DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden in Bitcoins Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
23.10.2021 Post App an der DSGVO vorbei programmiert?

Zwang zu unsicherer App

Bald wird die App von Post&DHL die einzige Möglichkeit, um Pakete an einer Packstation abzuholen. Allein das ist schon ein Grund diese App unter der Software zu listen, die uns zur Nutzung von digitalen Geräte zwingt. Es ist aber auch ein Grund, sich mal genauer anzuschauen, ob die Software die Privatsphäre der Nutzer respektiert - das sollte man bei einem Konzern. der sich mehrheitlich in Bundesbesitz befindet eigentlich erwarten.

Dem ist leider nicht so, wie Mike Kuketz in seinem Blog nach eingehender Prüfung festgestellt hat. Schlimmer noch, diese App nimmt auch die Vorgaben der europaweit verbindlichen DSGVO nicht so ganz ernst. Kurz zusammengefasst:

Wer die App Post & DHL (Version 7.0.54 (206)/7.2) für seine Paketverfolgung oder den Kauf von Brief- und Paketmarken benutzen möchte, muss als erstes seine Einwilligung zu einer Weitergabe seiner Daten geben - das verlangt auch die DSGVO.

Allerdings wartet die App nicht auf diese Einwilligung des Kunden sondern baut, wie Untersuchungen von Mike Kuketz zeigen, sofort eine Verbindung durch den Google-Tracker "Google Firebase Analytics", der den Google-Cloud-Messaging- (GCM) Nachfolger Firebase Cloud Messaging (FCM) standardmäßig mit Daten beliefert, wenn die Entwickler dies nicht aktiv deaktivieren. Genau dies geschieht in der App sofort nach dem Start. Mike Kuketz schreibt dazu: "Leider können wir die übermittelten Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt."

Damit haben wir es mit einem konkreten Verstoß gegen die DSGVO zu tun, denn wie die Datenschutzbeauftragten schreiben, muss eine solche Einwilligung ausdrücklich, informiert, freiwillig, aktiv und vor der eigentlichen Übermittlung erfolgen.

  1. erfolgt die Datenübermittlung vor der Einwilligung,
  2. ist die Abfrage zur Einwilligung tendenziös, sie manipuliert den Nutzer durch den rot hervorgehobenen Button mit dem Text "Alle akzeptieren", auf den die meisten Nutzer tippen werden.
  3. Die DSGVO verlangt auch Informationen gegenüber dem Nutzer über die Art und die  Partner der Datenweitergabe. Dieser Informationspflicht kommt die App auch nicht nach.
  4. Selbst wenn man statt "Alle akzeptieren" keinem Tracking zustimmt wird dennoch erneut eine Verbindung zu Adobe aufgebaut und die Standortdaten werden an Bing Maps von Microsoft übertragen, obwohl die Nutzung von Open Street Map Karten ohne Datenweitergabe möglich wäre.

Haben weder die Programmierer der App noch die Verantwortlichen bei Post und DHL die DSGVO gelesen oder haben sie willentlich beschlossen diese zu ignorieren?

Mehr dazu bei https://www.kuketz-blog.de/post-dhl-app-datenuebermittlung-an-tracking-anbieter-noch-vor-zustimmung-einwilligung/


Kommentar: RE: 20211023 Post App an der DSGVO vorbei programmiert?

Wie ich gelesen habe, trifft ähnliches auch auf die DB Bahn App zu, habe leider keinen Link

Merwan, 23.10.21 11:52


RE: 20211023 Post App an der DSGVO vorbei programmiert?

Irgendwie ist keiner App zu trauen! Schade.

Ha., 23.10.21 12:01


RE: 20211023 Post App an der DSGVO vorbei programmiert?

Ja, irgendwie traurig. Noch trauriger, dass es oft auch halbstaatliche Infrastruktur wie Post oder Bahn betrifft.

Th., 23.10.21 12:04


RE: 20211023 Post App an der DSGVO vorbei programmiert?

Bald wird die App von Post&DHL die einzige Möglichkeit, um Pakete an einer Packstation abzuholen, ja super. ;-)

Li., 23.10.21 13:12


RE: 20211023 Post App an der DSGVO vorbei programmiert?

mit Transportr kann man halt keine Buchungen/BahnCards verwalten. Und aktuelle Alternativen hat's auch nicht so richtig.

Da., 23.10.21 12:35


RE: 20211023 Post App an der DSGVO vorbei programmiert?

Mir wäre es sehr unangenehm, mein Girokonto oder irgendwas anderes mit Geld mit Apps zu koppeln, die ganz offensichtlich mit Servern kommunizieren, die außerhalb des Rechtsbereichs sind, auf den ich als Bürger irgendwie legal Einfluss haben kann. Ich finde es aber auch nicht schwer, meine Tickets auf der DB Seite zu buchen und die Tickets dann als PDFs aufm Handy oder Ausdruck mitzuhaben.

Th., 23.10.21 12:38


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3iT
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7808-20211023-post-app-an-der-dsgvo-vorbei-programmiert.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7808-20211023-post-app-an-der-dsgvo-vorbei-programmiert.htm
Tags: #Post #DHL #App #Packstation #Paketabholung #Kuketz #Privatsphäre #Paypal #Facebook #Scoring #Microsoft #Apple #Google #Transparenz #Informationsfreiheit #Anonymisierung #Zustimmung #Einwilligung
Erstellt: 2021-10-23 09:16:35
Aufrufe: 238

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft