Datenschutzniveau von Gmail lässt im Test zu wünschen übrig

FULDA. Mit Gmail hat der Internetriese Google einen kostenlosen E-Mail-Dienst zum bereits bestehenden Service am Markt. Wer das Angebot nutzt, richtet sich nicht explizit einen Account zum Versenden und Empfangen von E-Mails, sondern einen Google-Account ein, mit dem sämtliche Google-Dienste genutzt werden können.

Die IT-Sicherheitsexperten der PSW Group haben sich Gmail im Test näher angesehen und kritisieren das Angebot hinsichtlich Datenschutz und Sicherheit: „Google ist in erster Linie eine Suchmaschine, die Anzeigen verkauft. Für den Anzeigenverkauf braucht es Nutzerdaten. Und mit jedem Gmail-Account tragen User dazu bei, ihre Nutzerdaten für Google zugänglich zu machen. Das sollte sich jeder bewusst machen, der einen Google-Account eröffnet", sagt Christian Heutger, Geschäftsführer der PSW Group.

Googles Geschäft sind Daten, das wird schon bei der Registrierung deutlich: Bereits hier möchte Google viel von seinen Usern wissen, neben dem obligatorischen Vor- und Nachnamen unter anderem auch das Geschlecht, die Mobilfunknummer und das Geburtsdatum. Dabei sind längst nicht alle Registrierungsangaben Pflichtdaten – darüber klärt Google allerdings nicht auf. „Die Tatsache, dass kein Hinweis darauf zu bekommen ist, dass beispielsweise die Mobilfunknummer optional eingegeben werden kann, enttäuscht. Das sollten Nutzer aber wissen, damit sie sich selbst überlegen können, ob Google die eigene Mobilfunknummer haben soll oder nicht“, ergänzt Heutger. Immerhin: Google verzichtet auf Berechtigungen und auf Aktivitätenverfolgung, obendrein sichert eine starke Verschlüsselung die Eingabe der Login-Daten ab.

„Die Passwortvergabe dafür ist erschreckend. Denn die Passwortprüfung lässt auch sehr unsichere Passwörter durch, die Usern dann als 'stark' verkauft werden. So zum Beispiel sieht es Google als sicher an, wenn das Passwort Bestandteil der E-Mail-Adresse ist“, kritisiert Christian Heutger. Im Bereich Usability macht Gmail dagegen eine gute Figur: Das Angebot ist umfangreich, dezent platzierte Werbung lässt sich wahlweise personalisieren, leider jedoch nicht ganz abschalten. Sowohl die Anmeldung als auch der E-Mail-Versand bzw. -Empfang funktionieren denkbar einfach. Dass Google auf Pflichtnewsletter verzichtet, ist ein weiterer Pluspunkt.

Deutlich weniger Gefallen fanden Googles Rechtstexte. Zwar sind die Auffindbarkeit und Verständlichkeit bestens, löblich ist der Verweis auf Schlüsselbegriffe, um die Verständlichkeit der Rechtstexte für weniger versierte User zu gewährleisten. Durch die fortlaufende Verwendung des Konjunktivs, beispielsweise in Formulierungen wie „Ihre Daten könnten genutzt werden“ und des Worts „möglicherweise“, leiden die Klarheit und Transparenz.

Inhaltlich weisen dann die Rechtstexte, insbesondere die 10 Seiten umfassende Datenschutzerklärung, grobe Mängel auf; sämtliche Inhalte, auch die aller E-Mails, werden automatisch analysiert. Dabei sammelt Google Daten auf zwei Wegen: Zum einen Informationen, die der User selbst an Google mitteilt, beispielsweise bei Registrierung; darüber hinaus sammelt Google auch Daten, die während der Nutzung der Dienste entstehen. „Leider sind auch Gmail-Nachrichten unter den Informationen, die erfasst werden. Google selbst nennt dazu beispielhaft personenbezogene Daten wie Name, E-Mail-Adresse und Kreditkarten- und Telefonnummer, an denen der Dienst interessiert ist“, verweist Heutger auf die Datenschutzerklärung. Nicht zur Beruhigung des IT-Sicherheitsexperten trägt zudem bei, dass Google diese Daten dann auch recht freizügig weitergibt – an Partner, die nicht näher benannt werden. Zwar stellt Google einige Features bereit, mit deren Hilfe Anwender den Datenschutz schärfer einstellen können; datenschutzfreundlich können User Google jedoch nicht konfigurieren.

Während die Login-Seite sowie auch das Mail-Interface mit starker Verschlüsselung gut nach außen abgesichert sind, wird es bei der E-Mail-Verschlüsselung noch einmal interessant. Google schützt, wann immer möglich, Daten von Gmail anhand von Transport Layer Security (TLS). „Zum Verschlüsseln ist es notwendig, dass Absender und Empfänger die TLS-Verschlüsselung unterstützen. Ist der E-Mail-Absender bzw. -Empfänger bei einem Anbieter, der keine TLS-Verschlüsselung unterstützt, erkennen User dies an einem Symbol für fehlende Verschlüsselung“, erklärt Heutger, warnt jedoch: „E-Mails werden nicht Ende-zu-Ende verschlüsselt – Gmail scannt laut Datenschutzerklärung sämtliche E-Mail-Inhalte!“ (red)