Wer sich als Kunde bei der Commerzbank einloggt, wird beobachtet – von einem sogenannten Tracker. Tracker sind kleine Programme, die das Verhalten im Internet vermessen: Sie liefern Website-Betreibern etwa Informationen darüber, was Nutzer anklicken, von welcher Seite sie kommen, wie lange sie auf einer Seite bleiben. Eine Stichprobe des Unternehmens eBlocker belegt: Auch auf Finanz-Websites ist das Datensammeln üblich. Mitunter werden deutlich mehr Programme eingesetzt, als die Portale etwa in ihren Datenschutzerklärungen angeben.

Marit Hansen sieht das kritisch. Die Informatikerin ist Datenschutzbeauftragte des Landes Schleswig-Holstein. Die Datensammelprogramme sind zwar nicht per se illegal, sie sind bisher auch ohne ausdrückliche Zustimmung der Nutzer einsetzbar, solange die Daten anonymisiert erhoben oder einem Pseudonym zugeordnet werden. So können die Tracker Nutzer zwar wiedererkennen, aber keine Rückschlüsse auf bestimmte Personen ziehen. "Allerdings hat man als Nutzer das Recht, dem Tracking zu widersprechen", sagt Hansen, "und damit man das kann, muss man erst mal auf die Tracker hingewiesen werden – und darauf, wie man ihnen widersprechen kann."

Aus dem Telemediengesetz haben Deutschlands Datenschutzbehörden abgeleitet, dass die Hinweise "in deutlicher Form genannt werden müssen, zum Beispiel im Rahmen der Datenschutzerklärung". Hansen ergänzt, dass die Erklärung nur "einen Klick entfernt" stehen dürfe, also schon von der Startseite eines Dienstanbieters abrufbar sein müsse. Zudem sei es unzulässig, in der Erklärung nur einen Teil der Tracker aufzuführen und einen Teil zu verschweigen. Genau das aber ist offenbar der Fall: Mitunter laufen im Hintergrund deutlich mehr Datensammelprogramme mit, als die Betreiber der Seiten angeben. Das zeigt die Stichprobe von eBlocker. Das Hamburger Unternehmen kennt sich aus mit Trackern: Es stellt eine kleine Box her, die sich mit dem Router verbinden lässt; auf ihr läuft eine Software, die Tracker blockieren kann und es Nutzern ermöglicht, weitgehend anonym durchs Netz zu surfen. Alternativ können auch Zusatzprogramme für Browser helfen, die Tracker zu stoppen; außerdem kann man regelmäßig seine Cookies löschen – kleine Dateien, die von den Trackern auf dem Computer gespeichert werden und anhand derer sie Nutzer wiedererkennen.

eBlocker hat im August und im September mehrere Finanz-Websites unter die Lupe genommen, darunter sechs von großen Banken. Seiten also, auf denen Nutzer etwas über ihre Finanzen verraten. Das Ergebnis ist zwar nur eine Momentaufnahme. Und doch zeigt es, dass ein erheblicher Teil der untersuchten Anbieter "gravierend gegen die Vorgaben der Aufsichtsbehörden" verstößt, wie eBlocker resümiert.

Laut eBlocker fanden sich zum Beispiel auf dem Portal zinsen-berechnen.de mehr als 70 Tracker – auch auf Seiten mit Formularen, auf denen Nutzer sensible Daten eingeben können, etwa wenn sie berechnen wollen, wie viel netto von ihrem Bruttogehalt übrig bleibt. In der Datenschutzerklärung hingegen würde nur ein kleiner Teil der Tracker aufgeführt, auch die Widerspruchsmöglichkeiten seien lückenhaft. Auf dem Portal finanzrechner.org, auf dem sich zum Beispiel die Konditionen von Baudarlehen abfragen und vergleichen lassen, fehlte die Datenschutzerklärung laut eBlocker komplett – obwohl zum Zeitpunkt der Stichprobe mehr als zehn Tracker eingebunden waren.

Die Bitte um eine Stellungnahme ließ finanzrechner.org unbeantwortet. Beim Portal zinsen-berechnen.de erklärt man, die Belegung der Seite mit Werbung erfolge mit vier externen Partnern. Deren Tracker seien aufgeführt, gesammelt würden lediglich anonymisierte Daten. Eine höhere Zahl von Trackern lasse sich dadurch erklären, "dass unsere Werbepartner wiederum mit weiteren Partnern wie Werbenetzwerken, Agenturen und Werbekunden zusammenarbeiten, welche dabei möglicherweise ihre jeweils eigene Technologie einbringen". Mit anderen Worten: Das Portal weiß nicht, was alles mitläuft, obwohl es darüber ebenfalls aufklären müsste.

Auch etablierte Unternehmen nehmen es mit den Regeln nicht so genau, wie die Stichprobe von eBlocker zeigt. So zum Beispiel smava.de, ein Portal, auf dem sich Kredite vergleichen lassen. Das Berliner Unternehmen hatte zum Zeitpunkt der Stichprobe von eBlocker rund 40 Tracker eingebunden, listete in seiner Datenschutzerklärung aber weniger als ein Viertel auf – obwohl es auf seiner Internetseite mit einem Zertifikat des TÜV Saarland für seinen "geprüften Datenschutz" wirbt. "Fakt ist, dass Webseiten-Besuchern ein vermeintlich bestimmungsgemäßer Umgang mit Profildaten suggeriert wird, der sich nicht feststellen lässt", kommentiert eBlocker-Chef Christian Bennefeld. Smava bezog zu den Vorwürfen bis zum Redaktionsschluss keine Stellung.