Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

1. Post & DHLPost & DHL App

Im Rahmen der Artikelserie »App-Check« werden bekannte und weitverbreitete Apps auf ihr Datensendeverhalten geprüft. Mittels eines Intercepting-Proxys wird das Verhalten der Apps beim Start und auch während der Nutzung analysiert. Es wird geprüft, wohin eine App eine Verbindung aufbaut und welche Daten dabei übermittelt werden. Die Ergebnisse sollen Aufschluss darüber geben, wie datenschutzfreundlich eine App in der Standardkonfiguration ist und Tipps ableiten, wie sich das »Nach-Hause-Telefonieren« einschränken oder sogar vollständig abschalten lässt. Eine rechtliche Bewertung des ermittelten Datensendeverhaltens erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig.

Im vorliegenden Beitrag wird die App Post & DHL analysiert, die für Android und iOS verfügbar ist. Die Analyse erfolgt sowohl unter Android als auch unter iOS. Die Ausgangslage für den nachfolgenden Test von Post & DHL ist wie folgt:

  • Betriebssystem: Android 10 (Xiaomi Mi A1) | iOS 15.4.1 (iPhone SE)
  • App-Version: 8.3.24 (1199) (Android) | 8.3 (iOS)
  • Verbreitung: Über 5 Millionen Downloads (Google Play Store)
  • Exodus Privacy: In der Version 8.3.24 (1199) (Android) sind 3 Tracker integriert

Die App wird aktuell wie folgt beworben:

Mit der Post & DHL App alle Services und Produkte im Blick

Dieser Beitrag ist Teil einer Artikelserie:

2. Datensendeverhalten

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.1 Vorbemerkung

Vorab ist festzuhalten, dass die Verbindungen der App mit TLS-Certificate-Pinning abgesichert sind. Mit den üblichen Methoden via Frida und Objection (android sslpinning disable) ist es mir zunächst nicht gelungen, das Cert-Pinning zu umgehen. Mit einem Frida-Hook (tls-check-bypass.js) hatte ich dann aber Erfolg:

Java.perform(function() {
   var array_list = Java.use("java.util.ArrayList"); 
   var ApiClient = Java.use('com.android.org.conscrypt.TrustManagerImpl');

   ApiClient.checkTrustedRecursive.implementation = function(a1,a2,a3,a4,a5,a6) { 
      // console.log('Bypassing SSL Pinning'); 
      var k = array_list.$new(); 
      return k; 
   }
},0);

Dieser kleine »Trick« ermöglicht mir die Umgehung des TLS-Certificate-Pinnings und damit letztendlich die Analyse des App-Datenverkehrs. Ohne diesen Schritt wäre eine Analyse nicht möglich. Es handelt sich dabei lediglich um eine lokale Veränderung/Anpassung der App (auf dem Gerät), die keinen Einfluss auf irgendwelche personenbezogenen Daten/die Sicherheit Dritter hat.

2.2 Android und iOS

Die nachfolgende Analyse erfolgte unter den Plattformen Android und iOS. Grundsätzlich ist das Datensendeverhalten der Post-&-DHL-App auf beiden Plattformen ähnlich. Folgende Unterschiede haben sich während der Analyse ergeben:

  • Adobe: Unmittelbar nach dem Start wird auf iOS zusätzlich eine Verbindung zum Adobe Audience Manager (dpm.demdex.net) initiiert und dabei ebenfalls ein Cookie gesetzt.

2.3 Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

Die nachfolgenden Datenübermittlungen erfolgen, noch bevor der Nutzer eine Interaktion ausgeführt hat. Dies ist oftmals problematisch, da diese Daten/Informationen noch vor der Abgabe einer ausdrücklichen, informierten, freiwilligen und aktiven Einwilligung abgefragt bzw. übermittelt werden.

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Google Firebase (USA) initiiert – eine Entwicklungs-Plattform für mobile Anwendungen [firebaseinstallations.googleapis.com]:

POST /v1/projects/dhl-paket-app/installations HTTP/1.1
Content-Type: application/json
Accept: application/json
Cache-Control: no-cache
X-Android-Package: de.dhl.paket
x-firebase-client: fire-cls-ndk/17.4.1 device-model/tissot fire-rc/20.0.4 kotlin/1.5.31 android-target-sdk/30 android-min-sdk/23 fire-core-ktx/19.5.0 fire-dl-ktx/19.1.1 device-name/lineage_tissot fire-android/29 fire-cls/17.4.1 fire-core/19.5.0 android-installer/com.android.vending fire-iid/21.1.0 fire-perf-ktx/19.1.1 fire-perf/19.1.1 fire-fcm/20.1.7_1p android-platform/ fire-abt/20.0.0 fire-installations/16.3.5 device-brand/Xiaomi fire-analytics-ktx/18.0.3 fire-analytics/18.0.3
x-firebase-client-log-type: 3
X-Android-Cert: 81220C281617A4946DEFFEBAA8DC96182A63E488
x-goog-api-key: AIzaSyBLb1UI-5sW5i102BDzN5kUuf_oIjXEjpI
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseinstallations.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 129

{
   "fid":"cwM1JdvzSI-NOVdd0JmwNx",
   "appId":"1:759477801123:android:54df9f1c9d77198f",
   "authVersion":"FIS_v2",
   "sdkVersion":"a:16.3.5"
},

[2] Anschließend initiiert die App diverse Verbindungen zu Adobe Inc., einem Unternehmen aus den USA, das unter anderem auch Marketing-Lösungen anbietet [assets.adobedtm.com]:

GET /7877162daa45/33d03dabe980/launch-9a2bbcdf1571.json HTTP/1.1
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
Accept-Language: de-DE
Host: assets.adobedtm.com
Connection: close
Accept-Encoding: gzip, deflate

Es werden JSON-Dateien, ein Zip-File und JavaScript von der Adresse assets.adobedtm.com nachgeladen. Eine Antwort von der Gegenstelle sieht folgendermaßen aus und deutet auf die Adobe Experience Cloud (USA) hin:

HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Type: application/json
ETag: "d28338e41699ca571593e503259a8d27:1589453968.255943"
Last-Modified: Thu, 14 May 2020 10:59:28 GMT
Server: AkamaiNetStorage
Vary: Accept-Encoding
Content-Length: 651
Cache-Control: max-age=3600
Expires: Mon, 02 May 2022 08:44:34 GMT
Date: Mon, 02 May 2022 07:44:34 GMT
Connection: close
Timing-Allow-Origin: *

{
   "global.privacy":"optedin",
   "analytics.launchHitDelay":0,
   "analytics.backdatePreviousSessionInfo":false,
   "analytics.offlineEnabled":false,
   "__dev__analytics.rsids":"deutschepostdhlpaketdev",
   "build.environment":"prod",
   "rules.url":"https://assets.adobedtm.com/7877162daa45/33d03dabe980/launch-9a2bbcdf1571-rules.zip",
   "experienceCloud.org":"3505782352FCE66F0A490D4C@AdobeOrg",
   "lifecycle.sessionTimeout":300,
   "analytics.server":"smetrics.dhl.de",
   "__stage__analytics.rsids":"deutschepostdhlpaketdev",
   "analytics.rsids":"deutschepostdhlpaketprod",
   "analytics.batchLimit":0,
   "property.id":"PR18d263b4a4c64322833082c05330a4dd",
   "analytics.aamForwardingEnabled":false
}

Die Antwort beinhaltet den Domain-Namen eines Analytics-Servers: smetrics.dhl.de. Der CNAME Lookup von smetrics.dhl.de verweist auf die Domain

dhl.de.ssl.sc.omtrdc.net

Anders als auf den ersten Blick vermutet findet die Erfassung/Verarbeitung der Analyse-Daten also nicht bei der Deutschen Post statt, sondern in Adobes Experience Cloud. Die Domain *.omtrdc.net gehört nämlich zu Adobe.

[3] Weiter geht es dann mit einem Verbindungsaufbau zu Google Crashlytics. Dort erfolgt eine initiale Anmeldung (am Dienst) und bei einem Absturz/Fehler dann eine Übermittlung. [firebase-settings.crashlytics.com]:

GET /spi/v2/platforms/android/gmp/1:759477801123:android:54df9f1c9d77198f/settings?instance=ef39755fdd54b2982b2485cfe978a8d52b626dc7&build_version=291001199&display_version=8.3.24%20(1199)&source=4 HTTP/1.1
X-CRASHLYTICS-DEVELOPER-TOKEN: 470fa2b4ae81cd56ecbcda9735803434cec591fa
X-CRASHLYTICS-DEVICE-MODEL: Xiaomi/Mi A1
X-CRASHLYTICS-INSTALLATION-ID: dac86bea60524b459716e2e30047aa4c
X-CRASHLYTICS-OS-DISPLAY-VERSION: 10
Accept: application/json
X-CRASHLYTICS-API-CLIENT-VERSION: 17.4.1
User-Agent: Crashlytics Android SDK/17.4.1
X-CRASHLYTICS-API-CLIENT-TYPE: android
X-CRASHLYTICS-GOOGLE-APP-ID: 1:759477801123:android:54df9f1c9d77198f
X-CRASHLYTICS-OS-BUILD-VERSION: 10037230
Host: firebase-settings.crashlytics.com
Connection: close
Accept-Encoding: gzip, deflate

[4] Eine weitere Verbindung erfolgt zu Google Firebase Remote Config (USA), einem Cloud-Dienst, mit dem App-Updates bzw. Anpassungen an Design etc. zeitnah möglich sind – ein Update der App ist nicht erforderlich [firebaseremoteconfig.googleapis.com]:

POST /v1/projects/759477801123/namespaces/fireperf:fetch HTTP/1.1
X-Goog-Api-Key: AIzaSyBLb1UI-5sW5i102BDzN5kUuf_oIjXEjpI
X-Android-Package: de.dhl.paket
X-Android-Cert: 81220C281617A4946DEFFEBAA8DC96182A63E488
X-Google-GFE-Can-Retry: yes
X-Goog-Firebase-Installations-Auth: eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJhcHBJZCI6IjE6NzU5NDc3ODAxMTIzOmFuZHJvaWQ6NTRkZjlmMWM5ZDc3MTk4ZiIsImV4cCI6MTY1MjA4NTU2NSwiZmlkIjoiZGQ2ZmdEZllTQXlFZTUzeFlxX0JtTiIsInByb2plY3ROdW1iZXIiOjc1OTQ3NzgwMTEyM30.AB2LPV8wRQIgEsNegyUexv5Lhk-svJYpZ5l1cd_JXdoCkift8PcuG1ICIQDXiu11lyahAjFVt5Av_B79OEj6XyTA8ZlNvlGa-wXFSg
Content-Type: application/json
Accept: application/json
Content-Length: 652
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: firebaseremoteconfig.googleapis.com
Connection: close
Accept-Encoding: gzip, deflate

{
   "appInstanceId":"fV9tarpEQPi3KRr0eol-H6",
   "appVersion":"8.3.24 (1199)",
   "countryCode":"DE",
   "analyticsUserProperties":{
   },
   "appId":"1:759477801123:android:54df9f1c9d77198f",
   "platformVersion":"29",
   "timeZone":"Europe\/Berlin",
   "sdkVersion":"20.0.4",
   "packageName":"de.dhl.paket",
   "appInstanceIdToken":"eyJhbGciOiJFUzI1NiIsInR5cCI[...]",
   "languageCode":"de-DE",
   "appBuild":"291001199"
}

[5] Nachdem Verbindungen zu Adobe und Google erfolgt sind, werden Ressourcen wie JSON-Dateien, CSS-Stylesheets, JavaScript, Bilder etc. von den Servern der Deutschen Post (nach-)geladen [www.dhl.de]:

GET /int-webapp/spa/prod/ver4-SPA-VERFOLGEN.html HTTP/1.1
Host: www.dhl.de
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 [DHL Paket Android App/8.3.24 (1199)]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
X-Requested-With: de.dhl.paket
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Im Rahmen dieser Anfragen werden einige Cookies gesetzt:

  • _abck: Domain=.dhl.de; Path=/; Expires=Tue, 02 May 2023 08:39:25 GMT; Max-Age=31536000;
  • bm_sz: Domain=.dhl.de; Path=/; Expires=Mon, 02 May 2022 12:39:25 GMT; Max-Age=14400
  • bm_mi: Domain=.www.dhl.de; Path=/; Max-Age=0;
  • ak_bmsc: Domain=.www.dhl.de; Path=/; Expires=Mon, 02 May 2022 10:39:26 GMT; Max-Age=7200;
  • verfolgen-affinity: Expires=Thu, 05-May-22 08:23:34 GMT; Max-Age=172800; Path=/;
  • […]

Eine eDeviceID-Cookie gehört auch dazu:

eDeviceID=16bee94b-7b12-4064-bc09-2454653a28ab

[6] Nach dem Start der App wird noch ein weiterer Verbindungsaufbau zu Google initiiert [app-measurement.com]:

POST /a HTTP/1.1
Content-Length: 1304
Content-Type: application/x-www-form-urlencoded
User-Agent: Dalvik/2.1.0 (Linux; U; Android 10; Mi A1 Build/QQ3A.200805.001)
Host: app-measurement.com
Connection: close
Accept-Encoding: gzip, deflate

[...]

Es handelt sich hierbei um den Google-Tracker »Google Firebase Analytics«, der den Google-Cloud-Messaging- (GCM) Nachfolger Firebase Cloud Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren. Leider können wir die übermittelten Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt.

[7 – Nur iOS] Unter iOS wird zusätzlich der Adobe Audience Manager kontaktiert [dpm.demdex.net]:

GET /id?d_rtbd=json&d_ver=2&d_orgid=3505782352FCE66F0A490D4C@AdobeOrg&d_mid=53121873470780035078796395240492869318 HTTP/1.1
Host: dpm.demdex.net
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (iPhone; CPU OS 15_4_1 like Mac OS X; de_DE)
Accept-Language: de-DE
Accept-Encoding: gzip, deflate
Connection: close

Dabei wird die App zum Erstellen eines Cookies aufgefordert:

set-cookie: demdex=49138391096009786188618423213763541839; Max-Age=15552000; Expires=Tue, 01 Nov 2022 07:29:16 GMT; Path=/; Domain=.demdex.net; Secure; SameSite=None

2.4 (Cookie-)Consent-Banner

Bevor die Post-&-DHL-App genutzt werden kann, erscheint auf dem Bildschirm ein (Cookie-)Consent-Banner. Zum Hintergrund: Mit einem solchen Consent-Banner (Einwilligungs-Banner) kann eine Einwilligung des Nutzers zu einer Datenverarbeitung eingeholt werden. Sowohl die DSGVO als auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehen solche Einwilligungen vor, bei der DSGVO auch neben anderen Rechtsgrundlagen. Das TTDSG erlaubt hingegen einen Zugriff auf im Endgerät gespeicherte Daten grundsätzlich nur nach Einwilligung – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Ausnahmen davon sind nur im engen Rahmen erlaubt, darunter die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen. Wie die DSK in ihrer Orientierungshilfe (OH Telemedien 2021) auf Seite 21 und 25 schreibt, ist dies technisch und aus der Perspektive des Nutzers auszulegen:

Die Vorschrift enthält im Wesentlichen zwei Tatbestandsmerkmale, die grundsätzlich auslegungsbedürftig sind – dies sind „einen vom Nutzer ausdrücklich gewünschten Telemediendienst“ und „unbedingt erforderlich“. Beide Tatbestandsmerkmale stehen in einem untrennbaren Zusammenhang. Die unbedingte Erforderlichkeit von Speicher- und Auslesevorgängen ist in Bezug auf den konkret von der Endnutzerin oder dem Endnutzer gewünschten  Telemediendienst zu prüfen, um festzustellen, ob die Ausnahmevorschrift greift.

In der Gesetzesbegründung zum TTDSG wird jedoch von einer technischen Erforderlichkeit ausgegangen, was ein strenges Verständnis nahelegt. Dies bedeutet, dass auch für von Endnutzer:innen ausdrücklich gewünschte Dienste nur solche Zugriffe auf die Endeinrichtung von der Ausnahme umfasst sind, die technisch erforderlich sind, um gerade den gewünschten Dienst bereitzustellen.

Zusammengefasst: Sobald ein Verantwortlicher/Betreiber oder sein(e) Auftragsdatenverarbeiter

  • nach der DSGVO personenbezogene Daten erheben, verarbeiten oder nutzen möchte(n) und keinen anderen Rechtsgrund dafür vorweisen kann
  • und/oder nach TTDSG Daten auf der Endeinrichtung (Endgerät) speichert oder ausliest, die für den gewünschten Dienst technisch nicht notwendig sind

besteht die Notwendigkeit, vom Betroffenen eine ausdrückliche, informierte, freiwillige, aktive Einwilligung einzuholen.

Werfen wir nun einen Blick auf den (Cookie-)Consent-Banner der Post-&-DHL-App:

Cookie-Banner

Als Nutzer hat man zwei Optionen:

  • Nur Auswahl bestätigen: Diese Option ist nicht als Button gestaltet und wird vom Nutzer eventuell nicht als Option/Auswahl wahrgenommen. Mit einem Tipp auf die Option soll die Auswahl der darüber dargestellten Schieberegler (bspw. Analyse-Cookies) berücksichtigt werden. Ob das in der Praxis funktioniert, prüfen wir im weiteren Verlauf der Analyse. Positiv: Die Vorauswahl der Schieberegler ist datenschutzfreundlich.
  • Alle akzeptieren: Diese Option hebt sich durch das auffällige rot deutlich von den anderen Option ab. Die meisten Nutzer werden aufgrund der Gestaltung vermutlich darauf tippen – das ist Nudging, also eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren.

Zusammenfassung

Fassen wir die bisherigen Erkenntnisse zusammen:
  • Datenübermittlung: Noch während der (Cookie-)Consent-Banner angezeigt wird, werden bereits Verbindungen initiiert bzw. (Endgerät-)Informationen an Drittanbieter/Auftragsdatenverarbeiter übermittelt. Dazu zählt bspw. der Verbindungsaufbau zu Adobe Inc. (USA).
  • Optionsmöglichkeiten: Der (Cookie-)Consent-Banner bietet dem Nutzer zwei verschiedene Möglichkeiten/Optionen. Auffällig ist die Gestaltung des Buttons Alle akzeptieren. Aufgrund des rot hervorgehobenen Buttons werden die meisten Nutzer darauf tippen – das ist Nudging, also eine Form der Beeinflussung, um den Nutzer in seiner Entscheidung/Verhalten zu manipulieren.
  • Cookies: Noch bevor eine Auswahl beim (Cookie-)Consent-Banner getroffen wurde, setzt die Deutsche Post ca. zehn Cookies. Weder in der Datenschutzerklärung der App noch im Verweis auf die Datenschutzhinweise (Absatz Einsatz von Cookies) finden sich Informationen, welchem Zweck diese Cookies dienen. Unter »Einsatz von Cookies« sind zwar einige Cookies bzw. deren Bezeichnung und Zweck aufgelistet, allerdings keine jener Cookies, die die Post-&-DHL-App setzt bzw. nutzt.

2.5 Während der aktiven Nutzung

Nachfolgend wird das Datensendeverhalten der App untersucht, nachdem beim (Cookie-)Consent-Banner die Auswahl Nur Auswahl bestätigen getroffen wurde – alle Schieberegler sind entsprechend der Vorauswahl deaktiviert/aus.

[1] Nach der Auswahl werden erneut Verbindungen zu Adobe Inc. initiiert und ein Zip-File sowie zwei JavaScript-Dateien nachgeladen [assets.adobedtm.com]:

GET /7877162daa45/33d03dabe980/launch-9a2bbcdf1571-rules.zip HTTP/1.1
If-Range: Thu, 14 May 2020 10:59:28 GMT
User-Agent: Mozilla/5.0 (Linux; U; Android 10; de-DE; Mi A1 Build/QQ3A.200805.001)
If-Modified-Since: Thu, 14 May 2020 10:59:28 GMT
Accept-Language: de-DE
Range: bytes=160-
Host: assets.adobedtm.com
Connection: close
Accept-Encoding: gzip, deflate

Vor dem Hintergrund, dass beim (Cookie-)Consent-Banner keine Schieberegler aktiviert wurden, ist der erneute Verbindungsaufbau zu Adobe Inc. überraschend. Die nachgeladenen Dateien (AppMeasurement_Module_ActivityMap.min.js, AppMeasurement.min.js) enthalten Analyse-Bestandteile, um den Nutzer bzw. sein Verhalten zu tracken. Im Rahmen der App-Analyse kamen diese zwar nicht zum Einsatz, dennoch besteht hier Verbesserungsbedarf. Weshalb Verbindungen auslösen und etwas nachladen, wenn es anschließend nicht genutzt wird?

Deaktiviert: Analyse-Cookies

Die Aufrufe zu Adobe Inc. wiederholen sich übrigens regelmäßig. Das bedeutet: Während der App-Nutzung initiiert die Post-&-DHL-App kontinuierlich Verbindungen, um die drei Dateien (Zip-Datei, JavaScript) herunterzuladen/zu aktualisieren.

[2] Von den Servern der Deutschen Post werden weitere Ressourcen wie JSON-Dateien, CSS-Stylesheets, JavaScript, Bilder etc. nachgeladen [www.dhl.de]:

GET /int-webapp/spa/prod/ver4-SPA-VERFOLGEN.html HTTP/1.1
Host: www.dhl.de
Cookie: bm_sz=44AAE79CD001C27B368E8AF346BECAB5~YAAQPrUQAgXze4aAAQAAGHYEiQ/ESeWQvL+j6ZUVmzErFW5ppJ8muCYZzvZBtK18NNt+0OZDVOWtPkBqIdn3y/s48AVsCRPzhYVoF3lMNvtb4NeH5i4VeDgaqa4SpLWMjoUmX4bJz0DXcUcsCOGfhwJBLjiWM3TECpHt21d/Lb4w3F0NcFDCpxxG6KmGNbOdHS7/yEnvEY5MgnIvq7x7kBsUNQnediLRKEDrypWs2SMJoFQX1x0cSEbztnOX08wAakkPDmwRtjcmjroObjd4YltD9VUOnhwealkQvnTTiIRB3YJRQ4E8GYm00COhiYrYbdDXedZgB9yw2+pgIU9DAAxqw1PWPtsfSY5KBL2H1vvf3QSR1fShA83RvIuIrplmEdLU6Qs=~3290673~4602163; at_check=true; 111411e0674dbdbae10ab1469ad14741=c1edd96d065198f205164efe8a3a5aa2; verfolgen-affinity=1651566215.963.35.640071|1b7ba29007c56ac574758fa7c8b30439; bm_mi=D214B23D49A6F12DEA6444FAA045DBC4~K2Zkkg2rcVwkxckRxr8K7TVy3IuR7YHdJpM6J6GklUdyhyxu14mCUyBGpw5s/0MwR4dJLZItkTahsyYWq4s7e0g7jkzTdeIRhKekDgzwnUDr1WSMfQY2v2GPUe5QHk2O+/2kiD8GBCuRXc+9nXWqJmKiw9RF59Gc7aXiP6Kkue/rWG2OuAT2a+RnXj75oJBSq0THs3L5uiiPlP3geP9eOhDckMh2LU/eaNYDoRG4TpvRO32DGTRfLfdld+5cLc/3; eDeviceID=16bee94b-7b12-4064-bc09-2454653a28ab; akaalb_wwwdhldealb=~op=www_dhl_de_alb_erkennen_only:erkennen|www_dhl_de_alb_verfolgen_only_azure:verfolgen_azure|www_dhl_de_alb_aviseanzeigen:aviseanzeigen|www_dhl_de_alb:wwwdhlde|www_dhl_de_alb_webapp_only:webapp|~rv=55~m=erkennen:0|verfolgen_azure:0|aviseanzeigen:0|wwwdhlde:0|webapp:0|~os=06f548fb0da0a4ee62020bebc018f01f~id=f33745366cf5309d60398658366529fd; ak_bmsc=FCE74F56AFB7C661C2D3D816698D5222~000000000000000000000000000000~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; _abck=561581E6CDAE4AD3865109F4852668C0~0~YAAQDIQUAmYjI3yAAQAAxIYEiQdBJsH50U0aSFg5gV03LCLrx+omeC0E8LX8QSd2+u5wH6Ag5OlF+EFim7mbRSDwGytIX9jLKzfangewm2Rlor5UoFFR7f7L5exdmrx/D5QLulLGH/y1vuOJ7sxkNfJpLHVxGS0NJQk7bPSgKappYutqE77K7WgDwpyLOFYR7ogZgdRFPp4cUmoJHGdefPRxF2FzYNUA5+BDaKr3zSvUqD6lbvUX+2u36RPfzcykK/yslVQIeWXLQ3ZcZStqV3DsR4bAHVDOV1Rcrtx1RPGwkus7CiZsdEdeJ+u9m7VqJvGJkl2BYhpupAlN6XgkX5WXzGcGc4AVdJch/+5WwuNzQbutiOfV8hM4gdHsWy1ISeLVZad9LzLjM4CZI8+NbV47B5cJNyqaXzPbgl9JThh4Ykg=~-1~||-1||~-1; bm_sv=5D2C7F102D702E9F016C8A42A8F52A6D~gcfysDCh7S8ZHc4ONFQMMN34Y8RalzRYFB5cCmGAvNMBJKu/5AUCgrrS9eurpBhXHXCXflcNzxDTa9NTJM8G5RXWXA3euaMrYfrNMpukRNRf7cJ+EMZ63iWK1xJvxH/OJmW7+kBxms3ECxqJJa8Cp2EpsJHUNjDPrq6Xepu3LJA=
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 [DHL Paket Android App/8.3.24 (1199)]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
X-Requested-With: de.dhl.paket
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

Interessant hierbei ist, dass jeder Aufruf alle zehn Cookies übermittelt, die die Post-&-DHL-App gleich zu Beginn/beim Aufruf der App gesetzt hat. Leider ist bei den meisten Cookies unklar, welchem Zweck sie dienen.

Bei der weiteren Nutzung der App erfolgt zunächst keine Anmeldung mit einem Konto der Deutschen Post. Beim Aufruf der folgenden App-Funktionen

  • Verfolgen
  • Versenden
  • Standorte
  • Packstation

erfolgen Datenübermittlungen an die Deutsche Post, die aus unserer Sicht der Funktionserbringung dienen. Von dieser Bewertung möchten wir die Übermittlung der Cookies ausdrücklich ausklammern, die mehr oder weniger eine Blackbox darstellen.

Hinweis

Dieses Datensenderverhalten unterscheidet sich deutlich von Version 7.0.54 (206), die ich im Oktober 2021 analysiert habe. Unter anderem sind nachfolgende Änderungen zu beobachten:
  • Es wird kein Adobe Identifier als Referer an nahezu jede Anfrage angehängt
  • Die Verbindungen zu Adobe sind generell reduziert worden
  • Bei der Funktion Standorte wird das Kartenmaterial von Bing nun erst nach Nachfrage nachgeladen
  • Beim Anmelden mit einem Nutzerkonto erscheint nun kein weiterer (Cookie-)Consent-Banner von »shop.deutschepost.de«

Hat die Deutsche Post auf die damals geäußerte Kritik etwa reagiert?

2.6 Nutzerkonto anlegen

Innerhalb der App lässt sich mit den folgenden Angaben ein Nutzerkonto bei der Deutschen Post anlegen:

  • Vorname
  • Nachname
  • E-Mail
  • Passwort
  • Straße
  • Hausnummer
  • PLZ
  • Ort

Währden des gesamten Vorgangs nimmt die App auschließlich Verbindungen zu den Servern der Deutschen Post auf. Nach Bestätigung des angelegten Kontos über einen E-Mail-Link kann man loslegen.

Sie haben Ihr Kundenkonto erfolgreich aktiviert.

2.7 Bezahlvorgang auslösen

Über das Menü lässt sich die Funktion Versenden auswählen und unter anderem eine digitale Briefmarke erwerben. Das probieren wir nachfolgend aus. Nachdem für 0,85 € der Standardbrief gewählt wurde, muss zur Auftragbestätigung eine E-Mail-Adresse angegeben werden. Bezahlen kann man anschließend entweder per PayPal oder Kreditkarte. Zu Testzwecken wähle ich die Kreditkarte als Zahlungsmittel.

[1] Die Auswahl löst sogleich eine Verbindung zu Braintree (USA) aus – einem Dienstleister, der sich auf mobiles Bezahlen spezialisiert hat [payments.braintree-api.com]:

POST /graphql HTTP/1.1
Host: payments.braintree-api.com
Content-Length: 1485
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 [DHL Paket Android App/8.3.24 (1199)]
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJFUzI1NiIsImtpZCI6IjIwMTgwNDI2MTYtcHJvZHVjdGlvbiIsImlzcyI6Imh0dHBzOi8vYXBpLmJyYWludHJlZWdhdGV3YXkuY29tIn0.eyJleHAiOjE2NTE2NTk1NjUsImp0aSI6ImU5YTZkZTJlLWEzZmEtNDYxZi1hYzdiLWYyZGZjNzk3ODhiYSIsInN1YiI6IjV5cXNzNGd3ODh0NGdicHEiLCJpc3MiOiJodHRwczovL2FwaS5icmFpbnRyZWVnYXRld2F5LmNvbSIsIm1lcmNoYW50Ijp7InB1YmxpY19pZCI6IjV5cXNzNGd3ODh0NGdicHEiLCJ2ZXJpZnlfY2FyZF9ieV9kZWZhdWx0IjpmYWxzZX0sInJpZ2h0cyI6WyJtYW5hZ2VfdmF1bHQiXSwic2NvcGUiOlsiQnJhaW50cmVlOlZhdWx0Il0sIm9wdGlvbnMiOnt9fQ.tMgj2P6IzXpNt0wlOiKa-M_VDoEah9HDvoqce0lhZNqgw1Reh2WvCUM9Lly3dQFLSXvifGYoXvqM913b4IbpqQ
Braintree-Version: 2018-05-10
Content-Type: application/json
Accept: */*
Origin: https://www.dhl.de
X-Requested-With: de.dhl.paket
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{
   "clientSdkMetadata":{
      "source":"client",
      "integration":"custom",
      "sessionId":"bb9446bf-189b-434f-8de4-49f14bb0c997"
   },"query":
   "query ClientConfiguration { clientConfiguration { analyticsUrl environment merchantId assetsUrl clientApiUrl creditCard { supportedCardBrands challenges threeDSecureEnabled threeDSecure { cardinalAuthenticationJWT } } applePayWeb { countryCode currencyCode merchantIdentifier supportedCardBrands } googlePay { displayName supportedCardBrands environment googleAuthorization paypalClientId } ideal { routeId assetsUrl } kount { merchantId } masterpass { merchantCheckoutId supportedCardBrands } paypal { displayName clientId privacyUrl userAgreementUrl assetsUrl environment environmentNoNetwork unvettedMerchant braintreeClientId billingAgreementsEnabled merchantAccountId currencyCode payeeEmail } unionPay { merchantAccountId } usBankAccount { routeId plaidPublicKey } venmo { merchantId accessToken environment } visaCheckout { apiKey externalClientId supportedCardBrands } braintreeApi { accessToken url } supportedFeatures } }",
   "operationName":"ClientConfiguration"
}

[2] Und noch eine Verbindung zu Braintree (USA) – die Adresse lässt auf einen Analytics-Dienst schließen [client-analytics.braintreegateway.com]:

POST /5yqss4gw88t4gbpq HTTP/1.1
Host: client-analytics.braintreegateway.com
Content-Length: 965
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 [DHL Paket Android App/8.3.24 (1199)]
Content-Type: application/json
Accept: */*
Origin: https://assets.braintreegateway.com
X-Requested-With: de.dhl.paket
Sec-Fetch-Site: same-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://assets.braintreegateway.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{
   "analytics":[
      {
         "kind":"web.custom.hosted-fields.load.succeeded",
         "isAsync":false,
         "timestamp":1651573163135
      }
   ],
   "braintreeLibraryVersion":"braintree/web/3.76.3",
   "_meta":{
      "merchantAppId":"www.dhl.de",
      "platform":"web",
      "sdkVersion":"3.76.3",
      "source":"client",
      "integration":"custom",
      "integrationType":"custom",
      "sessionId":"bb9446bf-189b-434f-8de4-49f14bb0c997"
   },
   "authorizationFingerprint":"eyJ0eXAiOiJKV1QiLCJhbGciOiJFUzI1NiIsImtpZCI6IjIwMTgwNDI2MTYtcHJvZHVjdGlvbiIsImlzcyI6Imh0dHBzOi8vYXBpLmJyYWludHJlZWdhdGV3YXkuY29tIn0.eyJleHAiOjE2NTE2NTk1NjUsImp0aSI6ImU5YTZkZTJlLWEzZmEtNDYxZi1hYzdiLWYyZGZjNzk3ODhiYSIsInN1YiI6IjV5cXNzNGd3ODh0NGdicHEiLCJpc3MiOiJodHRwczovL2FwaS5icmFpbnRyZWVnYXRld2F5LmNvbSIsIm1lcmNoYW50Ijp7InB1YmxpY19pZCI6IjV5cXNzNGd3ODh0NGdicHEiLCJ2ZXJpZnlfY2FyZF9ieV9kZWZhdWx0IjpmYWxzZX0sInJpZ2h0cyI6WyJtYW5hZ2VfdmF1bHQiXSwic2NvcGUiOlsiQnJhaW50cmVlOlZhdWx0Il0sIm9wdGlvbnMiOnt9fQ.tMgj2P6IzXpNt0wlOiKa-M_VDoEah9HDvoqce0lhZNqgw1Reh2WvCUM9Lly3dQFLSXvifGYoXvqM913b4IbpqQ"
}

[3] Mit einem Tipp auf Jetzt kaufen wird an Braintree dann natürlich die Kreditkartennummer, Ablaufdatum und Prüfnummer übermittelt. Im Anschluss wird dann noch ein Device-Fingerprint durchgeführt [geo.cardinalcommerce.com]:

POST /DeviceFingerprintWeb/V2/Bin/Enabled HTTP/1.1
Host: geo.cardinalcommerce.com
Content-Length: 55
X-Cardinal-Tid: Tid-a99b305d-da76-4706-b30b-9de7453c8e2b
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36 [DHL Paket Android App/8.3.24 (1199)]
Content-Type: application/json;charset=UTF-8
Accept: */*
Origin: https://www.dhl.de
X-Requested-With: de.dhl.paket
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

{
   "bin":"444433",
   "orgUnitId":"5ec32238ea96ec202eea1bfd"
}

In der Datenschutzerklärung zur App finden wir zu Braintree keine Informationen, sondern erst in der allgemeinen Datenschutzerklärung der Deutschen Post:

Für die Abwicklung der Zahlung per Kreditkarte nutzt die Deutsche Post AG den Service Braintree des Zahlungsdienstleisters PayPal (Europe) S.á r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg. Sofern Sie mittels Kreditkarte zahlen, werden die für die Zahlungsabwicklung erforderlichen Daten (Kreditkartennummer, Ablaufdatum und Prüfnummer) von dem Zahlungsdienstleister erhoben und verarbeitet. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung der Daten für die Zahlung und damit für die Durchführung des Vertrages erforderlich ist. Die geltenden Datenschutzbestimmungen von PayPal können in der Paypal-Datenschutzerklärung abgerufen werden.

Darin erfahren wir dann auch, dass Braintree zu PayPal gehört. Aus Datenschutzperspektive macht es für den Nutzer demnach keinen Unterschied ob er per PayPal oder Kreditkarte bezahlt: Am Ende landen die Bezahldaten bei PayPal.

An dieser Stelle beenden wir die Analyse.

Weitere Erkenntnisse

  • Trotz deaktiviertem Schieberegler (Analyse-Cookies) erfolgen weiterhin Verbindungen zu Adobe Inc.
  • Dauerhafte Übermittlung der Cookies in quasi jedem Aufruf an die Deutsche Post. Zweck der Cookies ist weitestgehend unklar.
  • Leider kein datenschutzfreundliches Bezahlen möglich. Bezahldaten werden bei beiden Bezahloptionen bei PayPal verarbeitet.

3. Rechtsverstöße

Die nachfolgende rechtliche Bewertung erfolgt durch Spirit Legal (Peter Hense) – eine Rechtsanwaltssozietät mit Sitz in Leipzig. An dieser Stelle möchten wir auf den ersten Teil der Artikelserie »App-Check« verweisen, in dem unter Ziffer 3 die rechtliche Ausgangslage erläutert wird.

3.1 „Who is Who“ bei der Deutschen Post AG: Auf der Suche nach dem Verantwortlichen

Die Deutsche Post AG ist eine ehrwürdige Institution, die 1995 aus der privatisierten Behörde „Deutsche Bundespost“ hervorging und durch die Arbeit von fast 600.000 Mitarbeiter:innen mittlerweile rund 82 Milliarden Euro Umsatz (2021) erzielt. Das sind beeindruckende Zahlen, die, wenn man das neue Bußgeldkonzept des EDPB ab Rn. 64 hierauf anwenden würde, die Post & DHL App zu einem sehr teuren Stück Software machen würden.

Denn es ist bedauerlich, dass bei einem so stabilen Unternehmen, das durch Imagetransfer vom jahrzehntelang gewachsenen Vertrauen in die Behörde „Bundespost“ profitiert, bei der Programmierung der hauseigenen App bestimmte Dinge aus dem Blick geraten sind, z.B. die Einhaltung datenschutzrechtlicher Vorschriften, die auch den Schutz der Kund:innen vor Missbrauch ihrer Persönlichkeitsrechte durch Unternehmen wie die Deutsche Post AG schützen sollen.

Wer die App tatsächlich anbietet, kann zumindest beim Start nicht festgestellt werden, da vor einem Zugriff auf das Impressum mit der Anbieterkennzeichnung eine ausgesprochen spärlich designte Consent-Management-Platform (CMP) eine Interaktion mit den Nutzer:innen erzwingen möchte. § 5 Abs. 1 TMG verpflichtet jedoch dazu, ein Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten. Da die Vorschrift im TMG aber noch recht frisch ist (Inkrafttreten: 1. März 2007), kann man von einem börsennotierten deutschen Vorzeigeunternehmen nicht erwarten, dass es diese nach nur 22 Jahren bereits umgesetzt hat.

Ein Standardwerk der datenschutzrechtlichen Kommentarliteratur hilft weiter:

Weiterhin ist darauf zu achten, dass durch das Consent-Management-Tool der Zugang zu Impressum und Datenschutzerklärung nicht versperrt sein darf, was in der Praxis in der Regel durch eine Verlinkung auf dem Consent-Management-Tool selbst gelöst wird.

(Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 36)

„Hohe Datenschutzstandards sind ein Teil des Markenkerns von Deutsche Post DHL Group und […] von besonderer Bedeutung für unser Geschäft […]“ lautet der erste Satz der verlinkten „Datenschutzerklärung“ des angesprochenen Unternehmens, wobei den Betroffenen verborgen bleibt, wer denn eigentlich alles zu dieser „Group“ gehören soll. Die zwingend erforderliche Angabe des oder der Verantwortlichen in der App, von den Anbietern liebevoll als „Webseite“ bezeichnet, benennt sechs Unternehmen, aber leider keine „Group“.

Keine Sorge, liebe Nutzer:innen, das Gesetz ist an dieser Stelle entspannt und im Zweifel haften alle genannten Unternehmen für die erheblichen Datenverarbeitungsmängel, ob sie es wollen oder nicht (vgl. Radtke, Gemeinsame Verantwortlichkeit unter der DSGVO unter besonderer Berücksichtigung von Internetsachverhalten, Dissertation 2021, S. 159). Intransparenz gegenüber Betroffenen ist immer eine gute Möglichkeit, sich die über 60 Pflichten der DSGVO im Rahmen gemeinsamer Verantwortlichkeit aufzubürden und obendrein noch die Pflichten des TTDSG und des TMG. Mission geglückt, möchte man sagen.

3.2 Hybris oder Nachlässigkeit? TTDSG und DSGVO sind Fremdworte für die „Deutsche Post DHL Group“

3.2.1 Einwilligungspflicht nach TTDSG

Wie die technische Analyse nebst Erläuterungen aufgezeigt hat, handhaben die zuständigen Fachbereiche der „Deutsche Post DHL Group“ das Thema Datenschutz entgegen der eigenen Ankündigung nicht mit der gehörigen Ernsthaftigkeit. In den USA würden solche Statements wie „Datenschutz ist Markenkern“ bei Nichterfüllung als „deceptive and unfair“ gegebenenfalls von der FTC sanktioniert, in Deutschland macht man sich damit immerhin zum Clown, wenngleich weitgehend folgenlos.

Was die rechtliche Ausgangslage zum Thema angeht, so lege ich die Lektüre der Abschnitte 3 und 4 des vorangegangenen App-Checks des DB Navigators ans Herz, da ich auf diese im Folgenden verweisen werde.

Wie bereits die Deutsche Bahn AG, so nimmt auch die „Deutsche Post DHL Group“ sich das Recht heraus, Nutzer:innen in die Irre zu führen und gegen ihren Willen zu tracken. Dabei geht die App nicht einmal besonders subtil vor, sondern lädt die entsprechenden Ressourcen bereits beim ersten Aufruf und ohne, dass die Nutzer:innen einen Hinweis, geschweige denn eine Möglichkeit zur Ablehnung erhalten hätte.

Dass die unter Abschnitt 2.3. dieses Artikels festgestellten Übermittlungen an Google sowie Adobe per se einwilligungspflichtig sind, dessen ist sich das Unternehmen ausweislich der Texte in seiner CMP (unter 2.5. abgebildet) deutlich bewusst und fordert von den Nutzer:innen nicht ohne Grund die Erklärung „Einwilligung“, so dass eine Ausrede der Art „es sind doch nur Auftragsverarbeiter nach Art. 28 DSGVO und damit keine Dritten, sondern nur Empfänger“ nicht verfängt.

Dass die Formulierung einer Einwilligungserklärung erhebliche formelle und inhaltliche Anforderungen mit sich bringt, liegt auf der Hand. Ein schlichter Klick auf „Okay“ oder „Akzeptieren“ stellt in aller Regel keine informierte Einwilligung in komplexe werbliche Datenverarbeitungen durch eine Vielzahl von Beteiligten dar, denn der Einwilligung als einseitigem Rechtsgeschäft (§ 183 S. 1 BGB) fehlt es dann an den „Essentialia Negotii“, also den wesentlichen, konstitutiven Bestandteilen ihrer Wirksamkeit. Eine Einwilligungserklärung muss immer bereits die wesentlichen Punkte des intendierten Rechtsgeschäftes „Datennutzung“ beinhalten, um ihre Warnfunktion und die damit einhergehende Bewusstseinsbildung bei den Betroffenen zu erreichen. Jede Einwilligungserklärung ist daher so bestimmt zu gestalten, dass der Betroffene die Reichweite ihrer Einwilligung hieraus ableiten können (Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 39). Dass bei Einwilligungserklärungen neben formelle auch inhaltliche Kriterien hinzutreten, ergibt sich aus Erwägungsgrund 42 der DSGVO: Auf die Inhalte der Einwilligungserklärung finden die Vorschriften der Klauselrichtlinie 93/13/EWG (unmittelbare) Anwendung. Auch der BGH ordnet in ständiger Rechtsprechung datenschutz- und wettbewerbsrechtliche Einwilligungserklärungen als Allgemeine Geschäftsbedingungen nach §§ 305 ff. BGB ein, zuletzt in der bekannten Entscheidung „Cookie-Einwilligung II“ (dort insbesondere Rn. 26). Allein in Bezug auf die Transparenzpflichten ist die Klauselrichtlinie scharf und klar, wie der EuGH immer wieder betont. Transparenz im Sinne des europarechtlichen Transparenzbegriffs bedeutet nicht nur eine bloße Verständlichkeit in formeller und grammatikalischer Hinsicht, also die Verwendung klarer und eindeutiger Worte bzw. Umschreibungen, sondern versteht Transparenz umfassend, sodass Verwender:innen bei komplexeren Regelungen auch mittels nachvollziehbarer Kriterien über die wirtschaftlichen Folgen einer Bestimmung informieren muss, um zu ermöglichen, dass Verbraucher:innen ihre konkrete Tragweite erfassen können (EuGH, Urt. v. 30.4.2014 – C-26/13, Rn. 71 – Kásler/OTP Jelzálogbank Zrt.). Dass gerade bei Einwilligungen in die Datennutzung für Analyse- und Werbezwecke die „Essentialia Negotii“, also das, was unbedingt bereits auf erster Ebene einer CMP dargestellt werden sollte, weit über die ohnehin immer erforderlichen Details, wie Empfänger, Datenarten und Zwecke, hinausgehen und zudem Aufklärung zu den wirtschaftlichen Folgen einer datenschutzrechtlichen Einwilligung notwendig sind (Kontrollfrage: „Was machen die Empfänger mit meinen Daten und wie wirkt sich das auf mich konkret aus?“), sollten sich Jurist:innen und Datenschutzexpert:innen immer wieder in Erinnerung rufen. Über besondere Risiken, wie Drittlandstransfers, ist zusätzlich für jede Verarbeitung, jedes Datum und jede:n Empfänger:in aufzuklären.

Begriffliches „Bullshit-Bingo“, wie „Komfort“, „Functional“, „Marketing“, „Personalisierung“, die dem Schönsprechvokabular von Marketingagenturistas entspringen, haben rechtlich allenfalls einen Unwert. Sachlich formuliert es erneut das Standardwerk:

Insbesondere soll konkret erläutert werden, wenn Daten zu Marketingzwecken wie individualisierter Werbung oder Real-Time-Bidding verwendet werden. Schließlich ist auf erster Ebene auch ein Hinweis auf das Widerrufsrecht aufzunehmen, Art. 7 Abs. 3 Satz 3 DSGVO.

(Taeger/Gabel/Ettig, 4. Aufl. 2022, TTDSG § 25 Rn. 34)

Wer an diesen Anforderungen scheitert, aber dennoch weiterarbeiten möchte, sollte sich intensiver mit den Vorschriften der §§ 249 HGB, 93 Abs. 1 AktG, 43 Abs. 1 GmbHG sowie § 130 OWiG beschäftigen, sowie die Lektüre des Abschnitts 4.6 im App-Check des DB Navigators verinnerlicht haben.

Der Verantwortliche nach Art. 24 DSGVO trägt gem. Art. 5 Abs. 2 DSGVO die volle Beweislast für das Vorliegen einer rechtskonformen Einwilligungserklärung, welche die von ihm vorgenommenen Verarbeitungen zu 100% abdeckt. Selbst kleinere Mängel der Einwilligungserklärung führen in der Regel zu deren Nichtigkeit sowie zur vollständigen Rechtswidrigkeit der dann auf mangelhafter Rechtsgrundlage beruhenden Verarbeitung. Rechtskonforme und wirksame Einwilligungserklärungen zu formulieren ist eine hohe Kunst und im Falle invasiven und kontrollverlustbringenden Trackings salopp gesagt nicht selten „ein Ding der Unmöglichkeit“, weshalb Rechtsberater:innen hier besonders vorsichtig sind, um nicht bei eventueller fahrlässiger Falschberatung in ein erhebliches Regressrisiko zu laufen.

Die Anforderungen des Rechts an wirksame Einwilligungserklärungen sind wie eine Olympianorm: Ziemlich hoch, aber nicht unerfüllbar, vor allem nicht für Unternehmen mit erheblichen Ressourcen. Es wird ja auch niemand gezwungen, seine Nutzer:innen derart umfangreich zu profilieren, dass der Verantwortliche selbst Überblick und Kontrolle über die Verarbeitungen verliert; wer es dennoch tut, muss eben die Qualifikation überstehen oder scheidet im Vorwettbewerb um die Gunst des Zielgruppenpublikums aus.

Ob man im Falle subjektiver Unmöglichkeit bzw. Unfähigkeit, eine rechtssichere Einwilligungserklärung zu erstellen, als Rettungsanker noch überwiegende „berechtigte Interessen“ als Rechtsgrundlage nachschieben kann, wie vielerorts gewünscht, ist Gegenstand einer lebhaften akademischen Debatte, die kürzlich qualitativ ansprechend von Zavadil/Rohner von der Datenschutzbehörde in Österreich (DSB AT) in der ZD 2022, 312 ff., „Berechtigte Interessen als Rettung für eine ungültige Einwilligungserklärung? Ersatz eines datenschutzrechtlichen Erlaubnistatbestands durch einen anderen“ schriftlich fixiert wurde. Kurzgefasst: Wer bei der Gestaltung von Einwilligungserklärungen derart unseriös arbeitet, dass die tatsächliche Datenverarbeitung nicht im Ansatz abgebildet wird, der kann sich auch im Nachgang keinesfalls mit dem Daherzaubern einer neuen Rechtsgrundlage retten, denn die erhebliche Verletzung der Grundsätze von Transparenz und Fairness führt auch zur Rechtswidrigkeit jeder sonstigen Datenverarbeitung. Da hilft nur abreißen und neu bauen. Die CMP der geprüften App der Deutsche Post DHL Group wäre jedenfalls eine heiße Kandidatin für diesen Ansatz.

Um einer unter Marketingblogger:innen verbreiteten Fehlvorstellung aufklärend entegenzuwirken, ist darauf hinzuweisen, dass die Verarbeitung von Endgeräteinformationen zu Analysezwecken unabhängig davon, ob sie 1st oder 3rd-party erfolgt, stets nach § 25 Abs. 1 TTDSG einwilligungspflichtig ist. Allein der objektive Maßstab des Gesetzes entscheidet, ob ein durch Endgerätezugriff ausgelöster Grundrechtseingriffs zu intensiv ist, um noch als „unbedingt erforderlich“ durch das Nadelöhr von § 25 Abs. 2 Nr. 1 TTDSG zu schlüpfen. Erforderlichkeit ist nur insoweit gegeben, wie der Grundrechtseingriff auf das geringstmögliche Maß reduziert ist (vgl. im Detail die Ausführungen unter 4.2 im App-Check des DB Navigators). Invasives und intransparentes Tracking sind nie „erforderlich“, weil damit stets ein das gesunde Maß überschießender Grundrechtseingriff verbunden ist.

Dank der aufschlussreichen und für jeden einsehbaren Dokumentationen von Google zu Analytics for Firebase und Adobe zu „demdex“-Domain Calls und der durchgeführten „data collection“ durch Adobe Analytics fällt es nicht schwer, die Kriterien für die Einwilligungsbedürftigkeit eines Dienstes, wie sie z.B. auf S. 22 ff. der DSK OH Telemedien 2021 treffend aufgeführt werden, als erfüllt anzusehen und das Kapitel an dieser Stelle zu schließen.

Wer noch Zweifel hat, kann sich diese gern in einem behördlichen oder gerichtlichen Verfahren erklären lassen, denn die Darlegungs- und Beweislast liegt vollständig beim datenschutzrechtlich Verantwortlichen, hier der „Deutsche Post DHL Group“.

Das Landgericht Rostock hat es in einem von uns betreuten Verfahren Ende 2020 bereits recht deutlich ausgedrückt:

Nachdem die vom Kläger konkret benannten Tracking-Technologien […] nicht nur grundsätzlich in der Lage sind, sondern regelmäßig auch gerade dafür eingesetzt werden, personengebundene Daten zu erheben und an Drittanbieter zu übermitteln, müsste die Beklagte also konkret vortragen und darlegen, dass die genannten Cookies keine personenbezogenen Daten an andere Websites übermitteln. Dieser Darlegungs- und Beweislast ist sie nicht nachgekommen.

3.2.2 Vendor Risk Management: Wenn der Schwanz mit dem Hund wedelt

Dass angesichts der unterhaltsam-aggressiven bis strafbaren Trackingmethoden von Alphabet/Google ein Unternehmen wie „Deutsche Post DHL Group“ sich für derartige Produkte entscheidet, ist nicht nur vor den Aussagen zur Einhaltung der eigenen Corporate-Governance-Standards für Aktionäre von Interesse, sondern verwundert auch angesichts der klaren Regelungen in Art. 28 Abs. 1 DSGVO. Wenn Alphabet/Google für irgendetwas hinreichende Garantien bieten, dann dafür, dass Verarbeitungen nicht im Einklang mit der Verordnung durchgeführt werden können. Als DAX-Konzern mit einem wunderbar klingenden „Supplier Code of Conduct and […] binding policies“ hat man sich beim Data Cleanwashing vielleicht etwas zu sehr von Fynn Kliemann influencen lassen. Vielleicht irre ich mich aber auch und Alphabet/Google sind nicht Supplier der „Deutsche Post DHL Group“ sondern umgekehrt führt das deutsche Unternehmen seine Kund:innen dem Behemoth aus dem Silicon Valley als Opfergabe für die vergünstigte Nutzung des Tracking-Tools zu. Dass wir bei der Integration von Firebase mobile SDKs nicht von Cookies (so die „Datenschutzerklärung“), wohl aber von Joint Control (entgegen Art. 26 Abs. 1, 2 DSGVO leider nicht in der „Datenschutzerklärung“) sprechen, ergibt sich zwanglos aus der Rechtsprechung des Europäischen Gerichtshofs in Sachen Fashion ID. Ansprüche auf Auskunft kann jede:r Nutzer:in dann gern gegenüber allen involvierten Verantwortlichen geltend machen und das sind, wie oben festgestellt, bereits auf Seiten der intransparenten „Deutsche Post DHL Group“ eine ganze Menge und bei Alphabet/Google ausweislich der auch für Firebase referenzierten Google Ads Data Processing Terms noch ein paar mehr.

3.2.3 Payment Service Provider: Agieren im rechtsfreien Raum

Dass bei der Auslösung des Bezahlvorgangs über Braintree (ein PayPal-Service) zusätzliche Endeinrichtungszugriffe ausgelöst werden, die für den Bezahlvorgang weder „unbedingt erforderlich“ sind, noch über eine TTDSG-konforme Einwilligung abgesichert werden, verwundert nicht. Auch nicht, dass Braintree selbst einen Device Fingerprint erstellt, der seinerseits unproblematisch einwilligungspflichtig nach TTDSG wäre:

Daher fällt jegliche Verarbeitung seitens des Dritten, die das Verhalten des betreffenden Geräts beeinflusst oder es veranlasst, Informationen zu speichern oder Zugriff auf Informationen zu geben, die sich auf diesem Gerät befinden oder durch dieses abgerufen werden, in den Anwendungsbereich von Artikel 5 Absatz 3.

(Stellungnahme 9/2014 zur Anwendung der Richtlinie 2002/58/EG auf die Nutzung des virtuellen Fingerabdrucks)

Da Art. 5 Abs. 3 der ePrivacy-Richtlinie dem neuen § 25 Abs. 2 TTDSG entspricht, finden auch diese durchaus nicht neuen, aber immer wieder lesenswerten Ausführungen des EDPB Anwendung. Allerdings informiert die App an keiner Stelle über die Datenverarbeitung, die von Braintree (PayPal) tatsächlich durchgeführt wird. Nutzer:innen werden bewusst im Unklaren darüber gelassen, was sich hinter den Kulissen des Bezahlvorgangs tatsächlich abspielt, insbesondere, ob die von Braintree gehypten und datenintensiven wie privatsphäreninvasiven „game-changing fraud prevention“-Systeme eingesetzt werden und bei wem, wo, wofür und wie lange die eigenen Zahlungsdaten eigentlich landen.

3.3 Und ewig ruft das Drittland

Dass bei der Verarbeitung personenbezogener Daten im Rahmen der App-Nutzung diese Daten den Anwendungsbereich von Art. 44 DSGVO nicht nur streifen, sondern es sich dort trotz Schrems I und II gemütlich machen, liegt nicht an der Unkenntnis rechtlicher Vorgaben. Dass Adobe und Alphabet/Google nachgelagerte, durchaus komplexe Verarbeitungen in Drittländern durchführen, ist allgemein bekannt. Dafür werden diese Tools eingekauft. Die „Deutsche Post DHL Group“ behauptet jedoch, ein Drittlandtransfer finde ausschließlich aufgrund von Standardvertragsklauseln (SCC) oder aufgrund von „Ausnahmeregelungen der DSGVO“ statt.

Entgegen Art. 13 Abs. 1 f) DSGVO werden zumindest keine Kopien der Standardvertragsklauseln zur Verfügung gestellt. Was die „Ausnahmeregelungen“ angeht, so ist auch hierzu nichts in den Datenschutzinformationen der App zu finden. Auch die Anwendung von Art. 49 Abs. 1 DSGVO würde erfordern, die Nutzer:innen über die konkrete Vorschrift und deren Anwendung aufzuklären. Nichts davon leistet die „Deutsche Post DHL Group“.

3.4 Rechtliches Fazit

Bereits eine kurze Prüfung der App der „Deutsche Post DHL Group“ bestätigt die Analyse von Prof. Dr. Kühling aus dem Jahr 2009 „Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien — ein Schreckensbericht“. Es werden grundlegende Anforderungen rechtlicher und technischer Art missachtet und Millionen Nutzer:innen durch ein absichtlich oder grob fahrlässig gestaltetes Tag Management der CMP in die Irre geführt. Bei offensichtlichen Mängeln, wie den vorliegenden, steht regelmäßig die Frage im Raum, was die zuständige Aufsichtsbehörde eigentlich beruflich macht. Aber auch darauf gibt es Antworten, nur eben keine zufriedenstellenden:

Es hat sich über Jahre ein finanzielles und personelles Defizit aufgebaut, das dazu führte, dass nun immer mehr Beschwerden von Bürgern in der Warteschleife hängen.

(Prof. Dr. Caspar, HmbBfDI, 2021)

Es scheint so, als würde ein direkter Kontakt der „Deutsche Post DHL Group“ eher Beine machen als Beschwerden bei stets bemühten, aber notorisch unterfinanzierten, unterbesetzten und unterkompetenten Behörden.

4. Fazit

Die Anforderungen an die DSGVO und das TTDSG sind wie eine Olympianorm: Ziemlich hoch, aber nicht unerfüllbar, vor allem nicht für Unternehmen mit erheblichen Ressourcen. Wie die technische Analyse nebst Erläuterungen aufgezeigt hat, handhaben die zuständigen Fachbereiche der „Deutsche Post DHL Group“ das Thema Datenschutz entgegen der eigenen Ankündigung nicht mit der gehörigen Ernsthaftigkeit – obwohl die Ressourcen dafür vorhanden sein sollten.

Am Ende bleibt uns nur zu sagen:

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

6 Ergänzungen zu “Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2”

  1. Comment Avatar Benjamin Altpeter sagt:

    Die Firebase-Anfragen (https://app-measurement.com/a) sind nicht verschlüsselt, sondern nur unangenehm enkodiert, nämlich als Protobuf.

    Auch wenn mitmweb es nicht automatisch erkennt, kann es die Anfrage sogar dekodieren. Dafür „View“ auf „protocol buffer“ oder „grpc/protocol buffer“ (meiner Meinung nach lesbarer) stellen.

    Bei der „Post & DHL“-App habe ich so spontan die folgenden Übertragungen von Datentypen an Firebase beobachtet:

    Betriebssystem und Version, Modell des Handys, App, Version, Installationsmethode (welcher Store), Google Advertising ID, aufgerufene Unterseite (Activity) in der App

    Screenshots der dekodierten Anfrage hab ich auf Mastodon gepostet: https://mastodon.social/web/@baltpeter/108509003054184079

  2. Comment Avatar Johannes sagt:

    Meine Ergänzung bezieht sich auf den Absatz:

    „Denn es ist bedauerlich, dass bei einem so stabilen Unternehmen, das durch Imagetransfer vom jahrzehntelang gewachsenen Vertrauen in die Behörde „Bundespost“ profitiert, bei der Programmierung der hauseigenen App bestimmte Dinge aus dem Blick geraten sind, z.B. die Einhaltung datenschutzrechtlicher Vorschriften, die auch den Schutz der Kund:innen vor Missbrauch ihrer Persönlichkeitsrechte durch Unternehmen wie die Deutsche Post AG schützen sollen.“

    Mir ist in Gesprächen aufgefallen, dass „Einhaltung datenschutzrechtlicher Vorschriften, die wasauchimmer bezwecken sollen“ dazu führt, dass keiner mehr zuhört. Ich sage mittlerweile einfach: „sich an geltendes Recht halten“ oder auch einfach nur „sich an Gesetze halten“.
    Das verfängt offenbar leichter. Zumindest kommt man damit eher in einen Diskurs.

    „datenschutzrechtlicher Vorschriften“ nehmen viele als „kann man auch ohne“ wahr, es ist ein „Kavaliersdelikt“ und im besten Fall ein „nice to have“. Aber „das Unternehmen muss sich an die Gesetze halten“ scheint den Leuten eingängiger zu sein. Zumindest, wenn man mit Nicht-Juristen spricht. Denn das beinhaltet ja rhetorisch auch mehr. Und würde dann auch zur Frage führen, ob – wenn Datenschutzgesetze nicht beachtet werden müssen – sich das Unternehmen ans Steuerrecht oder an Vertragsrecht halten muss. Oder warum man annimmt, dass das Unternehmen das tun werde, wenn man Kunde wird. Hat das Unternehmen „Lieblingsrechtsbereiche“, die Gepflegt werden und andere Bereiche, die ignoriert werden können?

    Wenn man über öffentliche Verwaltungen spricht, wird das noch lustiger, weil die sich ja weitgehend mit Windoof und M$ Office in eine Situation gebracht haben, in der sie sich nicht mehr ans Gesetz halten können, selbst dann, wenn sie es wollen würden. – Nur sind die Verwaltungen durch Art. 20 Abs. 3 halt nochmal direkt an den Vorrang und Vorbehalt des Gesetzes gebunden. Meint: Sie dürfen nur aufgrund von Gesetzen und nicht gegen Gesetze handeln. Bei der Post hier kann man dann auch noch mal nachfragen, warum das dann für Unternehmen im (zumindest zum großen Teil) Bundesbesitz anders sein soll. (Darf ich dann auch ein Unternehmen zur Rechtsvermeidung gründen? Ich finde Steuern zahlen auch sehr lästig und die Regelungen überkomplex. Da muss man sich doch nicht so unbedingt ganz dran halten, oder?)

    Wie gesagt: Das ist nur eine rhetorische Anmerkung. Aber in einer Umgebung, in der man überhaupt erst mal ein Problembewusstsein schaffen muss, ist das halt durchaus nicht ganz egal. Gut, bei Deinen Stammlesern ist das vermutlich nicht nötig. Aber die (ich schließe von mir auf alle ;)) verlinken Deine Beiträge ja auch oft für ein weniger problembewusstes Publikum.

  3. Comment Avatar Lacrosse sagt:

    Warum ist es entscheidend, dass Ross und Reiter bei Zwecken und Datenübermittlungen eindeutig benannt werden? Warum sind Verantwortliche gut beraten, Datenübermittlungen an Dritte, auf das erforderliche Minimum zu beschränken?

    Schauen wir uns die US-Tochter DHL Express der Deutsche Post DHL Group an. Hier landet der „data stream“ der DHL Express Mobile App bei einem obskuren Datenhändler: Narrative.

  4. Comment Avatar Jochen sagt:

    Ergänzung zu dieser sehr informativen Untersuchung:

    Unter Android kann man mittels NetGuard genau die im Artikel genannten Tracker sehen und blockieren. Die DHL-App funktioniert auch ohne diese einwandfrei, wenn man nur „T4 http://www.dhl.de/443“ zulässt. Alle anderen sind offensichtlich unnötig.

    • Comment Avatar Dennis sagt:

      Kann ich bestätigen. Nutze einen konfigurierbaren DNS-Server und habe die Einträge auch händisch (inklusive Firebase-Sachen) auf die Blockliste gesetzt. Zugriffe finden also nicht mehr statt, DHL funktioniert aber weiterhin problemlos.

    • Comment Avatar Klaus sagt:

      Das gleiche kann man/frau auch mit Blokada machen, es wird alles ausser DHL blockiert;
      dann wird die App geschlossen (in der App-Verwaltung beendet), Speicher und Cache gelöscht, Neustart der App, fertig.

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.