Hermes-Registrierung bei Verlängerung der Abstellgenehmigung

Toughy · 4. August 2023 um 17:30

Hallo,

ich hab vor kurzem einen Brief von Hermes bekommen, um meine Abstellgenehmigung zu verifizieren. Geht lt. Auskunft der Hotline nur noch digital (damals reichte per Brief). Die Datenschutzseite von myhermes.de enthält aber so ein paar Schmankerl:

Bei jedem Abruf der Hermes Webseite werden automatisiert bestimmte Daten des aufrufenden Endgerätes von unseren Webservern erfasst. Folgende Daten werden erhoben:

Technische Endgerätedaten (Geräte-Typ, Betriebssystemversion, Browsertyp, Bildschirmauflösung, Farbtiefe, Javascript an/aus, etc.);
[…]

(man muss Javascript für myhermes. de natürlich freigeben, wenn man auf der Seite was machen will)

Die Webseite wird gehostet durch:

Google Ireland Limited

(allerdings zeigt mit weder uBO noch noScript noch Cloud Firewall auf den von mir besuchten Seiten irgendwas mit google an)

Wir haben grundsätzlich eine Verarbeitung deiner personenbezogenen Daten in der Europäischen Union in Auftrag gegeben. Dennoch kann es zu Verarbeitungen deiner personenbezogenen Daten in den Vereinigten Staaten von Amerika (USA) kommen. Für die USA gibt es keinen Angemessenheitsbeschluss der Europäischen Kommission. Wir haben das Datenschutzniveau daher mit geeigneten Garantien im Sinne des Art. 46 DSGVO abgesichert.

Sofern du eine individuelle Ansprache nicht möchtest, kannst du dagegen jederzeit unter den unten angegebenen Kontaktdaten widersprechen. Du kannst speziell gegen die Individualisierung über eine Nutzer-ID widersprechen, indem du den Widerspruchslink im untenstehenden Abschnitt „Webtrekk“ anklickst. Es öffnet sich ein Tool , in welchem du anschließend das Kästchen „Webtrekk“ unter „Statistik und Analyse“ deaktivieren kannst.

Das mit Webtrekk verstehe ich nicht. Wird sowas nicht eh durch nicht erlauben der ensprechenden Skripte geregelt?

Bislang hab ich kein Konto bei denen, sie haben nur meine Mailadresse und ich habe auch nie irgendwas zugestimmt. Ich bin jedoch darauf angewiesen, denen eine Abstellgenehmigung zu erteilen/verlängern (ist hier der einzige Paketdienstleister, der zuverlässig die Sachen bei mir abstellt und woanders abholen geht nicht). Also komme ich wohl nicht drumrum, dass meine Daten an google gelangen und in den USA landen können ?

Bit · 4. August 2023 um 20:27

Hermes

Die DHL macht das inzwischen auch und bewirbt es ganz begeistert, allerdings kann ich natürlich nicht beurteilen, wer bei Dir zuverlässig arbeitet: DHL Ablageort – Immerhin arbeiten die auch samstags …

Gut … und ich hoffe, Du kommunizierst nur „text only“ mit denen. Das ist immerhin auch digital.

Wenn Du die first party scripts (also Javascript) freigibst, siehst Du erst, welche Skripte sie noch aktivieren wollen.
Aber wenn keine Google-Skripte aktiviert werden sollen (sondern Google nur hostet) siehst Du nichts. Dazu müsstest Du whois abfragen und siehe da:

CentralOps:

OrgName:        Google LLC
OrgId:          GOOGL-2
Address:        1600 Amphitheatre Parkway
City:           Mountain View
StateProv:      CA
PostalCode:     94043
Country:        US
RegDate:        2006-09-29
Updated:        2019-11-01
Comment:        *** The IP addresses under this Org-ID are in use by Google Cloud customers ***

Webtrekk ist ein Auftragsdienstleister für Tracking und gehört zu Mapp, hier statt Google Analytics.
Wenn Du dort widersprichst, akzeptierst Du sie gleichzeitig tätig als solchen.
Aber zunächst müsstest Du zustimmen und dann widersprechen, denke ich.

Wenn Du also nur per Text-eMail verlängerst, akzeptierst Du erstmal weiter gar nichts.
Allerdings vermute ich, sie werden das ablehnen und wollen, daß Du im Portal verlängerst.
Damit kommst Du in die Bredouille: ich würde das mit Realdaten auch nicht tun wollen.

Toughy · 4. August 2023 um 21:19

Na ja, Werbung ist das eine (und ja, seit Corona haben sie sich mit Werbung diesbezüglich überschlagen) und was sie machen, das andere. In vielen Jahren hab ich nur ein einziges Paket von denen zur Wohnung geliefert bekommen, trotz ewig viel nachtelefonieren nur Ausreden und meine Abstellgenehmigung lehnen sie wegen angeblicher Unsicherheit ab (obwohl ich ja sowieso bei Verlust haften würde). Hermes war bisher der einzige verlässliche Lieferant.

Ja, das mit den Skripten ist eh Quatsch, fiel mir danach ein, geht ja um hosten (hätte aber gedacht, dass sowas wie Cloud Firewall das anzeigen würde). Aber ist jetzt klar, danke.
D.h. google würde dann alles mitkriegen, was ich da auf der Seite eingebe bzw. was da theoretisch abrufbar wäre? (ich hatte eh vorhin die zugesandte Nummer und meine PLZ eingegeben, daraufhin erschien ein Formular, vorausgefüllt mit meinem Namen und Anschrift, d.h. dann hat google die Daten eh schon?! Erst unten auf der Seite mit dem Formular stand der Hinweis zu den Datenschutzbestimmungen, erst dann hab ich das gelesen. Ich hab bisher nichts angekreuzt oder losgeschickt → EIGENTLICH, von DSGVO her, dürfte es so nicht an google gehen, oder?)

Ich meine, es geht nur über registrieren, im Brief steht nichts anderes, aber jetzt wo Du’s sagst, könnte man ja nochmal nachhaken, ob es nicht wenigstens per Mail geht. Allerdings sagte der Mitarbeiter (ich fragte, ob es auch per Brief geht), sie hätten das Verfahren umgestellt, es geht nur übers Internet. Die wollen wohl halt auch was vom Datenkuchen abbekommen. Die Webseite sieht so aus, als hätten sie alle Kunden mit laufender Abstellgenehmigung angeschrieben, sich über die Webseite zu registrieren/verifizieren, da das an prominenter Stelle steht.

Wird das Webtrekk denn nicht gar nicht erst funktionieren, wenn ich keine Skripte zulasse? Bislang hab ich auf der Seite nur myhermes. de zugelassen und abtasty .com und wt-safetag .com, was anders ist da mit uBO und NoSript nicht zu sehen. Das mit der „individuellen Ansprache“ wäre mir egal, aber bei der „Individualisierung durch Nutzer-ID“ klingeln bei mir die Alarmglocken.

-------------------Nachtrag:

Ist ja Fingerprinting. Heißt das, dass google diesen Fingerprint dann auch kriegt?