Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II

Sicherheit (Pexels, allgemeine Nutzung)Im Blog-Beitrag Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I hatte ich skizziert, dass Dritte über eine Schwachstelle der Sendungsverfolgung persönliche Daten von Bestellungen aus China, die vom Versender YunExpress verschickt und dann in Deutschland durch DHL ausgeliefert wird, abrufen können. Es war mir so möglich, über die inzwischen geschlossene Schwachstelle zu sehen, wer in China bestellt hat. Aber wie meldet man das Ganze? War ein eigenes Abenteuer, welches ich – samt der rechtlichen Würdigung durch den Bundesdatenschutzbeauftragten (BfDI) in Teil II beschreiben möchte.


Anzeige

Wo melde ich denn nun?

Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I endete ja damit, dass ich das Problem zwar gerne an DHL gemeldet hätte, aber an deren Regularien genervt gescheitert bin. Also war flugs die Idee "spielst Du halt über Bande und sprichst den zuständigen Landesdatenschutzbeauftragten an" in meinem Hinterkopf. Ich wollte schon eine Mail verfassen, als ich auf die Idee kam "Ruf doch mal an, vielleicht kannst Du das auf die Schnelle klären". Da DHL in Bonn firmiert, war für mich sonnenklar, dass die Datenschutzbeauftragte in Nordrhein-Westfalen zuständig sein muss.

Gesagt getan, Nummer im Web herausgesucht und angerufen. Ich hatte auch gleich einen sehr umgänglichen Gesprächspartner am Telefon, der mir aber nach der kurzen Schilderung des Sachverhalts bedeutete "wir sind nicht zuständig" und auch eine Erklärung liefert. Abhängig, wer einen möglichen Datenschutzverstoß begeht, sind unterschiedliche Behörden zuständig.

Eine Orientierung liefert die Webseite Anschriften und Links des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Das es sich bei DHL um ein Unternehmen handelt, dürfte klar sein. Aber im Kontaktefinder des BfDI wurde mir angezeigt, dass für die "Telekommunikations- und Postdienstleister" der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig sei. Der "Kollege als Nordrhein-Westfalen" hatte also nicht geflunkert (so nach dem Motto "heute keine Lust, ich schicke den Born mal nach Berlin").

Und weil ich an diesem Tag ein anständiger Mensch sein wollte, beschloss ich, das Ganze zwar per Mail, aber nicht unverschlüsselt, zu melden. Auf der Kontaktseite gab es sogar die Möglichkeit, einen PGP-Schlüssel zur vertraulichen Kommunikation mit dem BfDI abzurufen. Also wacker im Thunderbird importiert und eine verschlüsselte Meldung (mit Kopie an mich selbst) an den BfDI abgeschickt.

Es gibt so Tage, da läufst Du gegen Wände – hatte ich in Teil 1 schon erwähnt. Als ich die, als Kopie an mich selbst geschickte, verschlüsselte Mail im Thunderbird lesen wollte, wurde mir das verweigert. Den Schwank, warum der Thunderbird seine eigenen, verschlüsselten Mails nicht mehr entschlüsseln konnte, habe ich im Blog-Beitrag Thunderbird 115.8.0: Ärger mit PGP – Mails nicht lesbar aufbereitet – und jetzt ist auch klar, welches Problem ich seinerseits melden wollte. Also habe ich an dem Tag über das Kontaktformular auf der BfDI-Seite eine weitere Meldung abgesetzt, um sicherzugehen, dass der BfDI diese auch lesen kann. Das erklärt in folgender Antwort des BfDI den Bezug auf eine Mail und ein Meldung per Webformular.

BfDI, übernehmen sie

Hab mich fast wie James Bond (007, übernehmen sie) gefühlt – denn ein Mitarbeiter des BfDI meldete sich einige Tage später und informierte mich, dass die DHL-Sendungsverfolgung zwar nicht zu beanstanden sei, dass der (in Teil I) geschilderte Sachverhalt möglicherweise aber einen DSGVO-Verstoß darstellt. Vom BfDI sei deshalb eine Stellungnahme durch DHL bis Ende März 2024 angefordert worden. Zum 4. April 2024 erreichte mich dann die finale Mitteilung des BfDI in der Angelegenheit. Ich habe nachfolgend mal die um persönliche Daten bereinigte Fassung dieser Antwort eingestellt.

Sehr geehrter Herr Born,

ich nehme Bezug auf Ihre E-Mail vom 27.02.2024 und Ihre Eingabe über mein Web-Formular vom gleichen Tag, welche unter dem o. g. Aktenzeichen geführt werden.

Sachverhalt:
1) Sie haben angegeben, dass es über die Seite parcelsapp.com möglich ist, eine YunExpress Tracking-Number einzugeben. Als Ergebnis wird bei einer entsprechenden Sendung mit DHL-Trackingnummer auch die PLZ des Empfängers angezeigt. Mit diesen beiden Informationen können in der DHL-Sendungsverfolgung weitere personenbezogene Daten des Empfängers abgerufen werden. Die YunExpress Tracking-Numbers sind teilweise fortlaufend, so dass durch einfaches ausprobieren auf parcelsapp.com auch weitere DHL-Sendungen abgerufen werden können.

In der Sendungsverfolgung von DHL werden nach Eingabe von Sendungsnummer und PLZ, wie sie auf parcelsapp.com angezeigt werden, neben dem detaillierten Sendungsverlauf folgende (personenbezogene) Daten angezeigt:
– der Name, PLZ und Ort des Empfängers,
– ggf. der Name, PLZ und Ort des Ersatzempfängers,
– als Versender wird "YUN(Shipper only, not seller)" angegeben.

2) Weiter haben Sie angegeben, dass der Versuch einer Kontaktaufnahme mit DHL "im Sande" verlaufen sei. Eine Meldung des Sachverhalts an die DHL lehnen Sie ab, da DHL eine Registrierung für Meldungen verlangt und davor gut 40 Seiten "Kleingedrucktes" setzt".

Wie bereits angekündigt, habe ich DHL um Stellungnahme gebeten; die Antwort liegt mir nun vor.

DHL hat den Sachverhalt geprüft. Lt. DHL fragt parcelsapp.com bei YUN Express die Sendungsdaten ab, hierfür wird nur die Sendungsnummer benötigt. Die API von YUN Express liefert anschließend jedoch u. a. auch die Postleitzahl zur Sendungsnummer.

Nach Angaben von DHL kann das Unternehmen nicht verhindern, dass Versender Sendungsdetails offenlegen. Bei Bekanntwerden geht DHL auf Versender zu und weist sie auf diesen Umstand hin. DHL hat Yun Express unverzüglich entsprechend kontaktiert, gemäß der Rückmeldung von Yun Express vom 21.03.2024 nimmt das Unternehmen gerade Anpassungen vor, um die Ausgabe der PLZ über das API abzustellen. Dies scheint zumindest bei den von Ihnen gemeldeten Sendungen aktuell noch nicht der Fall zu sein; mangels neuerer, gültiger Sendungsnummern kann ich nicht erkennen, ob die Verarbeitung bei kürzlich versandten Sendungen abgeändert wurde.

DHL hat auch angemerkt, dass ihr keine Anfrage zu diesem Thema vorliegt – weder beim Kundenservice, noch im Datenschutzpostfach. Sie kann nicht nachvollziehen, in welcher Form Sie sich an das Unternehmen gewandt haben. DHL hat angeboten, hier genauer zu recherchieren. DHL kann auch Ihre Aussage, Sie müssten sich für eine Meldung "registrieren" und "davor gut 40 Seiten Kleingedrucktes" zur Kenntnis nehmen, nicht nachvollziehen. Es gäbe diverse Möglichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen.

Rechtliche Würdigung:
Zu 1)
Die initiale Offenlegung personenbezogener Daten erfolgt durch YUN Express. Das chinesische Unternehmen fällt jedoch nicht in meine Zuständigkeit und agiert außerhalb des Geltungsbereichs der DSGVO. Erst auf Grund dieser Offenlegung in China ist eine Abfrage bei DHL möglich, durch die weitere personenbezogene Daten auf dhl.de angezeigt werden.

Mit Hinblick auf das Risiko für die Rechte und Freiheiten betroffener natürlicher Personen genügt die Abfrage von Sendungsnummer und PLZ prinzipiell, um die in der Sendungsverfolgung offengelegten Daten abzusichern. Diese Bewertung habe ich allerdings getroffen, bevor mir der von Ihnen dargestellte Sachverhalt bekannt wurde.

Auf Grund der von Ihnen geschilderten Situation käme ggf. ein Verstoß von DHL gegen Art. 32 Abs. 1 DSGVO in Frage: "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten [….]." Die Auswahl der geeigneten technischen und organisatorischen Maßnahmen hat eine Balance zwischen dem Schutzniveau und dem Risiko zu finden, einen 100%igen Schutz muss es gemäß Art. 32 DSGVO nicht geben.

Insbesondere bei Betrachtung der Eintrittswahrscheinlichkeit und des Risikos sehe ich aktuell keinen Anlass, die Prozesse bei DHL zu bemängeln. Die Sendungsverfolgung ist eine beliebte und nachgefragte Funktion bei Paketdienstleistern, die Hürden, um diese zu nutzen, sollten nicht zu hoch gesetzt werden.

Eine obligatorische Registrierung beim Postdienstleister, um die Sendungsverfolgung nutzen zu können, wäre vermutlich nicht mehr angemessen: Ein Login würde die Daten zwar wesentlich besser absichern, die Registrierung wäre jedoch auch nur nach einer (aufwendigen) Identitätskontrolle wirklich sicher, hätte umfangreiche zusätzliche Datenverarbeitungen zur Folge und würde vermutlich so lange dauern, dass es für das Paket, das ein Neukunde erwartet, wahrscheinlich zu spät wäre.

Auch die aktuelle Praxis, lediglich Sendungsdaten abzufragen, kann nach meinem Verständnis nicht wirklich verbessert werden. Würde bei einer Sendung z.B. zusätzlich der Name des Empfängers abgefragt werden, bevor Sendungsdetails angezeigt werden, entstünden bei Anbietern wie parcelsapp.com vermutlich Begehrlichkeiten, auch diese Daten von Versendern abzufragen. Dadurch würden dann plötzlich Namen statt PLZ gehandelt – aus Datenschutzsicht eine Verschlechterung.

Vergleichbare Fälle, wie der von Ihnen geschilderte, sind mir nicht bekannt.

Im Ergebnis sehe ich keinen Verstoß von DHL gegen Art. 32 Abs. 1 DSGVO, ich betrachte das Schutzniveau dem Risiko weiterhin angemessen.
___

Gerade bei Unternehmen außerhalb des Geltungsbereiches der DSGVO ist es schwierig, ein der DSGVO vergleichbares Datenschutzniveau durchzusetzen. Die Vorgehensweise von DHL, bei Bekanntwerden des Problems auf die Vertragspartner zuzugehen, finde ich ebenfalls angemessen.

Ich werde DHL allerdings noch einmal informieren, dass YUN Express vermutlich weiterhin die PLZ offenlegt, mit der Bitte an DHL, YUN Express diesbezüglich noch einmal anzuschreiben.

Punkt 1: Es wird anerkannt, dass das Verhalten nicht so ganz koscher ist. Da die Offenlegung aber durch YunExpress erfolgt, liegt kein DSGVO-Verstoß vor – es sei eine Balance "zwischen dem Schutzniveau und dem Risiko zu finden". Positiv: DHL hat reagiert und ist auf YunExpress zugegangen. Meine Versuche, anhand von alten Tracking-Nummern Daten abzurufen, führten ins Leere und auf der YunExpress-Seite wurde mir die PLZ nicht mehr angezeigt. Die Beschwerde hat also gewirkt, da wurde was korrigiert.

DHL: Wir wissen von nix

Punkt 2: Es gibt in obigem Text noch die Passage "DHL hat auch angemerkt, dass ihr keine Anfrage zu diesem Thema vorliegt – weder beim Kundenservice, noch im Datenschutzpostfach. Sie kann nicht nachvollziehen, in welcher Form Sie sich an das Unternehmen gewandt haben. DHL hat angeboten, hier genauer zu recherchieren. DHL kann auch Ihre Aussage, Sie müssten sich für eine Meldung "registrieren" und "davor gut 40 Seiten Kleingedrucktes" zur Kenntnis nehmen, nicht nachvollziehen. Es gäbe diverse Möglichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen. "


Anzeige

DHL kann keine "Meldung vorliegen haben", weil ich keine abgesetzt habe. Ich formuliere es mal platt: "Ich bin augenscheinlich zu doof dazu, die diversen Möglichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen, zu nutzen." Nachdem ich mir die DHL-Seite zur Meldung von Schwachstellen angesehen habe, mokierte ich mich beim Leser über die Meldemöglichkeiten.

Damals (TM) war ich ja noch ganz dumm, kannte die Antwort des BfDI ja noch nicht (aber das Leben ist dazu da, dass wir nicht ganz dumm sterben). Jetzt weiß ich (dank der obigen BfDI-Antwort) immerhin, dass es "diverse Möglichkeiten – auch anonym und in wenigen Schritten – gäbe, auf Themen hinzuweisen". Nur habe ich noch nicht herausgefunden, wo es diese diversen Möglichkeiten gibt. Aber hey, ich habe noch nicht vor, sofort zu sterben, es gibt also Hoffnung, dass ich auch noch dieses Geheimnis lüfte.

Der Leser, mit dem ich mich diesbezüglich im Vorfeld ausgetauscht habe, wandelt offenbar auch als ganz schlichtes Gemüt unter dem berühmten Scheffel mit dem Licht. Denn der Leser schrieb mir:

Du hattest ja geschrieben: "Es ist eine Frechheit – Responsible Disclosure zu fordern, dann aber zu erwarten, dass Leute sich drei Seiten durchlesen und dann dort mit einer bestimmten E-Mail-Adresse registrieren."

Gut, ich muss mich a bisserl gegenüber der Leserschaft entschuldigen. Ich bin noch ein junger Heißsporn, hatte mir die Seite Cybersicherheit von DHL angeschaut, mir schwoll der Kamm, und es kam der eine oder andere Satz etwas "feuriger" daher. Aber hey, nächsten Monat werde ich 69, also "alt und weiß und ein bisschen leise" – versprochen. Der Leser, mit dem ich wegen der Sicherheitslücke im Austausch stand, hat dann auch ganz gesetzt geantwortet:

Tatsächlich muss bzw. sollte man aber natürlich die AGBs/Terms komplett lesen, bevor man diesen zustimmt,

das sind dann ganze 40 Seiten A4 Querformat – davon sind 29 Seiten in englischer Sprache,

was für Dich und mich ok sein mag, aber sicher nicht für jeden.

Die 40 Seiten bestehen aus:

– DHL Cybersicherheit:

https://group.dhl.com/de/nachhaltigkeit/governance/cyber-security.htm

-> (4 Seiten A4 Querformat)

– DHL Vulnerability Disclosure Policy:

https://web.archive.org/web/20231130164535/https://group.dhl.com/de/nachhaltigkeit/governance/cyber-security/vulnerability-disclosure-policy.html

-> (7 Seiten A4 Querformat)

– DHL Group Vulnerability Disclosure Program / Detail: https://app.intigriti.com/company/programs/dhlgroup/dhlvdp/detail

-> (ca. 4 Seiten A4 Querformat in Englisch)

– Researcher Terms & Conditions:

https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions

-> (15 Seiten

A4 Querformat in Englisch)

– Community Code of Conduct:

https://kb.intigriti.com/en/articles/5247238-community-code-of-conduct

-> (10 Seiten A4 Querformat in Englisch)

Hinzu kommt die Warnung von DHL, dass man sich durch das aufdecken von Sicherheitslücken evtl. auch strafbar macht – also sollte man besser erst einen Fachanwalt fragen… und ihn dafür bezahlen.

Das ist schon mehr als nur eine Frechheit.

Nun ja, den Rest habe ich mal zensiert. Der Leser hatte mir auch geantwortet "der Sachverhalt ist über meine Kontakte an die zuständige Cyber-Security-Abteilung gegangen, die kümmern sich". Da nach 14 Tagen keine Reaktion vorlag, lautete mein letzter Satz in einer Mail an den Leser "Ich habe mir folgendes überlegt – ich lasse es wie bei Bauhaus laufen. Der Datenschutzbeauftragte von NRW bekommt die Meldung (DHL sitzt ja in Bonn). […]". War bei Bauhaus auch so gelaufen, mein Versuch einer Klärung per Telefon auf dem "kleinen Dienstweg" verlief im Sande. Also habe ich an den Landesdatenschutzbeauftragten gemeldet und dann lief es (gab nur die verschnupfte Antwort "Bauhaus konnte keine Meldung finden").

Dass ich da im DHL-Fall vom Landesdatenschutzbeauftragten ausgebremst wurde, wusste ich Ende Februar 2024 noch nicht. Aber ich habe oben ja offen gelegt, wie das "Spiel über Bande" ausgegangen ist. Am Ende des Tages gilt nun unter dem Strich die alte konfuzianische Weisheit: "Ente gut, alles gut".

  • YunExpress/DHL haben a bisserl was geändert und die PLZ aus der Ergebnisseite rausgenommen.
  • Der BfDI hat geprüft, und keinen DSGVO-Verstoß festgestellt – ist halt kniffelig, dass internationale Recht

Am Ende des Tages sind alle zufrieden – mein ausdrücklicher Dank geht an den Leser für den Hinweis und an die zuständige Person beim BfDI, die sich in die Sache hineingehängt hat. Und meine "Moral von der Geschicht" für die vielen jungen Leute da draußen "werde niemals Blogger nicht". Aber hey, es hat trotzdem Spaß gemacht, den Ball ins Spielfeld zu werfen und zu beobachten, was da so alles passiert. Ich will ja nicht dumm sterben. Und es gilt: Vor dem Spiel ist nach dem Spiel – es gibt noch Bälle, die ich auf andere Spielfelder geworfen habe und noch beobachte bzw. warte, was passiert.

Ergänzung: Eine Kompakt-Version des Themas ist von mir bei Golem erschienen.

Artikelreihe:
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II

Ähnliche Artikel:
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Bauhaus-App: Funktion um Kassenbon zu scannen (aus Sicherheitsgründen) entfernt?
BAUHAUS-App wieder mit Scan-Funktion für Kassenbons
IHK Oldenburg: Sicherheitslücken in Tibros-Online
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Festes SA SQL-Passwort bei windata 9-Banking-Software
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II

  1. Anonym sagt:

    > Die Sendungsverfolgung ist eine beliebte und nachgefragte Funktion bei Paketdienstleistern, die Hürden, um diese zu nutzen, sollten nicht zu hoch gesetzt werden.

    'Beliebt' und 'nicht zu hoch ansetzen' ist momentan hip in Berlin. Bei Migrationspolitik und Cannabisfreigabe herrscht die selbe Denke.

    > Eine obligatorische Registrierung beim Postdienstleister, um die Sendungsverfolgung nutzen zu können, wäre vermutlich nicht mehr angemessen:

    Ja ne, is klar: Authentication/Authorization ist ja sowas für Ewiggestrige.

    > Es gäbe diverse Möglichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen.

    Hat er DHL einfach so aus der Hand gefressen.

    Von mir aus kann das Amt des Bundesdatenschutzbeauftragten aufgelöst werden. Der Nachfolger von Kelber wird ohnehin eine politische Marionette werden (1).

    Wenn es um die Wurst geht, hilft eh nur ein Anwalt.

    (1) faz.net/aktuell/wirtschaft/wie-politisch-gefuegig-muss-ein-datenschuetzer-sein-19600715.html

  2. Phadda sagt:

    Als ob "'Beliebt' und 'nicht zu hoch ansetzen' ist momentan hip in Berlin." das ein Problem der jetzigen Regierung ist. Bisher haben sich etliche Regierungsbildungen nicht mit Ruhm bekleckert bzw. hat für die nächste Regierungsbildung auf irgendeine Art/Weise ein Scherebenhaufen überlassen. Diese Spirale ist bei jeder Neuwahl ein Thema zwischen Regierung und Opposition. Imho nicht immer ist die aktuelle Regierung für etwas aktuelle Verantwortlich.

  3. SeBa sagt:

    "DHL hat auch angemerkt, dass ihr keine Anfrage zu diesem Thema vorliegt"

    Wundert mich nicht…..

    Ich versuche seit fast einem Jahr ein komisches Problem, evtl. mit viel Pech ein "Softwarefehler" in versch. Modellreihen von Smartphones, zu melden. Einfach damit man mal schaut was da los ist oder ich mal die Info bekomme, ob das Verhalten so "bekannt" ist.

    Es ist gefühlt absolut unmöglich bei vielen großen Unternehmen über normale Kommunikationswege irgendwas zu melden. Entweder ist der Kundendienst nicht fähig das Problem zu verstehen oder will es nicht. Gefühlt scheinen absolut keine Meldeketten oder Zuständigkeiten zu bestehen. Bei den meisten Kontaktversuchen erzählt oder beschreibt man das Problem erneut.

    Selbst die "physische Überprüfung" des Gerätes durch den Service scheint keine Option zu sein, da man hier irgendwelche After-Sales-Dienstleister angeheuert hat….

    Ich hab bei DHL aus meiner Sicht auch mal ein aufgeschlitztes Paket gemeldet, auf mehreren Seiten mit Fotos dokumentiert. Dann kann nur sinngemäß als Antwort, dass es in Paketzentren teilweise etwas härter zugeht. Auf den Sachverhalt mit dem Paket (der Absender hatte u.a. den Karton eines Juweliers benutzt) wurde nicht eingegangen

  4. Lulu B. sagt:

    Die Reaktion von DHL wundert mich überhaupt nicht.
    Auf ihrer Webpräsenz und in der Werbung gibt man sich kundenfreundlich, nachhaltig und zuverlässig. Bei Problemen trifft nichts mehr davon zu, hatte das nun schon mehrfach:

    – Dauerhafte Sendungsumleitung wird ignoriert und trotzdem (versucht), zuhause zuzustellen. Am Ende landet das Paket in irgendeiner Filiale am anderen Ende vom Ort….
    – …..oder in der Packstation um die Ecke, für die man keine Barcode-Karte zur Abholung bekommt und gezwungenermaßen die DHL-App installieren muss.

    Mehrmalige Nachfragen und Beschwerden beim Kundendienst wurden abgewiegelt, das sei nunmal so und man könne nichts machen.

    • Anonym sagt:

      > Dauerhafte Sendungsumleitung wird ignoriert und trotzdem (versucht), zuhause zuzustellen.

      Die Belegschaft von DHL ist der lebende Beweis, dass es volkswirtschaftlich günstiger sein kann, Leute für 's zuhause bleiben zu bezahlen. Ausnahmen bestätigen die Regel.

  5. Hobbyperte sagt:

    "Der BfDI hat geprüft, und keinen DSGVO-Verstoß festgestellt – ist halt kniffelig, dass internationale Recht"

    Es gibt kein Recht, so lange man es mit ausreichend monetären Mitteln manipulieren (defakto also kaufen) kann! Da ist gar nichts kniffelig, sondern einfach ein Frage von Geld, Macht, Interessen …

    Sonst müsste man im Sinne eines "Lieferkettengesetzes" doch eigentlich genau anders herum Argumentieren. Auch wenn die zuliefernden Postdienstleister mit Sitz im Ausland nicht direkt dem inländischen Recht unterliegen, so müsste aber doch das inländische Unternehmen Post AG bzw. DHL, auch dafür haftbar sein, wenn durch deren Kooperation mit externen Partnern Sicherheitslücken entstehen.

    Alles andere ist schwachsinnige Argumentation, um dem hiesigen Geschädigten die Birne weich zu kochen. Bewiesen wird damit nur einmal mehr, das nebst Psychologie und Politik, auch Jura ein Fachbereich ist, in dem man Sachverhalte beliebig, nach Lust und Laune, mal so und mal so Auslegen kann … Nicht vergessen: es geht um Geld, also Interessen … und Geld ist Macht und Macht ist noch mehr Geld. Drum werden Reiche IMMER reicher, egal wie die Umstände auch sind, Pandemie, Krieg, Inflation … den Reichen schadet es NIEMALS … und das hat logische Gründe, ist kein Zufall.

    Nicht alles glauben und statt dessen selber denken hilft! Nur weil irgendwo "Recht" drauf steht, heißt es noch lange nicht, das es dabei um Gerechtikgeit geht. Dieses Wort kommt im modernen Paragraphendschungel nicht einmal mehr vor! Na warum wohl?!

  6. Anonymous sagt:

    Wundert mich etwas warum auf DHL und nicht nur YunExpress eingeschlagen wird. Aber DHL zu erwähnen ist evtl. besser für Clicks :)?

    Gerade den Artikel bei Golem gelesen und da sind dann doch ein paar Punkte zu einfach dargestellt.

    Trackingnummer sind immer fortlaufend bis auf (meistens) die letzte Stelle als einfache Prüfziffer. D.h. Großversender bekommen von DHL z.B. einen Ziffernblock von 100.000 bis 1.000.000 fortlaufenden Zahlen. Und damit man die Empf.-Daten nicht einfach einsehen kann wird hier die PLZ als Sicherheitsabfrage genutzt.
    Hier war also einzig das Leck das -> YunExpress <- die Empf.-PLZ ausgegeben hat.

    Inwieweit DHL dort dann schuld ist, sehe ich wie erwähnt nicht. Jeder Shop oder sonst wer der die Sendung erstellt hat und ein öffentliches Tracking anbietet muss also schauen, dass er nicht ungeschützt zu viele Daten ausgibt.

    • Günter Born sagt:

      Der erste Satz ist schlicht Nonsense. Wenn Du den Artikel richtig gelesen und verstanden hättest, wäre vielleicht aufgefallen, dass die Post in Österreich diese Informationen über den Empfänger nicht ohne weiteres (also ohne Anmeldung) offen legt. Wie es in Frankreich oder anderen Ländern ist, habe ich nicht mehr geprüft.

      Am Ende des Tages ist es so, das DHL die Informationen über den Empfänger offen legt (und DHL ist der deutsche Paketauslieferer). Ergo ist es naheliegend, dass man DHL erwähnt und den Fall klären lässt. Der BfDI hat das Thema geprüft und die Abwägung zwischen "Aufwand und Datenschutzniveau" bei DHL für ausreichend eingestuft, DHL aber gebeten, bzgl. des Sachverhalts auf YunExpress einzuwirken. Und inzwischen hat es eine Korrektur gegeben – so what.

      • Anonymous sagt:

        Mir geht's darum, dass sich so gut wie alle europ. Carrier gleich verhalten. Nenne mir einen und ich kann dir aufzeigen, dass auch dort mittels Referenz oder PLZ weitere Daten angezeigt werden. Beispiel DPD, UPS, Hermes, etc.

        Die Kernaussage ist also: man muss schon aufpassen was man öffentlich anzeigt. Hier nur DHL als Schwarzes Schaf darzustellen ist mir daher zu einfach.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.