Google gibt externen Firmen Zugriff auf Gmail-Konten von Nutzern [Update]

Gmail-Logo
Gmail ist fürs erste EU-rechtlich kein Telekommunikationsdienst CC-BY 2.0 Cairo

Google erlaubt externen Softwareentwicklern weiterhin den Zugriff auf E-Mails von Millionen Gmail-Nutzern. Vor einem Jahr versprach der Internetgigant zwar, die Inhalte der Mails von Kunden nicht mehr für maßgeschneiderte Werbung zu analysieren. Doch das setzte der umstrittenen Datenpraxis des Konzerns offenbar kein Ende.

Hunderte Firmen haben Zugriff auf private Nachrichten von Gmail-Nutzern, berichtet nun das Wall Street Journal:

„[…] der Internetgigant erlaubt es hunderten externen Entwicklerfirmen, die Inboxen von Millionen von Gmail-Nutzern zu scannen, die sich für E-Mail-basierte Dienstleistungen wie Onlineshopping-Preisvergleiche, automatisierte Reiseplaner und andere Tools angemeldet haben. Google tut wenig, um deren Vorgehen zu kontrollieren.

Meist werden die E-Mails maschinell ausgewertet, um Werbung besser individualisiert ausliefern zu können. Doch in einigen Fällen haben auch die Mitarbeiter der Firmen selbst zu Schulungszwecken Zugriff auf die Daten, berichtet die US-Zeitung. Wer Gmail verwendet, sollte darauf gefasst sein.

Update: Zahlreiche Leser haben uns darauf hingewiesen, dass in den beschriebenen Fällen Gmail-Nutzer den externen Anbietern über den OAuth-Standard die Genehmigung zum Auslesen ihrer E-Mails erteilt hätten. Für Leute mit IT-Verständnis ist die Bedeutung der Genehmigung sicher offenkundig, aber vielen Nutzern war wohl nicht klar, dass sie einem derartig weitgehenden Zugriff auf ihre privaten Mails durch externe Firmen und deren Mitarbeiter zugestimmt haben.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

31 Ergänzungen

  1. Wie soll/kann man sich im Emailverkehr verhalten, wenn das Gegenueber gmail nutzt, und man nicht will, dass man als nicht gmailnutzer glaesern werden will?
    Privat als auch beruflich?

    1. Genau die gleichen Maßnahmen die beim papierbasierten Schriftverkehr verhindern das der Empfänger den Brief weiterzieht.

    2. @synypsenkitzler, wie die Anderen schon geunkt haben, nicht mehr schreiben, verschlüsseln oder alles Private aus der Mail raus lassen!

      Wenn isch wat wichtsch’es zu verschicken tun habe, donn nähme isch „Zint Portable“, schreibe mir alles von meiner schwarzen Seele, integriere mein geschreibsel mittels „OpenPuff“ in ein oder zei Katzenbildchens und schreibe dem Empfänger, wie „Doll“ isch dieses und jenes Bild doch finde!

      Selbstversdänlisch mache isch den ned me‘, iss nisch mehr sischer jenuch!

    1. Es ist nicht Fake News, sondern irreführende Berichterstattung.

      Wenn Du Dich irgendwo mit „Authenticate with Google“ Knopf und OAuth2 anmeldest, wirst Du nach Permissions gefragt. Da steht in der Regel Basic Profile, aber es können mehr Permissions requested werden. Eine dieser Permissions ist eine Gmail-Read-Permission (es gibt unterschiedliche GMail Zugriffsrechte.

      Wenn Du Dich da ohne lesen und denken durchklickst, dann hast Du denen ein OAuth2 Token gegeben, das Gmail Read Permission erlaubt.

      Das ist zurückrufbar, und Du siehst das bei https://myaccount.google.com/security, wenn Du auf „Security Checkup“ (gleich der erste Punkt auf der Seite) klickst.

      Bei mir zum Beispiel mosert das „Third Party Access“ an, und wenn ich das aufmache, sehe ich „Contacts on my Mac access to contacts“ und „Friends+Me as access to Google+“. Das ist jedoch beides so intendiert.

      Das wird jedoch nicht weiter erörtert und ein Hinweis auf security.google.com fehlt auch.

  2. Wow, vielen Dank für diese ausführliche Berichterstattung.
    … Sarkasmus Ende….
    Ein paar Details waren schön. Nicht dass hinterher gemeint ist: wenn ich mein Gmail Konto mit Add-On Onlinedienst x verknüpfe hat Onlinedienst x hinterher Zugriff auf mein Konto.

  3. Was im Artikel fehlt: wie Kommen sie Drittanbietern an die Mails?

    Der Benutzer muss den Zugriff gewähren. Der Inhaber der Daten erlaubt den Zugriff, im Tausch gegen Features.

    Das im Artikel zu unterschlagen, grenzt an fakenews.

  4. Wird hier mit schlechtem Halbwissen eine Hexenjagd eröffnet? Genauso könnte ich schreiben:
    Post ermöglicht Zugang zu meinen Briefen! (wenn ich jemand anderem den Briefkastenschlüssel gebe)
    Wäre genauso „richtig“ wie dieser Artikel.

  5. Nicht im Ernst @Netzplolitik?! Das ist Eurer Reputation nicht zuträglich… aber Ihr habt ja wie jeder andere auch Interessen. Von daher gut, dass Ihr solche halbgare Texte veröffentlicht und zeigt, wessen Geistes Kind Ihr seid.

    Euer Übersetzer…. ahem Autor… hätte mal mehr als nur den kostenfreien Teaser im WSJ lesen sollen. Ein eigener Gmail-Account würde auch helfen, die wenigen schwammigen Aussagen zumindest im Ansatz nachvollziehen zu können. Aber bei so einer Artikel-Schlagzahl kann man halt keinen Quallitäts-Journalismus, Recherche oder gar sachliche Darstellung erwarten. Wäre aber dennoch schon schön.

    Hier fehlt es eindeutig an Fakten; mit esoterischen Aussagen und Mutmaßungen wieder das Mem der „Datenkrake Google“ nähren zu wollen ist unlauter.

    Bitte ergänzt doch mal konkrete Informationen und werdet etwas sachlicher – auch bei Themen und Unternehmen, die Euch und dem Datenschutzfuror-Klientel vielleicht nicht so gefallen. Dann könnten wir konstruktiver miteinander umgehen. Ihr habt eine Verantwortung, die Ihr ernst nehmen solltet, anstatt durch solche halben Schnell-Übersetzungen Eure Glaubwürdigkeit bei echten Bedrohungen (und aufgedeckten Schäden) zu verspielen.

    Meldet Euch gern bei mir, wenn mal wieder so ein Text ins Haus flattert. Gern können wir dann auch mal über sowas wie 2-Faktor-Authentifikation bei Plattformen mit „E-Mail made in Germany“ sprechen ;)

  6. Ein neuer Tiefpunkt in der zunehmend alarmistischen (und in diesem Fall die Fakten massiv verfälschenden) Berichterstattung von netzpolitik.org. Die Erweiterung der Redaktion hat euch nicht gutgetan.

    1. Komm, wisch Dir erstmal den Schaum vom Mund.
      Auf einen Artikel des Wall Street Journals zu verweisen und ein knappes Stück daraus zu zitieren und zu übersetzen, ist weder „massiv verfälschend“ noch „alarmistisch“, schon gar kein „Tiefpunkt“ der Berichterstattung. War gar kein „Fake News“ mehr drin? (Ach nein, war ja oben schon.)

      Meine Güte, wir verweisen in unseren „Linkschleudern“ genannten Kurzmeldungen seit Jahren auf andere Medien und deren Berichterstattung.

      Und für das Protokoll: Die Erweiterung der Redaktion hat uns in jeder Hinsicht gutgetan.

      1. Auch in der Linkschleuder sollte bei journalistischem Anspruch eine grundlegende Recherche stattfinden und nicht alles blind übersetzt wiedergegeben werden.

        Oder fangt ihr jetzt auch an, jeden Fehler in der eigenen Berichterstattung als „Medienkompetenzübung“ zu verkaufen?

        1. „Blind übersetzt“ ist doch unsinnig, das Zitat wird natürlich so genau es geht übersetzt. Es bleibt aber ein Zitat. Und die Annahme, hier sei kein „journalistischer Anspruch“ erfüllt gewesen und nicht mal eine „grundlegende Recherche“ hätte stattgefunden, hätte ich dann schon gern mal belegt. Es ist natürlich manchmal ein Konflikt, etwas kurz darzustellen und sich dann den Vorwurf gefallen lassen zu müssen, das sei zu kurz oder verkürzt gewesen, anstatt einen eigenen Artikel dazu zu schreiben, was sehr viel mehr Zeit braucht. Mag sein, dass das in diesem Fall besser gewesen wäre und dann eben einen Tag länger gedauert hätte, aber was die Kommentare hier immerhin zeigen, ist das Interesse an dem Artikel im WSJ.

          Dass wir hier den Fefe machen, hat niemand außer Dir unterstellt, das Update unter der Linkschleuder macht diese Aussage auch nicht – im Gegenteil.

          Ich werde vermutlich dafür gescholten werden, aber ich muss das mal aufschreiben: Mir drängt sich der Eindruck auf, dass GMail-Nutzer hier irgendwas überkompensieren. Aber hey, die chinesische Botschaft benutzt das ja auch:
          http://www.china-botschaft.de/det/gywm/t162052.htm

      2. Nächstes mal hätte ein einfaches, ja wir haben nicht ganz nachrecherchiert auch gereicht ;)

  7. Etwas mehr Infos wären wünschenswert, dem stimme ich zu. Aber gleich von Fake-News oder gar dem Untergang von Netzpolitik zu reden, finde ich maßlos übertrieben. Letztendlich ist es doch so: Die Meisten 0815 User haben wenig bis keine Ahnung, was sie da abnicken, wenn eine entsprechende Authentifizierungsanfrage auftaucht. Ähnlich mit den Cookie-Fragen.

    Es ist ein schon seit längerem arlarmierender Fakt, dass Google Mails scannt und darüber hinaus wie jedes größere US-Unternehmen den Geheimdiensten Zugriff darauf gibt, mit entsprechendem Missbrauchspotenzial. Wer 2018 immer noch Google nutzt, hat den Schuss aber mehr als überhört. Solche Leute gibt es leider, daher gut, dass es einen Weckruf gibt.

    1. Dieser Artikel verweist auf die Berichterstattung des Wall Street Journals und zitiert ein kurzes Stück daraus, in übersetzter Version, und ist als „Linkschleuder“ gekennzeichnet.
      Sorry @Hans Juergen Petrich … aber dieser Kommentar hat kein inhaltliches Argument.
      Und die Zeitung heißt „Bild“, soviel zum Niveau.

  8. Wow, das sind ja viele Experten im Kommentarraum unterwegs. Im Ton dann eher wie der Seehofer. Nun denn. Ich finde den Artikel gut und richtig plaziert. Auch finde ich die Menge und die Qualität der Info angemessen. Auf die Kritik wurde sehr professionell reagiert- das ist eben eine sehr gute, dynamische Redaktion- Danke dafür!
    Google polarisiert wie die Benutzung von Autos. Jede weiss, dass die Benutzung dieser Dienste schädlich für alle ist- die Gesellschaft leidet am Ende darunter. Mit dem Wissen reagieren die Google-BenutzerInnen dann gerne mal emotional agressiv, sie merken innerlich, mein Verhalten ist falsch. Und ja, das Benutzen von Google-Diensten ist unter dem Strich FALSCH!

  9. Vielen G-Mail Nutzern (Android OS) ist es nicht wirklich bewusst, das sie ihren Account Drittfirmen eröffnen, sobald sie z.B. eine „nichtmonetäre“ App installieren.
    Die Währung in der bezahlt wird heißt „Persönliche Information“.
    In unserer Familie wird ein Google Account für alle Geräte genutzt, hat Vorteile, kaum Nachteile!
    Alles kann für diesen Account geregelt werden.
    Man weiß auch was sich der Filius installiert hat und klar, diese Tür schwingt zu beiden Seiten, der Filius kann auch sehen, was Papa und Mama installiert haben!

  10. Wer glaubt, von Anbietern wie gmail würde er nicht vermarktet, glaubt auch an den Osterhasen. Wobei ich das auf golem und heise so verstand, dass Anbieter, die Addons lieferten die Möglichkeit hatten, den Kram zu lesen. Das wird hier alarmistisch und wohl falsch dargestellt. Ist letztlich egal, wer google immer noch benutzt muss den Nutzungsbedingungen zugestimmt haben und darin dürfte auch dieser Punkt erwähnt sein.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.