Suche
Close this search box.

Wenn digitales Vertrauen an der Systemgrenze scheitert…

Image by Gerd Altmann from Pixabay

Die Schweizer Post und ihre digitalen Angebote sind auf DNIP ja ein schon mehrmals beleuchtetes Thema, so haben wir dieses Jahr schon über IncaMail und Google Cloud geschrieben und einen Blick auf die Datenschutz-Odyssee bei SwissID geworfen. Heute geht es um ein Angebot der Swisspost-App (und -Webseite) mit welchem vermutlich schon viele Kontakt hatten: “Meine Sendungen”, womit sich Sendungen tracken und steuern lassen.

Vor einigen Wochen hab ich von der Post Email-Werbung für eines ihrer Post-Produkte erhalten. Das alleine wäre nicht weiter bemerkenswert, unerwartete Email-Werbung gehört heute leider einfach dazu. Bemerkenswert war es allerdings insofern, als dass ich mich ein paar Tage zuvor in der Post-App vergewissert hatte, dass sämtliche dort sichtbaren Optionen “zur Verbesserung des Kundenerlebnisses” (was je nach Kontext jeweils Cookies oder Werbung (oder beides) bedeutet) abgeschaltet waren. Das ist insofern relativ einfach, da es in der App dazu gar keine Optionen gibt. Die einzige halbwegs passende Option steuert die Zustellung von Swiss Post-Events via Push (also keine Email), und die war ausgeschaltet.

Benachrichtigungs-Optionen in der Swiss Post-App (Version 8.0.5 auf iOS)

Warum jetzt also trotzdem diese Werbemail?

Das Rätsel löst sich, wenn man sich die Account-Einstellungen direkt im Webportal anschaut, dort findet sich die relevante Option für die Zustellung “vieler spannender Informationen und Dienstleistungen der Post”.

Werbe-Optionen in der Webapplikation der Post

Nun kann es natürlich sein, dass ich das aus reiner Neugier mal eingeschaltet und anschliessend schlicht vergessen habe. Andererseits brauch ich die Webseite praktisch nie und arbeitet ausschliesslich mit der App. Ich habe daher die Probe aufs Exempel gemacht und auf dem Smartphone für “Meine Sendungen” ein neues Post-Login inklusive SwissID erstellt. Und siehe da, selbst bei einem neu angelegten Post-Login ist die “Get to know Swiss Post Services”-Option standardmässig aktiviert, notabene ohne dass die Benutzerin sich dessen bewusst ist oder ihre Einwilligung dazu gibt.

Natürlich kann man jetzt achselzuckend zur Tagesordnung übergehen, schliesslich sind solche Methoden zum Sammeln von bewerbbaren Adressen gang und gäbe. Allerdings machen zwei Faktoren den konkreten Fall etwas interessanter:

Digital Trust Label

Das Digital Trust Label wurde Anfang 2022 von der in Genf angesiedelten Swiss Digital Initiative lanciert und hat zum Ziel, die Vertrauenswürdigkeit von digitalen Anwendungen zu zertifizieren, Nutzerinnen die Vertrauenswürdigkeit zu bestätigen und Unternehmen bei der Entwicklung von digitalen Angeboten einen Anreiz zu geben, grundlegende Vertrauenskriterien zu erfüllen. Die Erteilung des Labels erfolgt nach einem mehrstufigen Audit-Prozess, vorgesehen sind anschliessend auch regelmässige Überprüfungen (mit denen sichergestellt werden soll, dass die Kriterien auch einige Jahre später noch eingehalten werden).

Der Kriterienkatalog enthält in der Version von 2023 insgesamt 35 Kriterien in den Kategorien “Security”, “Data Protection”, “Reliability” und “Fair User Interaction”. Letzteres fokussiert vor allem auf Barrierefreiheit und dem Vermeiden von Dark Pattern, im aktuellen Fall relevant ist primär die Kategorie “Data Protection”.

Kriterien der Kategorie “Data Protection”

Kriterien 14 und 16 sind für den konkreten Fall relevant:

  • Der Benutzer ist über die Zweck der Datenverarbeitung zu informieren (14).
  • Es braucht einen klaren Opt-In/Out, und Opt-in darf nicht der Default sein (16).

Wir haben beim Digital Trust-Label nachgefragt, wie diese Kriterien zu interpretieren sind und wie sie das Verhalten der Post-App einschätzen. In der Antwort schränkt das Label die Zertifizierung auf die eigentliche Applikation “Meine Sendungen” ein, dies sei auch entsprechend auf dem ausgestellten Zertifikat vermerkt (dieses gilt für “Meine Sendungen Portal”). Das SwissID-basierte Login sei nicht Teil des für die Zertifizierung relevanten Audits gewesen, hier wäre gegebenenfalls eine separate Prüfung notwendig.

Relevant in diesem Zusammenhang dürfte sein, dass der Umfang des zu zertifizierenden Angebots durch den Anbieter (in diesem Fall also durch die Post) festgelegt wird. Das ist grundsätzlich sicher das sinnvolle Vorgehen (schliesslich weiss der Anbieter ja, was er zertifiziert haben möchte), öffnet hier aber (bewusst oder ungewusst) ein Hintertürchen, durch welches Teile einer Anwendung quasi ausgeklammert werden können. Hier könnte das Label mit einer klareren Definition des Zertifikat-Umfangs das Vertrauen ins Produkt deutlich erhöhen. Denn es scheint eigenartig, wenn bei der Zertifizierung der Umgang mit Kundendaten anhand mehrerer Kriterien geprüft wird, dann aber das Login (welches prinzipbedingt immer Kundendaten enthält) von der Prüfung ausgenommen wird.

Dass die Argumentation nicht nur aus Kundensicht arg spitzfindig ist, zeigt sich auch darin, dass sowohl das Digital Trust Label wie auch die Post auf den jeweiligen Webseiten klar vom Login für “Meine Sendungen” sprechen.

Aus der Zertifikatsliste des Digital Trust Label

Bezüglich Opt-Out/Opt-In hält Nicolas Zahn vom Digital Trust Label in seiner Anwort fest, dass sie automatische Opt-Ins tatsächlich als problematisch ansehen. Da ist es dann gleich doppelt schade, dass der Login, d.h. der dafür relevante Teil von “Meine Sendungen”, gerade eben nicht zertifiziert wurde.

Und was meint die Post dazu?

Wie erwähnt formuliert die Post in Kapitel 4 der Datenschutzbestimmungen, dass die Nutzung der Kundendaten zu Werbezwecken nur erfolgt, sofern der Kunde nicht widerspricht. Abgesehen vom kundenunfreundlichen impliziten Opt-In ist ein Widerspruch durch den Kunden natürlich nur möglich, wenn er überhaupt weiss, dass er dieser Nutzung explizit widersprechen kann/muss. In der App selbst ist das ja wie eingangs erläutert eben genau nicht möglich.

Wir wollten von der Post wissen, ob dieser etwas lockere Umgang mit Kundendaten der Geschäftspolitik entspricht und wie denn nun ein App only-Kunde diese Optionen abwählen kann

Nicht ganz unerwartet sieht die Post kein direktes Problem, sondern verweist auf die Möglichkeit, die Zustellung von Werbung via Web oder Kundendienst. Mediensprecherin Denise Birchler schreibt konkret: “Wenn Privatkunden ihre Einstellungen zu Präferenzen oder Datenschutz anpassen wollen, müssen sie das direkt in ihrem Profil unter «Einstellungen» auf der Website anpassen. Das Profil kann in der Post-App stand heute tatsächlich nicht angepasst werden.

Im weiteren hält die Post (wie schon das Digital Trust Label) fest, dass das Post-Login generell den Zugang zu allen digitalen Post-Dienstleistungen öffne, die Zertifizierung von «Meine Sendungen» durch Digital Trust Label sich aber nur auf die Sendungen beziehe, nicht aber auf das Login selbst…

Fazit

Bei der Zertifizierung des Digital Trust Label zwischen Login und eigentlicher App zu unterscheiden, ist gelinde gesagt schlitzohrig. Wie soll ich mich als Anwender auf ein Label verlassen können, wenn ich zuerst im Detail herausfinden muss, wo genau jetzt die Systemgrenze gezogen wurde und welcher Teil der Lösung vertrauenswürdig ist. Bei Applikationen mit “Meine Sendungen” ist die Unterscheidung geradezu sinnfrei, ohne Login ist diese schlicht nicht nutzbar. Digital Trust Label wäre gut beraten, bei zukünftigen Zertifizierungen auf Systemgrenzen zu bestehen, welche der Wahrnehmung der Anwenderin entsprechen. Der auf der Webseite formulierte Anspruch “Wir wollen Nutzer:Innen ein sicheres Gefühl bei der Nutzung digitaler Anwendungen geben” ist sonst schlicht nicht einzuhalten.

Erfreulicherweise ist aber der Post bewusst geworden, dass Handlungsbedarf besteht. Jedenfalls kündigt Denise Birchler auf Nachfrage an, dass die App-Entwickler momentan prüfen, ob in der App ein Hinweis oder sogar ein Link auf die nur via Web zugänglichen Werbe-Einstellungen integriert werden kann. Das wäre dann gegenüber heute zumindest ein kleiner Fortschritt bezüglich Transparenz. Aus Nutzersicht noch besser, und auch eher im Einklang mit den Digital Trust Label-Kriterien, wäre natürlich ein explizit notwendiger Opt-Out. Vielleicht kommt der ja dann im übernächsten Release…

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

10 Antworten

  1. Was ich viel schlimmer finde: Wie die Post versucht, einen zum Kunden zu machen, der Geschäfts- und Datenschutzbedingungen akzeptieren soll, wenn man nur Empfänger einer Sendung ist.

    Nur der Absender hat einen Vertrag mit der Post. Und der Vertrag besagt, dass die Post die Sendung der Person, die als Empfänger angegeben wurde, übergibt. Dafür bezahlt der Absender.
    Als Empfänger hat man auf diesen Vorgang gar keinen Einfluss. Man kann nichtmal davon ausgehen, dass die Sendung dem Empfänger überhaupt bekannt oder von ihm gewünscht ist. Entsprechend ist es einfach unverschämt, den Empfänger zu drängen, dass er sich einen Account macht und irgendwelche Geschäfts- und Datenschutzbedingungen akzeptieren soll.

    Hinzu kommt, dass sie weiterhin Sendungen einfach so im Treppenhaus abladen, als wäre ein pandemischer Lockdown. Sie kommen also dem Vertrag gar nicht nach, das Paket der entsprechenden Person zu geben.

    1. Die Nutzung von “Meine Sendungen” ist freiwillig, Pakete werden auch zugestellt wenn man das nicht nutzt. Brauchen tut man es primär, wenn man Instruktionen zum Deponieren von Paketen festlegen will. Ich bin ja kein Jurist, aber ich denke, dass man damit auch einen Vertrag mit der Post eingeht.

  2. Guten Tag miteinander
    Habe mich in den letzten Jahren des öfteren über die Post und ihr gebahren geärgert.
    Freundliche Grüsse und einen uufgschtellten Tag.

  3. Da sich das Zertifikat nur auf ein Teil der App bezieht darf es auch nur dort in der App beworben werden. Somit muss Logo des Zertifikats von der Website entfernt werden da die Post schliesslich nicht als Ganzes vertrauenswürdig ist.

    1. Ein Logo nur für einen Teilaspekt zu erteilen, obwohl der Weg zu diesem Teilaspekt notwendig ist, ist der eigentliche Blödsinn. Es muss alles beleuchtet werden, dass für die Nutzung der jeweiligen Funktion notwendig ist, und dazu gehört das SwissID-Konto mit allen Einstellungen.

  4. Danke Patrick für den Einblick und natürlich für das Nachhacken bei der Post – die Firmen und Institutionen brauchen wohl die immerwährende externe “Motivation” um die Produkte und Services den impliziten oder expliziten Versprechen anzupassen. Eine gewisse “Schlitzohrigkeit” muss von einem staatlichen oder teilstaatlichen Betrieb sicherlich nicht erwartet und akzeptiert werden.

  5. Mich regt bei der Post schon länger der Umgang mit den Kundendaten auf, und das hier passt leider wunderbar.
    Offenbar sieht die Post (die ja immerhin im Staatsbesitz ist – also quasi uns allen gehört) ein essentielles Geschäftsfeld in der Werbung. Immerhin kennt sie Millionen von validen Adressen, die gewissermassen täglich von den Zustellern vor Ort überprüft werden und von den Kunden sogar via Nachsendeauftrag selber aktualisiert werden. Das da die Weko nicht einschreitet, wundert mich doch sehr.

    Vor den Werbemassnahmen der Post schützt sogar der “Bitte keine Werbung”-Aufkleber am Briefkasten nicht, wird doch explizit adressierte Werbung davon ausgeschlossen. Kein Wunder, drängt mich die Post schon seit Jahren mit (natürlich persönlich adressierter) Werbepost, einen “Werbung ja bitte” Aufkleber am Briefkasten anzubringen und eine Liste mit gewünschten Werbenden oder alternativ Interessen auszufüllen und zurückzusenden. Den Vogel schiesst das ab mit einem Onlineservice, wo ich mir andere fesche “Werbung ja bitte” Aufkleber auswählen und kostenlos zusenden kann, wenn mir die beigelegten Aufkleber nicht gefallen.
    -> https://twitter.com/CHRowi/status/1583821388066205697

    Die letzten Tage kam mal wieder so eine Erinnerung. Scheint jetzt jährlich verschickt zu werden. Und ich habe mir mal wieder überlegt, die Firmen, die da namentlich mitspielen, einfach zu boykottieren.

    Im Ernst: Als quasi-Mitbesitzer der Post verzichte ich gerne auf die indirekten Einnahmen aus diesem Geschäftsbereich. Der kann gerne komplett geschlossen werden und damit die Fokussierung auf das Kerngeschäft geschärft werden: Post- und Paketzustellung. Und wie ich im Twitter-Post schon schrieb: Niemand mag Werbung und es ist auch keine Verbraucherinformation.

  6. Apropos Post: SwissID hat heute ein großes App-Update, und alles scheint kaputt zu sein.

    «Um den Signaturservice weiterhin nutzen zu können, ist aus Sicherheitsgründen eine erneute Aktivierung erforderlich.» 🤦🤦‍♂️🤦‍♀️
    https://www.swissid.ch/app/update.html

    Heute noch keinen erfolgreichen Login hinbekommen. Push zur App geht nach dem Update nicht und der (unsichere) SMS-Code kommt auch nicht an …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge

Rage Against The Machine

Es geht um drei Millionen elektrische Zahnbürsten. Sie sollen die Website einer Schweizer Firma angegriffen und für Stunden vom Netz

Weiterlesen »