https://www.faz.net/-gqe-9byj2

Einfallstor Add-Ons : Entwickler lasen E-Mails von Google-Mail-Kunden mit

Man wähnt sich allein, wenn man E-Mails schreibt und liest. Hin und wieder aber schaut ein Entwickler über die virtuelle Schulter. Bild: Picture-Alliance

Entwickler von Zusatzprogrammen für Googles Maildienst haben E-Mails mitgelesen, um Algorithmen zu verbessern. Auch Deutsche könnten betroffen sein. Wenn das Unternehmen recht hat, sind sie selber schuld.

          Wenn vor einigen Jahrzehnten jemand Briefe mitgelesen hat, handelte es sich ziemlich sicher um einen Geheimdienst. Von Stasi-Methoden war dann die Rede. Die Zeiten sind vorbei: Algorithmen lesen E-Mails permanent mit. Denn nur die Wenigsten lesen die Datenschutz-Vereinbarungen, denen sie zustimmen. Das ist auch das Kernproblem in einem neuen Google-Fall.

          Gustav Theile

          Redakteur in der Wirtschaft.

          Wie das „Wall Street Journal“ berichtet, haben diverse Anbieter von sogenannten Add-ons die E-Mails von Gmail-Nutzern, dem E-Mail-Dienst von Google, mitgelesen. Add-ons sind Programme, die Zusatzfunktionen anbieten. Manche der Programme scannen beispielsweise automatisch E-Mails von Online-Einkäufen, suchen nach günstigeren Angeboten für das gleiche Produkt und kontaktieren den Verkäufer, um die Differenz zwischen den Preisen zurückzuverlangen.

          Das Brisante an diesen Add-ons: Nicht nur Computer haben diese E-Mails analysiert – das ist allgemein bekannt und branchenweit üblich. Sondern auch Angestellte der Unternehmen haben in manchen Fällen E-Mails gelesen. Das Ziel war, Algorithmen zu verbessern und Computern beizubringen, E-Mails richtig zuzuordnen.

          Ingenieure lasen private E-Mails

          In einem konkreten Fall ging es um das New Yorker Unternehmen Return Path, das sich auf Datensammlung für Marketing-Firmen spezialisiert hat. Return Path entwickelt selbst Add-ons, kooperiert aber auch mit anderen Unternehmen. Es hilft diesen Partner-Unternehmen beim Umgang mit E-Mail-Daten – im Gegenzug erhält es Zugriff auf diese Daten. Mit diesen Daten kann Return Path für seine Kunden analysieren, welche Marketing-E-Mails wie oft gelesen werden und welche E-Mails Konkurrenten versenden – wertvolle Informationen für Marketing-Unternehmen.

          Bevor die E-Mails in das Analyse-System gespeist werden, sortiert ein Algorithmus private E-Mails aus. Dafür sucht der Algorithmus nach bestimmten Worten, beispielsweise nach „Großmutter“. Im Jahr 2016 stellte das Unternehmen fest, dass viele Millionen privater E-Mails fälschlicherweise als geschäftlich gekennzeichnet und daher mitanalysiert wurden. Um diesen Fehler zu beheben, lasen zwei Ingenieure 8000 E-Mails und kennzeichneten diese als geschäftlich oder privat. Diese Informationen halfen dem Algorithmus, E-Mails besser zu kennzeichnen.

          Return Path behauptet, dass dieser Vorgang im Einklang mit den Datenschutz-Bestimmungen des Unternehmens steht – denen die Kunden bei der Installation der Add-ons zugestimmt haben. Laut „Wall Street Journal“ steht aber nirgendwo in den Datenschutz-Bestimmungen, dass die E-Mails nicht nur von Computern, sondern auch von Menschen gelesen werden.

          Branchenweites Problem

          Möglicherweise handelt es sich aber um ein noch viel größeres Problem: Thede Loder, ehemaliger Chef eines Return-Path-Konkurrenten, spricht von einem „dreckigen Geheimnis“ der Branche, dass sie regelmäßig Angestellte E-Mails lesen lasse, um diese Art von Daten zu sammeln.

          Google verteidigt sich in einem Blog-Eintrag: Die Kunden hätten weitreichende Möglichkeiten, über ihre Daten zu verfügen und müssten jeder Verwendung ihrer Daten zustimmen. Außerdem prüfe Google die Anbieter von Add-ons sehr genau, bevor diese mit ihren Produkten online gingen. Vor allem kontrolliere es, ob Unternehmen sich selbst den Kunden gegenüber ehrlich präsentieren, ihre Identität nicht verschleiern und nur relevante Daten sammeln. App-Entwickler berichten hingegen, dass Google wenig tut, um diese Regeln auch durchzusetzen.

          In letzter Zeit wurden immer wieder Daten-Skandale bekannt, prominentestes Beispiel war Facebook. Auch dort hatten Unternehmen über Zusatzanwendungen Zugriff auf die Daten von hunderttausenden Menschen erhalten.

          Deutsche E-Mail-Provider hüllen sich in Schweigen

          Während Gmail weltweit einer der Marktführer ist, ist der Marktanteil in Deutschland mit knapp 10 Prozent vergleichsweise gering. Laut dem Statistikdienst Statista hatten 2017 jeweils ein Viertel der Deutschen ihren meistgenutzten E-Mail-Account bei gmx.net und web.de, beides Marken des deutschen Unternehmens United Internet, das damit rund die Hälfte des Marktes kontrolliert. Gut 13 Prozent nutzten primär einen Account von T-Online. Sieben Prozent vertrauten dem Microsoft-Produkt Outlook.com.

          Ob auch die E-Mails von Deutschen mitgelesen wurden, ist unklar. Wer eines der fraglichen Gmail-Add-ons installiert hatte, könnte betroffen sein. Ebenso unklar ist, inwieweit auch E-Mail-Anbieter in Deutschland ihre Angestellten die E-Mails ihrer Kunden lesen lassen. Eine Anfrage von FAZ.NET an die Unternehmen Telekom und Microsoft, ob sie ausschließen können, dass externe Anbieter E-Mails analysieren oder Menschen in den Unternehmen E-Mails mitlesen, blieb zunächst unbeantwortet. United Internet teilte auf Anfrage mit: „„Web.de und Gmx bieten Drittanbietern keine eigene Zugriffsschnittstelle (API) auf die Inhalte der Nutzerkonten an.“ Ein Datenaustausch mit zusätzlichen E-Mail-Programmen sei nur über offene Standards wie IMAP, POP3 oder CalDAV möglich - also Standards, mit denen man etwa seine E-Mails in Programmen wie Apple Mail abrufen kann. Um das einzurichten, müssten Nutzer ihr Kennwort eingeben.

          Weitere Themen

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.