Drucksache 17/13000
90 ––
–– 90
umfassenden Konsultationsverfahren zwischen den Datenschutzbehörden der Europäischen Union anerkannt
wurde.
Mit meiner Billigung wurde ein (vermeintlich) wesentlicher Schritt auf dem langen Weg bis zur endgültigen Umsetzung der BCR zurückgelegt. Offensichtlich war das
unternehmensinterne Verfahren aber so zeitaufwändig,
dass mir erst zum Ende des Berichtszeitraums die „Deutsche Post Data Privacy Policy“ in einer Form präsentiert
werden konnte, die im Gesamtunternehmen verteilt und
dort den geltenden Datenschutzstandard festlegen wird.
Im November 2012 hat die letzte Umsetzungsphase, nämlich der Versand der Beitrittserklärungen an die internationalen Konzerngesellschaften, begonnen. Erst im Laufe
des Jahres 2013 wird nach den Planungen der DP AG die
endgültige Umsetzung der Konzerndatenschutzrichtlinie
abgeschlossen sein. Ich bin mir, nicht zuletzt wegen der
gegebenen Zusicherung der DP AG, sicher, dass es soweit
kommen wird; Prognosen zum zeitlichen Verlauf gebe ich
aber keine mehr ab.
6.12.2 Können Packstationen unbesorgt
genutzt werden – Kontrollerfahrungen
Der Datenschutz ist gewährleistet, aber Vorsicht bei
Phishing-Attacken!
Die überwiegende Zahl der Beschwerden über die Deutsche Post AG (DP AG) betreffen Falschzustellungen, unberechtigte Rücksendungen an den Absender oder die
Aufbewahrung von Briefsendungen. Zahlreiche Eingaben, in denen mir Phishing-Attacken bei der Nutzung von
Packstationen mitgeteilt wurden, habe ich zum Anlass genommen, mich detailliert vor Ort zu informieren.
Bei den Packstationen handelt es sich um Paketautomaten, an denen Kunden der DP AG Sendungen unabhängig
von Öffnungszeiten abholen oder einliefern können. Zur
Nutzung dieser Anlage (Ausnahme: Einlieferung von
Sendungen) muss sich jeder Kunde zunächst in einem
zweistufigen Verfahren registrieren. Dies erfolgt im ersten Schritt durch Ausfüllen eines Online-Registrierungsformulars, in dem u. a. die E-Mail-Adresse und die Mobilrufnummer anzugeben sind; über diese Kontaktkanäle
wird der Kunde über abholbereite Sendungen informiert.
Im zweiten Schritt werden diese Angaben im Postidentverfahren verifiziert, danach erhält der Kunde persönlich
die Unterlagen zur Nutzung der Packstationen („Begrüßungsset“).
Die Petenten berichteten, dass sie per E-Mail um Herausgabe ihrer Authentisierungsdaten (Postnummer und PIN)
gebeten wurden. Diese E-Mails erweckten den Anschein,
als würde es sich um Anschreiben der DP AG handeln.
Auf diesem Weg versuchten unbekannte Dritte, illegal
Zugriff auf die in den Packstationen lagernden Sendungen zu erhalten.
Die DP AG teilte mir auf meine Nachfrage mit, sie sei
über diese Angriffe und Manipulationsversuche informiert und habe als Gegenmaßnahme Hinweise auf mögliche Phishing-Angriffe und zum sicheren Umgang mit den
Zugangsdaten im Begrüßungsset aufgenommen. Der
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Kunde werde eindeutig darauf hingewiesen, dass die zur
Warenabholung notwendigen Daten auf keinen Fall weitergegeben werden dürften. Zur Eindämmung der
Phishing-Problematik gründete die DP AG zudem ein
sog. Anti-Phishing-Response-Team, das Angriffe analysieren und die Sperrung der entsprechenden Internetseiten
veranlassen soll. Weiter wurde das Authentisierungsverfahren zur Warenabholung mittels Postnummer und PIN
umgestellt. Nun ist zusätzlich seit dem 2. Quartal 2011
eine Magnetstreifenkarte zur Abholung notwendig.
Seit November 2012 wurde die Magnetstreifenkarte
durch eine mobile TAN (mTAN) ersetzt, die der Kunde
per SMS erhält. Da die mTAN eine transaktionsbezogene
Nummer mit begrenzter Gültigkeit ist, wird so ein potentieller Missbrauch zusätzlich erschwert. Aufgrund dieser
Sicherheitsmechanismen greifen Phishing-Mails nicht
mehr.
Auch wenn keine hundertprozentige Sicherheit gewährt
werden kann, sehe ich das aktuelle Verfahren beim Abholen von Sendungen an den Packstationen mittels PIN und
mTAN als datenschutzkonform an. Auch die Prüfung der
Identität bei der Anmeldung zu diesem Verfahren entspricht den datenschutzrechtlichen Vorgaben.
Aufgrund weiterer Eingaben habe ich mir darüber hinaus
auch in einem Verteilzentrum und in einem Zustellstützpunkt einen persönlichen Eindruck davon verschafft, ob
und wie die datenschutzrechtlichen Vorgaben dort eingehalten werden. Trotz umfangreicher Schulungsmaßnahmen, die von Qualitätskontrollen bei der Zustellung begleitet werden, lassen sich Fehler beim Umgang mit
Paket– und Briefsendungen leider nicht immer vermeiden. Mir ist durchaus bewusst, dass dies für den Betroffenen mit viel Ärger und manchmal sogar mit Nachteilen
verbunden sein kann, aber auch hier gilt der Grundsatz
„wo gehobelt wird, da fallen Späne“. Es ist jedoch zu berücksichtigen, dass sich diese unerfreulichen Versäumnisse der Anzahl nach im unteren Promillebereich bewegen.
Insgesamt bleibt festzustellen, dass sich die Dienstleistungen der DP AG auf einem hohen Datenschutz- und
Qualitätsniveau bewegen. Die mir bekannt gewordenen
Fehler mit Datenschutzrelevanz sind durchweg auf einzelnes menschliches Fehlverhalten zurückzuführen und
keinesfalls durch fehlerhafte Systemprozesse bedingt.
Nach meiner Einschätzung kann der Datenschutz hier nur
durch noch bessere Schulungs- und Sensibilisierungsmaßnahmen weiter verbessert werden.
6.13
Hohes Datenschutzniveau bei den
Postdienstleistern
Auf dem Markt der Postdienstleister haben sich neben der
Deutschen Post AG eine Reihe weiterer Lizenznehmer
etabliert; dabei handelt es sich überwiegend um kleine
und mittlere Unternehmen, die insbesondere auf regionalen Märkten tätig sind.
Auch zu diesen Unternehmen haben mich Eingaben
erreicht, die in etwa die gleichen Probleme wie beim
„gelben Bruder“ zum Gegenstand hatten. Thematisiert