Entwickler von Gmail-Apps können E-Mails lesen

Drittanbieter von Apps für Gmail können die persönlichen Mails der Nutzer lesen. Das sei "übliche Praxis", sagt ein Experte. Was steckt dahinter?

In Pocket speichern vorlesen Druckansicht 283 Kommentare lesen
Entwickler von Gmail-Apps können E-Mails lesen
Lesezeit: 4 Min.
Inhaltsverzeichnis

Das Wall Street Journal (WSJ) spricht von einem "Dirty Secret" der Tech-Welt, denn Entwickler können "Hunderte Millionen E-Mails" bei Gmail lesen. Das klingt nach einem dramatischen Datenskandal, nach einem neuen Cambridge Analytica. Doch ganz so schlimm ist es offenbar nicht: Es geht um all jene Gmail-Nutzer, die Drittanbietern bestimmte Berechtigungen eingeräumt haben. Wer etwa mit einer Third-Party-App sein Gmail-Postfach verwalten möchte, muss ihr Zugriffsrechte einräumen. Das bedeutet allerdings auch, dass nicht nur Maschinen die Mail auswerten können – sondern auch Menschen, wie nun zwei Beispiele veranschaulichen.

In dem einen Fall geht es um das Unternehmen Return Path, das Daten fürs Marketing sammelt, indem es die Posteingänge von "mehr als zwei Millionen Nutzern" scannt. Diese haben zuvor eine der 163 Apps aus dem Partnernetzwerk von Return Path heruntergeladen und ihnen die Lese- und Schreibrechte eingeräumt. Die Mitarbeiter hätten vor rund zwei Jahren etwa 8000 Mails gelesen, um die Software zu trainieren. Ein zweites Beispiel ist Edison Software, ein anderer Entwickler, der Apps für die Organisation von Mails anbietet. Mitarbeiter hätten dort die Mails von "Hunderten Nutzern" gelesen, um eine neue Funktion zu entwickeln, schreibt das Wallstreet Journal (WSJ) und beruft sich dabei auf den CEO des Unternehmens, Mikael Berner.

Das alles sei übliche Praxis, doch "manche halten das vielleicht für ein schmutziges Geheimnis", erklärt Thede Loder dem WSJ. Loder war Technischer Direktor (CTO) bei eDataSource, einem Rivalen von Return Path. Dass Entwickler Zugriff auf die private Post der Nutzer haben, sei aber nun mal "Realität", findet Loder. Weder Return Path noch Edison Software haben die Nutzer allerdings explizit gefragt, ob sie deren Mails lesen dürfen. Das Vorgehen sei aber gedeckt durch die Nutzungsbedingungen gewesen, versichern beide Firmen. Laut WJS fehlt in den Texten jedoch der klare Hinweis, dass auch Menschen die Post analysieren können.

Schreiben, senden, löschen und verwalten: Eine externe App erbittet Zugriff auf einen Gmail-Account.

(Bild: Google)

Die Mitarbeiter, die Mails persönlich gelesen haben, mussten sich an "strenge Protokolle" halten. eDataSource hat ebenfalls Mails durch Menschen lesen lassen, diese Praxis kürzlich aber beendet, um die Privatsphäre der Nutzer zu schützen. Es gebe laut WSJ keinen Hinweis darauf, dass die Daten der Nutzer in irgendeiner Form missbraucht wurden. Für Marketing-Firmen ist der ungefilterte Zugang zu Mails reizvoll, um Nutzern etwa maßgeschneidert Werbung anzuzeigen. Die externen Apps haben Zugriff auf diverse Metadaten, den Betreff und auch auf den eigentlichen Nachrichteninhalt.

Google erklärte auf Nachfrage, dass Daten nur an externe Entwickler weitergeben werden, sofern der Nutzer vorher zugestimmt hat. Mobil-Apps fordern die Zugriffsrechte bei der ersten Nutzung ein. Auch die Google-Mitarbeiter selbst können Mails in Gmail-Postfächern lesen – allerdings nur in "sehr speziellen Fällen", erklärte das Unternehmen weiter. Das kann beispielsweise aus Sicherheitsgründen nötig sein, um einem Bug oder einem Missbrauch auf die Spur zu kommen. Google hole sich vorher aber immer die Genehmigung des Nutzers ein.

Wer als externer App-Entwickler auf Gmail-Konten und andere Google-Dienste zugreifen will, muss sich zuvor einer Prüfung unterziehen. Die Entwickler-Vereinbarung von Google verbietet es, die privaten Daten eines Nutzers ohne dessen Genehmigung an Dritte weiterzugeben. App-Entwickler dürfen außerdem keine "dauerhaften Kopien" von Benutzerdaten erstellen und speichern. Die Überprüfung sei aber eher lasch, sagten Entwickler dem WSJ. Google hingegen betont, dass jeder Entwickler, der Zugriff auf Gmail einfordern möchte, manuell überprüft werde.

Die Nutzer können in ihrem Google-Konto sehen, welche Apps und Dienste welche Zugriffsrechte haben ("Drittanbieter-Apps mit Kontozugriff"). Dort lassen sich erteilte Berechtigung jederzeit per Klick entziehen. (dbe)