Was kann Telekom Mail?
Mit der Android-App „Telekom Mail“ kann man E-Mails auf dem Smartphone abrufen und versenden. Die App lässt sich mit einem E-Mail-Konto der Telekom verknüpfen, aber auch mit E-Mail-Konten von jedem beliebigen anderen Anbieter, solange dieser die gängigen Protokolle IMAP oder POP3 unterstützt.
Die App ist für iOS und Android verfügbar, sie ist kostenlos, schaltet aber Werbung im Posteingang, wenn man keinen kostenpflichtigen Mail-Service von Telekom nutzt (Mail & Cloud L oder M). Mit 22 MB Speicherplatz (Android) gehört sie eher zu den schlankeren Vertretern ihrer Art.
Anbieter ist die Telekom Deutschland GmbH, einer Tochter der Deutschen Telekom AG. Die Bundesrepublik Deutschland und die KfW halten gemeinsam rund 32 Prozent der Aktien.
Unser Test im Überblick
Die Telekom nutzt ihre Mail-App für ausgiebige Nutzeranalysen und schaltet für Nichtzahler Werbung in der App. Für die Dienstleistung „E-Mails abrufen, verwalten und versenden“ wäre das nicht unbedingt nötig. Es ist aber auch nicht illegitim, wenn ein Anbieter auf diese Weise Geld verdient. Und: Der Hersteller macht erkennbare Anstrengungen, die Privatsphäre von NutzerInnen dabei zu respektieren. Allerdings gelingt das nicht überall.
So überträgt die App die Android-ID des Nutzers an das US-Unternehmen „Apteligent“. Damit widerspricht die App unserer Ansicht nach der Datenschutzerklärung, in der es beim Abschnitt zu Apteligent heißt:
Zu keinem Zeitpunkt werden persönliche oder personalisierbare Daten übermittelt.
Da die Android-ID einmal in unlesbarer Form (gehasht) und einmal nicht gehasht übertragen wird, handelt es sich vermutlich um einen Fehler. Bis Redaktionsschluss äußerte sich die Telekom nicht zu dem Sachverhalt.
Neben Apteligent und der Telekom erhalten sieben weitere Unternehmen Daten direkt aus der App. Mit Ausnahme der Google Werbe-ID sind dies aber Daten, die man eher nicht als personenbezogen definieren kann. Für die gesamte Nutzeranalyse gibt es zudem eine – wenn auch gut versteckte – Opt-out-Möglichkeit.
Lästig ist, dass die App penetrant nach der Berechtigung „Kontakte“ fragt, obwohl sie diese nicht unbedingt bräuchte. Hier wünschen wir uns mehr Wahlfreiheit für die NutzerInnen.
Unser Fazit: Kann man nutzen – muss man aber nicht.
Die wichtigsten übermittelte Informationen im Überblick:
- Android-ID
- Google Werbe-ID
- Android-Version (inkl. Build-Nummer)
- Verwendete CPU
- Gerätehersteller und Modell
- Mobilfunkanbieter
Unser Test im Detail
Getestet haben wir die Version 1.8.7, die wir aus dem Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Die technische Analyse führte Mike Kuketz durch.
Auf welche Daten kann die App zugreifen?
Die angeforderten Berechtigungen sind für eine E-Mail-App größtenteils plausibel. Kritikpunkt: Die App funktioniert nur eingeschränkt, wenn man den Zugriff auf „Kontakte“ nicht zulässt. Ein Gmail-Konto kann man ohne „Kontakte“ gar nicht verknüpfen, bei anderen Konten fragt die App sehr penetrant nach. Dabei funktioniert eine E-Mail-App natürlich auch ohne Zugriff auf das Adressbuch.
Die Berechtigung „Kamera“ braucht die App nach eigenen Angaben, damit man Fotos direkt als Anhang versenden kann.
- Kamera
- Kontakte
- Speicher
- Sonstige
Wohin verbindet sich die App?
Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller. Im folgenden haben wir testweise zwei GMX-Konten und ein Gmail-Konto mit der App verknüpft. Insgesamt erhalten neun verschiedene Unternehmen Daten aus der App.
1. Hauptdienst: Telekom Für jedes Konto, das man verknüpft, generiert die App einen Identifier, zum Beispiel „bb1296d5“ für das verknüpfte Testkonto „mario-weberlein@gmx.de“. Dieser wird an Telekom gesendet. Die Telekom erfährt also nicht, welche E-Mail-Adressen man benutzt.
Es werden auch Codes für bestimmte Nutzeraktionen gesendet, zum Beispiel „cg3“ wenn man den Posteingang aufruft. Ähnliche Codes gibt es für „E-Mail versenden“, „E-Mail lesen“ und viele mehr.
2. Werbung: Unternehmen der Ströer-Gruppe Die Ströer SE & Co. KGaA ist einer der größten deutschen Vermarkter von Online- und Außenwerbung. Auch T-Online gehört seit 2015 dazu (nicht aber die Telekom Deutschland GmbH).
Die App „Telekom Mail“ blendet Werbung zwischen den E-Mails im Posteingang ein, es sei denn, man nutzt einen kostenpflichtigen Mail-Dienst der Telekom, wie etwa Mail & Cloud L oder M. Darüber informiert die App mit einer extra Benachrichtigung. Die Werbung wird von Servern der Adtech AG ausgeliefert, einer Tochterfirma des US-Konzerns AOL, dort fließen aber keine Daten hin.
Die App übermittelt folgende Informationen an Server der Ströer-Gruppe:
- App-Name und Version (Telekom Mail)
- Google Werbe-ID
Hinweis: Laut Datenschutzerklärung nutzt Ströer die Werbe-ID zur Profilbildung, es sei denn, man hat die Option „Interessensbasierte Werbung“ bei den Geräte-Einstellungen deaktiviert.
3. Analyse: Apteligent Inc. Dienst zur Analyse von Fehlern und deren Ursachen im Programmcode der App. Sitz in San Francisco, USA. Der Dienst erhält folgende Informationen:
- App-Name und Version (Telekom Mail)
- Android-ID des Gerätes in unlesbarer Form (gehasht)
- Android-ID ungehasht
- Geräte-Hersteller und Modell
- Android-Version
- Sprache und Land
- Mobilfunkanbieter (hier O2)
4. Analyse: Tealium Inc. Dienstleister für Marketing und Tagmanagement, Sitz in Kalifornien, USA. Tealium erhält folgende Daten:
- App-Name und Version (Telekom Mail)
- Sprache
- Android-Version (inkl. Build-Nummer)
- Verwendete CPU
- Gerätehersteller und Modell
- Mobilfunkanbieter (hier O2)
- Einmalig generierte Nutzer-ID
- Informationen zur Nutzung (worauf man innerhalb der App klickt)
- Welche Werbung angezeigt wurde und worauf man geklickt hat
5. Analyse: Adjust GmbH Tracking-Dienstleister, mit dem App-Hersteller Nutzerverhalten und Marketingkampagnen auswerten können. Gegründet von dem deutschen Unternehmer Christian Henschel, Firmensitz ist Berlin und San Francisco. Adjust erhält folgende Daten:
- Google Werbe-ID
- Geräte-Hersteller und Modell
- Android-Version (mit Build-Nummer und weiteren Detail-Informationen)
- Sprache
- Welche CPU verbaut ist
6. Analyse: INFOnline GmbH Deutscher Dienstleister für Reichweitenmessung und Analyse von Nutzerverhalten. Die gespeicherten Nutzungsvorgänge werden nach eigenen Angaben spätestens nach sieben Monaten gelöscht. Analysetool ist die SZM-Messung. Der Dienst erhält folgende Daten:
- Name und Version der App (Telekom Mail)
- Werbe-ID (vermutlich eine einmalig von dem Dienst vergebene Kennnummer)
- Sprache und Land
- Geräte-Hersteller und Modell
- Android-Version
- Mobilfunkanbieter (hier O2)
7. Analyse: Arbeitsgemeinschaft Online Forschung AGOF Ein Zusammenschluss der führenden Online-Vermarkter in Deutschland. Eine Aufgabe der AGOF ist es, vergleichbare Reichweitenmessungen von Webseiten und Apps zur Verfügung zu stellen. Der Dienst erhält folgende Informationen:
- Android-Version
- Kennnummer für die genutzte App
- Verschiedene, von der App generierte anonyme Kennnummern
8. Push-Dienst: Google Das „Google Service Framework“ wird benötigt, um Push-Nachrichten zu übermitteln (GCM). Es werden (wie üblich) eine Menge Gerätedaten übermittelt, unter anderem:
- Geräte-Hersteller und Modell
- Android-Version
9. Servereinstellungen: Mozilla (live.mozillamessaging.com) Wenn Sie E-Mail-Postfächer anderer Anbieter in der Telekom Mail App verwenden, versucht die App, die Einstellungen für den Posteingangs- und Postausgangsserver (IMAP/SMTP) anderer Anbieter automatisch zu ermitteln. Dazu verwendet die App eine Datenbank des Mozilla Projektes. Dabei wird der E-Mail-Anbieter (hier gmx.de) an Mozilla übermittelt.
Wie sicher speichert die App meine Daten?
Nach der Anmeldung beim GMX-Konto wird der Nutzername und das Passwort von Android unter Konten abgelegt und dort sicher verwahrt.
Was sagt die Datenschutzerklärung?
Die Datenschutzerklärung ist im Play-Store verlinkt und innerhalb der App im Menü unter dem Punkt Datenschutz zu finden.
Sie informiert ausgesprochen transparent und gut verständlich über alle erhobenen Daten und deren Verwendungszweck. Eingebundene Dienstleister werden namentlich genannt, wobei wir im Test nicht zu allen genannten Unternehmen Datenübertragungen beobachten konnten.
Für alle eingebundenen Analyse-Dienste gibt es Opt-out-Optionen. Diese sind klar beschrieben und praktikabel umgesetzt. Insgesamt haben wir hier ein gutes Beispiel, wie eine hilfreiche Datenschutzerklärung aussehen kann.
