Sehr geehrter **********,

vielen Dank für Ihr Schreiben vom 27.02.2026 in BS7-243 II#4749.

Sie schreiben: „Sie haben festgestellt, dass die Deutsche Post AG (DPAG) den Referrer prüft, bevor sie das Kontaktformular https://www.deutschepost.de/de/hilfe-kundenservice/formulare/datenschutz.html

anzeigt. Nur wenn der Referrer von derselben Domain („same-origin“) ist, wird das Formular angezeigt.“

Das ist so nicht richtig. Ich habe die begründete Vermutung geäußert, dass das Kontaktformular die Referrer-Angabe prüft, denn ein Aufruf aus einer von mir erstellen Linksammlung, bei der die Referrer-Angabe fehlt, hat nicht das Formular sondern eine andere Seite angezeigt, so dass die URL in der Linksammlung nicht funktioniert hat. Ich habe im Browser einen Mitschnitt der Kommunikation erstellt und dort kein Cookie gesehen, aber eben bei der Webseitennavigation die Referrer-Angabe gesehen. Was die Webseite genau prüft und ob nur Referrer der gleichen Domäne oder auch anderer akzeptiert werden habe ich nicht untersucht. Auch lagen andere Trackingmechanismen als Erklärung für das Verhalten nicht nahe.

Sie werden sicher die Deutsche Post AG mit meinen Beobachtungen und Vermutungen konfrontieren, und ich bin gespannt, ob ich mit meiner Vermutung richtig liege oder die Deutsche Post einen anderen Mechanismus verwendet.

Unabhängig davon, was das Kontaktformular genau prüft: das Auslesen von Referrer-Informationen ist von der Webseite steuerbar und daher m.E. nur zulässig wenn es unbedingt erforderlich ist oder eine Einwilligung eingeholt wurde. Eine Einwilligung habe ich nicht gesehen, und eine Erforderlichkeit sehe ich auch nicht, auch nicht zur Gewährleistung der Sicherheit wie die Deutsche Post AG möglicherweise erneut behaupten wird (vgl. BS7-243 II#4694). Ich halte schon das Auslesen - Ihre Frage a) - für rechtswidrig, aber es wäre mir wahrscheinlich nicht aufgefallen, wenn das Verhalten sich ohne Referrer nicht geändert hätte, also auch b) eingetreten wäre. b) lässt mich darauf schließen, dass es nicht ein - wie bei der Deutschen Post AG schon mehrfach eingetretener - versehentlicher Konfigurationsfehler ist, sondern das Auslesen beabsichtigt war, nur eben auch rechtswidrig.

Ich habe die Datenschutzbeauftragten der Deutschen Post AG nicht deswegen angeschrieben. Zum einen weil ich denen schon ganz viele Fragen gestellt habe, die nicht beantwortet wurden, zum anderen weil ich im Unterschied zur Ausübung von Betroffenenrechte m.W. nicht verpflichtet bin, Ansprüche beim Verantwortlichen geltend zu machen, sondern bei sonstigen Rechtsverstößen und damit auch gegen §25 TDDDG direkt Beschwerde bei der zuständigen Aufsicht einlegen darf.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: ************@bfdi.bund.de <************@bfdi.bund.de> Im Auftrag von BS7@bfdi.bund.de
Gesendet: Mittwoch, 25. Februar 2026 14:22
An: ************@lindenberg.one
Betreff: Datenschutz bei der Erbringung von Postdienstleistungen (BS7-243 II#4749)

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Az.: BS7-243 II#4749

Sehr geehrter Herr Lindenberg,

hiermit bestätige ich zunächst nur den Eingang Ihrer Eingabe vom 23. Februar 2026.

Ihr unter Punkt eins monierter Sachverhalt wird unter dem o. g. Geschäftszeichen geführt.

Mit freundlichen Grüßen

Im Auftrag

************

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat BS7 - Postdienste, Wirtschaftsverwaltung, Bundesbeteiligungen -

Graurheindorfer Straße 153, 53117 Bonn

Fon:          0228-997799-7740

E-Mail:    bs7@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzerklärung der BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.