrics / Usercentrics / Consent Management
6. Microsoft Advertising / Microsoft / Werbung
7. Matomo / Matomo / Webanalyse
8. Google Analytics / Google / Webanalyse
9. LinkedIn Insight Tag / LinkedIn / Marketing & Analytics
10. Dynatrace / Dynatrace Performance Monitoring

Auffällig ist die starke Dominanz von Google. Fast die Hälfte der 10 am häufigsten identifizierten Dienste stammt direkt von Google.

Daneben kommen regelmäßig Marketing- und Tracking-Technologien von Meta, Microsoft und LinkedIn sowie Analysewerkzeuge wie Matomo oder Dynatrace zum Einsatz.

Datenübermittlungen in die USA bleiben relevant

Auch nach Einführung des EU-US Data Privacy Framework im Juli 2023 bleiben Datentransfers in die USA datenschutzrechtlich ein sensibles Thema.

Zwar ermöglicht der Angemessenheitsbeschluss der Europäischen Kommission Datenübermittlungen an zertifizierte US-Unternehmen. Für den Einsatz vieler Tracking-, Marketing- und Analysedienste ist jedoch weiterhin eine vorherige Einwilligung nach § 25 TDDDG sowie regelmäßig nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.

Unabhängig von der Zulässigkeit internationaler Datenübermittlungen bleibt daher die korrekte technische Umsetzung von Consent-Lösungen entscheidend.

Gesamtbewertung der Banken-Websites

Die Gesamtbewertung der untersuchten Websites fällt entsprechend kritisch aus.

  • 5 von 25 Banken (20 %) erreichten die Bestnote A.
  • B = 7, C = 4, D = 7, E = 2

Damit weist die Mehrheit der untersuchten Bank-Websites technische oder organisatorische Datenschutzmängel auf.

Kernergebnisse der Analyse

  • 76 % setzen nicht notwendige Cookies ohne Zustimmung.
  • 80 % laden externe Drittanbieterdienste vor der Einwilligung.
  • 72 %
  • 80 % der Consent-Banner erfüllen Ihre Schutzfunktion nicht vollständig
  • Google stellt 4 der 10 am häufigsten identifizierten Drittanbieterdienste.

Über die Analyse

Für die Analyse untersuchte decareto im Juli 2026 die Websites von 25 großen deutschen Kreditinstituten. Dafür wurde die decareto Plattform für Website-Compliance-Analyse eingesetzt. Bewertet wurden die technische Umsetzung der Einwilligungsmechanismen, der Einsatz externer Dienste, Cookie-Setzungen sowie die Transparenz der Datenschutzerklärungen. Grundlage der Bewertung waren die Anforderungen der DSGVO, des TDDDG sowie die aktuelle europäische und deutsche Rechtsprechung zum Einsatz zustimmungspflichtiger Technologien.

Folgende Kreditinstitute und Banken wurden untersucht

Aareal Bank AG, Deutsche Apotheker- und Ärztebank (apoBank), BayernLB – Bayerische Landesbank, Berliner Volksbank, comdirect, Commerzbank, DekaBank, Deutsche Bank, Deutsche Pfandbriefbank, DKB (Deutsche Kreditbank), DZ BANK, Hamburger Sparkasse (Haspa), Hamburg Commercial Bank (HCOB), Helaba – Landesbank Hessen-Thüringen, HypoVereinsbank (UniCredit Bank GmbH), ING Deutschland, L-Bank (Landeskreditbank Baden-Württemberg), N26, NRW.BANK, Landwirtschaftliche Rentenbank, Santander Consumer Bank, TARGOBANK, UmweltBank, Volkswagen Bank, Vontobel.

Firmenkontakt und Herausgeber der Meldung:

decareto GmbH
Mittelweg 144
20148 Hamburg
Telefon: +49 (40) 5247506-10
http://decareto.com

Ansprechpartner:
Maja Niepelt
Marketing
Telefon: +49 (40) 524750615
E-Mail: maja.niepelt@decareto.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel