FastID Analyse - Die Zweite
Ein Leser machte darauf aufmerksam, dass nun lt. E-Mail Kommunikation mit dem Berliner Airport die Mängel lt. FastID ausgebessert seien.
Wir haben Ihre Hinweise und Kritik zum Anlass genommen unseren Technologiepartner auf die von Ihnen aufgeworfenen Fragen hinzuweisen. Nach den uns vorliegenden Informationen hat FastID seine Systeme geprüft und Anpassung in Bezug auf den Datenschutz im Zusammenhang mit dem Webseiten- und Appbetrieb vorgenommen.
Lasst uns das kontrollieren.
1. App Analyse
Beginnen wir diesmal mit der App-Analyse. Am 18. Mai 2023 zeigte diese 4 verbaute Tracker.
Amazon Mobile Analytics (Amplify)
Google CrashLytics [zahlreiche Artikel auf dem Kuketzblog]
Google Firebase Analytics [zahlreiche Artikel auf dem Kuketzblog]
MixPanel
Die Problematiken habe ich bereits in der ersten Analyse beschrieben. Wenn ein Unternehmen versichert, dass nun ausgebessert sei und nun alles datenschutzkonform ist, dann wäre das zu erwartende Ergebnis 0 Tracker. Schließlich gab es zu keinem dieser Tracker eine Einwilligung gem. DSGVO und sie werden zudem bei einer App angewandt, die besonders schützenswerte Informationen (biometrische Daten) lt. DSGVO verarbeitet.
Wie ist die App-Auswertung heute?
In der Version 1.24.0 von FastID (APK) sind nun 3 Tracker verbaut:
Amazon Mobile Analytics (Amplify)
Google Firebase Analytics
MixPanel
Das bedeutet, dass die Nachbesserung lediglich darin bestand einen von vier fragwürdigen Trackern zu entfernen. Ein Anfang, aber dsgvo-konform sieht anders aus.
2. Die Website
Im ersten Beitrag wurden folgende Verbindungen aufgezeichnet:
cloudflare.com
cdnjs.cloudflare.com
xxx.cloudfront.net
ajax.googleapis.com
website-files.com
assets.website-files.com
weglot.com
cdn.weglot.com
und heute (Stand: 23.06.2023)
cloudflare.com
cdnjs.cloudflare.com
xxx.cloudfront.net
cookiebot.com
consent.cookiebot.com
website-files.com
assets.website-files.com
weglot.com
cdn.weglot.com
Der einzige Unterschied besteht darin, dass nun die Google APIs ausgebaut wurden. Dennoch bauen auch die anderen Websites Verbindungen außerhalb der EU auf und leiten dorthin die IP Adresse weiter. Die eigene IP Adresse gilt als persönliches Datum gem. DSGVO (Urteil europäischer Gerichtshof vom 19.10.2016).
Was auch ausgebessert wurde (zum positiven) ist das es nun einen Consent-Cookiebot gibt, welcher zuvor auch nicht im Einsatz war.
3. E-Mails
In der ersten Analyse wurden die E-Mails von FastID bei Google gehostet.
Ein frischer Check vom 23.06.2023 zeigt folgendes Resultat:
aspmx.l.google.com
2a00:1450:400c:c0a::1a
aspmx.l.google.com
173.194.76.26
[u.v.m.]
Eine Nachbesserung hat nicht stattgefunden.
4. Die „Versprechungen“
Im ersten Artikel nahm ich ebenfalls die FAQs von FastID unter die Lupe, wo beschrieben wurde, dass der Service „konformer“ als „konform“ sei. Dieses Bild ist lt. der Datenlage jedoch bis heute nicht zutreffend.
Teile der E-Mail beinhalten auch bewusst oder unbewusste falsche Werbeversprechungen, die ich hier weiter aufschlüsseln werde:
Unser Systempartner FastID ist für den Betrieb der Webseite und der App sowie die damit verbundene Datenverarbeitung verantwortlich. Für weitere Hinweise oder Fragen zur Webseite oder zur App von FastID bitten wir Sie daher sich direkt mit unserem Partner in Verbindung zu setzen.
Die Technik wird am Flughafen Berlin Brandenburg eingesetzt. Das bedeutet, dass sich der Flughafen Berlin Brandenburg bewusst für FastID als Partner entschieden hat. Da es sich um eine nach eigener Aussage verpflichtende App handelt, wenn man kontaktfrei reisen möchte, muss hierfür auch die DSGVO eingehalten werden. Das bedeutet ferner, dass der Flughafen Berlin Brandenburg einen Auftragverarbeitungsvertrag mit FastID geschlossen haben muss, da der Flughafen die Daten der Passagiere an FastID weiterreicht. Wenn man hier in Artikel 26a der DSGVO sieht:
„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“
Das „könnte“ hier vorliegen. Was jedoch ein Auftragsverarbeitungsvertrag vorschreibt ist die regelmäßige Kontrolle der Subunternehmer/Dienstleister (in dem Falle FastID) durch den Auftraggeber (Flughafen Berlin Brandenburg). Datenschutzprobleme liegen hierfür vor.
Und ferner heißt es in der DSGVO in Artikel 28:
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
und:
Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
Das bedeutet, dass der Flughafen Berlin Brandenburg die Gesamtverantwortung nicht an den Subunternehmer abschieben kann, da sie gemeinsam verantwortlich sind. Daher „sollte“ der Flughafen ein großes Eigeninteresse daran haben, dass die eingesetzte Technologie auch den Standards entspricht.
Der am Flughafen Berlin Brandenburg nunmehr eingeführte Service zur kontaktlosen Identitätsprüfung ist aus unserer Sicht ein sicheres und innovatives Produkt für Passagiere, die eine entsprechende Technik nutzen möchten.
Hier stellt sich die Frage: Aus „wessen“ Sicht?
Weder wir noch unser Technologiepartner FastID haben Zugriff auf die vom Nutzer bereitgestellten Informationen.
Das ist nicht richtig. Öffnet ein Nutzer allein schon die App, haben zwei Analyse- und ein Werbedienst Zugang auf Informationen des Nutzers. Wie schon im ersten Beitrag erwähnt: Allein das Geschäftsmodell von Mixpanel ist lt. eigener Aussage Verhaltensanalytik, Datenerhebung, Medien-Trendanalyse. All das ohne eine informierte und freiwillige Einwilligung gem. DSGVO.
Keine der in ein Profil eingestellten Information eines Nutzers kann vom Flughafen oder FastID für anderweitige Zwecke, als die denen der Nutzer zugestimmt hat, genutzt werden.
Wenn die Daten, wie hier zu sehen, der Werbeindustrie durch FastID zur Verfügung gestellt werden, dann können diese natürlich von der Werbeindustrie genutzt werden.
Für die Nutzung der am Flughafen Berlin Brandenburg eingesetzten Technik zur kontaktlosen Identitätsprüfung ist die Nutzung der FastID App erforderlich.
Dann muss diese die Standards der DSGVO erfüllen. Dazu gehört u. a. das kein Tracking ohne eine Erlaubnis und informierte Einwilligung stattfindet. Das heißt die App muss auch komplett ohne Trackingdienste nutzbar sein - gerade weil besonders schützenswerte Daten verarbeitet werden. Eine Lektüre sich hierüber zu informieren, könnte hier unter anderem die Klageschrift an die Deutsche Bahn sein.
Entgegen bisheriger, an anderen Flughäfen eingeführten, Identifikationsprüfungen ermöglichen wir es hierbei dem Nutzer, jederzeit selbst über seine hinterlegten Informationen zu verfügen und diese nicht zentral in Datenbanken, sondern gesichert auf dem eigenen mobilen Endgerät zu speichern. Insoweit bleiben personenbezogene Informationen immer bei der jeweiligen Person selbst und sind für Dritte nicht zugänglich.
Ich wiederhole hier: Die eigene IP Adresse gilt als persönliches Datum gem. DSGVO (Urteil europäischer Gerichtshof vom 19.10.2016). Öffnet man die App verbindet die sich mit den Servern von fastid.nl. Dazu wird eine IP Adresse verwendet (personenbezogenes Datum). Des Weiteren werden standardmäßig Informationen übermittelt wie etwa das genutzte Gerät, Bildschirmauflösung, Browser, Fingerprint etc.
Setzt man nun im Hintergrund Tracking und Analyse ohne Einwilligung und Ablehnmöglichkeit ein, schickt man diese Informationen weiter. In den obigen Fällen sogar außerhalb der EU. Durch IP Adresse und Browser/Systemdaten/Fingerprint lässt sich ein Nutzer eindeutig zuordnen und noch schlimmer es wird Profilbildung durch große Werbefirmen ermöglicht. Wie viele Informationen Werbefirmen in der Regel erhalten, hat in jüngster Vergangenheit das Beispiel Xandr gezeigt.
5. Das Fazit
Das Fazit ist ernüchternd. Eine Ausbesserung hat kaum nennenswert stattgefunden. Von einer App-Nutzung würde ich persönlich stark abraten, da der Fokus des Unternehmens nicht auf Datenschutz zu liegen scheint. Dieser Fokus wäre bei der Verarbeitung von personenbezogenen Daten bzw. biometrischen Daten jedoch wünschenswert bzw. angemessen.
Mein Ziel ist es mit dem Beitrag lediglich Probleme in der App/Datenverarbeitung aufzuzeigen bzw. aufzudecken. Ich begrüße wirklich, das minimale Veränderungen vorgenommen wurden - aber die reichen nicht aus um DSGVO-Standards einzuhalten bzw. die eigenen Werbeversprechen.
Ich bin gern bereit erneut zu prüfen. Sollten die Standards bei erneuter Prüfung erfüllt werden, werden selbstverständlich die Artikel mit Hinweisen versehen, dass hier inzwischen ausgebessert wurde - aber wirklich nur, wenn ausgebessert wurde.