Reaktion der Deutschen Post auf kritisches Android-Review zur Post & DHL App

Ein Leser hat die Deutsche Post mal auf das kritische App-Review zur Post & DHL App aufmerksam gemacht:

Sehr geehrte Damen und Herren,

in naher Zukunft wird es bekanntlich im Regelfall nur noch über die DHL-App möglich sein, Pakete an der Packstation abzuholen. Mike Kuketz hat auf seinem Blog die Post & DHL APP unter datenschutzrechtlichen Aspekten untersucht und schreibt dazu in seinem Fazit:

»Insgesamt hinterlässt die Post & DHL App keinen datenschutzfreundlichen Eindruck. Das liegt insbesondere an technischen Mängeln, bei dem Daten an Tracking- und Analyse-Dienste schon vor der eigentlichen Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO übermittelt werden. Und auch wenn beim Tracking nicht eingewilligt wird, wird die Adobe Inc. praktisch dauerhaft über den Opt-Out-Status des Nutzers informiert – wohlgemerkt ist dieses Unternehmen bzw. Dienstleister allerdings gar nicht in der Datenschutzerklärung aufgeführt. Dazu kommen dann noch Mängel bei den (Cookie-)Consent-Bannern, die den Anforderungen einer ausdrücklichen, informierten, freiwilligen, aktiven und vor der eigentlichen Übermittlung Einwilligung nicht genügen.«

Werden diese genannten Mängel nachgebessert und wird darüber informiert?

Beste Grüße

XX

Die Antwort der Deutschen Post:

Guten Tag XX,

vielen Dank für Ihren Hinweis auf den Blog-Beitrag von Herrn Kuketz über die Post & DHL-App.

Grundsätzlich wird die App in enger Abstimmung mit dem innerbetrieblichen Datenschutz entwickelt. Selbstverständlich haben wir den Artikel zur Prüfung an die zuständige Fachseite weitergeleitet. Die Prüfungen dauern noch an.

Vorab kann ich mitteilen, dass die Fachseite mit besonderer Priorität die vermeintliche Sicherheitslücke bezüglich der Verarbeitung personenbezogener Daten durch die Anwendung des sog. Frida Hook geprüft hat. Die Manipulation von / den unbefugten Zugriff auf personenbezogene Daten können wir nach unseren Recherchen ausschließen.

Nach Eingang der Rückmeldungen zu den weiteren Analyseergebnissen im genannten Artikel komme ich schnellstmöglich mit einer Stellungnahme auf Sie zu. Bis dahin bitte ich Sie noch um etwas Geduld.

Mit freundlichen Grüßen

XY
Datenschutzberaterin

Auweia. Da hat man den Sinn und Zweck des Frida-Hooks (siehe Vorbemerkung) offenbar gar nicht verstanden. Dieser kleine »Trick« ermöglicht mir die Umgehung des TLS-Certificate-Pinnings und damit letztendlich die Analyse des App-Datenverkehrs. Ohne diesen Schritt wäre eine Analyse nicht möglich. Es handelt sich dabei lediglich um eine lokale Veränderung/Anpassung der App, die keinen Einfluss auf irgendwelche personenbezogenen Daten Dritter hat.

Anzumerken ist auch noch, dass die »enge Abstimmung mit dem innerbetrieblichen Datenschutz« in der Praxis wohl nicht ganz so gut funktioniert, wie man sich das wünscht. Ansonsten wäre das Ergebnis sicherlich besser ausgefallen.

Insgesamt heißt es nun wohl abwarten und Tee trinken, bis die zuständige Fachseite dies geprüft hat. Es bleibt zu hoffen, dass die Deutsche Post konsequenter/professioneller reagiert, als es bei der Deutschen Bahn der Fall ist.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡