StarMoney App: Vorbildlicher Datenschutz (Note 1,6). Wegen verbesserungsfähiger Transparenz verpasst StarMoney nur knapp ein ‚SEHR GUT‘
Die StarMoney App ermöglicht es Nutzern, verschiedene Bankkonten zentral zu verwalten – unabhängig vom jeweiligen Institut. Die Daten werden dabei lokal auf dem Smartphone gespeichert, was aus unserer Sicht vorbildlich ist und für sehr hohen Datenschutz sorgt. Das Angebot umfasst unterschiedliche Bezahlmodelle: Während die kostenlose Version Werbung zeigt, verzichten die kostenpflichtigen Varianten „StarMoney Plus“ und „StarMoney Flat“ auf Werbeeinblendungen und bieten zusätzlich erweiterte Funktionen.
Bewertung:
Pro
✅ Daten lokal auf dem Smart Phone
✅ Detaillierte Beschreibung der Datenverarbeitung
✅ Transparenz bei technischen und organisatorischen Maßnahmen
✅ Tracking anonym
Contra
➖ Unklar wie Werbung datenschutz-technisch umgesetzt ist
➖ Ältere Datenschutzerklärungen nicht zugänglich
➖ Unklar wie über Änderungen der Datenschutz-Erklärung informiert wird
Fazit
Der Datenschutz-Check von StarMoney App: Gute Bewertung mit 86 %
Die StarMoney App überzeugt im Datenschutz-Check und erhält mit einer Bewertung von 86 % die Einstufung „GUT (1,6)“.
Nur knapp verpasst StarMoney die sehr gute Bewertung, denn in puncto Datenschutz macht die App vieles richtig. Besonders positiv hervorzuheben ist die lokale Datenbank, die als ausgesprochen datenschutzfreundlich gilt – ein Beispiel für „Privacy by Design“.
Detaillierter Bericht
|
Anbieter |
Star Finanz-Software Entwicklung und Vertriebs GmbH |
|
BEWERTUNG (100%) |
GUT (1,6) |
|
Änderungen der Datenschutz-Erklärung |
5 von 20 |
|
Verschlüsselung |
35 von 35 |
|
Möglicherweise unfaire Datenschutz-Bestimmungen |
7 von 10 |
|
Automatisierte Entscheidungsfindung |
5 von 10 |
|
Betroffenenrechte |
20 von 20 |
|
Tracking |
23 von 25 |
|
Standort des Anbieters |
10 von 10 |
|
Sprache |
10 von 10 |
|
Datenverkauf |
10 von 10 |
|
Nutzung von Dritt-Diensten aus Dritt-Ländern |
10 von 10 |
|
Verantwortlicher |
7 von 10 |
|
Datenschutzbeauftragter |
8 von 10 |
|
Verständlichkeit |
10 von 10 |
|
Lesbarkeit |
10 von 10 |
|
Aktualität |
10 von 10 |
|
Zugänglichkeit |
8 von 10 |
|
Versionierung |
0 von 10 |
|
Technisch-Organisatorische Maßnahmen |
10 von 10 |
|
Verarbeitungsumfang und Zwecke |
37 von 40 |
|
App Installation |
20 von 20 |
|
App Informationen |
20 von 20 |
|
Cookies auf Dienste-Website |
35 von 40 |
Die StarMoney App von StarFinanz ist eine Anwendung für Finanzmanagement. Die Datenschutzerklärung vom März 2023 gibt Aufschluss über die Datenschutzpraktiken der App.
Bei der Benutzung der App werden personenbezogene Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, IP-Adresse und IBAN verarbeitet. Diese Daten werden ausschließlich im Rahmen der vertraglichen Verpflichtungen und mit ausdrücklicher Einwilligung der Nutzer verarbeitet. Die Datenschutzerklärung betont, dass keine Daten ohne Zustimmung an Dritte weitergegeben werden, es sei denn, es besteht eine gesetzliche Verpflichtung.
Die App implementiert verschiedene Sicherheitsmaßnahmen, darunter Passwortschutz, Datenverschlüsselung und automatische Sperrung bei Inaktivität. Diese Maßnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleisten.
Nutzer werden über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit informiert. Die Datenschutzerklärung enthält klare Anweisungen zur Ausübung dieser Rechte.
Die App verwendet Matomo für die Analyse des Nutzerverhaltens. Die gesammelten Daten sind anonymisiert und werden nicht an Dritte weitergegeben. Nutzer können dies jederzeit deaktivieren.
Die Datenschutzerklärung von StarMoney lässt ein paar Details vermissen, wenn man unsere EUSEC-DC25-A Kriterien als Maßstab heranzieht.
In der kostenlosen Version wird Werbung eingeblendet, was an sich weder als kritisch noch ungewöhnlich gilt, da Werbung bei sogenannten Freemium-Angeboten gängige Praxis ist. Allerdings lässt die Datenschutzerklärung hierzu Details vermissen: Es bleibt unklar, ob es sich um allgemeine oder personalisierte Werbung handelt. Eine entsprechende Erläuterung in der Datenschutz-Erklärung würde die Transparenz erhöhen. Es gibt keine klaren Angaben dazu, wie Nutzer über Änderungen der Datenschutzerklärung informiert werden, und frühere Versionen der Erklärung sind nicht zugänglich. Ebenso hätten wir uns eine kurze Begründung gewünscht, warum Informationen zur möglichen Länge und zum Aufbau von PINs und TANs an StarMoney übermittelt werden. Wichtig: Dies darf nicht damit verwechselt werden, dass StarMoney die PIN oder TAN übermittelt – hierfür gibt es keinerlei Hinweise. Es kann hierfür sicher gute technische oder sicherheitsrelevante Gründe geben. Ohne eine Begründung bleiben diese aber in-transparent. Punktabzüge gab es auch, weil StarMoney in der Datenschutzerklärung eine automatisierte Entscheidungsfindung nicht explizit ausgeschlossen hat. Zwar legt der Kontext nahe, dass eine solche Verarbeitung in der App nicht stattfindet, dennoch bleibt ein vollständiger Ausschluss unklar.
Wegen diesen Punkten verpasst StarMoney nur knapp eine sehr gute Bewertung. Das ist schade, denn dank der lokal gespeicherten Datenbank setzt die App „Privacy by Design“ in vorbildlicher Weise um.
EUSEC® Bewertungen, Testsiegel und Gütesiegel
Was ist der Unterschied zwischen einem Check, einem Test und einer Zertifizierung? Welche Aussagekraft haben diese jeweils? Bei weiteren Fragen wenden Sie sich an eusec@bay-sec.de.
- 22 Prüfpunkte
- Prüfung nach EUSEC® Maßstäben
- Kostenlos
- Bewertung durch Experten
- Siegel-Nutzung stark eingeschränkt (z.B. nur Online auf eigener Webseite).
- 60 Prüf-/Testpunkte
- Bewertung + umfassender Security-Test
- Beauftragung notwendig (kostenpflichtig)
- Umfassender Test des Produkts
- Siegel-Nutzung umfassend erlaubt (z.B. Online, Print, Shops, Radio, TV).
- 60 Prüf-/Testpunkte
- 3 Zertifizierungsschritte
- Bewertung, Test + ständige Kontrollen
- Beauftragung notwendig (kostenpflichtig)
- Ständige Kontrollen und Überwachungen
- Siegel-Nutzung am meisten erlaubt, auch vor Gericht.
Autor: Benjamin S. Nitzinger
Durchführung: Mai 2025.
ID: 2505-13
Grundsätze: Erfahren Sie hier mehr zu unseren Bewertungsgrundsätzen, die auch für diese Analyse galten: „So arbeiten wir“ bzw. https://eusec.info/de/so-arbeiten-wir/
Ziel: Ziel der Bewertung ist die Beurteilung der Datenschutzerklärungen und Validierung durch eigene Prüfungen und Tests – jeweils auf Basis des EUSEC-DC25-A-Verfahrens.
Gegenstand der Bewertung: Untersucht wurden die Datenschutz-Erklärungen des Dienstes und durch Prüfungen bzw. Tests validiert.
Konzept: Es wurde das hier offengelegte Konzept EUSEC-DC25-A angewendet, das Verfahren und Bewertungskriterien umfasst. Das Konzept gibt unsere Einschätzung und Meinung wieder, was wir als wichtig erachten. Das Prüfverfahren beruht auf privat entwickelten Kriterien. Es handelt sich nicht um eine Zertifizierung nach DSGVO Art. 42.
Offenlegung des Konzepts „EUSEC-DC25-A“
Dynamische Analyse und UI/UX-Evaluation:
Der Dienst und die Webseite des Anbieters wurde auf handelsüblichen Smartphones mit aktuellem Betriebssystem (Android oder iOS) aufgefrufen. Die Website wurde unter Nutzung gängiger Browser (Chrome oder Edge) und Betriebssysteme (Mac, Linux oder Windows) betrachtet. Virtuelle Hardware oder Simulatoren kamen nicht zum Einsatz. Bei der Methode der dynamischen Analyse wurde das zu untersuchende Objekt ausgeführt, um spezifische Aufgabenstellungen nachvollziehbar zu bewerten. Im Rahmen der UI/UX-Evaluation wurde ermittelt, ob bestimmte Nutzerinteraktionen innerhalb definierter Grenzen und unter Berücksichtigung der Benutzerfreundlichkeit umsetzbar sind (z. B. Wie viele Klicks sind erforderlich, um alle Cookies zu deaktivieren?).
Dokumentenprüfung:
Ein qualifizierter Datenschutzauditor bewertete die Datenschutzerklärungen inhaltlich und formell.
Für jede erfüllte Anforderung wird eine entsprechende Punktzahl vergeben. Die Fragestellungen sind so aufgebaut, dass pro Bereich eine maximale Punktzahl erreicht werden kann. Die jeweils höchstmögliche Punktzahl wird im Bericht transparent ausgewiesen.
Unterpunkte, die nur bei Vorliegen bestimmter Bedingungen berücksichtigt werden, sind durch rechtsbündige Formatierung hervorgehoben. Zusätzlich gibt es sogenannte K.O.-Kriterien, die mit einem „X“ markiert sind. Ist ein solches Kriterium erfüllt, können für den entsprechenden Abschnitt keine Punkte vergeben werden. Wird eine Anforderung nicht vollständig, jedoch teilweise oder auf anderem Weg sinnvoll erfüllt, können Teilpunkte vergeben werden.
Bewertungskonzept mit standardisierten Kriterien:
Ein standardisiertes Vorgehen und standardisierte Kriterien für Apps wurde angewandt. Die Bewertung umfasst die Datenschutz-Erklärung der Webseite des Anbieters.
Kriterium für diese Kategorie:
Dieses Konzept gilt für digitale Angebote mit einer App.
|
GESAMTURTEIL (100%) |
Maximale Punkte |
Punkte |
Schritt |
|
Änderungen der Datenschutz-Erklärung |
20 |
5 |
Ist eine explizite Information nach erfolgten Änderungen in der App gemäß Datenschutzerklärung vorgesehen? |
|
5 |
Ist eine explizite Information nach erfolgten Änderungen in der E-Mail gemäß Datenschutzerklärung vorgesehen? |
||
|
3 |
Ist eine explizite Information nach erfolgten Änderungen auf der Website gemäß Datenschutzerklärung vorgesehen? |
||
|
3 |
Ist ein Datum auf der Datenschutzerklärung angegeben? |
||
|
4 |
Wird auch die frühere Version der Datenschutzerklärung zur Ansicht angeboten? |
||
|
2 |
Sieht die Datenschutzerklärung lediglich eine Aktualisierung und Veröffentlichung neuer Datenschutzrichtlinien auf der Website vor? |
||
|
1 |
Beschreibt die Datenschutzerklärung lediglich, dass die Erklärung regelmäßig aktualisiert wird, aber nicht, wie und wo der Kunde sich selbst darüber informieren kann? |
||
|
Verschlüsselung |
35 |
20 |
Ist der Datenverkehr der Anbieter-Website verschlüsselt? |
|
15 |
Werden aktuelle Verschlüsselungsverfahren verwendet (TLS 1.2 und TLS 1.3, jedoch nicht TLS 1.0 und TLS 1.1)? |
||
|
Möglicherweise unfaire Datenschutz-Bestimmungen |
10 |
4-10 |
Wie viele Anzeichen bestehen dafür, dass es unfaire Datenschutzbestimmungen gibt? |
|
Automatisierte Entscheidungsfindung |
10 |
10 |
Ist die automatisierte Entscheidungsfindung und Profiling ausgeschlossen? |
|
5 |
Findet eine automatisierte Entscheidungsfindung oder Profiling statt, aber es ist ein deutlicher Grund angegeben? |
||
|
2 |
Findet eine automatisierte Entscheidungsfindung oder Profiling statt, aber es ist nicht vollständig verständlich? |
||
|
0 |
Fehlt eine Aussage bezüglich automatisierter Entscheidungsfindung oder Profiling und gibt es Anzeichen, dass diese dennoch stattfindet? |
||
|
Betroffenenrechte |
20 |
10 |
Wird über alle Betroffenenrechte informiert? |
|
0-10 |
Wie viele Schwächen bei der Information über Betroffenenrechte können erkannt werden (z. B. undeutlich, nicht vollständig klar)? |
||
|
Tracking |
25 |
25 |
Sind keine Tracking-Maßnahmen vorgesehen? |
|
10 |
Ist das Tracking kontrollierbar als Ganzes (bedeutet: vollständig deaktivierbar und nicht nur in Teilen)? |
||
|
10 |
Findet das Tracking in anonymisierter Form statt? |
||
|
5 |
Wenn nein, findet das Tracking in pseudonymisierter Form statt? |
||
|
3 |
Ist das Tracking sinnvoll begründet? |
||
|
Standort des Anbieters |
10 |
10 |
Ist der Standort des Anbieters in Deutschland? |
|
8 |
Wenn nein: Ist der Standort des Anbieters ansonsten in der EU oder in einem Land, wo die DSGVO gilt? |
||
|
6 |
Wenn nein: Ist der Standort in einem Land, in dem ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt? |
||
|
6 |
Wenn nein: Ist das Unternehmen durch ein Datenschutz-Abkommen (z. B. EU-US Data Privacy Framework) abgedeckt? |
||
|
6 |
Wenn nein: Wurden gemäß Datenschutzerklärung Verträge mit Standardvertragsklauseln gemäß der Europäischen Kommission abgeschlossen? |
||
|
3 |
Wenn nein, informiert der Anbieter transparent darüber und holt eine explizite und informierte Einwilligung für die Datenverarbeitung ein und sieht der Anbieter spezifische Kontaktkanäle für Datenschutz-Anfragen vor (z. B. E-Mail oder Formular für Datenschutz-Anfragen)? |
||
|
Sprache |
10 |
10 |
Ist die Datenschutzerklärung in Zielgruppen-Sprache (z.B. Deutsch)? |
|
5 |
Ist die Datenschutzerklärung NUR in englischer Sprache, aber nicht in Zielgruppen-Sprache (z.B. Deutsch)? |
||
|
0 |
Ist die Datenschutzerklärung weder in der Zielgruppen-Sprache (z.B. Deutsch) noch Englisch? |
||
|
Datenverkauf |
10 |
10 |
Ist kein Verkauf bzw. kommerzielle Weitergabe von persönlichen Daten an Dritte vorgesehen? |
|
5 |
Wenn Verkauf bzw. kommerzielle Weitergabe vorgesehen ist, kann dies durch Wahlmöglichkeiten kontrolliert (z. B. Opt-In) werden und ist der Verkauf standardmäßig deaktiviert? |
||
|
2 |
Wenn Verkauf bzw. kommerzielle Weitergabe vorgesehen ist, ist dies standardmäßig „aktiviert“ und kann der Verkauf durch Wahlmöglichkeiten kontrolliert (z. B. Opt-Out)? |
||
|
3 |
Wenn Verkauf bzw. kommerzielle Weitergabe vorgesehen ist, sind die Dritten bzw. Käufer konkret benannt? |
||
|
X |
Gibt es Anzeichen, dass persönliche Daten verkauft oder weitergegeben werden, ohne dass dies offengelegt wird? |
||
|
Nutzung von Dritt-Diensten aus Dritt-Ländern |
10 |
10 |
Findet keine Weitergabe von persönlichen Daten an Dritte statt, um die Dienstleistung zu erbringen? |
|
8 |
Gibt es gemäß der Datenschutzerklärung Dienste zum Zwecke der Verarbeitung persönlicher Daten von Anbietern aus Deutschland, der EU oder einem Land mit Angemessenheitsbeschluss oder sind diese durch ein anderweitiges Datenschutz-Abkommen (z. B. EU-US Data Privacy Framework) abgedeckt? |
||
|
5 |
Wenn nein, sind Standardvertragsklauseln der Europäischen Kommission gültig und wird der Nutzer explizit um Zustimmung gefragt? |
||
|
3 |
Wenn auch keine Standardvertragsklauseln abgeschlossen wurden, wird explizit um Zustimmung gefragt und dies in einfach zugänglicher sowie in der Datenschutzerklärung offengelegt? |
||
|
Verantwortlicher |
10 |
10 |
Ist der Verantwortliche vollständig benannt? Vollständig bedeutet: Firmenname, Anschrift, Land, eMail Adresse, Telefonnummer und Fax sind aufgeführt. |
|
8 |
Ist der Verantwortliche benannt, mit Firmenname, Anschrift, Land, und Telefonnummer. Aber es fehlen eMail Adresse oder Fax. |
||
|
6 |
Ist der Verantwortliche benannt, mit Firmenname, Anschrift, Land, und Telefonnummer sind aufgeführt. Aber es fehlen eMail und Fax. |
||
|
4 |
Ist der Verantwortliche nur grob benannt? Grob bedeutet: Firmenname, Anschrift, Land. Aber es fehlen eMail, Fax und Telefonnummer. |
||
|
2 |
Ist der Verantwortliche lediglich namentlich benannt? Aber es fehlen weitere Angaben wie, Anschrift, eMail, Fax und Telefonnummer. |
||
|
0 |
Der Verantwortliche ist nicht benannt und/oder erschwert identifizierbar. |
||
|
Datenschutzbeauftragter |
10 |
10 |
Ist ein Datenschutzbeauftragter benannt und vollständig mit Namen, Anschrift und Kontaktdaten (eMail und Fax) angegeben? |
|
8 |
Ist ein Datenschutzbeauftragter benannt, aber Kontaktdaten unvollständig, z.B. eMail oder Fax fehlen ? |
||
|
3 |
Ist ein Datenschutzbeauftragter benannt, aber ohne weitere Kontaktdaten? |
||
|
0 |
Es ist kein Datenschutzbeauftragter benannt. |
||
|
Verständlichkeit |
35 |
10 |
Sind die Formulierungen der Datenschutzerklärung verständlich und werden komplizierte Begriffe (z. B. Fachbegriffe) vermieden? |
|
8 |
Werden nur wenige komplizierte Begriffe verwendet? |
||
|
5 |
Werden an einigen Stellen komplizierte Begriffe verwendet? |
||
|
2 |
Werden an vielen Stellen komplizierte Begriffe verwendet? |
||
|
0 |
Ist die Datenschutzerklärung als nicht verständlich für normale Verbraucher einzustufen? |
||
|
Lesbarkeit |
10 |
10 |
Ist das Format und Struktur sehr gut lesbar? Ist die Schriftgröße angemessen? Ist die Schriftart sehr gut lesbar? Sind die Formatierungen sehr gut aufgebaut? Werden die Texte in einer gut lesbaren Ansicht dargestellt? |
|
7 |
Es bestehen geringe Mängel an einem oder zwei obigen Kriterien. |
||
|
5 |
Es bestehen beachtenswerte Mängel an mehreren obigen Kriterien. |
||
|
4 |
Es bestehen erhebliche Mängel, jedoch nicht gravierend. |
||
|
0 |
Es bestehen ernsthafte Mängel. Die Lesbarkeit wird erheblich erschwert! |
||
|
Aktualität |
10 |
10 |
Macht die Datenschutz-Erklärung einen aktuellen Eindruck? Ist ein Datum angegeben? Liegt das Datum weniger als 1 Jahre zurück? |
|
7 |
Macht die Datenschutz-Erklärung einen aktuellen Eindruck? Ist ein Datum angegeben? Liegt das Datum weniger als 3 Jahre zurück? |
||
|
5 |
Macht die Datenschutz-Erklärung einen aktuellen Eindruck? Es fehlt aber ein Datum? |
||
|
0 |
Die Datenschutz-Erklärung macht einen veralteten Eindruck, das Datum liegt länger als 4 Jahre zurück oder es fehlt das Datum komplett. |
||
|
Zugänglichkeit |
10 |
10 |
Datenschutzerklärung ist leicht zugängilich mit 1 Klick. Datenschutz-Erklärung kann später wieder aufgerufen werden oder alternativ weg-gespeichert, oder weg-kopiert werden. |
|
8 |
Datenschutzerklärung ist zugängilich mit 2 Klicks oder weniger. Datenschutz-Erklärung kann später wieder aufgerufen werden oder alternativ weg-gespeichert, oder weg-kopiert werden. |
||
|
6 |
Datenschutzerklärung ist zugängilich mit 3 Klicks oder weniger. Datenschutz-Erklärung kann später wieder aufgerufen werden oder alternativ weg-gespeichert, oder weg-kopiert werden. |
||
|
3 |
Datenschutz-Erklärung kann nach erstmaligem Aufruf nicht mehr wieder aufgerufen werden oder alternativ weg-gespeichert, oder weg-kopiert werden. |
||
|
0 |
Datenschutzerklärung ist nicht zugänglich oder Link funktioniert nicht. |
||
|
Versionierung |
10 |
10 |
Frühere Versionen der Datenschutz-Erklärung sind veröffentlicht und leicht erkenntlich (mit maximal 2 Klicks). |
|
8 |
Frühere Versionen der Datenschutz-Erklärung sind veröffentlicht, aber zugänglich (3 oder 5 Klicks). |
||
|
6 |
Frühere Versionen der Datenschutz-Erklärung sind veröffentlicht, aber nicht komfortabel zugänglich (3 oder 5 Klicks). |
||
|
2 |
Frühere Versionen der Datenschutz-Erklärung sind veröffentlicht, aber schwerer zugänglich (5 oder 6 Klicks). |
||
|
0 |
Frühere Versionen der Datenschutz-Erklärung sind nicht veröffentlicht oder es sind 7 Klicks oder mehr notwendig. |
||
|
Technisch-Organisatorische Maßnahmen |
10 |
10 |
Es wird versichert, dass technisch-organisatorische Maßnahmen zum Schutz der Daten bestehen. Die Beschreibung ist umfassend. |
|
5 |
Es wird versichert, dass technisch-organisatorische Maßnahmen zum Schutz der Daten bestehen. Die Beschreibung ist akzeptabel. |
||
|
0 |
Es wird nicht versichert, dass technisch-organisatorische Maßnahmen zum Schutz der Daten bestehen. |
||
|
Verarbeitungsumfang und Zwecke |
40 |
10 |
Werden die verarbeiteten Informationen nicht nur umschrieben (z. B. Geräte-Daten), sondern konkret genannt (z. B. IP-Adresse)? |
|
7 |
Werden die verarbeiteten Daten nur umschrieben in Kategorien – aber nicht konkret benannt? |
||
|
0 |
Werden die verarbeiteten Daten weder in Kategorien umschrieben noch konkret benannt? |
||
|
10 |
Ist ein konkreter Zweck benannt? |
||
|
0 |
Fehlt der konkrete Zweck? |
||
|
10 |
Wird für die Verarbeitung eine konkrete Rechtsgrundlage aufgeführt? |
||
|
5 |
Wird für die Verarbeitung eine Rechtsgrundlage genannt, aber diese ist ev. nicht umfassend oder nicht klar genug beschrieben? |
||
|
0 |
Wird für die Verarbeitung keine Rechtsgrundlage aufgeführt? |
||
|
10 |
Wird konkret aufgeführt wie lange die Daten gespeichert werden? |
||
|
7 |
Wird die Speicherdauer an einigen Stellen lediglich umschrieben, aber es fehlen konkrete Nennungen? |
||
|
0 |
Wird auf die Speicherdauer gar nicht eingegangen? |
||
|
App Installation |
20 |
20 |
Ist die App über offizielle App-Stores installierbar? |
|
6 |
Wenn nein, erfolgt der Download nur über einen QR-Code oder einen Link, jeweils von der Website des App-Herstellers? |
||
|
2 |
Wenn nein, ist die App nur über Drittanbieter oder inoffizielle Quellen verfügbar? |
||
|
App Informationen |
20 |
20 |
Wird vor der Installation der App umfassend über Datensicherheit informiert? |
|
Cookies auf Dienste-Website |
40 |
40 |
Werden optionale Cookies (z. B. zu Statistik- oder Marketingzwecken) vollständig vermieden? |
|
10 |
Wenn verständlich und übersichtlich: 10 Punkte. |
||
|
0-15 |
Wie viele Klicks sind notwendig, um alle nicht notwendigen Cookies abzulehnen? |
||
|
0-10 |
Wie viele Klicks sind notwendig, um nach getroffener Auswahl Änderungen vorzunehmen? |
||
|
x |
Wird die Cookie-Auswahl sehr erschwert (z. B. durch Dark Patterns oder komplizierte Gestaltung)? |
Jeder Schritt wird mit Punkten bewertet. Die spezifischen Kriterien für die jeweilige Punktevergabe sind im Konzept dokumentiert. Wird ein Kriterien teilweise erfüllt, können auch anteilige Punkte vergeben werden. Wird ein Kriterium auf eine andere Art gelöst, als angenommen, aber das Ziel wird dennoch erreicht, können dennoch Punkte vergeben werden. Pro Bereich werden die Punkte der einzelnen Schritte addiert. Für jeden Bereich wird prozentual berechnet, wie viele Punkte von den maximal möglichen Punkten erreicht wurden. Anhand des folgenden Bewertungsschlüssels ergibt sich dann die Bezeichnung und die Note. Die Verteilung innerhalb der Bewertungsbereiche erfolgt anteilig, z. B. entsprechen 88 % der Note 1,4, 94 % beispielsweise der Note 1,2.
Für jeden Bereich wird eine Note berechnet sowie eine Bezeichnung festgelegt. Es gilt folgender Bewertungsschlüssel für die Bewertung der Bereichsergebnisse:
|
Prozentual erreichte Punktzahl im jeweiligen Bereich |
= Note |
= Bezeichnung |
|
100% – 88% |
= 1,0 – 1,5 |
= Sehr gut |
|
87% – 70% |
= 1,51 – 2,5 |
= Gut |
|
69% – 55% |
= 2,51 – 3,5 |
= Befriedigend |
|
54% – 50% |
= 3,51 – 4,5 |
= Ausreichend |
|
49% – 40% |
= 4,51 – 5,5 |
= Mangelhaft |
|
39% – 0% |
= 5,51 – 6,0 |
= Ungenügend |
Gesamt- oder Teilbewertungen werden mit einer Stelle nach dem Komma angegeben und vorher entsprechend aufgerundet oder abgerundet. Zum Beispiel würde die Note 1,44 auf 1,4 abgerundet, aber die Note 1,45 würde auf 1,5 aufgerundet.
Berechnung der Gesamtbewertung
Wenn alle Bereiche gleich gewichtet sind, gilt die mit dem arithmetischen Mittelwert errechnete Note als Gesamtnote. Folgende Formel wird angewandt:
|
Gesamtnote = |
∑ Ni |
|
n |
Wenn es eine unterschiedliche Gewichtung je Bereich gibt, gilt die mit der gewichteten Durchschnittsformel errechnete Note als Gesamtnote. Folgende Formel wird angewandt:
|
Gesamtnote = |
∑(Ni × Wi) |
|
∑Wi |
Ni seien die jeweiligen Bewertungen als Note, und Wi seien jeweiligen Gewichtungen. n sei die Anzahl der in die Berechnung zu berücksichtigenden Bewertungen als Note. Das errechnete Ergebnis wird wird als Note als Zahl und als ausgeschriebene Bewertung dargestellt. Es gilt folgender Bewertungsschlüssel:
|
= Errechnete Gesamtbewertung |
= Bewertung ausgeschrieben |
= Award Qualifikation |
|
1,0 – 1,5 |
Sehr gut |
qualifiziert für EUSEC DATENSCHUTZ-AWARD |
|
1,51 – 2,5 |
Gut |
– |
|
2,51 – 3,5 |
Befriedigend |
– |
|
3,51 – 4,5 |
Ausreichend |
– |
|
4,51 – 5,5 |
Mangelhaft |
– |
|
5,51 – 6,0 |
Ungenügend |
– |
Die Voraussetzung für einen Award ist eine Gesamtbewertung von 1,0 bis 1,5.
© BaySec – Bayerische Gesellschaft für Cybersicherheit mbH – Alle Rechte vorbehalten.
Eine Nutzung der Berichte, Texte, Artikel, Dokumente, Grafiken und anderer Werke über den unten verlinkten hinaus gehenden Regelungen, insbesondere eine werbende, gewerbliche oder kommerzielle Nutzung, bedarf der ausdrücklichen schriftlichen Zustimmung und ist ggf. kostenpflichtig. Bitte kontaktieren Sie die BaySec – Bayerische Gesellschaft für Cybersicherheit mbH unter lizenz@bay-sec.de.
Es gelten unsere Nutzungs- und Lizenzbedingungen sowie rechtliche Hinweise, welche Sie hier bzw. unter https://eusec.info/de/lizenz-und-nutzungsbedingungen/ finden.
Bei uns hat Vertrauen, Unbestechlichkeit und Transparenz oberste Priorität. Daher haben wir uns zu folgender Offenlegung freiwillig verpflichtet.
- Ursprung der grundsätzlichen Idee: BaySec – Bayerische Gesellschaft für Cybersicherheit mbH
- Identität des Veranstalters: BaySec – Bayerische Gesellschaft für Cybersicherheit mbH
- Wurde die Bewertung vor der Durchführung mit dem Hersteller/Anbieter abgesprochen oder beauftragt: nein
- Wurde die Bewertung vor der Durchführung mit einem möglichen Konkurrenten des Anbieters/Herstellers abgesprochen oder beauftragt: nein
- Wurde Werbung mit Ergebnissen, Marken oder anderen Kennzeichen gestattet: nein
3.1 Offenlegung der Bedingungen und Entgelte: Nicht relevant, da nein. - Wurde künstliche Intelligenz bei Erstellung dieses Artikels verwendet?: Ja (z.B. Rechtschreibprüfung).
Verantwortlich im Sinne des § 18 Abs. 2 MStV:
BaySec – Bayerische Gesellschaft für Cybersicherheit mbH
Benjamin Salko Nitzinger
Stoißberg 79
83454 Anger
Der Bericht und die Ergebnisse basieren ausschließlich auf den durchgeführten Checks und sind unabhängig von kommerziellen Interessen oder Einflussnahme durch Dritte. Das Ergebnis ist unabhängig von etwaigen Lizenzgebühren für das Gütesiegel oder die Verwendung des Berichts. Das Ergebnis darf nur mit ausdrücklicher Zustimmung des Veranstalters für werbliche Zwecke genutzt werden. Die Methoden und Bewertungskriterien sind transparent und öffentlich zugänglich. Weitere Details finden Sie auf unserer Website. Die redaktionelle Verantwortung für den Bericht liegt bei der BaySec – Bayerische Gesellschaft für Cybersicherheit mbH, die die Bewertung unabhängig und ohne Einflussnahme Dritter durchgeführt hat. Die Verantwortung wird von den zuständigen Mitarbeitern getragen, die die Bewertung unter transparenten und definierten Kriterien durchgeführt haben.