Was bringt es eigentlich für den persönlichen Datenschutz, wenn ich Googles Mail-Dienst nicht nutze? Viele Menschen, die Wert auf ihre Privatsphäre legen, verlassen sich statt dessen auf Bezahl-Anbieter wie MyKolab oder Posteo und hoffen, so die Tentakeln von Google (und der NSA) wenigstens aus diesem Teil ihres digitalen Lebens heraus halten zu können. Nicht wenige betreiben gleich ihren eigenen Server.
Aber viele Menschen, mit denen wir uns austauschen, nutzen eben auch weiterhin die werbefinanzierten Dienste von Firmen wie Google oder Yahoo. Der Freie Software-Aktivist Benjamin Mako Hill hat sich die Frage gestellt, welcher Anteil der Unterhaltungen in seinem Postfach eigentlich durch Googles Server gegangen ist. Mako sitzt im Vorstand der Free Software Foundation in den USA und war einer der ersten, die die zunehmende Zentralisierung des Netzes als Problem benannt haben. Insofern hätte ich erwartet, daß der Anteil seiner Mails, die über Google geliefert wurden, eher niedrig ist. Aber falsch gedacht.
Kurz zusammen gefasst lautet sein Ergebnis:
Google has most of my email because it has all of yours
Im Einzelnen:
Despite the fact that I spend hundreds of dollars a year and hours of work to host my own email server, Google has about half of my personal email! Last year, Google delivered 57% of the emails in my inbox that I replied to. They have delivered more than a third of all the email I’ve replied to every year since 2006 and more than half since 2010.
Die Analyse hat Mako mit ein paar Python-Skripten und etwas R gemacht. Probiert es doch mal selbst aus: Wie viele von euren Mails liest Google mit?
Und wie sieht es bei mir aus?
Ich habe Makos Analyse-Skripte über meine eigenen Archive laufen lassen, und bin zu einem etwas erfreulicheren Ergebnis gekommen:
Bei meinen Mails liegt der Google-Anteil über die vergangenen Jahre zwischen sieben und 15 Prozent.
Woher kommt dieser Unterschied? Mako und ich vermuten beide, daß es vor allem an unserer Umwelt liegt, also an den Leuten, mit denen wir Mails austauschen. Ich arbeite Vollzeit für die Free Software Foundation Europe, und die meisten Leute dort vermeiden Gmail. Makos Arbeitgeber dagegen bietet Mitarbeitern optional Google Apps an, so daß der Google-Anteil in seinen Mails wohl noch deutlich höher wäre, wenn er die Analyse nicht auf seine privaten Mails beschränkt hätte.
Auch Hugo Roy hat die Skripte über seine Mails laufen lassen. Er kommt auf ca. 30-40% Google-Anteil.
Was lernen wir daraus?
Diese Analyse macht deutlich, daß Datenschutz ein ökologisches Problem ist. Mit der Privatsphäre verhält es sich ähnlich wie mit sauberer Luft und gesundem Trinkwasser: Diese Güter gibt es entweder für alle oder für keinen.
Das hat Bruce Schneier beispielsweise auch auf seiner Rede an der Uni Zürich am 21.05. gesagt.
Die Frage ist jetzt: Welches Angebot ist „convenient“ genug, um die Menschen von GMail wegzubewegen?
Das Problem ist in meinen Augen dadurch entstanden, da die größeren deutschen Email-Provider keine preiswerten Bezahlangebote hatten(<1€) und die Warner vor dem aufkommenden Problemen stets maximale Radikalität statt Kompromissen forderten.
Jetzt haben Google und Facebook praktisch sämtliche Kommunikation sichten.
Dezentrale Dienste sind leider zu unkomfortabel um sich im Freundeskreis verbreiten zu können, hilfreich wäre doch schon wenn sie Ende-zu-Ende verschlüsselt sind und nicht alle zum selben Unternehmen gehören
Ohne jetzt angeben oder trollen zu wollen, aber das war mir schon eine ganze Weile klar. Dass bei Gmail alle Mails (konkret: alle rein- und rausgehenden Mails) gescannt werden, ist seit Jahren allgemein bekannt. Daher habe ich Gmail-Accounts schon lange vor der NSA-Äffare möglichst gemieden.
Und wie Sammy schon sagte: Es ist am Ende wieder nur eine Frage der Überzeugungsarbeit.
Ein paar Gedanken dazu: Hier wird ja erstmal implizit angenommen dass man weg sollte von großen werbefinanzierten Mailanbietern und stattdessen lieber zum kleinen, netten Bezahlanbieter wechseln sollte.
Mein Problem damit ist erstmal: Ich finde es überhaupt nicht offensichtlich, dass das in jedem Fall die bessere Alternative ist. Letztendlich finden wir natürlich posteo irgendwie nett und alternativ und so, aber warum gehen wir davon aus dass dort unsere Daten besser aufgehoben sind als bei Google? Letztendlich auch nur weil wir die halt für nett und sympathisch halten. Das finde ich aber keine sonderlich überzeugende Lösung. Und solche kleinen, netten Anbieter haben halt ein Problem: Manchmal sind sie ganz plötzlich weg. Beispielsweise hatten ziemlich viele Leute ein Problem, als Greenpeace plötzlich sein Angebot für @atomstromfrei.de-Mailadressen relativ kurzfristig eingestellt hatte. Ganz ehrlich: Ich hatte danach einigen Leuten empfohlen, doch lieber zu GMX zu gehen, weil da die Chance geringer ist dass die von heute auf morgen dichtmachen.
Manche propagieren dann noch selber hosten mit eigener Domain. Da kriege ich ehrlich gesagt Angst, weil ich weiß wie kompliziert es ist einen Mailserver seriös zu betreiben. Gefühlt würde ich behaupten 90% derer die das tun holen sich damit mehr Sicherheitsprobleme ins Haus als sie hätten wenn sie bei einem großen Anbieter geblieben wären.
Das „eigentliche“ Problem ist ja dass wir überhaupt Technologien haben, bei denen wir Anbietern vertrauen müssten. Lasst uns lieber drüber reden wie wir davon wegkommen. (ich sag mal als Stichwort „sowas wie Pond“ – Verschwörungstheoretiker dürfen mich dann gern darauf hinweisen dass das auch von einem Google-Mitarbeiter stammt)
Ich finde das klingt ähnlich wie die Wahlhilfe meiner Mutter: „Wähl die nicht, die haben eh keine Chance.“
Klar besteht die Gefahr, dass Anbieter wie posteo schnell wieder dicht machen, wenn sie keiner nutzt. Aber es wird unwahrscheinlicher, je mehr Leute dazu aufrufen und wechseln.
Was dann die Sicherheit der Daten dort angeht – der Artikel zeigt ja, dass das nicht nur von meiner Entscheidung, sondern auch der meiner Kontakte abhängt. Also noch ein Grund für z.B. die Neuen zu werben.
Und darüber hinaus vertraue ich dann doch eher einem kleinen Unternehmen, dass ich bezahle, dafür aber ein werbefreies Angebot bekomme und das mit dafür auch verspricht, meine Daten nicht weiterzugeben.
Naiv? Irgendwo muss ich mein Vertrauen ja hingeben. =) Aber in dieser Hinsicht bin ich bei Dir, dass die beste Lösung eine Anbieterunabhängige Lösung wäre.
Google hat mehr als ihr ahnt. Es gibt Dienstleister, über die man seine EMails leiten kann und die einem dann Spamkram rausfiltern. Postini ist einer davon. Nur: Postini wurde 2007 von Google aufgekauft. Ich weiss von mindestens einem großen deutschen Versicherungskonzern, der seine komplette, internationale Mailstruktur am eigenen Server annimmt und dann intern an Postini zum Filtern weiterleitet. Damit sieht man das dann auch nicht mehr am MX-Record. Und weil die Mails nur ankommend gefiltert werden (sinnvollerweise), kriegt man das als Kunde auch nie mit.
Postini ist nur schlecht weil von Google aufgekauft?
Also für alle Naivlinge hier:
Jeder Email-Empfänger mit einer halbwegs verbreiteten Adresse benötigt einen effizienten Spamschutz.
Jeder halbwegs wirksame Spamschutz LIEST Betreff und Inhalt der Mails .
Lesen, klassifizieren und verwerfen ist ja ok. Dauerhaft speichern ist das Problem. Profilbildung und so. Der eine oder andere Nicht-Google möchte das vielleicht nicht und möchte vielleicht noch nichtmal erklären müssen, warum er das nicht möchte. Ist halt schwierig, wenn Google nur einen der Kommunikationspartner um Erlaubnis bittet, die Kommunikation zwischen beiden speichern und auswerten zu dürfen.
Nein, natürlich nicht. Aber an der Stelle kann eine amerikanische Firma die komplette Mailkommunikation mitlesen. Und wir wissen auch, dass wenn die NSA mit einem Geheimberichtsbeschluss an der Tür einer amerikanischen Firma steht, diese zwei Dinge tun müssen: 1) gehorchen und 2) niemals darüber reden.
Will ich das als Kunde? Vielleicht ja, vielleicht nein. Wenn ich für mich sage „Nein, ich will das nicht“, dann betreibe ich keine Geschäfte und keine Kommunikation mit einem amerikanischen Unternehmen und fertig. Aber: Wenn ich meinem Versicherungsagent was maile und das läuft dann hintenrum über Google, finde ich das als Kunde eventuell halt nicht so toll.
Ich kenn die andere Seite, ich kenn die Systemadministratoren, die sagen „Hey, unsere Konzernzentrale hat beschlossen, dass Teile unserer IT-Infrastruktur an einen amerikanischen Konzern outgesourced werden. Es ist immer noch unser Zeug, unsere Hardware, unsere Daten. Aber die Jungs die die Bänder wechseln, Netzteile tauschen, Wartungen machen etc sind von einem US-Dienstleister. Wollen wir unsere Kundendaten so offenbaren?“ Die Antwort, die sie bekommen haben ist: „Der Dienstleister ist vertraglich dazu verpflichtet, unsere Daten vertraulich zu behandeln und nicht weiterzugeben. Sollten sie es dennoch tun, verstoßen sie gegen den Vertrag und wir können eine Vertragsstrafe geltend machen.“
DAS ist der Punkt in den Köpfen. Unsere Daten sind sicher, weil die Firmen gegen Verträge verstoßen, wenn sie sie weitergeben… und dabei erwischt werden, natürlich.
Kurze Zwischenfrage: Ist die Schreibweise „daß“ hier Standard? Das ist man sonst nur von politisch zweifelhaften Seiten gewohnt.
Nein, das ist nicht Standard. Aber manchmal bin ich einfach sentimental und mag das gute alte „ß“ noch nicht ganz loslassen.
Google-Bashing, Advanced Edition :-)
Bei Google wissen wir, dass die NSA mit liest und dass Google mit liest.
Was wissen wir über deutsche Anbieter? Nichts.
Der EX-Grüne Otto-Schily hat untr Rot-Grün mit den sogenannten Schily-Paketen dafür gesorgt, dass alle Geheimdienste bei uns in deutschen Rechenzentren beliebig schnüffeln dürfen, die Anbieter sind zum Schweigen verpflichtet, die Bürger haben kein Auskunftsrecht. Da ist die USA mit dem Patriot Act ja noch liberaler. (Da darf man als Betroffener Auskunft bekommen, wenn ein Geheimdienst schnüffelt, bei dem angeblich so hohen Datenschutz in Deutschland ist das unmöglich.)
Was bringt als das perpetuierte Google-Bashing von interessierten, antiamerikanischen Kreisen? Ein Herabsetzen des Sicherheitsniveaus. Ja ne, ist klar.
Eine sauber Analyse statt Pseudotransparenz mit bunten Bildchen wäre hilfreicher.
Ich habe die referenzierte Stelle Eben Moglens gelesen. Er vergleicht Privacy mit oekologischen Guetern. Aber oekologische Gueter sind nicht die einzigen oeffentlichen Gueter, die es gibt. Statt Moglens Vergleich zwischen Privacy und oekologischen Guetern waere eher einer mit oeffentlichen Guetern angebracht. Bei aller Achtung fuer Eben Moglen muss ich feststellen, dass er den oekologischen Vergleich hier missbraucht. Vielleicht dachte er, wenn er genug von der Oekonomie verstanden hat, der genauere Vergleich, d.h. zu oeffentlichen allgemein statt zu oekologischen Guetern im besonderen, fuer ein breiteres Publikum zu kompliziert sei. Ausserdem ist die Oekologie ist schon in zweifacher Hinsicht als Vergleich in aehnlichen Zusammenhaengen bemueht worden: US-Gruppen arbeiten an einem „identity ecosystem“, und es gibt auch den Bedarf an einer breiteren oeffentlichen Aufruhr, so in dem Sinne „Wir brauchen eine neue Bewegung fuer Privacy wie die fuer die Oekologie“.