23.10.2021 Post App an der DSGVO vorbei programmiert?
Zwang zu unsicherer App
Bald wird die App von Post&DHL die einzige Möglichkeit, um Pakete an einer Packstation abzuholen. Allein das ist schon ein Grund diese App unter der Software zu listen, die uns zur Nutzung von digitalen Geräte zwingt. Es ist aber auch ein Grund, sich mal genauer anzuschauen, ob die Software die Privatsphäre der Nutzer respektiert - das sollte man bei einem Konzern. der sich mehrheitlich in Bundesbesitz befindet eigentlich erwarten.
Dem ist leider nicht so, wie Mike Kuketz in seinem Blog nach eingehender Prüfung festgestellt hat. Schlimmer noch, diese App nimmt auch die Vorgaben der europaweit verbindlichen DSGVO nicht so ganz ernst. Kurz zusammengefasst:
Wer die App Post & DHL (Version 7.0.54 (206)/7.2) für seine Paketverfolgung oder den Kauf von Brief- und Paketmarken benutzen möchte, muss als erstes seine Einwilligung zu einer Weitergabe seiner Daten geben - das verlangt auch die DSGVO.
Allerdings wartet die App nicht auf diese Einwilligung des Kunden sondern baut, wie Untersuchungen von Mike Kuketz zeigen, sofort eine Verbindung durch den Google-Tracker "Google Firebase Analytics", der den Google-Cloud-Messaging- (GCM) Nachfolger Firebase Cloud Messaging (FCM) standardmäßig mit Daten beliefert, wenn die Entwickler dies nicht aktiv deaktivieren. Genau dies geschieht in der App sofort nach dem Start. Mike Kuketz schreibt dazu: "Leider können wir die übermittelten Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt."
Damit haben wir es mit einem konkreten Verstoß gegen die DSGVO zu tun, denn wie die Datenschutzbeauftragten schreiben, muss eine solche Einwilligung ausdrücklich, informiert, freiwillig, aktiv und vor der eigentlichen Übermittlung erfolgen.
- erfolgt die Datenübermittlung vor der Einwilligung,
- ist die Abfrage zur Einwilligung tendenziös, sie manipuliert den Nutzer durch den rot hervorgehobenen Button mit dem Text "Alle akzeptieren", auf den die meisten Nutzer tippen werden.
- Die DSGVO verlangt auch Informationen gegenüber dem Nutzer über die Art und die Partner der Datenweitergabe. Dieser Informationspflicht kommt die App auch nicht nach.
- Selbst wenn man statt "Alle akzeptieren" keinem Tracking zustimmt wird dennoch erneut eine Verbindung zu Adobe aufgebaut und die Standortdaten werden an Bing Maps von Microsoft übertragen, obwohl die Nutzung von Open Street Map Karten ohne Datenweitergabe möglich wäre.
Haben weder die Programmierer der App noch die Verantwortlichen bei Post und DHL die DSGVO gelesen oder haben sie willentlich beschlossen diese zu ignorieren?
Mehr dazu bei https://www.kuketz-blog.de/post-dhl-app-datenuebermittlung-an-tracking-anbieter-noch-vor-zustimmung-einwilligung/
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7808-20211023-post-app-an-der-dsgvo-vorbei-programmiert.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7808-20211023-post-app-an-der-dsgvo-vorbei-programmiert.htm
Tags: #Post #DHL #App #Packstation #Paketabholung #Kuketz #Privatsphäre #Paypal #Facebook #Scoring #Microsoft #Apple #Google #Transparenz #Informationsfreiheit #Anonymisierung #Zustimmung #Einwilligung