
Kreditinstitute und Banken unterliegen umfassenden Compliance- und aufsichtsrechtlichen Anforderungen. Neben klassischen Finanzregulierungen müssen sie auch gesetzliche Vorgaben zum Datenschutz, zur digitalen Barrierefreiheit und zum rechtskonformen Betrieb ihrer Websites erfüllen.
Umso überraschender sind die Ergebnisse einer aktuellen Analyse von decareto: Trotz hoher regulatorischer Anforderungen weisen zahlreiche Websites deutscher Kreditinstitute erhebliche Defizite bei der Umsetzung datenschutzrechtlicher Vorgaben auf. Viele der untersuchten Websites erfüllen zentrale Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) nur unzureichend.
25 große Banken untersucht
Für die Untersuchung analysierte decareto die Websites von 25 großen Kreditinstituten und Banken in Deutschland hinsichtlich ihrer technischen Datenschutzkonfiguration. Im Fokus standen die Einhaltung der Einwilligungspflichten nach § 25 TDDDG – insbesondere:
- Einsatz von Consent-Bannern und Consent-Management-Plattformen
- Laden externer Dienste
- Setzen von Cookies
- Vollständigkeit der Datenschutzerklärungen
Die Ergebnisse zeigen, dass Datenschutzverstöße trotz vorhandener Consent-Banner und umfassender Datenschutzerklärungen weit verbreitet sind.
80 % der Consent-Banner fehlerhaft konfiguriert
Ein Consent-Banner, auch Cookie-Banner genannt, dient der Einholung und Verwaltung von Einwilligungen für zustimmungspflichtige Datenverarbeitungen auf Websites und soll sicherstellen, dass diese erst nach wirksamer Zustimmung der Nutzer erfolgen.
Alle untersuchten Banken setzen eine Consent-Management-Software ein. Die technische Umsetzung des Consent Banners entspricht jedoch häufig nicht den gesetzlichen Anforderungen.
Bei 20 von 25 Websites (80 %) wurden zustimmungspflichtige Dienste bzw. Cookies bereits beim ersten Seitenaufruf aktiviert – noch bevor Besucher ihre Einwilligung erteilt hatten. Damit verliert das Consent-Banner seine eigentliche Schutzfunktion.
76 % setzen nicht notwendige Cookies ohne Einwilligung
Cookies sind eine von mehreren Technologien zur Speicherung oder zum Auslesen von Informationen auf Endgeräten. Notwendig sind laut TDDDG nur Cookies, die für die Grundfunktion der Seite zwingend erforderlich sind (z. B. ein Warenkorb).
Die Analyse ergab, dass 19 der 25 Kreditinstitute und Banken (76 %) nicht erforderliche Cookies bereits vor einer Zustimmung der Nutzer speichern.
Nach der Rechtsprechung des Europäischen Gerichtshofs sowie des Bundesgerichtshofs dürfen solche Cookies grundsätzlich erst nach einer wirksamen Einwilligung gesetzt werden.
Besonders kritisch: Ein Großteil der betroffenen Websites vermittelt durch ein Cookie-Banner den Eindruck, die Entscheidung der Nutzer abzuwarten, verarbeitet jedoch bereits vorher personenbezogene Daten.
80 % laden externe Dienste bereits vor Zustimmung
Noch häufiger als Cookies werden externe Drittanbieterdienste ohne Einwilligung eingebunden, denn nicht alle zustimmungspflichtigen Dienste setzen auch Cookies.
20 von 25 Kreditinstituten und Banken (80 %) luden mindestens einen zustimmungspflichtigen externen Dienst bereits beim Seitenaufruf.
Dabei handelt es sich überwiegend um Dienste aus den Bereichen:
- Webanalyse
- Marketing
- Werbung
- Tag Management
Diese Technologien übertragen regelmäßig personenbezogene Daten an Drittanbieter und bedürfen daher häufig einer vorherigen Einwilligung.
Fehlende Transparenz in Datenschutzerklärungen bei 72 % der Bank-Websites
Neben der technischen Analyse untersuchte Decareto auch die Datenschutzerklärungen der Kreditinstitute und Banken.
Das Ergebnis:
18 von 25 Websites (72 %) enthielten externe Dienste, die in der jeweiligen Datenschutzerklärung nicht oder nicht eindeutig erwähnt wurden.
Damit bestehen mögliche Verstöße gegen die Informationspflichten nach Art. 13 DSGVO, wonach Verantwortliche sämtliche Empfänger personenbezogener Daten transparent benennen müssen.
Google-Dienste dominieren die eingebundenen Technologien
Die Untersuchung zeigt eine deutliche Konzentration auf wenige große Technologieanbieter.
Unter den am häufigsten identifizierten Diensten befinden sich:
Rang / Dienst / Anbieter / Hauptzweck
1. Google Tag Manager / Google / Tag Management
2. Google Ads / Google / Werbung
3. Google Adsense / Google / Werbung
4. Meta Pixel / Meta / Werbung / Conversion Tracking
5. Usercentrics / Usercentrics / Consent Management
6. Microsoft Advertising / Microsoft / Werbung
7. Matomo / Matomo / Webanalyse
8. Google Analytics / Google / Webanalyse
9. LinkedIn Insight Tag / LinkedIn / Marketing & Analytics
10. Dynatrace / Dynatrace Performance Monitoring
Auffällig ist die starke Dominanz von Google. Fast die Hälfte der 10 am häufigsten identifizierten Dienste stammt direkt von Google.
Daneben kommen regelmäßig Marketing- und Tracking-Technologien von Meta, Microsoft und LinkedIn sowie Analysewerkzeuge wie Matomo oder Dynatrace zum Einsatz.
Datenübermittlungen in die USA bleiben relevant
Auch nach Einführung des EU-US Data Privacy Framework im Juli 2023 bleiben Datentransfers in die USA datenschutzrechtlich ein sensibles Thema.
Zwar ermöglicht der Angemessenheitsbeschluss der Europäischen Kommission Datenübermittlungen an zertifizierte US-Unternehmen. Für den Einsatz vieler Tracking-, Marketing- und Analysedienste ist jedoch weiterhin eine vorherige Einwilligung nach § 25 TDDDG sowie regelmäßig nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.
Unabhängig von der Zulässigkeit internationaler Datenübermittlungen bleibt daher die korrekte technische Umsetzung von Consent-Lösungen entscheidend.
Gesamtbewertung der Banken-Websites
Die Gesamtbewertung der untersuchten Websites fällt entsprechend kritisch aus.
- 5 von 25 Banken (20 %) erreichten die Bestnote A.
- B = 7, C = 4, D = 7, E = 2
Damit weist die Mehrheit der untersuchten Bank-Websites technische oder organisatorische Datenschutzmängel auf.
Kernergebnisse der Analyse
- 76 % setzen nicht notwendige Cookies ohne Zustimmung.
- 80 % laden externe Drittanbieterdienste vor der Einwilligung.
- 72 %
- 80 % der Consent-Banner erfüllen Ihre Schutzfunktion nicht vollständig
- Google stellt 4 der 10 am häufigsten identifizierten Drittanbieterdienste.
Über die Analyse
Für die Analyse untersuchte decareto im Juli 2026 die Websites von 25 großen deutschen Kreditinstituten. Dafür wurde die decareto Plattform für Website-Compliance-Analyse eingesetzt. Bewertet wurden die technische Umsetzung der Einwilligungsmechanismen, der Einsatz externer Dienste, Cookie-Setzungen sowie die Transparenz der Datenschutzerklärungen. Grundlage der Bewertung waren die Anforderungen der DSGVO, des TDDDG sowie die aktuelle europäische und deutsche Rechtsprechung zum Einsatz zustimmungspflichtiger Technologien.
Folgende Kreditinstitute und Banken wurden untersucht
Aareal Bank AG, Deutsche Apotheker- und Ärztebank (apoBank), BayernLB – Bayerische Landesbank, Berliner Volksbank, comdirect, Commerzbank, DekaBank, Deutsche Bank, Deutsche Pfandbriefbank, DKB (Deutsche Kreditbank), DZ BANK, Hamburger Sparkasse (Haspa), Hamburg Commercial Bank (HCOB), Helaba – Landesbank Hessen-Thüringen, HypoVereinsbank (UniCredit Bank GmbH), ING Deutschland, L-Bank (Landeskreditbank Baden-Württemberg), N26, NRW.BANK, Landwirtschaftliche Rentenbank, Santander Consumer Bank, TARGOBANK, UmweltBank, Volkswagen Bank, Vontobel.
decareto GmbH
Mittelweg 144
20148 Hamburg
Telefon: +49 (40) 5247506-10
http://decareto.com
Marketing
Telefon: +49 (40) 524750615
E-Mail: maja.niepelt@decareto.de
![]()
