Gepostet 27 September 2023

Wie Lieferando offenbar mit euren Daten umgeht

Moin zusammen!

Ich bin selten der Typ, aber nachdem ich jetzt über Twitter und den Lieferando-Support nur Ausflüchte kassiere und das niemand schlüssig erklären kann bzw. möchte, möchte ich euch auf etwas hinweisen, was aber wohl schon länger der Fall ist:

Lieferando bietet ja für die Verfolgung der Bestellungen den sogenannten Foodtracker an. Dieser zeigt im Normalfall eine Route vom Restaurant zu euch an.

Mir ist in der letzten Zeit aufgefallen, dass dieser Tracker bei ~ dreimaligen Neuladen eine Reihe an Adressen offenlegt:

2236341-rTo3S.jpg
2236341-9xZE6.jpg

Der Support sagt, es wären keine Lieferadressen, sowohl über X als auch über deren Supportsystem. Nach Überprüfung der Adressen habe ich das Rote Kreuz in Fürth gefunden sowie ein Einfamilienhaus.

An welche Stelle eskaliert man sowas brauchbar weiter?
Zusätzliche Info
Sag was dazu

74 Kommentare

sortiert nach
's Profilbild
  1. flofree's Profilbild
    Langeweile?
    Mario's Profilbild
    Autor*in
    Für ein Unternehmen mit einem Marktwert von 2,75 Mrd. EUR ist das einfach nur erbärmlich. Das hat nichts mit Langeweile zu tun.
  2. mcfu's Profilbild
    Datenlecks etc. kannst du hier auch gut abladen: heise.de/inv…iv/
    Mario's Profilbild
    Autor*in
    Habe ich mal gemacht, danke!
  3. DolceVita24's Profilbild
    das wirkliche problem unserer zeit ist, dass die menschen zu viel freizeit haben, und nicht zu wenig....und so auf absurde gedanken kommen.

    wäre ich lieferando, würde ich "schwierige kunden "sperren und nicht mehr beliefern.....so können ihre "wertvollen und geheimen" adressen auch nirgends mehr erscheinen.......
    Mario's Profilbild
    Autor*in
    Genau, am Besten gegen die schießen, die Fehler anzeigen. Das ist garantiert konstruktiv!
    Kann über dich ehrlich gesagt nur meinen Kopf schütteln.

    €dit: Ah, gerade deine Kommentarhistorie angesehen, außer Polemik kein sinnvoller Beitrag. Gratulation! (bearbeitet)
  4. trashbin's Profilbild
    Du hast vollkommen Recht.
    1. ist es unmöglich dass hier zB alle 7 Besteller anscheinend die Adressen der anderen Besteller sehen. Auch wenn es meistens eher unproblematisch sein wird, kann man sich doch ungute Szenarien vorstellen (Stalking, Überfall an der Wohnungstür ...).
    2. Sollten sie dir natürlich dankbar sein für die Meldung (evtl. auch mit ner Gratislieferung).
    ddeeff's Profilbild
    Stalking auf Grund einer Lieferando-Bestellung? Man weiß ja nicht mal, wer da bestellt hat.

    Dann kann ich auch Stalking durch google maps befürchten.

    Also abgesehen davon, dass die Programmierung so, wenn es denn tatsächlich die Adressen anderer Bestellenden sind, nicht geht, ist hier doch etwas sehr viel Drama am Start.

    Oder wie muss ich mir das vorstellen? Kleinkrimineller X bestellt über Lieferando, um sich Adressen von Menschen zu beschaffen, die gerade zu Hause sind, um sie dann zu überfallen ohne die Gegend/Nachbarschaft vorher auszukundschaften?
  5. ibex's Profilbild
    Als wenn ein Unternehmen öffentlich gegenüber einem Einzelnen sagt, ja klar…ist ein Datenleck, damit der dann gleich zur Presse rennt Interessante Erwartungshaltung

    Auch die paar Adressen finde ich jetzt halb so wild…da steht weder ein Name, noch Kontodaten etc. Sind halt ein paar Adressen für eine Routenplanung.
    Mario's Profilbild
    Autor*in
    Dass man das nicht bestätigt, verstehe ich schon. Aber es wurde halt auch nichts gesagt, dass man sich darum kümmert, dass das nicht mehr passiert und das ist der Grund, warum ich ehrlicherweise etwas ungehalten reagiere. Meine Erwartungshaltung war: "Oh, wir haben hier ein Problem. Lasst uns das beheben!" und nicht "Wir haben kein Problem, lösch' mal deinen Cache".

    Ich gebe dir Recht, dass das in einer Großstadt wie Fürth eventuell nicht so absolut problematisch ist: Aber nachdem ich wie gesagt ein Einfamilienhaus dabei hatte, kann man die Bestellung zweifelsfrei einer Person / Familie zuordnen. Und ab da finde ich, dass es hochgradig bedenklich wird. Generell gilt für mich der Grundsatz: Kundendaten gehen nur das Unternehmen und den jeweiligen Kunden etwas an. In meiner Heimatstadt gab es im Übrigen fast nur Einfamilienhäuser. Die Implikation muss ich nicht erklären.
  6. bastmast89's Profilbild
    Und woher weißt du jetzt, dass das nicht doch einfach nur irgendwelche Adressen sind?! 🤷‍♂️
    Chuck_Norris's Profilbild
    Aber was wäre denn dann der Sinn irgendwelcher Adressen im System, die in keinem Zusammenhang stehen?
  7. maxii's Profilbild
    Wie gut das man ja in Deutschland nicht angezeigt wird und auch keine Hausdurchsuchung bekommt als "Whistleblower"
    Mario's Profilbild
    Autor*in
    Ähm, ich bin kein Whistleblower. Ich bin einfach nur Kunde von dem Laden.
  8. GelöschterUser2413622's Profilbild
    Vielleicht bekommst du hier besseres Feedback, als im Indischen Call-Center. (bearbeitet)
    Mario's Profilbild
    Autor*in
    Der Support schreibt fehlerfreies Deutsch, würde nicht vermuten, dass das hier Indien ist, wenn doch, ist die Qualität über die Jahre massiv angestiegen und man braucht nicht mehr polemisch über die Herkunft herziehen, das wäre sogar eine positive Entwicklung

    Wegen der Bug Bounty: Hatte ich gesehen, wollte mich nicht registrieren. Daher den Weg über den Support gegangen. Jetzt ist es eh mehr oder minder publik, daher braucht man damit wohl nicht mehr anfangen. Trotzdem ein guter Hinweis.
  9. Multion's Profilbild
    Pass auf das die dir nicht an deine Moneten wollen. Sonst schön gefunden
  10. Barney's Profilbild
    Ohne das jetzt kleinreden zu wollen, aber was genau ist der Unterschied zu Google Maps oder einer klassischen Straßenkarte? Alleine auf Basis der Adresse lassen sich ja keine weiteren Aussagen treffen.
    ddeeff's Profilbild
    Doch, doch. Du weißt, dass da jemand aktuell vor Ort sein dürfte - und grundsätzlich Lieferando-Kunde ist.

    Das verrät Dir google maps (noch) nicht.
  11. Eisthomas's Profilbild
    Du bist da was heißem auf der Spur.
    Mario's Profilbild
    Autor*in
    Kann man sich diese räudige Polemik nicht einfach sparen, wenn man nichts Sinnvolles beizutragen hat? Es nervt.
  12. Cascadeya's Profilbild
    Macht Hermes und DPD schon lange so. Dort kannst du jeden Stopp des Speditionsautos bis zu dir sehen, sogar ranzoomen bis auf Straße und Lieferzeiten. Und nun?
    Mario's Profilbild
    Autor*in
    Das ist hier alles bereits diskutiert worden, kann man eventuell sich Diskussionen auch mal durchlesen, bevor man die selben Fragen und Themen immer und immer wieder beginnt? :/
  13. DerMatti's Profilbild
    LinkedIn Beitrag über dieses #Neuland posten und das klärt sich ganz fix
  14. sin4711's Profilbild
    Lieferando ist einfach nur
    Mario's Profilbild
    Autor*in
    Mich wurmt am Meisten, dass ich deren Support erklären muss, wo hier überhaupt das Problem liegt. Die entschuldigen sich eher, dass die Anzeige für mich schlecht war. Manchmal verliere ich den Glauben an die Menschheit bei sowas.
  15. T_Low's Profilbild
    LG Berlin zur DSGVO: Anschrift ohne Namen ist kein personenbezogenes Datum (it-recht-kanzlei.de)

    Zwar ein komplett anderes Thema, aber wichtig ist der Absatz:

    "In der bloßen Eingabe einer (puren) Adresse ist noch kein personenbezogenes Datum zu erblicken. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis – stellt keinen hinreichenden Personenbezug dar. Hierbei ist zu berücksichtigen, dass der Zweck der DSGVO der Schutz der Grundrechte natürlicher Personen bei der Verarbeitung der ihnen zugeordneten Daten ist,…."

    ist vermutlich schon ausreichend. Versuchen kannst du es ja trotzdem mal.

    Hatte aber auch vor kurzem einen Fall. War auch am Überlegen, ob ich es melde. Ein Fitnessstudio hat mehrere Überwachungskameras in den Räumen installiert. Das berechtigte Interesse ist, "Diebstahl", "Schutz der Kunde", etc.
    Soweit so gut bzw. trotzdem Fragwürdig. Was aber der Witz war, war dass die Umkleiden gestrichen wurden und die Spinde dann als "Sichtschutz" im Eingangsbereich aufgestellt wurden. Somit konnten die Trainierenden sich dort umziehen. Die Kamera war jedoch so hoch angebracht, dass die Kamera über den Sichtschutz der Spinde ragte und somit die Frauenumkleidekabine gefilmt hat. Somit konnte mit Sicherheit der Oberkörper aufgezeichnet werden. Ich habe dort mit einem Verantwortlichen gesprochen, der dann sagte: "Wir haben keinen Zugriff auf die Aufzeichnungen, das geht an die Zentrale". Bei vielen Mitarbeitenden ist einfach das Thema Datenschutz ein Fremdwort. Er hat sich zwar entschuldigt, aber am nächsten Tag war die Kamera immer noch nicht abgedeckt. (Ach ja, auf Instagram haben die sogar das Video veröffentlicht, wo man sich temporär umziehen musste). Dort konnte man alles nachvollziehen, also der perfekte Nachweis für die Datenschutzbehörde.
    Trotzdem habe ich mich dagegen entschieden.
  16. joethi's Profilbild
    Sieht man bei Amazon nicht auch immer genau, wo das Lieferfahrzeug stoppt?
    Mario's Profilbild
    Autor*in
    Nein, soweit ich mich entsinne ist nur ein Punkt für das Ziel vorhanden.
  17. Read_the_f_cking_manual's Profilbild
    Ja, nicht schön aber...und?

    Hier sind Adressen ohne irgendwelchen Bezug oder zusätzlichen Informationen...Such dir eine Adresse auf google maps raus, dass die adresse alieferando/ amazon/ Otto/ etc. schonmal was bestellt hat ist fast ne 100% Chance. Also leg da wieder hin statt hier ein Fass aufzumachen.

    Wenn du zu der Adresse noch die Namen sofort auf Lager hast, meld dich wieder.
  18. Kartoffelkoepfe's Profilbild
    Eine öffentliche Adresse oder Strasse ist kein Datenschutzproblem- hierfür müssten erstmal Kundendaten vorliegen ... Was hier nicht der Fall ist ... also auch kein Datenschutzproblem.
    Mario's Profilbild
    Autor*in
    Das sind Kundendaten.
  19. Gurus_Wentzel's Profilbild
    Ist normal, machen zB die deutsche Post und Amazon auch so.
's Profilbild