1. FreeMailer
Als FreeMailer bezeichnet man E-Mail-Anbieter, die Nutzern eine »kostenlose« E-Mail-Adresse zum Senden und Empfangen von E-Mails bereitstellen. Kostenlos ist allerdings nicht korrekt – Nutzer bezahlen mit ihren Daten bzw. oftmals finanzieren sich diese Angebote durch Werbung. In der Miniserie »E-Mails unter Kontrolle« werde ich aufzeigen, weshalb es wichtig ist, den FreeMailern den Rücken zu kehren und zu einem E-Mail-Anbieter zu wechseln, der eure Privatsphäre und auch die eurer Kontakte respektiert.
Im vorliegenden Beitrag möchte im am Beispiel von E-Mail-Konten bei Google, GMX, web.de und Outlook aufzeigen, weshalb es aus unterschiedlichen Gründen keine gute Idee ist, einen FreeMail-Account bei einem dieser Datensammler zu haben und es sinnvoll ist, einen seriösen Anbieter zu wählen.
- Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1
- mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2
2. Gmail (Google)
Vor Jahren lief in den USA eine Klage gegen Google (es gibt noch weitere), die das Scannen/Mitlesen von E-Mails nicht als »normale Geschäftstätigkeit« einstufte. Eine Ankündigung von Google hat im Sommer 2017 dann für Aufsehen gesorgt:
G Suite’s Gmail is already not used as input for ads personalization, and Google has decided to follow suit later this year in our free consumer Gmail service. Consumer Gmail content will not be used or scanned for any ads personalization after this change.
[…]
Aufgrund dieser Meldung konnte man schnell den Eindruck gewinnen, dass Google das umstrittene bzw. automatisierte Mitlesen/Scannen von E-Mails nun vollständig eingestellt hat. Das haben sie allerdings nicht. Als Gmail-Nutzer sollte man sich vor Augen führen, dass jede ein- und ausgehende E-Mail von Google automatisiert gescannt bzw. analysiert wird. Google verwendet die Inhalts- bzw. Meta-Daten lediglich nicht mehr für interessenbezogene Werbung. Andere Nutzungszwecke hat Google allerdings nicht ausgeschlossen – das steht auch explizit in der Datenschutzerklärung (Stand 15.03.2021):
Wir erheben auch die Inhalte, die Sie bei der Nutzung unserer Dienste erstellen, hochladen oder von anderen erhalten. Dazu gehören beispielsweise E-Mails, die Sie verfassen und empfangen, Fotos und Videos, die Sie speichern, Dokumente und Tabellen, die Sie erstellen, und Kommentare, die Sie zu YouTube-Videos schreiben.
Richtig ist also: Google wertet die E-Mails der Nutzer auch weiterhin aus, äußert sich allerdings schwammig, wenn es um die Details geht. Aus den E-Mails lassen sich eine Menge an Erkenntnissen gewinnen, die Google bspw. einem Profil zuordnen kann:
- Mit wem man wann in Kontakt steht
- Betreff, Absender, Links, Stichwörter etc.
- Auslesen aller Kalendereinträge (bspw. Vereinssport, Paarberatung etc.)
- Auswertung von Datenpunkten (siehe Beispiel Facebook) wie:
- Wohnort
- Alter
- Bildungsniveau
- Hausgröße
- Interessen
- […]
Wozu Google unter anderem fähig ist, zeigen die smarten Gmail-Funktionen, die bspw. eine automatische Sortierung und Kategorisierung von Nachrichten ermöglicht, Event-Infos extrahiert und daraus automatisch Kalendereinträge erstellt oder an fällige Rechnungen erinnert. Die Deaktivierung dieser Funktion bedeutet übrigens nicht, dass Google nicht auch weiterhin die ein- und ausgehenden E-Mails scannt/auswertet.
Jetzt kann man argumentieren:
Dann nutze Gmail einfach nicht!
Das Argument greift allerdings zu kurz. Denn selbst wenn man Gmail selbst nicht nutzt, dann schaut doch einfach mal nach, wie viele eurer Kontakte dies tun. Na fällt euch etwas auf? Immer wenn ihr an einen dieser Gmail-Kontakte etwas schreibt, dann scannt Google auch eure E-Mails. Google macht auch daraus keinen Hehl:
Dazu gehören beispielsweise E-Mails, die Sie verfassen und empfangen, Fotos und Videos, die Sie speichern, Dokumente und Tabellen, die Sie erstellen, und Kommentare, die Sie zu YouTube-Videos schreiben.
Ein Gmail-Nutzer mag der Auswertung seiner E-Mail-Inhalte zugestimmt haben. Doch für jemanden, der kein Gmail-Konto besitzt, gilt diese Vereinbarung nicht – und dennoch werden beim Versenden an Gmail-Konten auch »fremde« Inhalte gescannt und ausgewertet. Eben aus jedem Grund nutze ich übrigens einen Gmail-Auto-Responder, der Gmail-Nutzern einen Hinweis zukommen lässt. Wer Gmail nicht nutzt, sollte seiner Kommunikation mit Gmail-Kontakten kritisch gegenüberstehen. Denn niemand kann garantieren, dass Google keine Schattenprofile anlegt, wie sie bspw. Facebook über Nicht-Nutzer anlegt.
Hinweis
Kunden von Google Workspace (ehemals G Suite) sollten sich die dazugehörige Datenschutz-Folgenabschätzung (12. Februar 2021) der niederländische Aufsichtsbehörde genau durchlesen – wer den Dienst danach noch nutzen möchte, Hut ab!3. GMX und web.de
Neben Gmail nutzen in Deutschland viele Anwender noch immer die Werbeportale GMX und web.de als E-Mail-Anbieter. Gerade um die Jahrtausendwende haben sich dort viele Nutzer ein Konto registriert und halten bis heute daran fest.
Wenn wir uns die beiden Landing-Pages (Startseiten) der Anbieter einmal anschauen, wird man von Tracking und Werbung begrüßt – von der Qualität der »Nachrichten« mal ganz abgesehen. Erst mit mehreren Klicks durch den Consent-Banner: Einstellungen bearbeiten -> Keine Häkchen ergänzen -> Auswahl bestätigen und weiter -> Ablehnen wird keine Werbung mehr nachgeladen/eingebunden und Tracking auf ein Minimum reduziert. Aus Sicherheits- und Datenschutzgründen (ab Ziffer 4) sollte man sich eigentlich gar nicht über das Webinterface in sein E-Mail-Konto einloggen – bzw. erst dann, wenn man die Einbindung von JavaScript-Quellen von Drittanbietern über den Consent-Banner reduziert hat.
Der Datenschutzerklärung von GMX.net entnimmt man dann Sätze wie:
Wir möchten unseren Nutzern nicht „einfach nur“ Werbung bieten, sondern eine echte Serviceleistung und einen Mehrwert! Durch gezielte Aussteuerung möglichst interessenbasierter Werbung versuchen wir daher, Ihnen Inhalte anzuzeigen, die Ihren Vorlieben entsprechen.
Die Ausspielung interessenbezogener Werbung funktioniert nur dann, wenn man seine Nutzer trackt und auswertet. Gerade in einem sensiblen Kontext wie E-Mails halte ich das für äußerst fragwürdig. Die Datenschutzerklärungen von GMX und web.de sind übrigens nahezu 1:1 Kopien. Das ist auch wenig verwunderlich, denn beide gehören zur 1&1 Mail & Media GmbH.
Als GMX bzw. web.de-Nutzer wird man vermutlich auch die E-Mail-Werbung kennen. Beide Anbieter sind der Auffassung, dass die im Zusammenhang mit der Vertragsbegründung erhaltenen personenbezogenen Daten ohne weitergehende Einwilligung für folgende Zwecke verwendent werden dürfen:
- E-Mail-Werbung oder Markt- und Meinungsforschung per E-Mail für eigene Waren- und Dienstleistungen
- Postalische Werbung oder postalische Markt- oder Meinungsforschung
- Spendenwerbung für gemeinnützige Organisationen
Wenigstens kann man dieser Datenverwendung schriftlich per E-Mail an die Adresse datenschutz@gmxnet.de (GMX) bzw. datenschutz@webde.de (web.de) widersprechen.
Doch die Bedenken hinsichtlich der Einblendung/Einbindung von Werbung bzw. des damit einhergehenden User-Trackings sind nicht alles. GMX bzw. web.de geben noch weiteren Anlass für Kritik:
- GMX: Protokolliert der Anbieter alle angeklickten Links in E-Mails? (Kuketz-Blog, Februar 2021)
- Hin und wieder werden E-Mails von vertrauenswürdigen Absendern aufgrund von Spamverdacht/fragwürdigen Einstellungen nicht zugestellt
- Keine Mails von Stadtverwaltungen: Zu viel Spam bei GMX und Web.de (heise online, März 2021)
- gmx.de und web.de haben Mail-Rejects durch SPF (Heinlein Support, Juni 2016)
4. Outlook/Hotmail (Microsoft)
Neben Google räumt sich auch Microsoft das Recht ein, Kundendaten über mehrere Dienste hinweg auszuwerten und zu Profilen zusammenzufassen. Eine entsprechende Änderung der Nutzungsbestimmungen geht bereits auf das Jahr 2012 zurück und beinhaltet unter anderem die folgenden Passagen:
Wenn Sie Ihre Inhalte in die Dienste hochladen, geben Sie damit Ihre Zustimmung, dass die Inhalte in dem Umfang, in dem dies zu Ihrem Schutz sowie zur Bereitstellung, zum Schutz und zur Verbesserung von Microsoft-Produkten und -Diensten erforderlich ist, genutzt, geändert, angepasst, gespeichert, vervielfältigt, verteilt und angezeigt werden dürfen.
Und weiter:
So können wir beispielsweise gelegentlich mithilfe von automatisierten Verfahren Informationen aus E-Mail-Nachrichten, Chats oder Fotos filtern, um Spam und Malware zu erkennen und Schutzmaßnahmen gegen diese zu entwickeln sowie um die Dienste mit neuen Features auszustatten, die ihre Benutzerfreundlichkeit steigern.
Im Klartext: Ebenso wie Google bei Gmail kann auch Microsoft E-Mails automatisiert mitlesen und auswerten.
Seit dem Jahr 2012 sind nun schon einige Jahre vergangen und Microsoft hat seine Nutzungsbestimmungen bzw. die Datenschutzerklärung seither schon mehrfach überarbeitet. Auf den ersten Blick in die Datenschutzerklärung ist für mich nicht transparent ersichtlich, ob Microsoft an dieser Praktik auch im Jahr 2021 festhält oder diese eventuell noch ausgeweitet hat. Vielleicht mag sich ja jemand die Datenschutzerklärung von Microsoft genauer anschauen – sie hat »nur« ca. 36.000 Wörter und füllt in der Schriftgröße 12 (Liberation Serif) ungefähr 90 Seiten in einem LibreOffice-Dokument.
An die Bedenken hinsichtlich der Auswertung von E-Mails knüpfen noch weitere Kritikpunkte an. Wer bspw. einen eigenen E-Mail-Server betreibt, der kennt die Problematik vermutlich:
Trotz eines sauber konfigurierten E-Mail-Servers, der auf keiner Spamliste geführt wird, kann/wird es vorkommen, dass Microsoft den E-Mail-Server auf seine interne Blacklist setzt. Der Vorgang ist weder transparent, noch wird man darüber informiert. Sofern man auch weiterhin mit Microsoft-Adressen (hotmail.de, outlook.de etc.) in Kontakt stehen möchte kann man dann nur noch eines tun: Einen Delisting-Antrag stellen. Also ein Microsoft-Formular ausfüllen und dort erklären, weshalb der E-Mail-Server aus der Blacklist entfernt werden sollte. Anschließend erhält man meist nach wenigen Minuten eine automatische Antwort mit einer »Support request number«. Im Normalfall teilt Microsoft binnen 24 Stunden mit, ob die IP-Adresse bzw. der E-Mail-Server von der Blacklist entfernt wurde. Das nennt sich bei Microsoft:
conditionally mitigated
Leider ist die Entfernung von der Microsoft-Blacklist meist keine dauerhafte Lösung. Nach ein paar Wochen/Monaten wiederholt sich das Spielchen erneut. Für alle Betreiber eines »kleinen« E-Mail-Servers ist das ein unzumutbarer Zustand.
5. Alternativen
Bei FreeMailern werden eure Daten bzw. auch die eurer Kommunikationspartner für diverse Zwecke erhoben und verarbeitet. Sofern der Anbieter transparent darüber aufklärt und ihr damit einverstanden seid, ist das auch vollkommen legitim. Allerdings ist dieses Vorgehen mit der Idee der digitalen Selbstbestimmung nicht im Entferntesten vereinbar. Die gute Nachricht: Es gibt Alternativen, die schon einige Jahre auf dem Markt sind und ihre Dienstleistung gegen einen geringen Monatsbeitrag anbieten. Insbesondere die beiden Anbieter mailbox.org und Posteo sind hier zu nennen.
- mailbox.org: Ab 1,- € pro Monat bietet mailbox.org E-Mail-Postfächer für Privat- und auch Geschäftskunden an. Der Serverstandort ist in Berlin und alle wichtigen Sicherheitserweiterungen wie DANE, SPF, DKIM etc. werden unterstützt – mit einer Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Darüber hinaus bietet mailbox.org Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner, die sich ebenfalls über das CardDAV- bzw. CalDAV-Protokoll geräteübergreifend synchronisieren lassen. Die angebotenen Cipher-Suiten (TLS-Verschlüsselung), zur Absicherung der Verbindung zwischen Nutzer <-> mailbox.org bzw. mailbox.org <-> E-Mail-Server anderer Anbieter, entsprechen und entsprachen stets hohen Sicherheitsanforderungen, ohne die Abwärtskompatibilität zu vernachlässigen. Auf Wunsch bietet mailbox.org ein Postfach mit eigener Domain als E-Mail-Adresse. Für deutsche Nutzer (bzw. Browser mit deutscher Spracheinstellung) verzichtet mailbox.org bei der Registrierung auf Google reCAPTCHA.
- Posteo: Posteo bietet einen ähnlichen Leistungsumfang wie mailbox.org. Ebenfalls ab 1,- € pro Monat erhält der Nutzer ein eigenes Postfach mit Funktionen wie Kalender- und Adressbuchsynchronisation über das CardDAV- bzw. CalDAV-Protokoll. Via Zwei-Faktor-Authentifizierung (nur aktiv bei Zugriff über das Webinterface) kann das Postfach zusätzlich gegen Eindringlinge abgesichert werden. Auf Kritik reagierte Posteo in der Vergangenheit leider nicht immer so professionell, wie man es sich wünschen würde. Unter anderem wurde gegen den Betreiber des Privacy-Handbuchs eine Take-Down-Notiz angestrengt, nachdem dieser Kritik an der Verwendung diverser Cipher-Suiten seitens Posteo geäußert hatte. Trotz dieses harschen Umgangs mit Kritik, ist Posteo nach meiner Auffassung ein empfehlenswerter E-Mail-Dienst, der mit viel Herzblut betrieben wird, um dem Nutzer ein hohes Sicherheits- und Datenschutzniveau zu bieten.
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
5.1 Weitere Anbieter
Neben mailbox.org und Posteo gibt es sicherlich noch weitere empfehlenswerte E-Mail-Anbieter, bei denen der Nutzer nicht mit seinen Daten bezahlt, die Privatsphäre respektiert wird und die Sicherheit einen hohen Stellenwert einnimmt. Über die Kommentarfunktion dürft ihr gerne weitere Anbieter nennen. Damit für die Leser ein Mehrwert entsteht, solltet ihr mindestens die folgenden Informationen beisteuern:
- Mit welchen Kosten ist der Dienst verbunden? Gibt es unterschiedliche Preismodelle?
- Wo befindet sich der Serverstandort?
- Werden Sicherheitserweiterungen wie DANE, SPF, DKIM unterstützt? Wenn ja, welche?
- Ermöglicht der Anbieter eine Zwei-Faktor-Authentisierung? Wenn ja, wie ist das gelöst?
- Ist eine geräteübergreifende Synchronisation über CardDAV- bzw. CalDAV-Protokoll möglich?
- Ermöglicht der Anbieter den Aufruf der E-Mails über IMAP(S)?
- Welche Sonderfunktionen (bspw. Office-Funktionen wie Kalender, Adressbuch und Aufgabenplaner) werden angeboten?
- Sind die angebotenen/verwendeten TLS-Cipher-Suiten auf dem Stand der Technik? Bspw. überprüfbar mit CryptCheck oder Qualys SSL Labs.
- Wie transparent ist der Anbieter? Werden bspw. Berichte veröffentlicht, wie häufig Behörden um Auskunft nach Kundendaten ersucht haben?
- Ist die Webseite des Anbieters datenschutzfreundlich bzw. werden Drittanbieter wie Google und Co. in die Startseite/Registrierung eingebunden? Bspw. überprüfbar mit Webbkoll oder PrivacyScore.
Zusätzlich zu den bereits genannten Punkten dürft ihr gerne auch noch weitere Informationen / Wissenswertes ergänzen.
5.2 Wissenswertes
Anbei noch ein paar wissenswerte Informationen, die ich im Rahmen des Beitrags für erwähnenswert erachte:
- Vertraulichkeit: Die meisten E-Mails werden unverschlüsselt versendet, weshalb E-Mails gerne als »Postkarte« bezeichnet werden. Aus heutiger Sicht ist diese Bezeichnung allerdings nicht mehr zutreffend, da E-Mails (eigentlich) durchgehend über eine TLS-Verbindung zwischen den E-Mail-Servern ausgetauscht werden – eine Garantie gibt es dafür allerdings nicht. Trotz der verschlüsselten Übertragung zwischen den E-Mail-Servern sind zumindest die E-Mail-Anbieter weiterhin in der Lage, E-Mails mitzulesen. Die Vertraulichkeit einer E-Mail ist erst dann sichergestellt, wenn der Inhalt Ende-zu-Ende-verschlüsselt (E2EE) ist. Erreichen lässt sich dies bspw. mit den zwei Standards OpenPGP/GnuPG und S/MIME.
- Automatisierte Auswertung: Bei nahezu allen E-Mail-Anbietern werden E-Mails automatisiert ausgewertet – Hintergrund ist meist die Spambekämpfung. Allerdings ist es ein Unterschied, welchen Zweck die automatische E-Mail-Auswertung verfolgt: Dient sie der Reduzierung von E-Mail-Spam oder erfolgt die Auswertung darüber hinaus noch für weitere Zwecke wie die Profilerstellung / der Einblendung von Werbung? Man muss also klar unterscheiden, ob ein Zweck im Sinne des Nutzers erfolgt oder dem Eigeninteresse des Anbieters dient.
- Mitlesen von E-Mails: Das Mitlesen bzw. das Auswerten von E-Mails, zu Zwecken, die dem Eigeninteresse des Anbieters dienen, erfolgt in der Regel automatisiert und nicht durch einzelne Mitarbeiter. Die Gefahr ist also weniger, dass Google-Mitarbeiter E-Mails durchforsten und lesen, sondern eher, dass die Auswertung weitere Datenpunkte an Google liefert und ihr damit unweigerlich zu einer »Verbesserung« eures Google-Profils beitragt.
6. Fazit
Die Abkehr von einem FreeMailer ist ein erster Schritt zu mehr digitaler Selbstbestimmung, den ich im nachfolgenden Teil der Miniserie am Beispiel eines mailbox.org-Accounts vertiefen möchte. Konkret wird es unter anderem darum gehen, aufzuzeigen, welche Funktionen mailbox.org bietet, wie die Synchronisation von Kalender und Kontakten zwischen unterschiedlichen Geräten erfolgt und wie letztendlich ein erfolgreicher Wechsel aussehen kann.
An dieser Stelle möchte ich den »üblichen« Unkenrufen vorgreifen: Nein, ich stehe in keiner finanziellen Beziehung zu mailbox.org und erhalte auch keine Provision. Ich halte mailbox.org schlichtweg für einen grundsoliden, sicheren und datenschutzfreundlichen Anbieter, dem ich persönlich/geschäftlich ebenfalls meine E-Mail-Kommunikation anvertraue.
Bildquellen:
Gmail: Pixel perfect from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2
GMX: Protokolliert der Anbieter alle angeklickten Links in E-Mails?
Spam statt Mülleimer: Öfter, als man denkt, landen vertrauliche E-Mails bei den Mitarbeitern von E-Mail-Anbietern
Bildungswesen: Entlarvung der häufigsten Microsoft-Mythen
Tracking durch Identitätsprovider
17 Ergänzungen zu “Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Für technische Details zu Ciphersuites, Spam-Abwehrmaßnahmen und privatsphärerelevanter Aspekte des Webmailers vieler populärer E-Mail-Anbieter verweise ich gerne auf eine detailierte Tabelle von dismail.de.
Hi,
auf die Tabelle habe ich auch mal verwiesen. Mittlerweile ist diese aber so etwas von veraltet (Stand 01.2020), dass es gefährlich ist, diese noch als Referenz heranzuziehen!
Als »gefährlich« würde ich die Referenz nicht bezeichnen, aber sicherlich als veraltet bzw. nicht mehr auf aktuellem Stand.
Besonders ärgerlich bei GMX: Selbst bei kostenpflichtigen Accounts (Promail) leitet GMX Spam *unter Umgehung von Filterregeln* in das Postfach weiter. Darauf angesprochen stellt man sich dumm, dank Ticketsystem kann man das auch auf die lange Bank schieben.
Hallöchen. Ich kann auch tutanota.com empfehlen. Sind deutsche Dudes mit deutschen Servern und fettem Fokus auf Datenschutz und Security. Es gibt: 2FA, verschlüsseltes Kontaktformular/ Kalender, Transparenzberichte, aktuellste Encryption, aktuellste Sicherheitserweiterungen, F-Droid App, Open-Source-Clients u.s.w. IMAP(S) und Caldav gibt es aus Sicherheitsgründen nicht. Siehe Link „Eigene Desktop-Clients“
Preise
Funktionen
Eigene Desktop-Clients
Gruß
Naja für die meisten Nutzer ist die Verwendung eigener E-Mail-Clients bzw. IMAP(S) und auch die Möglichkeit für CalDAV/CardDAV-Sync essentielle Funktionen.
Finde ich zu eingeschränkt.
Natürlich sind die von Mike genannten Funktionen für Anwender mit etwas IT-Kenntnissen meist unverzichtbar.
Aber für die, gar nicht geringe Anzahl, von Anwendern, welche über wenig Erfahrungen verfügen, ist oft schon IMAP, geschweige denn CalDAV/CardDAV-Sync, eine große und häufig unüberwindliche Hürde.
Genau für diese Anwender ist Tutanota gut geeignet. Es ist einsteigerfreundlich und hat eine ausgezeichnete deutschsprachige Doku.
Ein weiterer, nicht unwichtiger Vorteil: Es gibt auch einen kostenlosen Account bei Tutanota. Das Bezahlen im Internet ist für viele Anwender immer noch unbeliebt. Dabei geht es weniger um die Kosten, als viel mehr um den Bezahlvorgang (Sicherheit, Bekanntgae seiner „Bezahl-Daten“). Da ist ein kostenloser Account eine niedrigere Einstiegshürde.
Hi,
danke an Mike für den Start dieser neuen Artikelserie zunächst :-)
@MichelAngelo: Für mich besteht z.B. das Problem bei tutanota (dessen Möglichkeit zu verschlüsselt geführter E-Mail-Kommunikation mit Verschlüsselungsmuffeln ich für am niedrigschwelligtsen erachte und deswegen schätze – u.a. weil so eine Verschlüsselung immerhin besser ist als gar keine) darin, dass ich dort meinen Account-Obulus nicht anonym entrichten kann, wie das etwa bei Posteo und mailbox.org möglich ist. Ich würde diesen Dienst a) gerne unterstützen mit einem Bezahl-Account und b) diesen Zweit-Account für v.a. genau oben genannten Zweck (verschlüsselt Mailen mit Verschlüsselungsmuffeln) natürlich auch intensiver nutzen. Aber es ist für mich aus Datenschutzgründen ein KO-Kriterium, wenn ich dabei (beim Bezahlaccount; wohlgemerkt – für kostenlos gilt das nicht) meine persönlichen Daten dann doch hinterlegen muss…
Das Thema „Digitale Selbstbestimmung“ und alles was dazu gehört, wurde ja bereits vorher von vielen nur stiefmütterlich behandelt und von manchen sogar gänzlich abgelehnt, jetzt gerät es durch die Pandemie und den damit verbundenen Drang nach Digitalisierung nur noch weiter ins Abseits als der große Verhinderer von Fortschritt.
Es ist absurd wie manche das Konzept des Datenschutzes (Bspw. DS-GVO) mit strenger Bürokratie vergleichen, wo es doch eben dieser Bereich ist, der so unzureichend reglementiert ist, sodass Unternehmen (besonders aus den USA) geschickt an Gesetzten und Auflagen vorbei manövrieren.
Super Thema für eine neue Artikelserie!! Danke für deinen unermüdlichen Einsatz!
Den für mich persönlich schlimmsten Aspekt der digitalen nicht-Selbstbestimmung hast du nur am Rande angerissen: Dass es eben nicht nur darauf ankommt, welche Daten ich selbst verbreite, sondern auch, was andere tun. Die prominentesten Beispiele sind sicher Gmail (wie von dir beschrieben), Whatsapp (davon hattest du auch schonmal geschrieben, von wegen meine Nummer und mein Name im Adressbuch und hochgeladen), Facebook (andere Nutzer können ein Foto von mir hochladen und mit meinem Namen taggen, auch wenn ich nicht dort angemeldet bin) usw usw. Klar, auch in der analogen Welt kann jemand meine Geheimnisse weitertratschen oder ein peinliches Foto rumzeigen oder die Nachbarn können den Lebensstil beobachten.
Aber in der indexierbaren, durchsuchbaren und nicht-vergessenden Online-Welt ist das Problem deutlich größer. Vielleicht könntest du darauf noch näher eingehen?
Genau das gleiche, was Du hier beschreibst, passiert ebenfalls wenn man eine Wohnung betritt in der ein Amazon Alexa oder Apple Siri oder Google Assitant oder Microsoft Cortana aktiv ist. Man weiß davon in aller Regel erstmal gar nichts und es existiert außerdem nie ein Warnschild, wie zum Beispiel bei Videoüberwachung im öffentlichen Raum / Geschäfte. Solange sich der Mist nicht plötzlich auf einmal in irgendeine Konversation einklingt, bleibt das sogar gänzlich unendeckt. Was die Geräte bis dahin schon alles OHNE EINVERSTÄNDNIS aufgenommen, verarbeitet und/oder irgendwohin gesendet haben kann und wird man nie erfahren. Natürlich sind das auch die absolut perfekten Werkzeuge zur (Industrie-)Spionage.
Existiert hier eigentlich eine vergleichbare Rechtslage wie beim „Recht am eigenen Bild / hier: Stimme“, gilt hier ebenfalls die DS-GVO und könnte man theoretisch eine Datenherausgabe, Löschung etc. usw. einfordern? Doch wie verifiziert man dann seine eigene Stimme?
Bei der Vermittlung der Medienkompetenz sehe ich leider das Problem, dass weder die Eltern von Kindern noch Lehrkräfte eine ausreichende Kompetenz in diesem Bereich haben. Daran würden selbst Schulungen nicht viel ändern, weil: Wer bietet solche Schulungen an? Wie unvoreingenommen ist dieser Anbieter? Es kann sich jeder ausmalen, wenn Microsoft Schulungen anböte für Lehrpersonal, welche Inhalte hier vermittelt werden.
Die Thematik krankt grundsätzlich daran, dass viel zu lange bereits den Unternehmen das Feld der „Digitalisierung“ überlassen wurde. Ich bin kein Freund übertriebener Regulierung oder zusätzlichen Behörden-Gedöns, aber in nicht wenigen Bereichen hat sich bereits gezeigt, wo es hinführt, wenn man auf die Unternehmen und ihre „Mission“ vertraut. Die können alles noch so schön ausformulieren, am Ende kann es trotzdem keiner kontrollieren. Das wurde ganz klar verpasst.
Es ist aus meiner Sicht quasi unmöglich eine ausreichend hohe Medienkompetenz zu entwickeln, wenn man es ständig auch mit Unternehmen zu tun hat, die mehr oder weniger beabsichtigt dagegen arbeiten. Dass der Verbraucher/Nutzer kompetent ist, ist im Kern nicht gewünscht. Man offeriert gewisse Möglichkeiten, und das klingt auch alles ganz schick und nett, aber im Kern ist man trotzdem nur ein Fisch im Netz. Wahlmöglichkeit? Friss meine Bedingungen (AGB) oder verschwinde, akzeptiere gefälligst mein Geschenk, du undankbarer Mensch! Wir sollten uns mal Gedanken machen, wohin diese Mentalität auch abseits der digitalen Welt führt.
Die wenigstens Unternehmen (oder Anbieter allgemein) verpflichten sich selbst derart, dass man von einer mehr oder weniger gesetzes- oder datenschutzkonformen Nutzung ausgehen könnte, so dass man sich als Nutzer auch auf Augenhöhe fühlen würde. Hier wäre es mir als Verbraucher/Nutzer lieber, wenn sich jegliche Anbieter von Internetdiensten entsprechend einem Audit unterziehen müssten, BEVOR sie beginnen dürfen, etwas anzubieten. Darauf zu vertrauen, dass die Unternehmen es schon richtig machen werden und auch offen und fair kommunizieren würden, ist der falsche Weg und hat in der Vergangenheit schon zu mehr als genug Belegen geführt, dass es so eben nicht funktioniert. In gewisser Hinsicht fehlt die Abschreckung, den auch die DSGVO nicht bieten kann, sofern diese nicht angewendet wird. Wenn ich als Anwender damit erst wedeln muss, um zu meinen Rechten zu kommen, die mir eigentlich von vornherein zustehen, läuft etwas falsch. Ist ja wie im Straßenverkehr, wenn mir jemand die Vorfahrt nimmt. Hat es sonst einer gesehen?
ich weiß gar nicht, wie die Post ihre Idee datenschutzrechtlich begründen will, Vorabinformationen über Briefversand ausgerechnet über diese Anbieter zu versenden: https://www.golem.de/news/digitale-kopie-briefinhalte-kommen-vorab-per-e-mail-2103-155208.html
Man könnte auch ganz auf einen E-Mail Anbieter verzichten und sich eine eigene Domain besorgen. Gibt es auch für nen Euro und in der Regel ist ein Postfach dabei, auf welches man mit IMAP zugreifen kann. Da man dafür bezahlt und es keine Weboberfläche gibt, auf der Werbung gezeigt werden könnte, sollte man davon ausgehen können, dass die Mails nicht gescannt werden.
Damit ist dann wiederum der Server-Provider oder ähnliches Dienstleister. Richtig ist aber: In der Regel wird bei diesen Angeboten nicht gescannt bzw. die Auswertung reduziert sich auf die Bekämpfung von Spam.
Vorsicht: Webspace-Anbieter sind in der Regel nicht auf Mailserver spezialisiert. Meist sind diese unsicher (ungepatcht, teilw. Kennwörter im Klartext etc.) und vermehrt auch auf Blacklisten zu finden.
Dann besser die eigene Mail bei einem darauf spezialisierten Anbieter einbinden über den MX Record. Der Webspace kann dann woanders weiterlaufen.
Was hier noch nicht zur Sprache kam ist das Smart Compose Feature von Gmail.
Hierdurch wird sehr deutlich, dass Gmail die E-Mails analysiert. Man bekommt Textvorschläge – also ganze Sätze und kann diese per Tab Taste übernehmen.
Siehe auch:
https://invidious.kavin.rocks/watch?v=nZ-C8I-8BZw
https://support.google.com/mail/answer/9116836?co=GENIE.Platform%3DDesktop&hl=en
Es kann allerdings sein, dass das Feature in Deutschland nicht freigeschaltet ist.
Also ich finde es sehr gruselig.