Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1

1. FreeMailer

Als FreeMailer bezeichnet man E-Mail-Anbieter, die Nutzern eine »kostenlose« E-Mail-Adresse zum Senden und Empfangen von E-Mails bereitstellen. Kostenlos ist allerdings nicht korrekt – Nutzer bezahlen mit ihren Daten bzw. oftmals finanzieren sich diese Angebote durch Werbung. In der Miniserie »E-Mails unter Kontrolle« werde ich aufzeigen, weshalb es wichtig ist, den FreeMailern den Rücken zu kehren und zu einem E-Mail-Anbieter zu wechseln, der eure Privatsphäre und auch die eurer Kontakte respektiert.

Im vorliegenden Beitrag möchte im am Beispiel von E-Mail-Konten bei Google, GMX, web.de und Outlook aufzeigen, weshalb es aus unterschiedlichen Gründen keine gute Idee ist, einen FreeMail-Account bei einem dieser Datensammler zu haben und es sinnvoll ist, einen seriösen Anbieter zu wählen.

• Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1
• mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2

2. Gmail (Google)

Vor Jahren lief in den USA eine Klage gegen Google (es gibt noch weitere), die das Scannen/Mitlesen von E-Mails nicht als »normale Geschäftstätigkeit« einstufte. Eine Ankündigung von Google hat im Sommer 2017 dann für Aufsehen gesorgt:

G Suite’s Gmail is already not used as input for ads personalization, and Google has decided to follow suit later this year in our free consumer Gmail service. Consumer Gmail content will not be used or scanned for any ads personalization after this change.

[…]

Aufgrund dieser Meldung konnte man schnell den Eindruck gewinnen, dass Google das umstrittene bzw. automatisierte Mitlesen/Scannen von E-Mails nun vollständig eingestellt hat. Das haben sie allerdings nicht. Als Gmail-Nutzer sollte man sich vor Augen führen, dass jede ein- und ausgehende E-Mail von Google automatisiert gescannt bzw. analysiert wird. Google verwendet die Inhalts- bzw. Meta-Daten lediglich nicht mehr für interessenbezogene Werbung. Andere Nutzungszwecke hat Google allerdings nicht ausgeschlossen – das steht auch explizit in der Datenschutzerklärung (Stand 15.03.2021):

Wir erheben auch die Inhalte, die Sie bei der Nutzung unserer Dienste erstellen, hochladen oder von anderen erhalten. Dazu gehören beispielsweise E-Mails, die Sie verfassen und empfangen, Fotos und Videos, die Sie speichern, Dokumente und Tabellen, die Sie erstellen, und Kommentare, die Sie zu YouTube-Videos schreiben.

Richtig ist also: Google wertet die E-Mails der Nutzer auch weiterhin aus, äußert sich allerdings schwammig, wenn es um die Details geht. Aus den E-Mails lassen sich eine Menge an Erkenntnissen gewinnen, die Google bspw. einem Profil zuordnen kann:

• Mit wem man wann in Kontakt steht
• Betreff, Absender, Links, Stichwörter etc.
• Auslesen aller Kalendereinträge (bspw. Vereinssport, Paarberatung etc.)
• Auswertung von Datenpunkten (siehe Beispiel Facebook) wie:
  • Wohnort
  • Alter
  • Bildungsniveau
  • Hausgröße
  • Interessen
  • […]

Wozu Google unter anderem fähig ist, zeigen die smarten Gmail-Funktionen, die bspw. eine automatische Sortierung und Kategorisierung von Nachrichten ermöglicht, Event-Infos extrahiert und daraus automatisch Kalendereinträge erstellt oder an fällige Rechnungen erinnert. Die Deaktivierung dieser Funktion bedeutet übrigens nicht, dass Google nicht auch weiterhin die ein- und ausgehenden E-Mails scannt/auswertet.

Jetzt kann man argumentieren:

Dann nutze Gmail einfach nicht!

Das Argument greift allerdings zu kurz. Denn selbst wenn man Gmail selbst nicht nutzt, dann schaut doch einfach mal nach, wie viele eurer Kontakte dies tun. Na fällt euch etwas auf? Immer wenn ihr an einen dieser Gmail-Kontakte etwas schreibt, dann scannt Google auch eure E-Mails. Google macht auch daraus keinen Hehl:

Dazu gehören beispielsweise E-Mails, die Sie verfassen und empfangen, Fotos und Videos, die Sie speichern, Dokumente und Tabellen, die Sie erstellen, und Kommentare, die Sie zu YouTube-Videos schreiben.

Ein Gmail-Nutzer mag der Auswertung seiner E-Mail-Inhalte zugestimmt haben. Doch für jemanden, der kein Gmail-Konto besitzt, gilt diese Vereinbarung nicht – und dennoch werden beim Versenden an Gmail-Konten auch »fremde« Inhalte gescannt und ausgewertet. Eben aus jedem Grund nutze ich übrigens einen Gmail-Auto-Responder, der Gmail-Nutzern einen Hinweis zukommen lässt. Wer Gmail nicht nutzt, sollte seiner Kommunikation mit Gmail-Kontakten kritisch gegenüberstehen. Denn niemand kann garantieren, dass Google keine Schattenprofile anlegt, wie sie bspw. Facebook über Nicht-Nutzer anlegt.

3. GMX und web.de

Neben Gmail nutzen in Deutschland viele Anwender noch immer die Werbeportale GMX und web.de als E-Mail-Anbieter. Gerade um die Jahrtausendwende haben sich dort viele Nutzer ein Konto registriert und halten bis heute daran fest.

Wenn wir uns die beiden Landing-Pages (Startseiten) der Anbieter einmal anschauen, wird man von Tracking und Werbung begrüßt – von der Qualität der »Nachrichten« mal ganz abgesehen. Erst mit mehreren Klicks durch den Consent-Banner: Einstellungen bearbeiten -> Keine Häkchen ergänzen -> Auswahl bestätigen und weiter -> Ablehnen wird keine Werbung mehr nachgeladen/eingebunden und Tracking auf ein Minimum reduziert. Aus Sicherheits- und Datenschutzgründen (ab Ziffer 4) sollte man sich eigentlich gar nicht über das Webinterface in sein E-Mail-Konto einloggen – bzw. erst dann, wenn man die Einbindung von JavaScript-Quellen von Drittanbietern über den Consent-Banner reduziert hat.

Der Datenschutzerklärung von GMX.net entnimmt man dann Sätze wie:

Wir möchten unseren Nutzern nicht „einfach nur“ Werbung bieten, sondern eine echte Serviceleistung und einen Mehrwert! Durch gezielte Aussteuerung möglichst interessenbasierter Werbung versuchen wir daher, Ihnen Inhalte anzuzeigen, die Ihren Vorlieben entsprechen.

Die Ausspielung interessenbezogener Werbung funktioniert nur dann, wenn man seine Nutzer trackt und auswertet. Gerade in einem sensiblen Kontext wie E-Mails halte ich das für äußerst fragwürdig. Die Datenschutzerklärungen von GMX und web.de sind übrigens nahezu 1:1 Kopien. Das ist auch wenig verwunderlich, denn beide gehören zur 1&1 Mail & Media GmbH.

Als GMX bzw. web.de-Nutzer wird man vermutlich auch die E-Mail-Werbung kennen. Beide Anbieter sind der Auffassung, dass die im Zusammenhang mit der Vertragsbegründung erhaltenen personenbezogenen Daten ohne weitergehende Einwilligung für folgende Zwecke verwendent werden dürfen:

• E-Mail-Werbung oder Markt- und Meinungsforschung per E-Mail für eigene Waren- und Dienstleistungen
• Postalische Werbung oder postalische Markt- oder Meinungsforschung
• Spendenwerbung für gemeinnützige Organisationen

Wenigstens kann man dieser Datenverwendung schriftlich per E-Mail an die Adresse [email protected] (GMX) bzw. [email protected] (web.de) widersprechen.

Doch die Bedenken hinsichtlich der Einblendung/Einbindung von Werbung bzw. des damit einhergehenden User-Trackings sind nicht alles. GMX bzw. web.de geben noch weiteren Anlass für Kritik:

• GMX: Protokolliert der Anbieter alle angeklickten Links in E-Mails? (Kuketz-Blog, Februar 2021)
• Hin und wieder werden E-Mails von vertrauenswürdigen Absendern aufgrund von Spamverdacht/fragwürdigen Einstellungen nicht zugestellt
  • Keine Mails von Stadtverwaltungen: Zu viel Spam bei GMX und Web.de (heise online, März 2021)
  • gmx.de und web.de haben Mail-Rejects durch SPF (Heinlein Support, Juni 2016)

4. Outlook/Hotmail (Microsoft)

Neben Google räumt sich auch Microsoft das Recht ein, Kundendaten über mehrere Dienste hinweg auszuwerten und zu Profilen zusammenzufassen. Eine entsprechende Änderung der Nutzungsbestimmungen geht bereits auf das Jahr 2012 zurück und beinhaltet unter anderem die folgenden Passagen:

Wenn Sie Ihre Inhalte in die Dienste hochladen, geben Sie damit Ihre Zustimmung, dass die Inhalte in dem Umfang, in dem dies zu Ihrem Schutz sowie zur Bereitstellung, zum Schutz und zur Verbesserung von Microsoft-Produkten und -Diensten erforderlich ist, genutzt, geändert, angepasst, gespeichert, vervielfältigt, verteilt und angezeigt werden dürfen.

Und weiter:

So können wir beispielsweise gelegentlich mithilfe von automatisierten Verfahren Informationen aus E-Mail-Nachrichten, Chats oder Fotos filtern, um Spam und Malware zu erkennen und Schutzmaßnahmen gegen diese zu entwickeln sowie um die Dienste mit neuen Features auszustatten, die ihre Benutzerfreundlichkeit steigern.

Im Klartext: Ebenso wie Google bei Gmail kann auch Microsoft E-Mails automatisiert mitlesen und auswerten.

Seit dem Jahr 2012 sind nun schon einige Jahre vergangen und Microsoft hat seine Nutzungsbestimmungen bzw. die Datenschutzerklärung seither schon mehrfach überarbeitet. Auf den ersten Blick in die Datenschutzerklärung ist für mich nicht transparent ersichtlich, ob Microsoft an dieser Praktik auch im Jahr 2021 festhält oder diese eventuell noch ausgeweitet hat. Vielleicht mag sich ja jemand die Datenschutzerklärung von Microsoft genauer anschauen – sie hat »nur« ca. 36.000 Wörter und füllt in der Schriftgröße 12 (Liberation Serif) ungefähr 90 Seiten in einem LibreOffice-Dokument.

An die Bedenken hinsichtlich der Auswertung von E-Mails knüpfen noch weitere Kritikpunkte an. Wer bspw. einen eigenen E-Mail-Server betreibt, der kennt die Problematik vermutlich:

Undelivered Mail Returned to Sender

Trotz eines sauber konfigurierten E-Mail-Servers, der auf keiner Spamliste geführt wird, kann/wird es vorkommen, dass Microsoft den E-Mail-Server auf seine interne Blacklist setzt. Der Vorgang ist weder transparent, noch wird man darüber informiert. Sofern man auch weiterhin mit Microsoft-Adressen (hotmail.de, outlook.de etc.) in Kontakt stehen möchte kann man dann nur noch eines tun: Einen Delisting-Antrag stellen. Also ein Microsoft-Formular ausfüllen und dort erklären, weshalb der E-Mail-Server aus der Blacklist entfernt werden sollte. Anschließend erhält man meist nach wenigen Minuten eine automatische Antwort mit einer »Support request number«. Im Normalfall teilt Microsoft binnen 24 Stunden mit, ob die IP-Adresse bzw. der E-Mail-Server von der Blacklist entfernt wurde. Das nennt sich bei Microsoft:

conditionally mitigated

Leider ist die Entfernung von der Microsoft-Blacklist meist keine dauerhafte Lösung. Nach ein paar Wochen/Monaten wiederholt sich das Spielchen erneut. Für alle Betreiber eines »kleinen« E-Mail-Servers ist das ein unzumutbarer Zustand.

5. Alternativen

Bei FreeMailern werden eure Daten bzw. auch die eurer Kommunikationspartner für diverse Zwecke erhoben und verarbeitet. Sofern der Anbieter transparent darüber aufklärt und ihr damit einverstanden seid, ist das auch vollkommen legitim. Allerdings ist dieses Vorgehen mit der Idee der digitalen Selbstbestimmung nicht im Entferntesten vereinbar. Die gute Nachricht: Es gibt Alternativen, die schon einige Jahre auf dem Markt sind und ihre Dienstleistung gegen einen geringen Monatsbeitrag anbieten. Insbesondere die beiden Anbieter mailbox.org und Posteo sind hier zu nennen.

• mailbox.org: Ab 1,- € pro Monat bietet mailbox.org E-Mail-Postfächer für Privat- und auch Geschäftskunden an. Der Serverstandort ist in Berlin und alle wichtigen Sicherheitserweiterungen wie DANE, SPF, DKIM etc. werden unterstützt – mit einer Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Darüber hinaus bietet mailbox.org Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner, die sich ebenfalls über das CardDAV- bzw. CalDAV-Protokoll geräteübergreifend synchronisieren lassen. Die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> mailbox.org bzw. mailbox.org <-> E-Mail-Server anderer Anbieter, entsprechen und entsprachen stets hohen Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen. Auf Wunsch bietet mailbox.org ein Postfach mit eigener Domain als E-Mail-Adresse. Für deutsche Nutzer (bzw. Browser mit deutscher Spracheinstellung) verzichtet mailbox.org bei der Registrierung auf Google reCAPTCHA.
• Posteo: Posteo bietet einen ähnlichen Leistungsumfang wie mailbox.org. Ebenfalls ab 1,- € pro Monat erhält der Nutzer ein eigenes Postfach mit Funktionen wie Kalender- und Adressbuchsynchronisation über das CardDAV- bzw. CalDAV-Protokoll. Via Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Auf Kritik reagierte Posteo in der Vergangenheit leider nicht immer so professionell, wie man es sich wünschen würde. Unter anderem wurde gegen den Betreiber des Privacy-Handbuchs eine Take-Down-Notiz angestrengt, nachdem dieser Kritik an der Verwendung diverser Cipher-Suiten seitens Posteo geäußert hatte. Trotz dieses harschen Umgangs mit Kritik, ist Posteo nach meiner Auffassung ein empfehlenswerter E-Mail-Dienst, der mit viel Herzblut betrieben wird, um dem Nutzer ein hohes Sicherheits- und Datenschutzniveau zu bieten.

5.1 Weitere Anbieter

Neben mailbox.org und Posteo gibt es sicherlich noch weitere empfehlenswerte E-Mail-Anbieter, bei denen der Nutzer nicht mit seinen Daten bezahlt, die Privatsphäre respektiert wird und die Sicherheit einen hohen Stellenwert einnimmt. Über die Kommentarfunktion dürft ihr gerne weitere Anbieter nennen. Damit für die Leser ein Mehrwert entsteht, solltet ihr mindestens die folgenden Informationen beisteuern:

• Mit welchen Kosten ist der Dienst verbunden? Gibt es unterschiedliche Preismodelle?
• Wo befindet sich der Serverstandort?
• Werden Sicherheitserweiterungen wie DANE, SPF, DKIM unterstützt? Wenn ja, welche?
• Ermöglicht der Anbieter eine Zwei-Faktor-Authentisierung? Wenn ja, wie ist das gelöst?
• Ist eine geräteübergreifende Synchronisation über CardDAV- bzw. CalDAV-Protokoll möglich?
• Ermöglicht der Anbieter den Aufruf der E-Mails über IMAP(S)?
• Welche Sonderfunktionen (bspw. Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner) werden angeboten?
• Sind die angebotenen/verwendeten TLS-Cipher-Suiten auf dem Stand der Technik? Bspw. überprüfbar mit CryptCheck oder Qualys SSL Labs.
• Wie transparent ist der Anbieter? Werden bspw. Berichte veröffentlicht, wie häufig Behörden um Auskunft nach Kundendaten ersucht haben?
• Ist die Webseite des Anbieters datenschutzfreundlich bzw. werden Drittanbieter wie Google und Co. in die Startseite/Registrierung eingebunden? Bspw. überprüfbar mit Webbkoll oder PrivacyScore.

Zusätzlich zu den bereits genannten Punkten dürft ihr gerne auch noch weitere Informationen / Wissenswertes ergänzen.

5.2 Wissenswertes

Anbei noch ein paar wissenswerte Informationen, die ich im Rahmen des Beitrags für erwähnenswert erachte:

• Vertraulichkeit: Die meisten E-Mails werden unverschlüsselt versendet, weshalb E-Mails gerne als »Postkarte« bezeichnet werden. Aus heutiger Sicht ist diese Bezeichnung allerdings nicht mehr zutreffend, da E-Mails (eigentlich) durchgehend über eine TLS-Verbindung zwischen den E-Mail-Servern ausgetauscht werden – eine Garantie gibt es dafür allerdings nicht. Trotz der verschlüsselten Übertragung zwischen den E-Mail-Servern sind zumindest die E-Mail-Anbieter weiterhin in der Lage, E-Mails mitzulesen. Die Vertraulichkeit einer E-Mail ist erst dann sichergestellt, wenn der Inhalt Ende-zu-Ende-verschlüsselt (E2EE) ist. Erreichen lässt sich dies bspw. mit den zwei Standards OpenPGP/GnuPG und S/MIME.
• Automatisierte Auswertung: Bei nahezu allen E-Mail-Anbietern werden E-Mails automatisiert ausgewertet – Hintergrund ist meist die Spambekämpfung. Allerdings ist es ein Unterschied, welchen Zweck die automatische E-Mail-Auswertung verfolgt: Dient sie der Reduzierung von E-Mail-Spam oder erfolgt die Auswertung darüber hinaus noch für weitere Zwecke wie die Profilerstellung / der Einblendung von Werbung? Man muss also klar unterscheiden, ob ein Zweck im Sinne des Nutzers erfolgt oder dem Eigeninteresse des Anbieters dient.
• Mitlesen von E-Mails: Das Mitlesen bzw. das Auswerten von E-Mails, zu Zwecken, die dem Eigeninteresse des Anbieters dienen, erfolgt in der Regel automatisiert und nicht durch einzelne Mitarbeiter. Die Gefahr ist also weniger, dass Google-Mitarbeiter E-Mails durchforsten und lesen, sondern eher, dass die Auswertung weitere Datenpunkte an Google liefert und ihr damit unweigerlich zu einer »Verbesserung« eures Google-Profils beitragt.

6. Fazit

Die Abkehr von einem FreeMailer ist ein erster Schritt zu mehr digitaler Selbstbestimmung, den ich im nachfolgenden Teil der Miniserie am Beispiel eines mailbox.org-Accounts vertiefen möchte. Konkret wird es unter anderem darum gehen, aufzuzeigen, welche Funktionen mailbox.org bietet, wie die Synchronisation von Kalender und Kontakten zwischen unterschiedlichen Geräten erfolgt und wie letztendlich ein erfolgreicher Wechsel aussehen kann.

An dieser Stelle möchte ich den »üblichen« Unkenrufen vorgreifen: Nein, ich stehe in keiner finanziellen Beziehung zu mailbox.org und erhalte auch keine Provision. Ich halte mailbox.org schlichtweg für einen grundsoliden, sicheren und datenschutzfreundlichen Anbieter, dem ich persönlich/geschäftlich ebenfalls meine E-Mail-Kommunikation anvertraue.

Bildquellen:

Gmail: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY

Wenn du immer über neue Beiträge informiert bleiben möchtest, gibt es verschiedene Möglichkeiten, dem Blog zu folgen:

Ähnliche Beiträge

13. Dezember 2021

mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2

Mit speziellen Funktionen (Sieve-Filter) könnt ihr mehr Kontrolle über eure E-Mails erhalten und gleichzeitig neuen Tracking-Methoden wie denen durch Identitätsprovider vorbeugen.

24. März 2021

Gmail: Google liest eure E-Mails mit

Der vorliegende Microblog ist ein Ausschnitt aus dem Artikel »Adieu Gmail, GMX, Outlook und Co. – Digitale Selbstbestimmung Teil1«. Da…

24. Februar 2021

GMX: Protokolliert der Anbieter alle angeklickten Links in E-Mails?

Im Beitrag »E-Mail-Anbieter: Verabschiedet euch von GMX, Web.de und weiteren FreeMail-Werbeplattformen« hatte ich aufgezeigt, wie werbe- und trackingverseucht die FreeMailer…

27. Juli 2022

Spam statt Mülleimer: Öfter, als man denkt, landen vertrauliche E-Mails bei den Mitarbeitern von E-Mail-Anbietern

Wer E-Mails an Outlook verschickt, muss man damit rechnen, dass Fremde die E-Mail im Volltext lesen.

21. September 2020

Bildungswesen: Entlarvung der häufigsten Microsoft-Mythen

Die meisten Argumente, die den Einsatz von Microsoft im Bildungswesen befürworten, entstehen aus Unwissenheit bzw. der Angst vor Neuem.

Weitere Themen

AndroidAppleAuditAutonomieBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOEncryptionFirewallHackingHardeningiOSKIKuketz-BlogLinuxMessengerMicrosoftOpenWrtPasswortPentestPolitikRaspberryPiRechtSicherheitsmaßnahmeSurveillanceTDDDGTestberichtTorTrackingUnplugBigTechVulnerabilityWearableWordPress

---

Diskussion

Für Hilfe und Fragen nutze bitte ausschließlich unser offizielles Forum. Dort erhältst du Unterstützung von der Community – und alle profitieren von der Lösung. Direkte Anfragen per E-Mail oder Signal kann ich aus Zeitgründen leider nicht beantworten und lösche sie ungelesen – der individuelle Betreuungsaufwand ist einfach zu hoch. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern spiegeln den Informationsstand zum Zeitpunkt der Veröffentlichung wieder, ähnlich wie Zeitungsartikel.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.