Datenschutzpanne: Tracking von DHL und Yun Express verriet Empfängeradressen
Wer etwas in China bestellt, erhält die Ware durch chinesische Paketdienste nach Europa geliefert, während die Endauslieferung an den Empfänger durch nationale Paketdienste, wie DHL in Deutschland, erfolgt. Zur Verfolgung der Sendung erhalten Kunden in der Regel eine sogenannte Tracking Number, über die sie den Auslieferungsstand abfragen können.
Dies ist auch beim chinesischen Paketversender Yun Express der Fall, der in Deutschland die Zustellung (und eine eventuelle Verzollung) durch DHL vornehmen lässt. Allerdings hat der chinesische Versender Yun Express bei der Implementierung der Tracking Numbers gepatzt. Denn die letzten Ziffern dieser Nummern scheinen für die Sendungen fortlaufend vergeben worden zu sein, lassen sich also automatisch, zum Beispiel per Script, generieren - und so, quasi durch Erraten, persönliche Daten deutscher Empfänger einsehen.
Grundsätzlich ist das Vorgehen so: Paketempfänger bekommen aus China eine Tracking Number für die Sendung mitgeteilt und können sie im parcelsapp.com-Portal(öffnet im neuen Fenster) eingeben. Gibt es die Sendung, zeigt das Portal die Sendungsdaten und den Versandstatus an.
Auf der Ergebnisseite finden sich zur Tracking-Nummer zusätzlich Informationen zum Ursprungsland der Sendung, dem Zielland, dem Gewicht und dem Auslieferer sowie dem Auslieferungsstatus. Für Sendungen, die über DHL in Deutschland ausgeliefert werden, gibt es auch noch die DHL-Tracking-Nummer sowie bisher die Postleitzahl des Zielorts, um eine Paketverfolgung im DHL-Portal(öffnet im neuen Fenster) zu ermöglichen.
Möchte der Empfänger den Auslieferungsstatus seiner Sendung bei DHL abrufen, gibt er die so ermittelte DHL-Tracking-Nummer sowie die Postleitzahl, zu der die Sendung geliefert werden soll, im Portal ein. Die Abfrage der Postleitzahl ist eine zusätzliche Sicherung, die DHL aus Datenschutzgründen eingezogen hat. Das soll verhindern, dass unbeteiligte Dritte eine Sendungsverfolgung für die Lieferung einsehen können.
Yun Express legt alles offen
Einem Softwareentwickler und Leser meines Blogs(öffnet im neuen Fenster) , der etwas in China bestellt hatte, fiel beim Abruf der Tracking-Daten auf, dass das parcelsapp.com-Portal(öffnet im neuen Fenster) von Yun Express über eine API nicht nur die DHL-Sendungsnummer, sondern auch weitere Daten wie die Postleitzahl des Ziels lieferte. Mittels dieser Informationen ließ sich im DHL-Portal zur Sendungsverfolgung dann, wie oben beschrieben, der Sendungsstatus abrufen.
Der Screenshot einer so ermittelten Sendung zeigte, wohin die Lieferung ging und wer diese angenommen hat. Für den Empfänger dieser Sendung kein Problem, denn er kennt ja seine Adressdaten.
Nachdem der Leser sich an mich gewandt hatte, testete ich zufällig selbst generierte Tracking Numbers. Zu einem Teil dieser selbst generierten Werte gab es Sendungen, deren Sendungsdaten sich im Yun-Express-Portal abrufen ließen.
Bei Sendungen, die über DHL ausgeliefert wurden, konnten dann anhand der Postleitzahl und der Tracking-Nummer die persönlichen Daten deutscher Empfänger im DHL-Sendungsverfolgungsportal abgerufen werden(öffnet im neuen Fenster) .
Das konnte natürlich nicht im Interesse der Empfänger sein und es stellte sich auch die Frage, ob möglicherweise ein DSGVO-Verstoß vorliegt, wenn Dritte quasi durch Erraten persönliche Daten von Sendungsempfängern einsehen können.
Wie meldet man den Vorgang?
Ich übernahm es als Blogger, das mögliche DSGVO-Problem weiterzuverfolgen, das der Leser aufgedeckt hatte, aber aus rechtlichen Gründen nicht selbst melden wollte - der Fall Modern Solutions ist noch in schlechter Erinnerung. Die Meldung an die Verantwortlichen bei DHL erwies sich aber als etwas schwierig.
DHL hat zwar eine eigene Seite, um Sicherheitslücken zu melden(öffnet im neuen Fenster) . Eine Einsichtnahme der Anforderungen ließ mich aber zum Schluss kommen, dass eine einfache, schnelle und trotzdem sichere Meldung des Sachverhalts unmöglich wäre. Der Versuch, auf eigene Faust jemanden zu aktivieren, der bei DHL für IT-Security zuständig ist, war auch nach zwei Wochen nicht erfolgreich. Also musste Plan B her.
Beim Bauhaus-Datenleck erwies sich meine Meldung beim zuständigen Landesdatenschutzbeauftragten als sehr effektiv. Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen erklärte sich aber auf meine Anfrage als nicht zuständig, da für Post-Dienstleistungen der Bundesdatenschutzbeauftragte (BfDI) die Datenschutzaufsicht habe.
Nach Meldung des Sachverhalts beim BfDI in Berlin, Ende Februar 2024, leitete dieser ein Prüfverfahren ein und forderte eine Stellungnahme von DHL an. Der Abschluss der datenschutzrechtlichen Bewertung liegt mir seit Anfang April 2024 vor(öffnet im neuen Fenster) .
In Kurzfassung: Da die Daten durch den chinesischen Versender Yun Express offen gelegt wurden, ist die Handhabung durch DHL nicht zu beanstanden, und es liegt kein Datenschutzverstoß durch DHL vor.
Missstand offenbar beseitigt
Aber die Meldung samt BfDI-Prüfvorgang hat dazu geführt, dass DHL den chinesischen Versender kontaktiert und um Änderungen gebeten hat. Das Tracking-Portal für Yun-Express-Sendungen wirft inzwischen - zumindest bei meinen Tests - keine Postleitzahlen mehr aus.
Und ältere Tracking-Nummern von bereits ausgelieferten Sendungen werden bei DHL im Tracking-Portal auch nicht mehr aufgelöst. Es sieht so aus, als ob der Sachverhalt, dass unbeteiligte Dritte die Lieferdaten von Sendungen durch Erraten der Tracking Numbers abfragen konnten, inzwischen beseitigt ist.