E-Mail-Anbieter: Gmail im Test
Das Google mit Gmail vieles richtig macht, dass Datenschutzniveau jedoch extrem zu wünschen übrig lässt, resümierten wir vor zwei Jahren, als wir das Freemail-Angebot des Suchmaschinenriesen erstmals testeten. Was hat sich getan? Wir testen erneut:
Das Angebot von Google: Google Gmail
Möchten Sie Gmail für sich nutzen, richten Sie nicht explizit einen Account zum Versenden und Empfangen von E-Mails ein. Sondern Sie richtigen sich einen Google-Account ein, mit dem Sie sämtliche Google-Dienste nutzen. Möchten Sie lediglich mailen, kann das störend sein.
Einstiegshürden bei Gmail
Aber beginnen wir von vorn: Ihr Google-Konto erstellen Sie auf dieser Seite. Es existieren weder Inhalte zur Aktivitätenverfolgung, noch werden Berechtigungen verlangt. Die Site ist sicher verschlüsselt (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2).
Zum Registrieren möchte Google Ihren Vor- und Nachnamen, Ihr Geburtsdatum, Geschlecht, Ihre Mobiltelefonnummer sowie Ihre aktuelle E-Mail-Adresse und Ihren Standort erfahren. Das ist verglichen mit unseren bisherigen Testkandidaten umfangreicher.
Warum Google all diese Angaben benötigt, erklärt der Konzern in seinen Hilfeseiten. Erst hier kann man in Erfahrung bringen, dass die Mobilfunknummer nicht zwangsläufig angegeben werden muss. In den Erklärungen bezieht man sich eher auf den praktischen Nutzen für den User, weniger auf den sicherlich auch vorhandenen werbe-/finanzwirksamen Nutzen für Google selbst.
So erklärt Google, das Geburtsdatum zu benötigen, um „beispielsweise altersgemäße Einstellungen für Sie“ vorzunehmen. Diese Aussage ist für Minderjährige genauso zutreffend wie für Werbetreibende: dem Minderjährigen werden unpassende Inhalte vorenthalten, der Werbetreibende kann altersmäßiges Targeting betreiben.
Passwort-Sicherheit bei Google
Im eben erwähnten Hilfebereich fanden wir einen Link, der zu einer Hilfeseite über das Erstellen starker Passwörter führt. Möchten wir ein Passwort für unseren Account erstellen, erhalten wir den Hinweis: „Verwenden Sie mindestens 8 Zeichen. Verwenden Sie kein Passwort für eine andere Website oder leicht zu erratende Wörter wie den Namen Ihres Haustiers.“ Ein Link führt wieder auf die Passwort-Hilfeseite.
Auch Gmail muss sich unseren Test schwacher Passwörter gefallen lassen:
- „Passwort“ stuft die Sicherheitsampel als „schwach“ ein; das Passwort wird nicht akzeptiert.
- „123456“ ist zu kurz, „12345678“ ist zu schwach und wird nicht akzeptiert. Leider schaltet die Sicherheitsampel bei „12345678!“ auf gelb: dieses Passwort soll „ausreichend“ sein.
- „P4sswort“ kam bereits bei Yahoo durch – und auch Gmail lässt die hauseigene Sicherheitsampel auf grün hüpfen und findet das Passwort „stark“.
- Tatsächlich erweist sich die Passwortprüfung von Google als genauso unsicher wie die der Telekom: „Mayerin83“ kommt – als Bestandteil unserer E-Mail-Adresse! – bei Google durch. Lediglich Yahoo schob hier einen Riegel vor und stellte fest: „Das Passwort darf nicht Ihren Namen enthalten“. Google hingegen findet das „stark“, die Ampel rutscht auf grün.
Einmal mehr müssen wir bei der Passwortvergabe „erschreckend“ resümieren. Auch die Tatsache, bei den Registrierungsdaten keinen Hinweis darauf zu bekommen, dass die Mobilfunknummer optional eingegeben werden kann, enttäuscht. Das sollten Nutzer wissen, damit sie sich selbst überlegen können, ob Google die eigene Mobilfunknummer haben soll oder nicht. Wir jedenfalls verzichten auf eine Eingabe.
Verweis auf Rechtstexte
Nach einem Klick auf „Nächster Schritt“ öffnet sich ein Fenster, das den Datenschutz und die Bedingungen anreißt. Wir erfahren, dass wir Googles Nutzungsbedingungen und Datenschutzerklärung zustimmen, wenn wir unseren Account eröffnen. Wir willigen insbesondere ins Folgende ein:
- Beim Verwenden der Google-Dienste speichert Google die Informationen, die wir erstellen.
- Google verarbeitet Informationen zu Aktivitäten beim Verwenden der Google-Dienste, beispielsweise auf YouTube gesehene Videos, „Geräte-IDs, IP-Adressen, Cookie-Daten und Standortinformationen“.
- Weitere Erläuterungen zur Datenverarbeitung sind in der Datenschutzerklärung zu finden.
- Verarbeitet werden Informationen wie beschrieben auch, „wenn Sie Apps oder Websites nutzen, die Google-Dienste wie Werbung, Analytics oder den YouTube-Videoplayer verwenden.“
Google verweist weiter auf die Möglichkeit, „einige dieser Daten mit Ihrem Google-Konto“ zu verknüpfen. Unter myaccount.google.com lässt sich festlegen, wie Google Daten erfassen und verarbeiten kann.
Weiter erklärt Google diverse Beispiel-Zwecke zur Datenverarbeitung. Diese Zwecke schauen wir uns nachher genauer an, wenn wir die Rechtstexte prüfen. Zum Schluss erklärt Google noch die Kombination von Daten: „Wir führen diese Daten zu diesen Zwecken auch dienst- und geräteübergreifend zusammen. So zeigen wir Ihnen zum Beispiel Werbung auf Basis von Informationen über Ihre Interessen, die wir aus Ihrer Nutzung der Google-Suche oder von Gmail ableiten können. Außerdem entwickeln wir mithilfe von Daten aus Billionen von Suchanfragen Modelle zur Rechtschreibkorrektur, die in allen unseren Diensten zum Einsatz kommen.“
Google macht bei den Einstiegshürden eine gute Figur
Checkboxen zeigt Google nicht an. Wir haben unseren Account eingerichtet. Das ging einfach und schnell, jedoch fühlten wir uns unzureichend aufgeklärt (nicht alle in der Registrierung geforderten Daten sind wirklich Pflichtangaben), die Passwortprüfung ist lausig und erste Einblicke in die Datenverarbeitungspraxis von Google lassen Böses erahnen.
Zusammenfassung Einstiegshürden:
- Einfachheit: ja, sehr einfach, 1 Punkt
- Sicherheit/ Seitenverschlüsselung: gute Verschlüsselung, 1 Punkt
- Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
- notwendiger Datenumfang: mehr Registrierungsdaten als nötig wäre, keine Aufklärung über Pflichtangaben, 0 Punkte
- vorausgewählte Checkboxen: nein, 1 Punkt
Damit erreicht das Freemail-Angebot von Google bei den Einstiegshürden 3 von 5 Punkten.
Die Usability bei Gmail
Als wir Gmail erstmals öffnen, zeigt uns eine kleine Einführungstour das Wichtigste in Kürze. Drei E-Mails von Google sollen Gmail noch besser erklären. Unten sehen wir, dass wir bei 10 % Einrichtungsfortschritt liegen; wir können Gmail intensiver anpassen. Zunächst aber interessieren uns die Leistungen:
- automatische Anmeldung in Google Hangouts
- individuelle Designs & personalisierbarer Posteingang
- sehr umfangreiche Zusatzfeatures (Kalender, SMS & Videoanrufe mit Hangouts, E-Mail-Suche, Gmail offline zum Verwenden von Gmail ohne Internetverbindung, Google Labs als Funktions-Testlabor, verschiedene Benachrichtigungsoptionen, optionale Tastenkombinationen, andere Google-Services u.v.m.)
- Filter für intelligenten Posteingang – automatisches Sortieren eingehender Mails mit Standard- oder individuellen Kategorien
- Mail-App für iOS & Android
- Speicher: 15 GB (für alle Google-Services, inkl. Gmail, Google Drive, etc.)
- IMAP/POP3 möglich
- Persönliche Ordner anlegen (bei Google heißen Ordner „Labels“; es existieren System-, Kategorie- und individuelle Labels)
- bestehende Mailpostfächer verbinden/ importieren
- bis zu 25 MB Anhang-Größe; darüber hinaus mittels Google Drive-Upload möglich (s. Hilfebereich)
- E-Mail zurückrufen: Mails können nach dem Senden noch zurückgerufen werden
- Spamfilter per Default aktiv
Die Featureliste von Gmail ist sehr, sehr lang – länger als andere je sein könnten. Das liegt an der Tatsache, dass Google selbst aus so vielen verschiedenen Services besteht. Sie führen kein Konto bei einem E-Mail-, sondern bei einem Service-Anbieter. Ganz klar also, dass Google im Prüfpunkt „Preis-Leistungsverhältnis“ volle Punktzahl erhält: kostenfrei, alle Standard- und zahlreiche Zusatzfeatures, 3 Punkte.
Werbeeinblendungen bei Gmail
Auch Google platziert Werbung in Gmail sehr dezent. Manchmal tauchen rechts Anzeigen auf; in die E-Mail-Liste reihen sich glücklicherweise keine Anzeigen ein. Diese Werbeeinblendungen können Sie in Googles Einstellungen zwar nicht verhindern, jedoch können Sie sich gegen personalisierte Werbung entscheiden.
Innerhalb der Werbeeinstellungen können Sie eine einfache Möglichkeit nutzen, personalisierte Werbung zu stoppen. In Googles ausführlichen Support-Seiten finden Sie weiterführende Informationen dazu. Weiter klären andere Hilfeseiten des Suchmaschinenriesen darüber auf, dass Sie Werbung zwar nicht grundsätzlich unterbinden, jedoch immerhin unerwünschte Anzeigen ausblenden lassen können.
Darüber hinaus haben Sie die Möglichkeit, einzelnen Werbeanbietern das Nutzen Ihres Surfverhaltens fürs Einblenden personalisierter Werbung zu untersagen. Das können Sie im Präferenzmanagement unter YourOnlineChoices.com einrichten. Diese Site enthält weitere gute Informationen über Online-Werbung und wird von der European Interactive Digital Advertising Alliance, kurz edaa, betreut.
Auch die Usability stimmt bei Gmail
Sowohl der Login-Prozess als auch der E-Mail-Versand/-Empfang funktionieren denkbar einfach. Google verzichtet auf einen hauseigenen Newsletter; ein Pflicht-Empfang existiert also nicht. Dezent platzierte Werbung und viele kostenfreie Features begeistern.
Zusammenfassung Usability:
- Preis-Leistungsverhältnis: kostenfrei (1 Punkt), Standardfunktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt) – also 3 Punkte
- Werbeeinblendungen auf der Seite: eher dezent, Personalisieren der Werbung kann deaktiviert werden, 2 Punkte
- Anmeldung/ Login-Prozess: einfach, 2 Punkte
- E-Mail-Versand & -Empfang: einfach, 2 Punkte
- (Pflicht-)Newsletter: nein, 1 Punkt
Damit erreicht das Freemail-Angebot „Gmail“ aus dem Hause Google bei der Usability 10 von 11 Punkten.
Rechtstexte bei Gmail
Der Zugang zu Googles Rechtstexten ist ausgezeichnet: sowohl beim Registrieren als auch mit bestehendem Account können Sie die Rechtstexte jederzeit problemlos finden und aufrufen. Die Nutzungsbedingungen haben sich seit dem 11. November 2013 nicht geändert, sodass unsere Ausführungen unter „Datenschutz & AGB bei Gmail“ im ersten Testbeitrag weiterhin Bestand haben.
Googles Datenschutzerklärung
Die Datenschutzerklärung hat sich seit unserem letzten Testbericht geändert; genau genommen gelten die aktuellen Bedingungen seit Ende August 2016. Gleich zu Beginn erhalten wir den Hinweis, dass wir Datenschutzeinstellungen unter „Mein Konto“ verwalten.
Das Prüfen auf Änderungen der Datenschutzerklärung, das die meisten Anbieter dem User überlassen, wird enorm erleichtert, da gleich zu Beginn der Erklärung das letzte Änderungsdatum verzeichnet ist. Man kann sich die PDF-Version herunterladen und die archivierte Version anzeigen lassen.
Löblich ist auch der Verweis auf Schlüsselbegriffe (eine Art Glossar), um die Verständlichkeit der Rechtstexte für weniger versierte User zu gewährleisten. Google betont gleich zu Beginn mehr als einmal, wie wichtig es sei, dass sich User Zeit fürs Lesen der Datenschutzerklärung nehmen. Da wirkt es abschreckend, dass die PDF-Version der Datenschutzerklärung sagenhafte 10 Seiten umfasst.
Arten der Datenerhebung
Google erklärt, dass Daten auf zwei Wegen gesammelt werden: Daten, die Sie an Google mitteilen, sowie Daten, die Google während Ihrer Nutzung der Dienste sammelt. Informationen, die Sie an Google mitteilen, entstehen beispielsweise beim Registrieren.
Es handelt sich um personenbezogene Daten, beispielhaft werden „Ihr Name, Ihre E-Mail-Adresse, Ihre Telefon- oder Kreditkartennummer“ genannt, „die im Zusammenhang mit Ihrem Konto gespeichert werden.“ Um sämtliche Funktionen nutzen zu können, kann Google Sie zum Erstellen von einem „öffentlich einsehbaren Google-Profil“ auffordern, „das auch Ihren Namen und Ihr Foto beinhalten kann.“
Weiter erfasst Google Daten, die sich aus Ihrer Nutzung der Google-Dienste ergeben. Google nennt recht transparent Beispiele, die Sie hier einsehen können. Gmail-Nachrichten sind leider auch unter den Informationen, die erfasst werden, zu sehen. Google erklärt: „Unsere automatisierten Systeme analysieren diese Informationen beim Senden, Empfangen und bei der Speicherung.“ Unseren Testern wird unwohl.
Das Unwohlsein steigt: „Diese Erfassung kann alle Inhalte betreffen, die unsere Systeme durchlaufen. Beispielsweise können Informationen in Ihrem Gmail-Posteingang verwendet werden, um Ihnen Flugbenachrichtigungen und Check-in-Optionen anzuzeigen.“
Wie eingangs erwähnt: Google ist in erster Linie eine Suchmaschine, die Anzeigen verkauft. Für den Anzeigenverkauf braucht es Nutzerdaten. Mit Ihrem Gmail-Account tragen Sie dazu bei, diese Nutzerdaten für Google zugänglich zu machen.
Diese Daten werden erhoben
Zu den Daten, die Google durch Ihre Nutzung der Services erhält, gehören die folgenden:
- Gerätebezogene Informationen: beispielhaft nennt Google „das Modell der von Ihnen verwendeten Hardware, die Version des Betriebssystems, eindeutige Gerätekennungen und Informationen über das Mobilfunknetz einschließlich Ihrer Telefonnummer.“ Ihre eindeutige Gerätekennung oder Mobilfunknummer können übrigens „gegebenenfalls mit Ihrem Google-Konto“ verknüpft werden. Was „gegebenenfalls“ genau bedeutet, erklärt Google nicht weiter.
- Protokolldaten: Während Ihrer Nutzung der Google-Dienste werden Informationen in Serverprotokollen erfasst und gespeichert. Unter anderem enthalten diese Protokolle:
- Details zur Dienstenutzung, „beispielsweise Ihre Suchanfragen“,
- Telefonieprotokollinformationen, beispielsweise „Ihre Telefonnummer, Anrufernummern, Weiterleitungsnummern, Datum und Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und Art der Anrufe“,
- Ihre IP-Adresse,
- Geräteereignis-Daten, beispielsweise „Abstürze, Systemaktivität, Hardware-Einstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer Anfrage und Referral-URL“,
- Cookies zur eindeutigen Identifikation über Ihren Browser oder Ihren Google-Account.
- Standortbezogene Informationen: „möglicherweise“, wie Google erklärt, werden „Informationen über Ihren tatsächlichen Standort“ erfasst und verarbeitet. Dazu können Technologien „wie IP-Adressen, GPS und andere Sensoren, die Google beispielsweise Informationen über nahe gelegene Geräte, WLAN-Zugangspunkte oder Mobilfunkmasten bereitstellen“, Einsatz finden.
- Eindeutige Anwendungsnummern: Bestimmte Dienste verfügen über eindeutige Anwendungsnummern. Diese sowie installationssspezifische Daten (z. B. Betriebssystem, Anwendungsnummer der Version) „werden möglicherweise bei der Installation oder Deinstallation des entsprechenden Dienstes an Google gesendet oder wenn der Dienst zum Beispiel wegen automatischer Updates Kontakt mit unseren Servern aufnimmt“, ebenfalls erfasst.
- Lokales Speichern: Es könnte auch sein, dass Google Informationen einschließlich persönlicher Daten lokal auf Ihren Geräten speichert.
- Cookies & Co.: Google und seine Partner nutzen verschiedene Tracking-Technologien, die Daten erfassen und speichern, wenn Sie Google-Dienste nutzen. „Möglicherweise“ gehören dazu „auch Cookies oder ähnliche Technologien, mit denen Ihr Browser oder Ihr Gerät identifiziert wird“. Dieselben Technologien nutzt Google auch zum Erfassen und Speichern von Daten, „wenn Sie mit Diensten interagieren, die Teil unseres Angebots für Partner sind“. Beispielhaft werden Websites genannt, die Google-Funktionen zur Verfügung stellen. Auch das sollten Sie wissen: „Unser Produkt Google Analytics unterstützt Unternehmen und Websiteinhaber bei der Analyse des Traffics zu ihren Websites und Apps. Bei Verwendung von Google Analytics zusammen mit unseren Werbediensten, z. B. solchen, die das DoubleClick-Cookie nutzen, werden Google Analytics-Daten vom Google Analytics-Kunden oder von Google mithilfe von Google-Technologie mit Daten über Besuche auf mehreren Websites verknüpft.“
Daten, die bei der Service-Nutzung erfasst werden, und Daten, die Google von anderen Stellen über Sie erhält, „können mit Ihrem Konto verknüpft werden“. Solche mit Ihrem Account verknüpften Daten behandelt Google als personenbezogene Daten.
So nutzt Google erhobene Informationen
Im Rahmen der Dienstenutzung erhobene Daten verwendet Google zum Bereitstellen, Warten, Schützen und Verbessern der hauseigenen Dienste, zum Entwickeln weiterer Dienste und zum Schützen von Google selbst sowie seinen Nutzern. Weiter werden diese Daten verwendet, „um Ihnen maßgeschneiderte Inhalte anzubieten“. Als Beispiele nennt Google „relevantere Suchergebnisse und Werbung“.
„Möglicherweise“ verwendet der Suchmaschinenriese Ihren im Profil angegebenen Namen für alle von Google offerierten Dienste, die einen Account erfordern. Damit alle Google-Dienste einheitlich geführt werden, ersetzt Google „möglicherweise Namen, die in der Vergangenheit mit Ihrem Google-Konto verknüpft waren“.
Verfügen andere Google-User bereits über Ihre E-Mail-Adresse, können diesen Usern alle von Ihnen öffentlich zugänglich gemachten Profilinformationen ebenfalls zugänglich gemacht werden. Entsprechend Ihrer konfigurierten Freigabe- und Sichtbarkeitseinstellungen können Ihre Profilinformationen öffentlich zugänglich sein. Google nennt „das Betätigen von +1-Schaltflächen“ sowie von Ihnen verfasste Bewertungen und Kommentare als Beispiele.
Kontaktierten Sie Google, werden Ihre Kommunikationen aufgezeichnet. Google kann Ihnen Änderungen zu den hauseigenen Diensten per E-Mail senden. Schalten Sie die personalisierte Werbung nicht aus, werden „Kennungen aus Cookies oder ähnlichen Technologien nicht mit sensiblen Kategorien, beispielsweise mit Kategorien, die auf Rasse, Religion, sexueller Orientierung oder Gesundheit beruhen, verknüpft“.
Googles Gründe fürs Analysieren von Inhalten
Ihre Inhalte, einschließlich Ihre E-Mails, werden von Googles Systemen automatisiert analysiert. Google begründet: „um Ihnen für Sie relevante Produktfunktionen wie personalisierte Suchergebnisse, personalisierte Werbung sowie Spam- und Malwareerkennung bereitzustellen“.
Auch können „unter Umständen“ personenbezogene Daten aus einem Google-Dienst mit personenbezogenen Daten aus einem anderen Google-Dienst verknüpft werden. Google gibt sich großzügig: „Dadurch vereinfachen wir Ihnen beispielsweise das Teilen von Inhalten mit Freunden und Bekannten“. Beispiele dieser Verknüpfungen können Sie hier nachlesen.
Sollen Daten zu anderen Zwecken als in der Datenschutzerklärung angegeben genutzt werden, so werden Sie um Ihre Einwilligung gebeten. Personenbezogene Daten werden von Google auf Servern verarbeitet, „die sich in zahlreichen Ländern auf der ganzen Welt befinden“. Es kann also passieren, dass Ihre „personenbezogenen Daten gegebenenfalls auf einem Server“ verarbeitet werden, „der sich außerhalb des Landes befindet, in dem Sie leben“.
Basteln Sie sich Ihren Datenschutz selbst
Unter dem Absatz „Transparenz und Wahlmöglichkeiten“ zeigt Google auf, wo Sie selbst noch Hand anlegen können. Machen Sie sich bitte keine Illusionen: datenschutzfreundlich werden Sie Google nie konfigurieren können. Noch mal: Google ist Betreiber eines Werbenetzwerks, das Daten zum Funktionieren benötigt. Nichtsdestotrotz können Sie zum Beispiel:
- Aktivitätseinstellungen anpassen: Hier können Sie in einem gewissen Rahmen festlegen, welche Arten von Daten gespeichert werden. Ihre Einstellungen können Sie zudem dahingehend ändern, dass „bestimmte Aktivitäten mithilfe eines Cookies oder ähnlicher Technologien auf Ihrem Gerät gespeichert werden, wenn Sie unsere Dienste als abgemeldeter Nutzer verwenden“.
- Google Dashboard: Hier prüfen bzw. verwalten Sie Informationen, die mit Ihrem Konto verknüpft sind.
- Personalisierte Werbung: Entscheiden Sie sich für oder gegen personalisierte Werbung.
- Google-Profil-Darstellung: Wer kann welche Informationen aus Ihrem Google+-Profil sehen? Das legen Sie hier fest.
- Datenexport: Sie können ein Archiv mit Ihren Daten aus sämtlichen von Ihnen verwendeten Google-Diensten erstellen. Dies dient auch der Ermittlung, welche Daten Google bereits von Ihnen hat.
- Empfehlungen: Haben Sie sich für ein Google+-Profil entschieden, können Sie hier festlegen, ob Ihr Profilname und -bild in geteilten Empfehlungen bei Anzeigen erscheinen soll oder nicht.
Unterbinden Sie in Ihrem Browser das Speichern von Cookies, gehen Sie vieler Datensammelwut zwar aus dem Weg, jedoch weist Google darauf hin, dass das Nutzen der Google-Dienste dann gegebenenfalls nur eingeschränkt möglich ist. Weitere Informationen über die von Google verwendeten Cookie-Arten finden Sie hier.
Aktualisieren von personenbezogene Informationen
Google erklärt, „bestrebt“ zu sein, Ihnen sowohl Zugriff auf Ihre personenbezogenen Daten zu geben, als auch leichte Möglichkeiten zum Aktualisieren Ihrer Daten bereitzustellen. Weiter ist Google „bestrebt, unsere Dienste auf eine Art und Weise bereitzustellen, durch die die Daten vor zufälliger oder mutwilliger Zerstörung geschützt sind. Aus diesem Grund löschen wir möglicherweise verbliebene Vervielfältigungsstücke von Daten, die Sie aus unseren Diensten gelöscht haben, nicht sofort von unseren aktiven Servern und entfernen diese Daten nicht von unseren Sicherungssystemen.“
Uns würde interessieren, was „möglicherweise“ und „nicht sofort“ konkret bedeuten. Überhaupt finden sich zahlreiche Konjunktive in Googles Datenschutzerklärung, ebenso wie uns das Wort „möglicherweise“ viel zu häufig begegnet. Etwas mehr Klarheit täte der Transparenz sehr gut!
Von Google weitergegebene Informationen
Unter den folgenden Umständen gibt Google personenbezogene Daten weiter:
- Sie haben eingewilligt: Haben Sie Ihre Einwilligung dazu gegeben, gibt Google „personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb von Google weiter“.
- Domain-Administratoren: Lassen Sie Ihren Account durch einen Domain-Administratoren verwalten, hat dieser „und die Vertriebspartner, die die Kundenbetreuung für Ihre Organisation erbringen, Zugriff auf die Informationen Ihres Google-Kontos (einschließlich Ihrer E-Mails und anderer Daten)“. Der Admin kann beispielsweise Ihr Account-Passwort ändern, Ihren Account sperren und so weiter. Weitere Informationen zum Domain-Administrator gibt Google an dieser Stelle.
- Verarbeitung durch andere Stellen: Google stellt Ihre personenbezogenen Daten „Partnern, anderen vertrauenswürdigen Unternehmen oder Personen zur Verfügung, die diese in unserem Auftrag verarbeiten“. Basis dessen seien „unsere Weisungen“ sowie die Verarbeitung von Daten „im Einklang mit unserer Datenschutzerklärung sowie anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen“. So richtig beruhigend wirkt das nun nicht.
- Aus rechtlichen Gründen: Hier lesen wir das Übliche. Wenn geltende Gesetze oder Vorschriften es erforderlich machen, Betrug oder Sicherheitsmängel aufgedeckt werden sollen oder Rechte, Eigentum sowie Sicherheit in Gefahr sind, können personenbezogene Daten weitergegeben werden.
Erneut „möglicherweise“ werden auch nicht personenbezogene Daten öffentlich gemacht oder an Partner weitergegeben. Beispielhaft nennt Google „Publisher, Werbetreibende oder verbundene Websites“.
Google möchte Datensicherheit erreichen
Maßnahmen, die Google zur Datensicherheit einsetzt, sind insbesondere:
- SSL-Verschlüsselung bei vielen Diensten,
- ein zweistufiges Bestätigungsverfahren für den sicheren Zugriff auf Ihren Google-Account,
- Safe Browsing, falls Sie mit Google Chrome browsen,
- das Überprüfen der hauseigenen „Praktiken zur Erhebung, Speicherung und Verarbeitung, einschließlich der physischen Sicherheitsmaßnahmen, zum Schutz vor unbefugtem Zugriff auf Systeme“ und
- Zugriffsbeschränkungen bei Mitarbeitern und Auftragnehmern auf personenbezogene Daten der Google-Nutzer.
EU-US Privacy Shield & Safe Harbor
Google erklärt, mehrere Selbstregulierungsverpflichtungen einzuhalten, die auf der Seite „Rahmen zur Selbstregulierung“ konkreter erklärt werden. Dazu gehört die Privacy Shield-Zertifizierung, aber auch die Möglichkeit, Nutzern Kontaktmöglichkeiten zum Thema Datenschutz anzubieten.
Für Nutzer aus der Schweiz kommt das Safe-Harbor-Abkommen zum Tragen. Der Konzern erklärt sich: „Google hat durch Zertifizierung erklärt, dass es die Safe-Harbor-Prinzipien einhält und wendet die Privacy-Shield-Prinzipien zwischen der EU und den USA auch auf personenbezogene Daten aus der Schweiz an.“
Zuletzt weist Google darauf hin, die „Branchenstandards für Transparenz und Wahlfreiheit bei der Onlinewerbung“ zu beachten. Hier kommen wir wieder auf die vorhin bereits erwähnte Site YourOnlineChoices.eu von der edaa.
Änderungen und weitere Informationen
Bei wesentlichen Änderungen der Datenschutzerklärung wird Google Sie kontaktieren und Ihnen die Änderungen mitteilen. Kleinere Änderungen könnten an Ihnen vorbeigehen, wenn Sie die Datenschutzerklärungssite nicht regelmäßig prüfen.
Mit dem Privatsphärecheck gibt Google Ihnen ein Tool an die Hand, die Privatsphäre Ihres Accounts zu überprüfen. Das Google Safety Center soll Ihnen Tipps zur Sicherheit liefern. Auf der Site „Sie haben die Kontrolle“ werden Ihnen noch mal sämtliche Möglichkeiten, die Sie selbst bestimmen können, aufgezeigt – das ist übersichtlich.
Jedoch kann man hier leicht den falschen Eindruck erhalten, Google sei datenschutzfreundlich. Dem ist nicht so: Für Google sind Ihre Daten Umsatz, denn Google ist Online-Werbe-Gigant. Vergessen Sie das bitte nie, wenn Sie mit Google umgehen!
Zusammenfassung Rechtstexte:
- Auffindbarkeit: gut, 2 Punkte
- Verständlichkeit: gut (verschiedene Sprachen, kein Fachchinesisch, gute weiterführende Erklärungen), 2 Punkte
- Klarheit/ Eindeutigkeit: unverständlich durch ständige Verwendung des Konjunktivs („Ihre Daten könnten genutzt werden“), außerdem ständige Wiederholung des Worts „möglicherweise“ – hier fehlt es sehr an Klarheit, 0 Punkte
- Inhalt: grobe Mängel (Inhalte wie E-Mails werden automatisch analysiert, Daten werden aus verschiedenen Diensten zusammengefügt, Daten werden sehr freizügig weitergegeben an nicht näher definierte Partner, Wahlmöglichkeiten sind mehr Schein als Sein), 1 Punkt
Damit erreicht das Freemail-Angebot von Google bei den Rechtstexten 5 von 9 Punkten.
Sicherheit bei Gmail
Die Gmail-Login-Site verzichtet auf Werbung, auf Berechtigungen und auf Aktivitätenverfolgung. Eine starke Verschlüsselung (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2) sichert die Eingabe der Login-Daten ab.
Einzig die Tatsache, dass die Checkbox bei „Angemeldet bleiben“ aktiviert ist, stört: Befinden Sie sich nicht am heimischen Rechner, kann das unschöne Konsequenzen haben. Deaktivieren Sie die Checkbox vor Ihrem Login, wenn Sie sich woanders befinden. Auch das Mail-Interface ist mit starker Verschlüsselung (Parameter s. o.) gut nach außen abgesichert.
E-Mail-Verschlüsselung: Ihre E-Mail-Inhalte werden analysiert
Zur E-Mail-Verschlüsselung erklärt Google: „Wann immer das möglich ist, werden Ihre Daten von Gmail anhand von Transport Layer Security (TLS) geschützt“. Ist dies nicht möglich, sehen Sie ein rotes Symbol mit einem offenen Schloss. Begegnet Ihnen dieses Symbol, sollten Sie aufs Versenden vertraulicher Inhalte wie Ihrer Steuererklärung oder Ihrem Arbeitsvertrag dringend Abstand nehmen.
Zum Verschlüsseln ist es notwendig, dass Absender und Empfänger TLS-Verschlüsselung unterstützen. Sie sehen das Symbol für fehlende Verschlüsselung, wenn der E-Mail-Absender bzw. -Empfänger bei einem Anbieter ist, der keine TLS-Verschlüsselung unterstützt. Über die Funktionsweise klärt Google an dieser Stelle sehr gut auf. Unsere Testmails waren sauber verschlüsselt (TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128).
Denken Sie bitte unbedingt an die Inhalte der Datenschutzerklärung zurück. Haben Sie etwas zu versenden, das sensible Informationen enthält, sollten Sie sich einen anderen Dienst als Gmail suchen. Denn die E-Mails werden nicht Ende-zu-Ende-verschlüsselt – Gmail scannt Ihre E-Mail-Inhalte!
Wie viele eingehende und ausgehende E-Mails via Gmail verschlüsselt versendet werden, können Sie sich auf der Einleitungsseite zur E-Mail-Verschlüsselung ansehen.
Sonstige Sicherheitsparameter bei Google
Als weitere Sicherheitsschranke bietet Google die Anmeldung in zwei Schritten: Neben dem herkömmlichen Login via Passwort können Sie auf verschiedenen Wegen (SMS, Sprachanruf, über App) einen Code erhalten. Wie die Anmeldung in zwei Schritten funktioniert, erklärt Google hier.
Damit reißen uns die Sicherheitsfeatures von Google nicht um. Zwei-Faktor-Authentifizierung ist sicherlich ein guter und hilfreicher Schritt. Noch besser wäre es jedoch, für Schritt 1, nämlich die Eingabe eines Passworts, nur sichere Passwörter zuzulassen.
Wie vorhin erwähnt, sind Googles Server weltweit verstreut. Wo genau sich die Rechenzentren befinden, erklärt Google auf der Standort-Site. Während der Konzern viel über die Effizienz der hauseigenen Server und der gesamten Infrastruktur schreibt, wird die Verschlüsselung der Server leider nicht konkretisiert.
Zusammenfassung Sicherheit:
- Seitenverschlüsselung (Login-Site & Mail-Interface): sicher verschlüsselt, 2 Punkte
- E-Mail-Verschlüsselung: keine Ende-zu-Ende-Verschlüsselung, Mailinhalte werden von Google analysiert, TLS-Verschlüsselung abhängig vom Gesprächsteilnehmer, 1 Punkt
- sonstige Sicherheitsfeatures: gering, 1 Punkt
- Serverstandorte: weltweit, 1 Punkt
- Serververschlüsselung: keine Angaben, 0 Punkte
- Datenspeicherung auf Servern: zu viel, wie den Rechtstexten zu entnehmen ist, 0 Punkte
Damit erreicht das Freemail-Angebot von Google bei der Sicherheit 5 von 14 Punkten.
Das Fazit zum E-Mail Anbieter „Google Gmail“
Dass Daten Googles Geschäft sind, wird schon bei der Registrierung eines Google-Accounts deutlich: Es fand keinerlei Aufklärung darüber statt, welche Registrierungsdaten Pflichtangaben sind. An der Passwortvergabe muss Google arbeiten!
Denn die Passwortprüfung lässt auch sehr unsichere Passwörter durch, die Usern dann als „stark“ verkauft werden. Ansonsten aber fällt die Registrierung einfach aus, die Registrierungsseite ist sicher verschlüsselt und es gibt keine vorgekreuzten Checkboxen.
Im Bereich Usability bekommt Gmail fast volle Punktzahl: Das Angebot ist kostenfrei und sehr umfangreich, da Sie sich nicht explizit für einen E-Mail-Account registrieren, sondern Sie melden sich für alle Google-Dienste an. Dezent platzierte Werbung lässt sich wahlweise personalisieren, leider jedoch nicht ganz abschalten. Sowohl die Anmeldung als auch der E-Mail-Versand/ -Empfang sind einfach und dass Google auf Pflichtnewsletter verzichtet, gefällt uns.
Deutlich weniger Gefallen fanden Googles Rechtstexte. Zwar sind Auffindbarkeit und Verständlichkeit bestens. Aber durch das ständige Verwenden des Konjunktivs und des Worts „möglicherweise“ leiden Klarheit und Transparenz.
Inhaltlich weisen die Rechtstexte, insbesondere die Datenschutzerklärung, grobe Mängel auf: Sämtliche Inhalte, auch die Ihrer E-Mails, werden automatisch analysiert, die Daten werden recht freizügig weitergegeben an Partner, die nicht näher benannt werden, und die von Google zur Verfügung gestellten Wahlmöglichkeiten sind insgesamt eher Schein als Sein.
Insgesamt schafft es Google auf 23 von 39 möglichen Punkten. Aktuell liegen somit Gmail und das Freemail-Angebot der Deutschen Telekom (ebenfalls 23 Punkte) vor Yahoo (18 Punkte).
Schreibe einen Kommentar