{"id":294178,"date":"2024-04-10T00:01:00","date_gmt":"2024-04-09T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294178"},"modified":"2024-04-11T10:28:23","modified_gmt":"2024-04-11T08:28:23","slug":"datenlcke-yunexpress-und-dhl-tracking-legen-empfngerdaten-offen-teil-ii","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/10\/datenlcke-yunexpress-und-dhl-tracking-legen-empfngerdaten-offen-teil-ii\/","title":{"rendered":"Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II"},"content":{"rendered":"

\"SicherheitIm Blog-Beitrag Datenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> – Teil I hatte ich skizziert, dass Dritte \u00fcber eine Schwachstelle der Sendungsverfolgung pers\u00f6nliche Daten von Bestellungen aus China, die vom Versender YunExpress verschickt und dann in Deutschland durch DHL ausgeliefert wird, abrufen k\u00f6nnen. Es war mir so m\u00f6glich, \u00fcber die inzwischen geschlossene Schwachstelle zu sehen, wer in China bestellt hat. Aber wie meldet man das Ganze? War ein eigenes Abenteuer, welches ich – samt der rechtlichen W\u00fcrdigung durch den Bundesdatenschutzbeauftragten (BfDI) in Teil II beschreiben m\u00f6chte.<\/p>\n

<\/p>\n

Wo melde ich denn nun?<\/h2>\n

\"\"Datenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen<\/a> – Teil I endete ja damit, dass ich das Problem zwar gerne an DHL gemeldet h\u00e4tte, aber an deren Regularien genervt gescheitert bin. Also war flugs die Idee \"spielst Du halt \u00fcber Bande und sprichst den zust\u00e4ndigen Landesdatenschutzbeauftragten an\" in meinem Hinterkopf. Ich wollte schon eine Mail verfassen, als ich auf die Idee kam \"Ruf doch mal an, vielleicht kannst Du das auf die Schnelle kl\u00e4ren\". Da DHL in Bonn firmiert, war f\u00fcr mich sonnenklar, dass die Datenschutzbeauftragte in Nordrhein-Westfalen zust\u00e4ndig sein muss.<\/p>\n

Gesagt getan, Nummer im Web herausgesucht und angerufen. Ich hatte auch gleich einen sehr umg\u00e4nglichen Gespr\u00e4chspartner am Telefon, der mir aber nach der kurzen Schilderung des Sachverhalts bedeutete \"wir sind nicht zust\u00e4ndig\" und auch eine Erkl\u00e4rung liefert. Abh\u00e4ngig, wer einen m\u00f6glichen Datenschutzversto\u00df begeht, sind unterschiedliche Beh\u00f6rden zust\u00e4ndig.<\/p>\n

Eine Orientierung liefert die Webseite Anschriften und Links<\/a> des Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI). Das es sich bei DHL um ein Unternehmen handelt, d\u00fcrfte klar sein. Aber im Kontaktefinder des BfDI wurde mir angezeigt, dass f\u00fcr die \"Telekommunikations- und Postdienstleister\" der Bundesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI) zust\u00e4ndig sei. Der \"Kollege als Nordrhein-Westfalen\" hatte also nicht geflunkert (so nach dem Motto \"heute keine Lust, ich schicke den Born mal nach Berlin\").<\/p>\n

Und weil ich an diesem Tag ein anst\u00e4ndiger Mensch sein wollte, beschloss ich, das Ganze zwar per Mail, aber nicht unverschl\u00fcsselt, zu melden. Auf der Kontaktseite<\/a> gab es sogar die M\u00f6glichkeit, einen PGP-Schl\u00fcssel zur vertraulichen Kommunikation mit dem BfDI abzurufen. Also wacker im Thunderbird importiert und eine verschl\u00fcsselte Meldung (mit Kopie an mich selbst) an den BfDI abgeschickt.<\/p>\n

Es gibt so Tage, da l\u00e4ufst Du gegen W\u00e4nde – hatte ich in Teil 1 schon erw\u00e4hnt. Als ich die, als Kopie an mich selbst geschickte, verschl\u00fcsselte Mail im Thunderbird lesen wollte, wurde mir das verweigert. Den Schwank, warum der Thunderbird seine eigenen, verschl\u00fcsselten Mails nicht mehr entschl\u00fcsseln konnte, habe ich im Blog-Beitrag Thunderbird 115.8.0: \u00c4rger mit PGP \u2013 Mails nicht lesbar<\/a> aufbereitet – und jetzt ist auch klar, welches Problem ich seinerseits melden wollte. Also habe ich an dem Tag \u00fcber das Kontaktformular auf der BfDI-Seite eine weitere Meldung abgesetzt, um sicherzugehen, dass der BfDI diese auch lesen kann. Das erkl\u00e4rt in folgender Antwort des BfDI den Bezug auf eine Mail und ein Meldung per Webformular.<\/p>\n

BfDI, \u00fcbernehmen sie<\/h2>\n

Hab mich fast wie James Bond (007, \u00fcbernehmen sie) gef\u00fchlt – denn ein Mitarbeiter des BfDI meldete sich einige Tage sp\u00e4ter und informierte mich, dass die DHL-Sendungsverfolgung zwar nicht zu beanstanden sei, dass der (in Teil I) geschilderte Sachverhalt m\u00f6glicherweise aber einen DSGVO-Versto\u00df darstellt. Vom BfDI sei deshalb eine Stellungnahme durch DHL bis Ende M\u00e4rz 2024 angefordert worden. Zum 4. April 2024 erreichte mich dann die finale Mitteilung des BfDI in der Angelegenheit. Ich habe nachfolgend mal die um pers\u00f6nliche Daten bereinigte Fassung dieser Antwort eingestellt.<\/p>\n

Sehr geehrter Herr Born,<\/p>\n

ich nehme Bezug auf Ihre E-Mail vom 27.02.2024 und Ihre Eingabe \u00fcber mein Web-Formular vom gleichen Tag, welche unter dem o. g. Aktenzeichen gef\u00fchrt werden.<\/p>\n

Sachverhalt:
\n1) Sie haben angegeben, dass es \u00fcber die Seite parcelsapp.com m\u00f6glich ist, eine YunExpress Tracking-Number einzugeben. Als Ergebnis wird bei einer entsprechenden Sendung mit DHL-Trackingnummer auch die PLZ des Empf\u00e4ngers angezeigt. Mit diesen beiden Informationen k\u00f6nnen in der DHL-Sendungsverfolgung weitere personenbezogene Daten des Empf\u00e4ngers abgerufen werden. Die YunExpress Tracking-Numbers sind teilweise fortlaufend, so dass durch einfaches ausprobieren auf parcelsapp.com auch weitere DHL-Sendungen abgerufen werden k\u00f6nnen.<\/p>\n

In der Sendungsverfolgung von DHL werden nach Eingabe von Sendungsnummer und PLZ, wie sie auf parcelsapp.com angezeigt werden, neben dem detaillierten Sendungsverlauf folgende (personenbezogene) Daten angezeigt:
\n– der Name, PLZ und Ort des Empf\u00e4ngers,
\n– ggf. der Name, PLZ und Ort des Ersatzempf\u00e4ngers,
\n– als Versender wird \"YUN(Shipper only, not seller)\" angegeben.<\/p>\n

2) Weiter haben Sie angegeben, dass der Versuch einer Kontaktaufnahme mit DHL \"im Sande\" verlaufen sei. Eine Meldung des Sachverhalts an die DHL lehnen Sie ab, da DHL eine Registrierung f\u00fcr Meldungen verlangt und davor gut 40 Seiten \"Kleingedrucktes\" setzt\".<\/p>\n

Wie bereits angek\u00fcndigt, habe ich DHL um Stellungnahme gebeten; die Antwort liegt mir nun vor.<\/p>\n

DHL hat den Sachverhalt gepr\u00fcft. Lt. DHL fragt parcelsapp.com bei YUN Express die Sendungsdaten ab, hierf\u00fcr wird nur die Sendungsnummer ben\u00f6tigt. Die API von YUN Express liefert anschlie\u00dfend jedoch u. a. auch die Postleitzahl zur Sendungsnummer.<\/p>\n

Nach Angaben von DHL kann das Unternehmen nicht verhindern, dass Versender Sendungsdetails offenlegen. Bei Bekanntwerden geht DHL auf Versender zu und weist sie auf diesen Umstand hin. DHL hat Yun Express unverz\u00fcglich entsprechend kontaktiert, gem\u00e4\u00df der R\u00fcckmeldung von Yun Express vom 21.03.2024 nimmt das Unternehmen gerade Anpassungen vor, um die Ausgabe der PLZ \u00fcber das API abzustellen. Dies scheint zumindest bei den von Ihnen gemeldeten Sendungen aktuell noch nicht der Fall zu sein; mangels neuerer, g\u00fcltiger Sendungsnummern kann ich nicht erkennen, ob die Verarbeitung bei k\u00fcrzlich versandten Sendungen abge\u00e4ndert wurde.<\/p>\n

DHL hat auch angemerkt, dass ihr keine Anfrage zu diesem Thema vorliegt – weder beim Kundenservice, noch im Datenschutzpostfach. Sie kann nicht nachvollziehen, in welcher Form Sie sich an das Unternehmen gewandt haben. DHL hat angeboten, hier genauer zu recherchieren. DHL kann auch Ihre Aussage, Sie m\u00fcssten sich f\u00fcr eine Meldung \"registrieren\" und \"davor gut 40 Seiten Kleingedrucktes\" zur Kenntnis nehmen, nicht nachvollziehen. Es g\u00e4be diverse M\u00f6glichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen.<\/p>\n

Rechtliche W\u00fcrdigung:
\nZu 1)
\nDie initiale Offenlegung personenbezogener Daten erfolgt durch YUN Express. Das chinesische Unternehmen f\u00e4llt jedoch nicht in meine Zust\u00e4ndigkeit und agiert au\u00dferhalb des Geltungsbereichs der DSGVO. Erst auf Grund dieser Offenlegung in China ist eine Abfrage bei DHL m\u00f6glich, durch die weitere personenbezogene Daten auf dhl.de angezeigt werden.<\/p>\n

Mit Hinblick auf das Risiko f\u00fcr die Rechte und Freiheiten betroffener nat\u00fcrlicher Personen gen\u00fcgt die Abfrage von Sendungsnummer und PLZ prinzipiell, um die in der Sendungsverfolgung offengelegten Daten abzusichern. Diese Bewertung habe ich allerdings getroffen, bevor mir der von Ihnen dargestellte Sachverhalt bekannt wurde.<\/p>\n

Auf Grund der von Ihnen geschilderten Situation k\u00e4me ggf. ein Versto\u00df von DHL gegen Art. 32 Abs. 1 DSGVO in Frage: \"Unter Ber\u00fccksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma\u00dfnahmen, um ein dem Risiko angemessenes Schutzniveau zu gew\u00e4hrleisten [….].\" Die Auswahl der geeigneten technischen und organisatorischen Ma\u00dfnahmen hat eine Balance zwischen dem Schutzniveau und dem Risiko zu finden, einen 100%igen Schutz muss es gem\u00e4\u00df Art. 32 DSGVO nicht geben.<\/p>\n

Insbesondere bei Betrachtung der Eintrittswahrscheinlichkeit und des Risikos sehe ich aktuell keinen Anlass, die Prozesse bei DHL zu bem\u00e4ngeln. Die Sendungsverfolgung ist eine beliebte und nachgefragte Funktion bei Paketdienstleistern, die H\u00fcrden, um diese zu nutzen, sollten nicht zu hoch gesetzt werden.<\/p>\n

Eine obligatorische Registrierung beim Postdienstleister, um die Sendungsverfolgung nutzen zu k\u00f6nnen, w\u00e4re vermutlich nicht mehr angemessen: Ein Login w\u00fcrde die Daten zwar wesentlich besser absichern, die Registrierung w\u00e4re jedoch auch nur nach einer (aufwendigen) Identit\u00e4tskontrolle wirklich sicher, h\u00e4tte umfangreiche zus\u00e4tzliche Datenverarbeitungen zur Folge und w\u00fcrde vermutlich so lange dauern, dass es f\u00fcr das Paket, das ein Neukunde erwartet, wahrscheinlich zu sp\u00e4t w\u00e4re.<\/p>\n

Auch die aktuelle Praxis, lediglich Sendungsdaten abzufragen, kann nach meinem Verst\u00e4ndnis nicht wirklich verbessert werden. W\u00fcrde bei einer Sendung z.B. zus\u00e4tzlich der Name des Empf\u00e4ngers abgefragt werden, bevor Sendungsdetails angezeigt werden, entst\u00fcnden bei Anbietern wie parcelsapp.com vermutlich Begehrlichkeiten, auch diese Daten von Versendern abzufragen. Dadurch w\u00fcrden dann pl\u00f6tzlich Namen statt PLZ gehandelt – aus Datenschutzsicht eine Verschlechterung.<\/p>\n

Vergleichbare F\u00e4lle, wie der von Ihnen geschilderte, sind mir nicht bekannt.<\/p>\n

Im Ergebnis sehe ich keinen Versto\u00df von DHL gegen Art. 32 Abs. 1 DSGVO, ich betrachte das Schutzniveau dem Risiko weiterhin angemessen.
\n___<\/p>\n

Gerade bei Unternehmen au\u00dferhalb des Geltungsbereiches der DSGVO ist es schwierig, ein der DSGVO vergleichbares Datenschutzniveau durchzusetzen. Die Vorgehensweise von DHL, bei Bekanntwerden des Problems auf die Vertragspartner zuzugehen, finde ich ebenfalls angemessen.<\/p>\n

Ich werde DHL allerdings noch einmal informieren, dass YUN Express vermutlich weiterhin die PLZ offenlegt, mit der Bitte an DHL, YUN Express diesbez\u00fcglich noch einmal anzuschreiben.<\/p><\/blockquote>\n

Punkt 1: Es wird anerkannt, dass das Verhalten nicht so ganz koscher ist. Da die Offenlegung aber durch YunExpress erfolgt, liegt kein DSGVO-Versto\u00df vor – es sei eine Balance \"zwischen dem Schutzniveau und dem Risiko zu finden\". Positiv: DHL hat reagiert und ist auf YunExpress zugegangen. Meine Versuche, anhand von alten Tracking-Nummern Daten abzurufen, f\u00fchrten ins Leere und auf der YunExpress-Seite wurde mir die PLZ nicht mehr angezeigt. Die Beschwerde hat also gewirkt, da wurde was korrigiert.<\/p>\n

DHL: Wir wissen von nix<\/h2>\n

Punkt 2: Es gibt in obigem Text noch die Passage \"DHL hat auch angemerkt, dass ihr keine Anfrage zu diesem Thema vorliegt – weder beim Kundenservice, noch im Datenschutzpostfach. Sie kann nicht nachvollziehen, in welcher Form Sie sich an das Unternehmen gewandt haben. DHL hat angeboten, hier genauer zu recherchieren. DHL kann auch Ihre Aussage, Sie m\u00fcssten sich f\u00fcr eine Meldung \"registrieren\" und \"davor gut 40 Seiten Kleingedrucktes\" zur Kenntnis nehmen, nicht nachvollziehen. Es g\u00e4be diverse M\u00f6glichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen. \"<\/p>\n

DHL kann keine \"Meldung vorliegen haben\", weil ich keine abgesetzt habe. Ich formuliere es mal platt: \"Ich bin augenscheinlich zu doof dazu, die diversen M\u00f6glichkeiten – auch anonym und in wenigen Schritten – auf Themen hinzuweisen, zu nutzen.\" Nachdem ich mir die DHL-Seite zur Meldung von Schwachstellen angesehen habe, mokierte ich mich beim Leser \u00fcber die Meldem\u00f6glichkeiten.<\/p>\n

Damals (TM) war ich ja noch ganz dumm, kannte die Antwort des BfDI ja noch nicht (aber das Leben ist dazu da, dass wir nicht ganz dumm sterben). Jetzt wei\u00df ich (dank der obigen BfDI-Antwort) immerhin, dass es \"diverse M\u00f6glichkeiten – auch anonym und in wenigen Schritten – g\u00e4be, auf Themen hinzuweisen\". Nur habe ich noch nicht herausgefunden, wo es diese diversen M\u00f6glichkeiten gibt. Aber hey, ich habe noch nicht vor, sofort zu sterben, es gibt also Hoffnung, dass ich auch noch dieses Geheimnis l\u00fcfte.<\/p>\n

Der Leser, mit dem ich mich diesbez\u00fcglich im Vorfeld ausgetauscht habe, wandelt offenbar auch als ganz schlichtes Gem\u00fct unter dem ber\u00fchmten Scheffel mit dem Licht. Denn der Leser schrieb mir:<\/p>\n

Du hattest ja geschrieben: \"Es ist eine Frechheit – Responsible Disclosure zu fordern, dann aber zu erwarten, dass Leute sich drei Seiten durchlesen und dann dort mit einer bestimmten E-Mail-Adresse registrieren.\"<\/em><\/p><\/blockquote>\n

Gut, ich muss mich a bisserl gegen\u00fcber der Leserschaft entschuldigen. Ich bin noch ein junger Hei\u00dfsporn, hatte mir die Seite Cybersicherheit<\/a> von DHL angeschaut, mir schwoll der Kamm, und es kam der eine oder andere Satz etwas \"feuriger\" daher. Aber hey, n\u00e4chsten Monat werde ich 69, also \"alt und wei\u00df und ein bisschen leise\" – versprochen. Der Leser, mit dem ich wegen der Sicherheitsl\u00fccke im Austausch stand, hat dann auch ganz gesetzt geantwortet:<\/p>\n

Tats\u00e4chlich muss bzw. sollte man aber nat\u00fcrlich die AGBs\/Terms komplett lesen, bevor man diesen zustimmt,<\/p>\n

das sind dann ganze 40 Seiten<\/strong> A4 Querformat – davon sind 29 Seiten in englischer Sprache<\/strong>,<\/p>\n

was f\u00fcr Dich und mich ok sein mag, aber sicher nicht f\u00fcr jeden.<\/p>\n

Die 40 Seiten bestehen aus:<\/p>\n

– DHL Cybersicherheit:<\/p>\n

https:\/\/group.dhl.com\/de\/nachhaltigkeit\/governance\/cyber-security.htm<\/p>\n

-> (4 Seiten A4 Querformat)<\/p>\n

– DHL Vulnerability Disclosure Policy:<\/p>\n

https:\/\/web.archive.org\/web\/20231130164535\/https:\/\/group.dhl.com\/de\/nachhaltigkeit\/governance\/cyber-security\/vulnerability-disclosure-policy.html<\/p>\n

-> (7 Seiten A4 Querformat)<\/p>\n

– DHL Group Vulnerability Disclosure Program \/ Detail: https:\/\/app.intigriti.com\/company\/programs\/dhlgroup\/dhlvdp\/detail<\/p>\n

-> (ca. 4 Seiten A4 Querformat in Englisch)<\/p>\n

– Researcher Terms & Conditions:<\/p>\n

https:\/\/kb.intigriti.com\/en\/articles\/5466165-researcher-terms-conditions<\/p>\n

-> (15 Seiten<\/p>\n

A4 Querformat in Englisch)<\/p>\n

– Community Code of Conduct:<\/p>\n

https:\/\/kb.intigriti.com\/en\/articles\/5247238-community-code-of-conduct<\/p>\n

-> (10 Seiten A4 Querformat in Englisch)<\/p>\n

Hinzu kommt die Warnung von DHL, dass man sich durch das aufdecken von Sicherheitsl\u00fccken evtl. auch strafbar macht – also sollte man besser erst einen Fachanwalt fragen… und ihn daf\u00fcr bezahlen.<\/p>\n

Das ist schon mehr als nur eine Frechheit.<\/p><\/blockquote>\n

Nun ja, den Rest habe ich mal zensiert. Der Leser hatte mir auch geantwortet \"der Sachverhalt ist \u00fcber meine Kontakte an die zust\u00e4ndige Cyber-Security-Abteilung gegangen, die k\u00fcmmern sich\". Da nach 14 Tagen keine Reaktion vorlag, lautete mein letzter Satz in einer Mail an den Leser \"Ich habe mir folgendes \u00fcberlegt – ich lasse es wie bei Bauhaus laufen. Der Datenschutzbeauftragte von NRW bekommt die Meldung (DHL sitzt ja in Bonn). […]\". War bei Bauhaus auch so gelaufen, mein Versuch einer Kl\u00e4rung per Telefon auf dem \"kleinen Dienstweg\" verlief im Sande. Also habe ich an den Landesdatenschutzbeauftragten gemeldet und dann lief es (gab nur die verschnupfte Antwort \"Bauhaus konnte keine Meldung finden\").<\/p>\n

Dass ich da im DHL-Fall vom Landesdatenschutzbeauftragten ausgebremst wurde, wusste ich Ende Februar 2024 noch nicht. Aber ich habe oben ja offen gelegt, wie das \"Spiel \u00fcber Bande\" ausgegangen ist. Am Ende des Tages gilt nun unter dem Strich die alte konfuzianische Weisheit: \"Ente gut, alles gut\".<\/p>\n