Web.de und die "Extraktion des Inhalts Ihrer E-Mails"

In der Datenschutzerklärung von web.de ist zu lesen:

Um den Dienst anbieten zu können, müssen wir ein entsprechendes Interessenprofil erstellen, auf dessen Basis Sie interessengenauer angesprochen werden können. Dieses Profil wird durch Ableitung und Extraktion des Inhalts Ihrer E-Mails erstellt.

https://agb-server.web.de/datenschutz

An Klarheit immerhin nicht zu überbieten - IRC war der letzte Satz vor einem Jahr oder so noch nicht da drin.

Laut DSGVO kann man Direktmarketing und dem dazugehörigen Profiling schriftlich widersprechen. Hat jemand hier das schon einmal gemacht, ganz unabhängig von der Art des Anbieters?

Bei GMX und web.de kann man sich durch einen Bezahl-Account von der Werbung freikaufen, was aber nicht heißt, dass sie dadurch auch das Profiling einstellen. Selbst Google sichert inzwischen zu, dass sie die Inhalte auf GDrive, GMail und GPhotos nicht für interessenbasierte Werbung nutzen (nachzulesen, wenn man sich einloggt und in die Datenschutzeinstellungen geht) - doch sagt das eben nichts über die Profilbildung aus, die im Hintergrund höchstwahrscheinlich weiterläuft.

Könnte man auch bei der Fa. Google (da in der EU als Anbieter tätig) dem Direktmarketing und Profiling widersprechen? Ich kann mich dunkel daran erinnern, dass die Datenschutzerklärung von Meta genau das anspricht - mit der Folge, dass man seinen Account dann schließen muss, weil der ‚Dienst‘ nicht mehr erbracht werden kann. Zwar kann man auch für bestimmte Meta-Dienste inzwischen mit Geld statt mit Daten zahlen, aber da geht es immer nur um die Werbefreiheit, nicht um das Erzeugen oder Nicht-Erzeugen von Profilen im Hintergrund.

Ein Deal wie ‚bezahl mich, und ich track dich nicht‘ wäre auch nicht im Sinne der DSGVO, wo es in gewissem Rahmen um ‚unveräußerliche‘ Persönlichkeitsrechte geht. Wäre schön, wenn es für den o.g. Widerspruch vorgeschriebenermaßen einen Button oder ein Häkchen gäbe und man nicht stattdessen mailen oder snailmailen soll…

2 „Gefällt mir“

Meines Wissens wurde sowas vor längerer Zeit hier im Forum diskutiert. Wenn ich mich noch richtig erinnere, hat der Widerspruch bei web(de) automatisch zum Rauswurf des Nutzers oder der Nutzerin, also praktisch zum Rauswurf des Produktes, geführt.

Wo kommen wir hin, wenn sogar Produkte widersprechen dürfen?!

Davon kann (muss) man ausgehen. Speziell im Hinblick auf Google (GMail) hat Mike das Thema vor längerer Zeit im Blog angesprochen, beleuchtet und analysiert.

ist das nicht ein Verstoß gegen das Telekommunikationsgeheimnis? Will jemand Beschwerde beim BfDI einreichen?

1 „Gefällt mir“

Intuitiv würde ich auch so reagieren.
Aber die (MS, Google, United Internet, etc.) schreiben sich das einfach in die AGB und der Teilnehmer lässt sich ja „freiwillig“ darauf ein …

In den AGB dürfte das (gegenüber einem Verbraucher) nicht genügen.

Ich habe vor etlichen Jahren im alten Forum mal einen langen Beitrag über die Privacy Options bei Microsoft geschrieben.
Damals fand ich das auch skandalös (das war, glaube ich, kurz vor Inkrafttreten der DSGVO).

Sie schreiben weltweit für alle Produkte in die mit Benutzung automatisch akzeptierten Optionen, daß sie zugleich in allen Microsoft-Diensten und Produkten mitlesen und auswerten, bereits wenn man nur eines davon nutzt.
Auch, aber nicht nur im vorauseilenden Gehorsam allen Diensten gegenüber – um „strafbaren Inhalten“ zu begegnen.

Fett markiert: „weltweit“ und „strafbaren Inhalten“ .
Ich wüsste nicht, daß es ein weltweit einheitliches Strafrecht gäbe … – außer im Sinne der Menschenrechte und die sind hier sicher nicht gemeint.

Wie weit das bei Web﮳de geht, kann ich natürlich nicht sagen, es war mir neu.

1 „Gefällt mir“

Sofern sich dahingehend inzwischen nichts grundlegend verändert hat, ist man bei den üblichen Verdächtigen (web(de), gmx) als „Freeuser“ sofort raus, wenn man der hausinternen Datenverarbeitung (Direktmarketing/Profiling) widerspricht. Und selbst bei den kostenpflichtigen Arrangements (betrifft web(de) und gmx gleichermaßen) lassen sich meines Wissens diese Mechanismen nicht gänzlich ausklammern.

Hm … sie sagen das nicht so pauschal, wie sich das Zitat liest (es steht etwa auf Seite 12, wenn man das als pdf druckt).

Es steht unter 2.1.3.2 Bei der Auswahl „Personalisierte Werbung und Inhalte“ und stützt sich auf eine Einwilligung nach DSGVO.

Ich habe aber keine Lust zu suchen, wie sie die Einwilligung einholen.

Das funktioniert dort genauso wie bei WhatsApp.

Wird man „Mitglied“ (Member, User, …, Product), willigt man automatisch ein und stimmt den AGBs zu. Bestandskunden, die schon viele Jahre „Mitglied“ sind und ursprünglich anderslautende AGBs akzeptiert haben, werden per hausinterner E-Mail (zwangs)beglückt und so über ggf. geänderte AGBs (zwangs)informiert. Die Zustimmung erfolgt dort automatisch, sofern nicht innerhalb einer gewissen Zeitspanne der schriftliche Widerspruch erfolgt. Hierzu ist dann allerdings ein gewisser Aufwand gefragt (Telefax oder Snailmail), denn per E-Mail lässt sich der Widerspruch (praktischerweise, aus Anbietersicht) nicht einreichen. :rofl:

Die beiden sind nachträglich zusammengewachsene, zweieiige Zwillinge.
Tja, was in der Biologie unmöglich scheint, die Geschäftswelt machts möglich.

Das fand schon lange vor der United Internet Gründung mit 1&1 statt.
Im Grunde kann man in jedem Detail davon ausgehen, was für einen Zwilling gilt, gilt auch für den anderen – nur das Design unterscheidet sich.

Das ist sicher viel einfacher, indem man einen Anmeldeprozess durchläuft: da wird es einem irgendwann begegnen.

Der Eindruck, den früher Freemailer, die sich dann zu Premium-Produkten aufschwangen, wiedergaben, war übrigens: Es hat sich nichts geändert, es kostet jetzt nur …
Ob das heute auch (und inwieweit eben nicht) juristisch so ist, weiß ich nicht.

Interessant ist da die Einführung der beiden Features „Intelligentes Postfach“ (Auto-Kategorisierung in vordefinierte Ordner) und „erweiterte Spam-Bekämpfung“ (oder wie auch immer das hieß) in den letzten Jahren. Beides war Opt-in, mit gesonderten Bedingungen, wo drinstand, dass Inhalte ausgewertet werden, IRC in Einzelfällen auch durch menschliche Akteure (Alexa lässt grüßen).

Dieses Opt-in erweckte den Eindruck, als würden Inhalte im Normalbetrieb ohne Komfortfunktionen gerade nicht ausgewertet. In den AGB (da bin ich mir ziemlich sicher) stand zwar früher nichts von „Extraktion“, aber schon immer so etwas wie „wir verarbeiten sowohl Nutzungs- als auch Inhaltsdaten“ (oder so ähnlich), und unter Inhaltsdaten wurde dann alles gefasst, was nur geht: Mail schreiben, Kontakt speichern, Termin anlegen. Und „verarbeiten“ kann auch alles Mögliche heißen, z.B. Extraktion zu Werbezwecken, was inzwischen explizit dort drin steht.

Aus Gründen der Ausgewogenheit sage ich zum Schluss mal was Positives über den Laden mit seinen zwei Freemail-Produkten: Zu loben ist die Implementierung sauberer Standards, die Privacy zumindest technisch möglich machen: PGP mit dem Browser-Addon Mailvelope, Cryptomator mit dem Client, der sich „Tresor“ nennt, und schließlich IMAP, Cal- und CardDAV als offene Standards.

Besonders das letzte Feature verdiente mehr Aufmerksamkeit: Hätten mehr Leute ihre Kontakte auf deutschen oder europäischen Servern abgelegt (und mit Standards, die weder Google noch Microsoft definieren), dann wären wir einen großen Schritt weiter. Wenn sich heute jemand WhatsApp draufmacht, dann wird das Adressbuch im Zweifelsfall nur von einem US-Unternehmen (Apple, Google) zu einem anderen weitergereicht (Meta).

1 „Gefällt mir“

Das ist aber nicht schon immer so gewesen! Sie waren und sind nicht so schlimm wie die Deutsche Telekom (@t-online.de), aber auch nicht annähernd so gut wie die vertrauenswürdigen Provider, wie bspw. „Die Berliner“. Aber ja, besser geworden sind sie (web(de), gmx) auf jeden Fall - was auch immer der Auslöser dafür gewesen sein mag.

Du sagst es!

Der Schwachsinn ist mit verantwortlich für zahlreiche Mails mit dem DE-Mail support, denn für web.de Kunden gibt es defacto keine Möglichkeit mehr diesen zu kontaktieren.
Da web.de mir angeblich wegen Betrugsprävention den Zugang mehrfach und nun endgültig gesperrt hat, habe ich beim support des DE-Mail Kontos wozu das web.de Konto ja schließlich gehört, gefordert das mein web.de Konto vollständig zu löschen sei. Das würde aber nicht gehen, da DE-Mail und web.de zwei unterschiedliche Konten wären.
Dann habe ich gefordert das mein Referenz Konto zu ändern wäre, da mir der Zugang verweigert würde und das ja als Kompromittiert anzusehen ist. Das würde nicht gehen weil die Konten verbunden wären…das schreiben Dir Leute mit web.de Domain…da kommste Dir vor, als ob Du nur mit Vollidioten schreibst.
Für einen Löschantrag sind das zwei verschieden Konten, aber um es zu ändern sind die beide wieder unzertrennlich verbunden.
War mir zu blöd, und forderte die sofortig Sperrung und Löschung, wofür die 30 Euro haben wollten. Und für was? Damit die gegen das Gesetz in Deinem Auftrag verstoßen… packste dir nur noch an den Kopf, weil man nach Löschung noch eine bestimmte Zeit darauf zugreifen dürfen muss und man noch erreichbar bleiben muss. Wenn das von Betrügern genutzt wird?
Ich habe die Argumentation denen die ganze Zeit unter die Nase geschmiert, da ich ja der Betrüger sein muss.
Trick 17, man sperrt das Konto mit sofortiger Wirkung, darauf hast Du ein Recht.
Ich machte noch drauf aufmerksam wenn das web.de Konto doch angeblich von Betrügern benutzt wird, also von mir, dann wäre mein DE-Mail Konto wohl auch gefährdet .
Nein, denn das wäre ja mit dem Post Ident Verfahren und der sicheren Anmeldung besonders gesichert… Habe ich nur gemeint, ich habe telefonisch mit einfachsten Mittel den Kundendienst überzeugt einen neuen Ausweis zu haben, welcher bei Anmeldung noch keine Verwendung fand, mir wurde unter Anleitung und Nennung sämtlicher Kontodaten, die ich nicht mehr wusste angeleitet meinen neuen Ausweis mit der Ausweis App auf mein De-Mail Konto zu ändern…
Dann ist ja alles sicher, oder? Wisst Ihr was die Ausweisapp bei Anmeldung in das De-Mail Konto abfragt vom Ausweis, um Eure Identität zu bestätigen? Das Pseudonym :smiley:
Sprich es wird nur ein echter Ausweis verlangt und das angeblich so sicher mit Post Ident Verfahren gesicherte De-Mail Konto, hätte jeder mit gültigen Ausweis, dem Kenntnis meiner Adresse und dem Geburtstag , mein für Rechtsgeschäfte gültiges DE-Mail Konto übernehmen können.
Das ist doch einfach nur noch Lachhaft, wie man denen Ihre Eigene Blödheit vor Augen führen muss und dann dieses Verhalten Gegenüber dem Kunden, der auch 1 und 1 zusammenrechnen kann, einfach nur beispiellos Unverschämt.

1 „Gefällt mir“

da muss ich widersprechen: United Internet erlaubt bei SMTP-DANE entgegen des Standards keine via DANE vertrauenswürdigen Zertifikate, es müssen unbedingt die „offiziellen“ sein. Das tut im Normalfall nicht weh, weil man (außer in Bayern) aus anderen Gründen gerne vertrauenswürdige nimmt. Aber es ist nicht standardkonform.

Fast alle Anbieter in Deutschland brechen auch sofort ab, wenn bei SMTP-DANE STARTTLS nicht bei der ersten Kontaktaufnahme angeboten wird. Das ist in RFC 7672 nicht ausdrücklich geregelt (gibt der Autor des RFCs als Fehlstelle zu), ist aber nicht im Sinne des Standards oder Benutzer - weil kein Benutzer die daraus resultierende Fehlermeldung versteht. Richtig wäre, eine Downgrade-Attacke anzunehmen und später zu wiederholen.

So befremdlich das auch auf Betroffene wirken mag, das ist Methode.

Und zum Thema
„De-Mail“ oder besser „Bullshit made in Germany“ (30C3 - Linus Neumann):

Zusammenfassung

Quelle: https://wikiless.org/wiki/De-Mail?lang=de#Kritik

Wie ist das gemeint, „… später zu wiederholen“?

1 „Gefällt mir“

wenn ein Emailserver aus welchem Grund auch immer nicht erreichbar ist, dann wiederholt der sendende Server die Mail nach einiger Zeit. Das ist eine Grundannahme im SMTP-Protokoll. Bietet er trotz SMTP-DANE kein STARTTLS an, dann darf der Sender unterstellen, dass es ein Man-in-the-Middle-Angriff ist, denn er echte Server hat versprochen, dass er STARTTLS anbietet, und annehmen dass der Empfänger vorübergehend nicht erreichbar ist. Angriffe dauern selten mehrere Tage sondern werden entdeckt und können dann oft auch abgestellt werden. Dann wird die Nachricht irgendwann erfolgreich wiederholt und der Benutzer erhält keine verwirrende Fehlermeldungen.
Wenn mein Test eines immer wieder gezeigt hat: diese Fehlermeldung versteht kein Benutzer und er kann auch nichts anderes machen, als die Nachricht wiederholen oder auf einem anderen Weg Kontakt aufnehmen.

Das ist praktisch das Grundprinzip von Greylisting.

Ist das nicht ausgesprochen traurig, im noch jungen Jahr 2024?!

1 „Gefällt mir“

ganz vieles basiert in SMTP darauf, dass der sendende Server die Verantwortung hat, bis der Empfänger positiv quittiert. Und mein Test nutzt das auch ganz intensiv aus.

dass die Benutzer das nicht verstehen oder dass die Anbieter sie nicht vor dem Problem bewahren?
Ich schließe mich da https://datatracker.ietf.org/doc/html/rfc8890 an.

9 Beiträge wurden in ein neues Thema verschoben: OT aus „Web.de und die Extraktion des Inhalts Ihrer E-Mails“

Ich will ja nicht defätistisch sein … aber Jürgen Kühling, ehemals Richter am Bundesverfassungsgericht, hat schon 2003 angemerkt, das Brief- und Fernmeldegeheimnis könne man „getrost als Totalverlust abschreiben“.

1 „Gefällt mir“