20. Juli 2022 | 07:24 Uhr

Post-&-DHL-App: Reaktion der Deutschen Post liegt vor

Am 20. Juni 2022 haben Peter Hense (Spirit Legal) und ich die Post-&-DHL-App analysiert und dabei erhebliche Datenschutzprobleme festgestellt. Am 23. Juni 2022 hatte ich bei der Deutschen Post um eine Stellungnahme gebeten. Diese liegt seit dem 15. Juli 2022 vor:

Guten Tag Mike Kuketz,

in Ihrer E-Mail vom 23.06.2022 baten Sie um eine Stellungnahme zu Ihrem Beitrag. Dieser Bitte kommen wir gerne nach. Zunächst einmal vielen Dank für Ihre detaillierte Analyse unserer Post & DHL App, wir freuen uns über Ihr großes Interesse an der App.

Nach Rücksprache mit den zuständigen Entwicklern möchten wir Ihnen mitteilen, dass die App alle rechtlichen Grundlagen zum Datenschutz in Deutschland erfüllt.
Dennoch arbeiten wir kontinuierlich an weiteren Optimierungen, nicht nur an Features, sondern auch an den eingesetzten Software-Elementen. Einige ausgewählte Beispiele möchten wir Ihnen nachfolgend ausführen.

So sind wir bestrebt, die Datenverarbeitung in Drittländern zu vermeiden und entwickeln deshalb unsere Anwendungen kontinuierlich weiter. In Bezug auf die von Ihnen erwähnte Komponente Firebase Crashlytics beispielsweise prüfen wir derzeit den Einsatz einer Self-Hosted Lösung.
An der Stelle möchten wir darauf hinweisen, dass die aktuell genutzte Lösung im Rahmen der Initialisierung einen Aufruf an die Google API absetzen kann. Dies dient jedoch nur der Initialisierung und stellt noch kein Tracking dar.

Die von Ihnen erwähnte Software Adobe Launch nutzt gemäß den individuellen vertraglichen Vereinbarungen mit Adobe ausschließlich in der EU gehostete Server.
Bei Adobe Launch handelt es sich um einen Tagmanager und keinen Tracking-Server. Es werden keine Tracking-Calls an oder von Adobe-Launch gesendet. Adobe nutzt für den Tagmanager das Content Delivery Network (CDN) von Akamai, um die Assets im Tagmanager schneller aufrufen zu können. Hierzu wird der Server kontaktiert, der zum Standort des Website Nutzers am günstigsten für einen guten Pagespeed liegt. Dies ist auch bei vielen Websites gängige Praxis.

Der von Ihnen angemerkte Consent-Banner ist aus unserer Sicht datenschutzkonform und wird in enger Abstimmung mit uns in der Abteilung Datenschutz implementiert. Auch wenn z.B. die Französische Datenschutzbehörde CNIL in Ihrer Empfehlung Nr. 2020-092 vom 17.09.2020 zum Thema „Cookies und andere Tracker“ empfiehlt, Schaltflächen und Schriftarten zu verwenden, die dieselbe Größe haben, gut lesbar und identisch hervorgehoben sind, gibt es keine konkreten, rechtlich bindenden Vorgaben zur Gestaltung der Schaltflächen. Somit ist im Einzelfall zu beurteilen, ob beide Schaltflächen und ihre Auswirkungen ausreichend erkennbar sind. Das ist vorliegend aus unserer Sicht der Fall. Der Button ist gut erkennbar, der Text nachvollziehbar und der Nutzer kann mit einem Klick nur die Auswahl technisch notwendiger Cookies bestätigen. Zudem ist die Vorauswahl datenschutzfreundlich, da technisch nicht notwendige Cookies deaktiviert sind. Unsere Button-Lösung wurde auch der für uns zuständigen Aufsichtsbehörde, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), vorgestellt. Von dort gab es keine Bedenken.

Die eingesetzten Cookies sind beschrieben und werden von uns kontinuierlich auf Ihre Aktualität hin überprüft. Sie finden die Beschreibungen unter „Cookie Hinweise und Einstellungen“ angezeigt. Bzgl. des Hinweises zu Braintree stand in der App tatsächlich eine Aktualisierung des Datenschutzhinweises noch an, die bereits umgesetzt ist:

Für die Abwicklung der Zahlung per Kreditkarte nutzt die Deutsche Post AG den Service Braintree des Zahlungsdienstleisters PayPal (Europe) S.á r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. Sofern Sie mittels Kreditkarte zahlen, werden die für die Zahlungsabwicklung erforderlichen Daten (Kreditkartennummer, Ablaufdatum und Prüfnummer) von dem Zahlungsdienstleister erhoben und verarbeitet. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung der Daten für die Zahlung und damit für die Durchführung des Vertrages erforderlich ist. Die geltenden Datenschutzbestimmungen von PayPal können in der Paypal-Datenschutzerklärung abgerufen werden.

Wir hoffen, dass wir Ihnen mit unseren Informationen möglichst transparent die Hintergründe zur jetzigen Version unserer App und unseren zukünftigen Vorhaben darlegen konnten.

Mit freundlichen Grüßen
XY
Abteilung Datenschutz
Senior Experte Datenschutz

Ich fasse zusammen:

Alles okay. Bitte weitergehen, hier gibt es nichts zu sehen.

Wir bleiben bei unserer technischen sowie rechtlichen Einschätzung und halten den aktuellen Stand der Post-&-DHL-App für nicht datenschutzkonform. Betroffene sollten daher Beschwerde einlegen. Laut Datenschutzerklärung ist die Zuständigkeit (für die App) wie folgt: