E-Mail-Anbieter-Test: Mail.de

Über Facebook und Google Plus kündigten wir an, noch einen Anbieter mehr zu testen. Welcher das ist, haben Sie entschieden: das Rennen hat mail.de gemacht, ein Anbieter aus Gütersloh, der neben dem heute getesteten Freemail-Account auch kostenpflichtige Angebote offeriert. Was der E-Mail-Anbieter, der „mehr Sicherheit, Seriosität und Komfort“ verspricht, hält, prüfen wir im Folgenden.

Mail.de aus Gütersloh

Drei Köpfe gehören bei Mail.de zur Führungsriege: Fabian Bock als CEO, Norman Schulz als CTO und Thomas Wilde als CPO. Details zu den Köpfen und dem weiteren Team finden Sie auf der Unternehmenssite von mail.de. Als der Anbieter von unserem Test erfuhr, meldete sich freundlichst Herr Bock bei uns:

Es stehen diverse Änderungen bei mail.de an. Wir testen den Anbieter nun unter Ist-Gegebenheiten und Herr Bock möchte sich bei Neuerungen in den Kommentaren äußern.

Einstiegshürden bei mail.de

Vier Pakete bietet mail.de: FreeMail, PlusMail, ProMail und PowerMail. Wir kümmern uns in unserem Test wie gewohnt ausschließlich um das FreeMail-Angebot. Um sich anzumelden, rufen Sie die Registrier-Site auf. Von ihrer Verschlüsselung schützt die Site Ihre Daten wunderbar (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Besondere Berechtigungen werden nicht verlangt. Allerdings enthält die Site Inhalte, die Ihre Surfaktivitäten verfolgen können.

Die Site macht einen übersichtlichen ersten Eindruck. Pflichtfelder sind gekennzeichnet, Erklärungen helfen an jeder Ecke. So erklärt mail.de beispielsweise bei den persönlichen Daten, die lediglich aus Anrede sowie Vor- und Nachname bestehen: „mail.de nutzt diese Angaben zur Anrede beim Kundendialog. Auf Wunsch kann hier natürlich gern ein Pseudonym genutzt werden.“ So weit, so datenschutzfreundlich.

Auch die Mobilfunknummer gehört zu den Pflichtangaben. Rechts neben dem Eingabefeld erfahren wir: „Solltest Du Dein Login oder Passwort vergessen, können wir Dich mit Hilfe Deiner Handynummer identifizieren und Dein Login oder Passwort zurücksetzen.
Um Kalender-Erinnerungen und SMS-Antworten direkt auf Dein Handy zu erhalten benötigen wir ebenfalls Deine Handynummer.
mail.de nutzt diese Nummer nicht zu Marketing-Zwecken. Diese Nummer wird ausschließlich aus den oben genannten Gründen benötigt!“

Wie Sie wissen, bevorzugen wir datenarme Registrierungen. Nach einem Gespräch mit Geschäftsführer Fabian Bock wissen wir jedoch um die Beweggründe: Im Hause mail.de unterhielt man sich über Alternativen zu Geheimfragen, die in den seltensten Fällen sicher funktionieren. Lesen Sie dazu gerne unseren Web.de/GMX-Test, in dem ein Beispiel zeigt, wie unsicher solche Abfragen sein können.

Verschlüsselt abgelegte Daten auf Servern in Deutschland fangen etwaige Sicherheitsbedenken gut ab. Fabian Bock möchte noch ergänzen: „Eine verifizierte Handynummer gibt im Falle eines Passwort-Resets die absolute Sicherheit, dass nur die Person, die Zugriff auf die verifizierte Handynummer hat, das Passwort des Accounts auch zurücksetzen kann. Damit sind wir der einzige Freemailanbieter, der hier großen Wert auf Sicherheit bei der Passwort-Resetfunktion setzt. Diese Sicherheit lassen wir uns sogar einiges kosten, denn die Rückrufe zur Verifizierung sind mit Kosten verbunden, die wir selbst im Freemailpaket auf uns nehmen, um die Sicherheit zu gewährleisten.“

Die Angabe Ihrer Mobilfunknummer dient mail.de nicht nur als Verifizierungsalternative zum Zurücksetzen des vergessenen Passworts, sondern auch als Spam- und Virenschutz. Dazu erklärt Bock: „Spamversender versuchen gern die Server von Freemailanbietern zu verwenden. Einfache Registrierungsformulare machen es potenziellen Spamversendern einfach. Die Handyverifizierung hält Spamversender außen vor! Zusätzlich bietet auch der ausgehende Spamschutz im kostenfreien Freemailpaket Sicherheit davor, dass unsere Systeme nicht zum Spamversand missbraucht werden können, sofern ein Spamversender doch mal einen Account bei uns angelegt hat.“

Die Passwortprüfung: wie sicher ist mail.de?

Von begeisterten Juhuu-Rufen wie bei Yahoo und eclipso bis hin zum großen Fluchen darüber, dass Sicherheitsanbieter wie Posteo keine Passwortprüfung hinbekommen, hatten wir bereits alles. Deshalb testen wir auch bei mail.de unsere üblichen Verdächtigen.

Mail.de beschreibt die Sicherheitsprüfung des Passworts: Es wird empfohlen, Zahlen und Sonderzeichen genauso wie Groß- und Kleinschreibung zu verwenden und zu variieren. Da Empfehlungen keine Pflicht sind, starten wir unseren Passwort-Sicherheitstest mit gemischten Gefühlen:

• Bei „Passwort“ sowie „12345678“ erkennt mail.de: „Dein Passwort ist zu schwach!“ Wir atmen auf. Denn „123456“ ist zu kurz – es braucht mind. 8 Zeichen. Auch „12345678!“ ist zu schwach. Das fängt sehr gut an!
• Auch bei „Passwort123“ und „P4sswort“ werden wir ausgebremst: zu schwach. Bedenken wir, dass Posteo als Sicherheitsanbieter „P4sswort“ durchlässt, zeigt sich mail.de hier sehr ordentlich!
• Auch „Mayerin83“ als E-Mail-Adressen-Bestandteil wird getestet: es ist unzulässig! Damit ist mail.de neben Yahoo und eclipso der einzige von uns getestete Anbieter, der Bestandteile der E-Mail-Adresse nicht zulässt – das sind sehr gute Passwort-Prüfungen!

Wir überlegen uns ein deutlich komplizierteres Passwort, das den glücklicherweise strengen Regularien von mail.de entspricht. In grüner Schrift lesen wir nun: „Dein Passwort ist sehr gut“ und machen in der Registrierung weiter. Wir werden auf dem Handy angerufen, nachdem wir die Mobilfunknummer ergänzt haben, und erhalten so einen vierstelligen Code, den wir eingeben.

Hinweis auf Rechtstexte

Im letzten Schritt verzichtet mail.de auf vorgekreuzte Checkboxen, sondern lässt den User aktiv werden: AGB, Teilnahmebedingungen und die Produktbeschreibung müssen Sie akzeptieren, Widerruf und Datenschutz lediglich zur Kenntnis nehmen.

Und nun wird’s ärgerlich: Wir müssen der mail.de GmbH sowie ihren Partnern ein „Werbeeinverständnis für E-Mail“ bestätigen. Zwar kann dem widerrufen werden, aber erst mal führt kein Weg daran vorbei. Der Freemail-Anbieter erklärt: „Die Freigabe meiner personenbezogenen Daten zu Werbezwecken: meine Daten werden von mail.de und den Partnern dieses Dienstes erst durch diese ausdrückliche vorherige Zustimmung zum Werbeeinverständnis für Werbemaßnahmen genutzt.“

Immerhin: diese Partner werden genannt und genau genommen ist es seit Start von mail.de nur einer. Mit einem Klick gelangen Sie auf die Datenschutzerklärung des Werbepartners. Das ist okay und transparent gestaltet. Im Anschluss an die Registrierung, in der wir unwillig den Werbeversand bestätigten, heißt uns mail.de herzlich willkommen.

Guter Eindruck bei den Einstiegshürden

Sich bei mail.de zu registrieren, ist kinderleicht. Wenngleich auch die Site gut verschlüsselt ist, möchten Seiteninhalte unsere Aktivitäten verfolgen. Dass Freemail-Angebote und Werbebotschaften nahe beieinanderliegen, wissen wir bereits. So ist die Werbeeinwilligung reine Formsache. Dass mail.de ausschließlich einen Werbepartner hat und das seit Jahren, zeigt Konsistenz.

Da wir die Datenschutzerklärung dieses einen Partners mit einem Klick vor uns haben, ist datenschutztechnisch alles geschehen, was ein werbebasiertes Angebot leisten kann.

Erneut möchten wir die grandiose Passwortprüfung hervorheben: genau so stellen wir uns das vor! Lumpige Passwörter, die jeden Hobby-Hacker reinlassen, haben hier keine Chance.

Zusammenfassung Einstiegshürden:

• Einfachheit: sehr einfach, 1 Punkt
• Sicherheit/ Seitenverschlüsselung: gute Verschlüsselung, keine Berechtigungen, jedoch Tracking, 0 Punkte
• Passwortvergabe: grandios gut, schwache Passwörter haben keine Chance, 1 Punkt
• notwendiger Datenumfang: mehr als Sicherheits-Mitbewerber, jedoch notwendig durch Verifizierungs-Politik, 1 Punkt
• vorgekreuzte Checkboxen: nein, 1 Punkt

Damit erreicht das Angebot von mail.de bei den Einstiegshürden 4 von 5 Punkten.

Usability bei mail.de

Wir sind in unserem Freemail-Account angekommen und werden mit dem Einrichtungsassistenten an unser Postfach herangeführt. Dieser Assistent möchte uns mit den Features vertraut machen und dabei helfen, Kontakte wie E-Mails zu importieren. Der E-Mail-Umzugsservice besteht aus IMAP Sync. Zuletzt können Sie die mail.de-App für iOS oder Android herunterladen und sich Anweisungen fürs Einrichten Ihrer E-Mail-Clients heraussuchen.

Wie fast immer gibt es zur Eingewöhnung zusätzlich eine Willkommens-Mail: Wir erhalten Tipps zu möglichen Layouts und Designs, die POP3- bzw. IMAP-Zugangsdaten zum Einrichten in Mailclients, eine Erklärung zum Importieren unserer Kontakte sowie die Möglichkeiten, die die Einstellungen bieten. Eine Widerrufsbelehrung einschließlich Widerrufsformular ist weiter Bestandteil der Willkommens-Mail.

Unsere Oberfläche besteht aus einem Dashboard sowie den Reitern „Nachrichten“, „Adressbuch“, „Kalender“ und „Online-Speicher“. Die konkreten Konditionen des Gratis-Accounts sowie der kostenpflichtigen Optionen lesen Sie bitte in der Preisübersicht nach. Werbung ist leider recht präsent auf allen Seiten: mal mittendrin, mal seitwärts tauchen immer wieder blinkende Banner auf. Irgendwo an der Werbung ist der kleine Hinweis platziert: „- Anzeigen ausblenden -„. Ein Klick darauf führt zur Upgrade-Site: Geld gegen Werbefreiheit, wie es auch die Sicherheitsanbieter tun.

Apropos Geld gegen Werbefreiheit: das trifft nicht nur auf Banner, sondern auch auf Newsletter zu. Einmal wöchentlich müssen Sie im Freemail-Account den Newsletter empfangen, in Bezahl-Paketen sind die Newsletter nicht vorhanden.

Vorhanden sind jedoch die gängigen E-Mail-Features zuzüglich einiger besonderer Möglichkeiten: ein digitaler Anrufbeantworter, also die Option, Sprachnachrichten per E-Mail zu empfangen, wurde uns bislang noch nicht als Feature geboten. Für den Autofahrenden, E-Mails-abrufenden Menschen sicher eine Bereicherung. Einige Features lassen sich hinzukaufen, beispielsweise SMS mit oder ohne Absenderkennung, Faxfunktionen oder MMS.

E-Mails schreiben mit sicherbarer (Un-)Sicherheit

Sehr unkompliziert funktioniert das Versenden und Empfangen von E-Mails. Schon bei der ersten Test-E-Mail fällt auf, dass die Empfänger-Adressen mit verschiedenen Symbolen gespickt sind, die in der Hilfe prima erklärt werden:

• Vertipper & Co. werden mit einem Fragezeichen auf orangenem Untergrund dargestellt.
• Sehr sicher mailen Sie, wenn ein grünes Schloss mit Häkchen erscheint: dann ist Ihre verschlüsselte Verbindung über DANE abgesichert, woraus sich ein Schutz gegen Mitleser und Manipulatoren ergibt.
• Sicher mailen Sie, wenn ein grünes Schloss erscheint: eine verschlüsselte Verbindung bietet Schutz gegen das Mitlesen, jedoch keinen Manipulationsschutz auf dem Transportweg (Man-in-the-Middle-Attacken).
• Eventuell unsicher wird durch ein gelbes Schloss symbolisiert: der Empfänger-Server liefert dann keinerlei Informationen zur Verschlüsselung. Somit kann es passieren, dass die E-Mail über einen unverschlüsselten Transportweg versendet wurde.
• Für unsichere E-Mails steht ein graues geöffnetes Schloss. In dem Falle unterstützt der Empfangsserver keine Transportverschlüsselung. Sie können sichergehen, dass die E-Mails über unverschlüsselte Transportwege versendet werden.

Unsere Test-E-Mails waren mit einem grünen Schloss gekennzeichnet. Sehr gute Verschlüsselungsparameter (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) zeigen, dass mail.de exakt dieselben Kriterien nutzt wie Posteo. Den Hilfeseiten ist zu entnehmen, dass Sie im E-Mail-Client mittels PGP oder S/MIME verschlüsseln können.

In den Hilfe- und auf verschiedenen anderen Sites fällt uns „Mixed Content“ auf: der Browser warnt vor unverschlüsselten Inhalten innerhalb der HTTPS-Site, die die Schutzfunktion der Verschlüsselung zunichtemachen könnten. Wir sprachen mit Herrn Fabian Bock über dieses Thema:

Sämtliche Werbebanner werden bei mail.de und sämtlichen Unterseiten in iFrames gepackt. Das hat zur Folge, dass unsicheres http von sicherem https isoliert wird. Somit sind Formular- und andere Eingaben Ihrerseits nach wie vor geschützt.

Zusammenfassung Usability:

• Preis-Leistungsverhältnis (Kosten vs. Funktionen): kostenfrei (1 Punkt), Standard-Funktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt), macht 3 Punkte
• Werbeeinblendungen auf der Website: vor allem im Webmailer recht üppig, jedoch noch mehr Postfach als Werbung auf der Site, 1 Punkt
• Anmeldung/ Login-Prozess: einfach, 2 Punkte
• E-Mail-Versand & -Empfang: einfach, 2 Punkte
• (Pflicht-)Newsletter: ja, nicht abbestellbar, 0 Punkte

Damit erreicht mail.de bei der Usability 8 von 11 Punkten.

Rechtstexte von mail.de

Mail.de testen wir erstmalig – dementsprechend begutachten wir auch die Rechtstexte sehr intensiv. Die AGB sind problemlos auffindbar. In 1.3 lesen wir, dass Änderungen an den AGB, an der Leistungsbeschreibung sowie an der Preisliste von Produkten dem Kunden kommuniziert werden. Bleibt ein Widerspruch binnen sechs Wochen aus, akzeptiert der Kunde die Neuerungen.

Unter 3. lesen wir, dass die in der Registrierung gemachten „Angaben über seine Person und sonstige vertragsrelevante Umstände vollständig und wahrheitsgemäß“ sein müssen. Wir erinnern uns: In unserer eigenen Registrierung hieß es, dass auch pseudonymisierte Namen in Ordnung seien. Im Gespräch mit Fabian Bock klärte sich, dass die AGB für Freemailer genauso wie für Premium-User gilt – daher die Unstimmigkeit. Man möchte die AGB entsprechend anpassen, um weitere Verwirrungen dieser Art auszuschließen.

Es folgen Widerrufsbelehrung einschließlich des Nennens der Widerrufsfolgen sowie einem Muster-Widerrufsformular. Unbedingt wissen sollten mail.de-Kunden die unter 6. genannten Regelungen, insbesondere 6.1 2.: Sie haben Ihre Zugangsdaten zu schützen. Mit Annahme der AGB verpflichten Sie sich, Ihre Zugangsdaten „in regelmäßigen Abständen“ zu ändern.

Sie dürfen Ihre persönlichen Zugangsdaten jedoch ausschließlich in verschlüsselter Form auf Datenträgern speichern. 6.1 4. klärt weiter darüber auf, dass Sie haften und mail.de von sämtlichen Ansprüchen freistellen, wenn Sie den Verstoß zu vertreten haben. Sie müssen jedoch nachweisen, dass Sie den Verstoß nicht zu vertreten haben.

Diese AGB-Passage zeigt einmal mehr, wie wichtig das Lesen von Rechtstexten eigentlich ist: Haben Sie Ihre Zugangsdaten unverschlüsselt abgelegt, haben Sie es allein zu verantworten, wenn Ihr Konto kompromittiert wird. Das muss man als User wissen!

Strikte Kündigungsregeln

Punkt 8.3 klärt über die Berechtigung zur fristlosen Kündigung seitens mail.de auf: Als Kunde sind Sie in der Pflicht, binnen 14 Tagen eine Änderungsmitteilung abzugeben, wenn sich Ihre ladungsfähige Anschrift ändert. Auch hier gilt: als Premium-User muss Ihr Name im Rahmen der ladungsfähigen Adresse der Wahrheit entsprechen, im Freemail-Tarif können Sie pseudonymisieren.

Sinnvoll ist es, unentgeltliche Angebote ab 180 Tagen Inaktivität zu sperren. Angenehm ist auch diese Passage: „Nach Wirksamwerden der Kündigung (Beendigung des Vertragsverhältnisses) werden sämtliche Daten, alle Einstellungen und die Zugangsdaten des Kunden der gekündigten Produkte gelöscht.“ Diese AGB sind zuletzt im Juli 2015 angepasst worden.

Zweigeteilter Datenschutz

Zum Datenschutz finden wir zwei Dokumente: das „Merkblatt zum Datenschutz- & der Werbeeinverständniserklärung“ sowie die „Datenschutzerklärung der mail.de GmbH“. Beide Dokumente ähneln sich; das Merkblatt inkl. Werbeeinverständniserklärung ist für Freemail-User, die andere Datenschutzerklärung die für alle weiteren User. Wir prüfen zunächst das Merkblatt. Hier möchte mail.de „höchste Standards unter Beachtung des Bundesdatenschutzgesetzes (BDSG) und Telemediengesetzes (TMG)“ garantieren.

Punkt 2 erklärt, dass das Datenerheben „im Rahmen der gesetzlichen Vorschriften“ erfolgt, über die Sie sich unter datenschutz.de schlau machen können. Damit macht es sich mail.de recht einfach, denn hier wird dem Nutzer die Suche nach Datenschutzdetails überlassen. Keine gute Idee: kaum ein User hat Ahnung von datenschutzrechtlichen Gesetzestexten. Warum auch? Hier mangelt es mail.de wesentlich an Aufklärung!

4. erklärt, dass „Ihre personenbezogenen Daten ohne weitergehende Einwilligung“ erhoben, verarbeitet und genutzt werden, „soweit sie für die Vertragsbegründung und -abwicklung sowie zu Abrechnungszwecken erforderlich sind“. Klingt umständlicher als es ist: Ihre persönlichen Daten werden zweckgebunden zur Vertragserfüllung verwendet. Auch werden die notwendigen Bestandsdaten genannt. Diese entsprechen naheliegender Weise den Registrierungsdaten, die wir eingangs aufgezeigt haben.

Auch über die Verkehrsdaten äußert sich mail.de: Diese (Datum & Uhrzeit, Zeitzone des Beginns & Endes der Nutzung, IP-Adresse, Umfang in Bytes, Art des Telemedien-/ Telekommunikationsdienstes) erhebt, verarbeitet und nutzt der Anbieter, um das Inanspruchnehmen und die Abrechnung der Dienste zu gewährleisten.

Zur Analyse wird auf Google Analytics gesetzt. Diesbezüglich existieren datenschutzfreundlichere Alternativen, beispielsweise Piwik. Es folgen die üblichen Informationen zur Nutzung von Social Plugins und Cookies. Wir erfahren in Punkt 10. zudem, dass mail.de auf Criteo setzt, um Cookies einzusetzen, die Ihr Surfverhalten anonymisiert erfassen. Sie können jedoch Widerspruch leisten, um auf kontextualisierte Werbung, also Banner entsprechend Ihrer Interessen, zu verzichten.

Auskunftsrecht und weitere Bestimmungen

Sie können gemäß Bundesdatenschutzgesetz (BDSG) unentgeltlich Auskunft über die von Ihnen gespeicherten Daten einholen. Auch haben Sie das Recht, Ihre Daten berichtigen, sperren oder löschen zu lassen. Auskünfte an Strafverfolgungsbehörden dürfen bzw. müssen erteilt werden. Fallen Abrechnungsdaten an, so dürfen eben diese an externe Dienstleister/ Diensteanbieter übermittelt werden, wenn „dies zur Ermittlung des Entgelts und zur Abrechnung erforderlich ist“.

Nachdem der Datenschutzbeauftragte genannt wurde, folgt die Werbeeinverständniserklärung. Eingangs erklärt der Anbieter: „Ihre Daten werden von mail.de und den Partnern dieses Dienstes erst nach Ihrer ausdrücklichen vorherigen Zustimmung zum Werbeeinverständnis für Werbemaßnahmen genutzt.“ Wichtig: Nutzungsdaten werden weder ausgewertet noch werden Nutzerprofile erstellt.

Details zur Datennutzung

Damit Sie die Dienste nutzen und während Ihrer Anmeldung benachrichtigt werden können, werden Ihre Stammdaten auf den mail.de-Servern gespeichert. Haben Sie auch in das Werbeeinverständnis eingewilligt, „werden Ihre Stammdaten nur von mail.de und den Partnern dieser Registrierung und nicht von sonstigen Dritten, für Zielgruppen- und Kundenprofilanalysen sowie für Zwecke der Werbung genutzt.“

Spätestens binnen fünf Wochen nach Erteilen des Werbeeinverständnisses erhalten Sie erste Werbung. Praktisch: Sie können diese abbestellen, indem Sie den „Abmelden“-Link in der E-Mail oder aber eine Antwort mit Lösch-/Sperr-Bitte nutzen.

Ihre Postanschrift wird den E-Mail-Marketing-Partnern zur unpersonalisierten Geoselektion genannt. Zwischen 8 und 20 Uhr können sich zudem Telemarketing-Partner melden, die zu Abgleichszwecken, womöglich auch zur Geoselektion, ebenfalls Ihre Postanschrift erhalten.

Im Rahmen des Post-Marketings werden Ihre Stammdaten „von den Partnern nur einmal genutzt und dann gelöscht, es sei denn ein Post-Marketing-Sponsor ist ebenso E-Mail-Marketing-Sponsor und nutzt die Daten zu Selektionszwecken, oder Sie wünschen explizit weitere Zusendungen.“

Ihre Zustimmung zur Werbenutzung, also Ihr Werbeeinverständnis, wird spätestens nach einem Jahr als widerrufen behandelt. Nehmen Sie jedoch weiterhin aktiv am mail.de-Angebot teil oder erteilen Sie Ihre Zustimmung erneut, dürfen Ihre Daten weiterhin verwendet werden. Mail.de behält sich vor, Ihre Stammdaten auch an Auftragsdatenverarbeiter weiterzuleiten. Jedoch müssen Ihre Stammdaten vom Auftragsdatenverarbeiter gelöscht werden, sobald der Zweck erfüllt ist.

Widerspruch erlaubt

Ihre Werbeeinwilligung können Sie jederzeit widerrufen. Ihre personenbezogenen Daten werden im Widerrufsfall gesperrt bzw. gelöscht – ausgenommen sind Daten, die von Gesetz wegen fristgerecht aufbewahrt werden müssen. Sie können den postalischen Weg gehen oder Ihren Widerruf an senden. Ihre Registrierungsteilnahme bleibt vom Widerspruch unberührt. Machen Sie von Ihrem für die Zukunft geltenden Widerspruch Gebrauch, „werden Ihre Stammdaten ausschließlich zur Durchführung und Abwicklung der Accountverwaltung verarbeitet.“

Diese Erklärung wurde zuletzt Mitte Dezember 2016 erneuert. Wir widmen uns dem letzten Rechtstext, nämlich der Datenschutzerklärung der mail.de GmbH.

Datenschutzerklärung der mail.de GmbH

Auch diesbezüglich macht es sich mail.de etwas einfach: Unter Punkt 2 wird kurzerhand auf die gesetzlichen Datenschutzvorschriften verlinkt. Natürlich ist es sinnlos, Gesetzestexte in die eigene Datenschutzerklärung zu packen. Ein bisschen mehr An-die-Hand-nehmen und ein bisschen weniger verlinken wäre unseres Erachtens die wirksamere Methode, Kunden im Gesetzesdschungel zu helfen.

Neues begegnet uns nicht: diese Datenschutzerklärung wiederholt in komprimierter Form alles, was wir bereits aus dem Merkblatt kennen – klar, auch die Premium-Kunden werden mit Rechtstexten versorgt. Auch sie wurde Mitte Dezember 2016 angepasst. Positiv hervorzuheben ist die Verlinkung auf das öffentliche Verfahrensverzeichnis von mail.de (PDF). Hier erfahren wir Details zur Absicherung und zum Datenumgang; das ist wunderbare Transparenz.

Zusammenfassung Rechtstexte:

• Auffindbarkeit: gut, 2 Punkte
• Verständlichkeit: gut, 2 Punkte
• Klarheit/ Eindeutigkeit: Verlinkung auf Rechtstexte vermindert Klarheit & Eindeutigkeit sehr, zuweilen verwirrender Mix aus Infos für Premium- & Freemail-Kunden, 1 Punkt
• Inhalt: gesetzestreu, keine freiwillig-zusätzlichen Datenschutzverpflichtungen übers Gesetz hinaus, 2 Punkte

Damit erreicht der Anbieter 7 von 9 Punkten – mail.de schafft eine gute Auffindbarkeit, jedoch darf der Anbieter insofern an sich arbeiten, User besser an die Hand zu nehmen. Da ist noch Luft nach oben, die Fabian Bock nach eigenen Angaben nutzen möchte.

Sicherheit bei mail.de

Als werbefinanziertes Angebot haben wir sicherheitstechnisch die Probleme, auf die wir immer stoßen: Durch Mixed Content können die Sites nicht vollständig SSL-verschlüsselt werden, sodass das Eingeben persönlicher Daten fragwürdig ist. Zumindest ist das ein Problem, dem wir häufiger begegnen. Mail.de hat sich diesbezüglich spürbar Gedanken gemacht und verpackt unverschlüsselte Werbung schlicht in iFrames, sodass unverschlüsselte Inhalte nicht die Seitenverschlüsselung beeinflussen.

Bereits im Freemail-Tarif werden ein- und ausgehende E-Mails durch einen Spam- und Virenschutz geprüft. Ihre E-Mails und Dateien werden täglich automatisch gesichert; die täglichen Backups sehen Sie im Backend Ihres Webmailers in den Einstellungen.

Positiv zu erwähnen ist, dass Sie die 2-Faktor-Authentifizierung genauso nutzen können wie U2F, also die 2-Faktor-Authentifizierung via USB-Stick. Anstelle des Logins mit Ihrer E-Mail-Adresse können Sie einen benutzerdefinierten Login-Namen wählen.

Verschlüsselt wird mit DANE (Standard für Transportverschlüsselung) sowie DNSSEC (Standard zur Echtheitsprüfung von Domains). Eingehende E-Mails lassen sich mit entsprechenden Zertifikaten PGP- bzw. S/MIME-Eingangs-verschlüsseln. PFS sorgt dafür, dass selbst im Nachhinein Kommunikationen nicht mehr entschlüsselt werden können. Ein Session-Key sorgt dafür. Wie genau PFS funktioniert, lesen Sie in unserer Knowledgebase.

Hinzu kommen ein Hochsicherheits-Rechenzentrum in Hamburg oder das Verwenden ausschließlich eigener Hardware. Heißt: man verzichtet sehr gern auf Cloudlösungen von amerikanischen Anbietern wie etwa Amazon oder Google. Weiterführende Informationen können Sie sich gerne anschauen:

• Umwelt- und Transparenz-Bericht 2015: schauen Sie sich an, wie sich mail.de auf die Umwelt auswirkt.
• Umweltbewusst: das Thema „Umweltbewusstsein“ nimmt mail.de sehr ernst, weshalb man auf dieser Aufklärungsseite erklärt, wie die hauseigene Serverarchitektur mit Ökostrom betrieben wird.
• Blogbeitrag Server: mail.de nutzte in 2012 einen Blogbeitrag, um Serverstandort & Rechenzentrum vorzustellen.

Weiter finden Sie unter dem Hauptmenüpunkt „Sicherheit“ Zusatzinformationen zu den Themen „Verschlüsselung“ und dem „Datenschutz“ sowie „sicheres Login“ und „DKIM Signatur„. Von Norman Schulz, Technikchef von mail.de, haben wir Infos zur Serververschlüsselung erhalten: „Sensible Daten werden bei uns selbstverständlich mit gängigen Sicherheitsstandards geschützt. Somit werden Daten bei uns gesalzen, gepfeffert und danach entweder mit SHA-2 gehasht, wenn wir sie nur zum Abgleich (z. B. Passwörter) benötigen, oder mit AES verschlüsselt, wenn wir die Information noch vollständig (z. B. Telefonnummern) benötigen, abgelegt.“

Benutzerdefinierte Logins, die die E-Mail-Adresse beim Login ersetzen, und zusätzlich 2-Faktor-Authentifizierung sind großartige Security-Features. Allein damit und mit der eindrucksvollen Passwortprüfung wird es Hackern extrem schwer gemacht, in den Account einzudringen.

Um Brute-Force-Attacken zu verhindern, die vorrangig auf verschiedene Protokolle wie POP3 oder IMAP abzielen und somit von Freemail-Anbietern geradezu angezogen werden, offeriert mail.de die Möglichkeit, jedes Protokoll einzeln abzuschalten.

Weiterführende Informationen aus dem öffentlichen Verfahrensverzeichnis

Wir lassen es uns nicht nehmen, weiterführende Informationen zum Thema Datenschutz und Sicherheit dem Verfahrensverzeichnis zu entnehmen:

• Derzeit finden keine Datenübermittlungen in Drittstaaten statt und sind auch nicht geplant.
• Als technisch-organisatorische Maßnahmen nutzt mail.de:
  • Zutrittskontrollen, z. B. Protokollierung der Schlüsselvergabe oder Personenkontrollen im Empfangsbereich
  • Zugangskontrollen, z. B. mittels Authentifikationsverfahren, Verschlüsselung oder organisatorischen Maßnahmen zum Sensibilisieren von Mitarbeitern
  • Zugriffskontrollen, z. B. Sicherstellung ordnungsgemäßer Löschung von Daten, Berechtigungsvergabe bei Datenzugriff
  • Weitergabekontrolle, z. B. VPN und Verschlüsselung bei Datenweitergabe sowie Dokumentationen
  • Eingabekontrolle, z. B. Protokollierung, wer welche Daten gespeichert, verarbeitet oder entfernt hat
  • Auftragskontrolle, z. B. mittels Vereinbarungen zur Auftragsdatenverarbeitung
  • Verfügbarkeitskontrolle, z. B. durch Schutzsteckdosen, Feuerlöscher-Stationierung oder Datensicherungs-Aufbewahrung an separaten Orten
  • Datentrennung durch EDV-Maßnahmen, um Daten zweckgebunden zu nutzen

Zusammenfassung Sicherheit:

• Seitenverschlüsselung (Login-Site & Mail-Interface): sicher verschlüsselt (http-Werbung in iFrames), gute Parameter, 2 Punkte
• E-Mail-Verschlüsselung: Transportverschlüsselung mit guten Parametern, Ende-zu-Ende-Verschlüsselung optional durch eigenes Zertifikat im Client, 2 Punkte
• sonstige Sicherheitsfeatures: umfangreich, 2 Punkte
• Serverstandorte: Hamburg, Deutschland, 3 Punkte
• Serververschlüsselung: ja, sinnvolle Verschlüsselungsdetails, 2 Punkte
• Datenspeicherung auf Servern: erfolgt verschlüsselt & Datenumfang durch Funktionen notwendig, 1 Punkt

Damit erreicht das mail.de-Angebot bei der Sicherheit 12 von 14 Punkten.

mail.de: Fazit

Auch mail.de gehört zu den ganz wenigen Anbietern, die mit einer sinnvollen und guten Passwortprüfung punkten – besser als bei vielen Sicherheitsanbietern, von denen man solche Passwortprüfungen eher erwarten würde. Schön, hierbei so positiv überrascht zu werden!

Überhaupt überrascht mail.de mit der bislang gelungensten Gratwanderung zwischen Features und Sicherheit. Zügiger Support, Features, wie man sie von E-Mail-Anbietern erwarten würde, darüber hinaus im Rahmen eines werbefinanzierten Angebots die bestmöglichen Sicherheitsoptionen: mail.de zeigt einen sauberen Mix.

Sicher: das Angebot finanziert sich aus Werbung. Neben den Werbebannern und entsprechenden Werbenetzwerken arbeitet mail.de seit Beginn jedoch ausschließlich mit einem Partner. Dessen Datenschutzerklärung ist mit einem Klick einsehbar. Einmal wöchentlich, eher seltener, wie Fabian Bock erklärte, gibt es den Pflichtnewsletter. Da kommen Sie zwar nicht raus, allerdings müssen Sie beispielsweise auch nicht mit Klarnamen reingehen.

Die Usability konnte unsere Tester begeistern: ein übersichtlicher Webmailer enthält mehr als nur die kostenfreien Standardfunktionen. Das Empfangen und Senden von E-Mails mit übersichtlicher Darstellung des Verschlüsselungs- bzw. Schutzgrades gefällt!

Die Rechtstexte sind bestens auffindbar und größtenteils im Sinne des Users. Mit Verlinkungen macht es sich mail.de unserer Ansicht nach zuweilen etwas einfach. Das Unterscheiden von Inhalten für Premium-User und Freemail-User obliegt dem User, was manchmal verwirren kann. Fabian Bock hat jedoch bereits mitgeteilt, dass er sich unsere Kritik zu Herzen nimmt und es diesbezüglich Anpassungen geben wird.

Die Security-Features erscheinen im Vergleich mit anderen Anbietern eher unspektakulär. Bei genauerem Hinsehen wird zügig deutlich, dass sich das mail.de-Team jedoch Gedanken gemacht hat: Nutzen User beispielsweise den alternativen Login zusammen mit der 2-Faktor-Authentifizierung und dem starken Passwort, wird es Hackern richtig schwer gemacht. Auch ist es selten (vielleicht sogar eine Einmaligkeit!), dass ein werbefinanzierter Anbieter seine Werbebotschaften in iFrames packt, um sie von HTTPS-Inhalten zu isolieren.

Die Punktzahl – 31 von 39 möglichen Punkten – zeigt, wie gelungen die Gratwanderung aus spendablem Gratis-Angebot und Sicherheit ausfällt. Man könnte sagen: Unter den Freemail-Anbietern darf sich mail.de damit rühmen, aus unseren Tests als sicherster hervorgegangen zu sein.

Das Treppchen mit den Gewinnern und Verlierern aus Usability und Sicherheit können Sie bald bei uns nachlesen: Freuen Sie sich auf die große Zusammenfassung am 21. Februar 2017.