E-Mail-Anbieter-Test: Yahoo Mail

Vor zwei Jahren resümierten wir, dass die Usability bei Yahoo unschlagbar ist: Aufgeräumt und intuitiv bedienbar zeigte sich das Webinterface des Freemail-Anbieters. Auch die Auffindbarkeit der Rechtstexte begeisterte uns. Das waren dann auch leider schon alle positiven Merkmale.

Das Scannen und Analysieren der Mail-Inhalte, das freigiebige Transferieren von Kundendaten, das automatische Verknüpfen des Mail-Accounts mit dem Yahoo Messenger und schwammige Formulierungen in den Rechtstexten haben wir stark kritisieren müssen.

Mit Ruhm bekleckert hat sich Yahoo dieses Jahr noch nicht. Da gab es Berichte darüber, dass Yahoo die US-Regierung mit dem Scannen von Mails unterstützt. Auch die mindestens eine halbe Milliarde entwendeten Datensätze zerknittern das Image des Internet-Giganten: Jüngst stellte sich heraus, dass Yahoo bereits 2014 von dem Hack gewusst haben soll.

Yahoo Mail: das Angebot von Yahoo

„Yahoo Mail. Ein Ort zum Glücklichsein.“ – das sind die Worte, mit denen Yahoo seine Mail-Kunden unter mail.yahoo.de begrüßt. Und weiter heißt es: „Mit Yahoo Mail bleiben Sie während des ganzen Tages organisiert.“ Organisation und Leichtigkeit scheinen nun also in Yahoos Fokus gerückt zu sein. Vor zwei Jahren noch ging es eher um Entertainment. Von Sicherheit lesen wir auch jetzt kein Wort.

Einstiegshürden bei Yahoo Mail

Um uns bei Yahoo Mail zu registrieren, öffnen wir die Site login.yahoo.com/account/create, die sehr gut verschlüsselt ist (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Die Site enthält keine Inhalte zur Aktivitätenverfolgung, keine Werbung und sie verlangt keinerlei Berechtigungen. Ein positiver, weil sicherer, erster Eindruck!

Yahoo möchte etwas mehr über uns wissen als die Telekom: Name, Vorname, Handynummer, Geburtsdatum sowie optional das Geschlecht. Weiter unten erklärt sich der Konzern: Die Handynummer werde zur eventuellen Passwort-Wiederherstellung benötigt.

Die Sache mit dem Passwort

Während die Telekom strikte Vorgaben zur Passwortvergabe stellte, die leider dennoch schwache Passwörter durchließen, verzichtet Yahoo auf all das. Wir probieren wieder die unsicheren Klassiker:

• „Passwort“ generiert glücklicherweise die Fehlermeldung „Das Passwort ist nicht stark genug, wählen Sie ein stärkeres“. Für nicht versierte User wäre ein Hinweis hilfreich, wie das Passwort stärker gemacht werden kann.
• Bei „123456“ wird dieselbe Meldung angezeigt. Glücklicherweise auch dann noch, wenn wir die „78“ ergänzen. Auch das Passwort „123456!“ ist zum Glück zu schwach.
• „P4sswort“ kommt leider sang- und klanglos durch.
• Wir testen den Benutzernamen als Passwort, auch das ist immerhin nicht gestattet. Während wir die Sicherheitsampel der Telekom mit „Mayerin83“ (sowohl bei der Telekom als auch bei Yahoo Bestandteil der E-Mail-Adresse!) auf ein sicheres Grün rutschen ließen, kommen wir damit bei Yahoo nicht weiter. Wir erfahren: „Das Passwort darf nicht Ihren Namen enthalten“. Gut so!

Sowohl bei der Telekom als auch bei Yahoo gilt „P4sswort“ leider als sicheres Passwort. Erschreckend!

Checkboxen & Verweis auf Rechtstexte

Wir ergänzen die weiteren Angaben und nehmen zur Kenntnis, dass Yahoo auf die AGB, die Besonderen Geschäftsbedingungen für Kommunikationsdienste sowie auf die Datenschutzerklärung verweist. Weiter lesen wir, dass Yahoo vom Analysieren aller Kommunikationsinhalte nach wie vor nicht Abstand genommen hat:

„Um relevante Produktfunktionen, Inhalte und interessenbasierte Werbung sowie Schutz von Spam, Malware und unberechtigter Nutzung der Dienste bereitstellen zu können, analysieren die automatisierten Systeme von Yahoo alle Kommunikationsinhalte (zum Beispiel E-Mail- und Messenger-Inhalte).“

Immerhin: vorangekreuzte Checkboxen begegnen uns nicht. Nach einem Klick auf „Weiter“ müssen wir uns einen Account-Schlüssel aufs Mobiltelefon senden lassen (alternativ ginge auch ein Anruf). Der Account-Schlüssel erreicht uns zügig und wir sind „stolzer Besitzer eines brandneuen Yahoo Accounts“, wie uns angezeigt wird.

Noch mal zurück zu den Checkboxen: jetzt gibt es eine. Diese Checkbox, die unter „Los geht’s“ als endgültige Account-Eröffnung zu finden ist, enthält bereits das Häkchen dafür, die Yahoo Info-Mail zu erhalten. Verwiesen wird weiter auf die Tatsache, sich jederzeit abmelden zu können, außerdem verlinkt Yahoo auf die Datenschutzhinweise. Wir entfernen das Häkchen und bestätigen.

Zusammenfassung Einstiegshürden:

• Einfachheit: ja, sehr einfach, 1 Punkt
• Sicherheit/ Seitenverschlüsselung: gute Verschlüsselung, 1 Punkt
• Passwortvergabe: lässt auch unsichere Passwörter durch, 0 Punkte
• notwendiger Datenumfang: mehr Registrierungsdaten als nötig wären, 0 Punkte
• vorausgewählte Checkboxen: ja, 0 Punkte

Damit erreicht das Freemail-Angebot Yahoo Mail bei den Einstiegshürden 2 von 5 Punkten.

Usability bei Yahoo Mail

Yahoo hat sich laut Eingangstext nichts Geringeres vorgenommen, als unser Leben zu organisieren. Dafür stellt der US-Konzern diese Features bereit:

• individuelle Designs & personalisierbarer Posteingang
• Zusatzfeatures wie Kalender, Notizblock, Instant Messages, E-Mail- und Web-Suchfunktion sowie Toolbar
• „Multitasking“-Funktion: Tabs einrichten
• Speicher: 1 TB (für E-Mails, Fotos, Dokumente, etc. mit Flickr-, Dropbox- & Google Drive-Verknüpfung)
• Mail-App für iOS, Android & Windows Phone
• IMAP/POP3 möglich
• Filter, um ankommende Mails automatisch zu sortieren
• Persönliche Ordner anlegen
• bestehende Mailpostfächer verbinden (Google, Outlook, AOL & Yahoo)
• E-Mail-Speicherdauer: unbegrenzt
• Wegwerf-Adressen können angelegt werden
• bis zu 25 MB Anhang-Größe (s. Hilfebereich bei Yahoo)
• SpamGuard als Spam-Filter & Norton AntiVirus als AV-Software per Default aktiv

Das sind Features, die über den Standard hinausgehen. Ob sich damit das Leben wirklich organisieren lässt, darf bezweifelt werden, aber die Leistungen können sich definitiv sehen lassen. Einzig die Anhang-Größe von 25 MB darf größer ausfallen. Die Telekom löst das mit Link-Anhängen ganz gut.

Aktivitätentracker & Flash

Wir werkeln in unserem Postfach, senden Testmails mit und ohne Anhänge hin und her, als der Browser uns warnt: Adobe Flash ist aktiviert und die Seite enthält Inhalte, die unsere Aktivitäten verfolgen.

Yahoo gelingt es nur bedingt, seine Werbung dezent zu platzieren: Über der E-Mail-Liste sind gesponserte Anzeigen, die man leicht mit einer eingegangenen E-Mail verwechseln kann, links unterm Menü sowie rechts befindet sich Display-Werbung. Senden Sie eine E-Mail, kann diese in der Signatur Werbung enthalten. In unseren Testmails fanden wir einmal Werbung, dreimal keine. Im Hilfebereich können Sie nachlesen, welche Werbung Sie wie ausblenden können.

Yahoo macht es Usern wirklich leicht. Das Ein- und Ausloggen ist genauso einfach wie der Versand und Empfang der E-Mails. Die Usability begeistert nach wie vor.

Zusammenfassung Usability:

• Preis-Leistungsverhältnis: kostenfrei (1 Punkt), Standardfunktionen vorhanden (1 Punkt), Zusatzfunktionen vorhanden (1 Punkt) – also 3 Punkte
• Werbeeinblendungen auf der Seite: nicht mehr allzu dezent, 1 Punkt
• Anmeldung/ Login-Prozess: einfach, 2 Punkte
• E-Mail-Versand & -Empfang: einfach, 2 Punkte
• (Pflicht-)Newsletter: nein, man kann sich abmelden, 1 Punkt

Damit erreicht das Freemail-Angebot Yahoo Mail bei der Usability 9 von 11 Punkten.

Rechtstexte bei Yahoo Mail

Bereits während der Registrierung hat uns Yahoo auf seine Rechtstexte aufmerksam gemacht. Auch jetzt, nachdem wir einen Account eröffnet haben, finden wir oben rechts die Möglichkeit, Datenschutzerklärung sowie AGB aufzurufen. Die Auffindbarkeit ist gelungen. Wir starten mit den „Besonderen Geschäftsbedingungen für Kommunikationsdienste“.

Wir entnehmen diesen BesGB, dass es gesonderte AGB gibt; außerdem für jedes Land unterschiedliche Rechtstexte. Unter Punkt 10 BesGB finden Sie Links zu den jeweilig für das eigene Land geltenden Rechtstexte. Die BesGB verweisen außerdem darauf, dass diese Bedingungen jederzeit ohne Informationen an den Nutzer geändert werden können. Das ist suboptimal, denn ein solches Vorgehen zwingt User zum regelmäßigen Lesen – und wer macht das schon?!?

BesGB: Sie werden durchleuchtet. Immer!

In Punkt 1.2 BesGB geht es gleich richtig zur Sache: „Die automatisierten Systeme von Yahoo analysieren alle Kommunikationsinhalte (wie zum Beispiel E-Mail- und Messenger-Inhalte einschließlich IM- und SMS-Nachrichten), um insbesondere für Sie relevante Produktfunktionen und -inhalte zur Verfügung zu stellen, an Ihre Interessen angepasste Werbung anzubieten und einen besseren Schutz vor Spam, Malware und Missbrauch Ihres Accounts bereitstellen zu können. Diese Analyse erfolgt beim Versand, Empfang und Speichern aller Kommunikationsinhalte, einschließlich der Kommunikationsinhalte von Diensten, die mit Ihrem Yahoo Account synchronisiert werden.

In bestimmten Fällen wendet Yahoo auf geschäftliche Kommunikationen automatisierte Algorithmen an, um generische Vorlagen entsprechender Dokumente zu erstellen (z. B. werden anhand einer einheitlichen Sprache die Elemente der Quittung eines Flugtickets identifiziert). Diese Vorlagen enthalten keine personenbezogenen Daten des Empfängers. Die Vorlagen-Redakteure von Yahoo prüfen ggf. die Vorlagen, um unsere Dienste und die Personalisierung Ihrer Nutzererfahrung zu verbessern. Soweit nicht ausdrücklich anderweitig geregelt, ist es Ihnen nicht gestattet, diese Funktion abzustellen.“

Lassen Sie sich das mal auf der Zunge zergehen: „Diese Analyse erfolgt beim Versand, Empfang und Speichern aller Kommunikationsinhalte, einschließlich der Kommunikationsinhalte von Diensten, die mit Ihrem Yahoo Account synchronisiert werden.“ Haben Sie jetzt noch Lust, Ihren Dropbox-Account mit Yahoo Mail zu verknüpfen?

Yahoo gibt Verantwortung ab …

Yahoo macht deutlich, dass Sie Verantwortung für das, was Sie kommunizieren, übernehmen, und dass Sie bitte keinerlei Problem damit haben, dass Sie und „Personen, mit denen Sie kommunizieren, […] Ihre Unterhaltungen und anderen Informationen in Ihren Yahoo Mail-Accounts auf Yahoo-Servern […[ speichern.“

Diverse Mitteilungen von Yahoo, beispielsweise „Serviceankündigungen und administrative Mitteilungen“, können Sie nicht abwählen. Das ist nur allzu verständlich und sogar sinnvoll. Wäre schön, würden auch Änderungen in den Rechtstexten kommuniziert werden, damit Nutzer aufgeklärt sind und bleiben.

… oder doch nicht?

Verständlich ist ebenfalls, dass Yahoo die Verantwortung für Datensicherungen an den User abgibt – das machen alle Provider so. Auch obliegt der Schutz des Accounts, insbesondere der des Passworts, dem User. Die Verständlichkeit relativiert sich durch den Gewährleistungsausschluss unter Punkt 7.1.:

„Sie erkennen an und stimmen zu, dass die Dienste „wie dargebracht“ („AS-IS“) angeboten werden und dass Yahoo keine Verantwortung dafür übernimmt, dass Nutzerkommunikation und persönliche Einstellungen gespeichert werden und die Dienste jederzeit zeitgerecht, störungs- und fehlerfrei zur Verfügung stehen. Sie erkennen außerdem an, dass Yahoo nicht für die Sicherheit und Vertraulichkeit der über die Dienste gesendeten Kommunikation verantwortlich ist. Die beiden vorstehenden Sätze gelten nicht, wenn Sie die deutschen Dienste wie in Ziffer 10 angegeben nutzen.“

In Ziffer 10 ist zu lesen: „Wenn Sie die deutschen (de) Dienste von Yahoo nutzen, ist Ihr Geschäftspartner Yahoo! EMEA Limited (YEL), 5-7 Point Village, North Wall Quay, Dublin 1, Irland Ihr Vertragspartner und stellt Ihnen die Dienste zur Verfügung. Die vertraglichen Bestimmungen, einschließlich der vorliegenden BesGB, unterliegen den Gesetzen Irlands. Wenn Sie Ihren Wohnsitz oder gewöhnlichen Aufenthaltsort in Deutschland haben, beschränkt diese Rechtswahl nicht die Anwendbarkeit der deutschen Verbraucherschutzgesetze. Die jeweils aktuelle Version der vorliegenden BesGB, der AGB und der Datenschutzbestimmungen können Sie zu jeder Zeit über die untenstehenden Links einsehen.“

Spätestens jetzt scheint gar nichts mehr verständlich: Yahoo schreibt zunächst, der Konzern trage keinerlei Verantwortung für zum Beispiel den Schutz der Login-Daten, die der User selbst schützen muss. Dann heißt es, Yahoo übernehme keine Verantwortung fürs Speichern persönlicher Einstellungen – dieser Satz gelte jedoch nicht, wenn Sie die deutschen Dienste nutzen. Punkt 10 löst diese Verwirrung keineswegs auf. Verständlichkeit, Klarheit und Eindeutigkeit suchen wir vergeblich.

Verständlichkeit ist keine Stärke von Yahoo

Ein weiteres Beispiel, wie Verständlichkeit in Rechtstexten wahrlich nicht funktioniert, ist dieser verschwurbelte Satz (der in Großbuchstaben Platz in den BesGB findet): „In dem Rahmen, in dem es das anwendbare Recht erlaubt, schließen Yahoo, dessen Tochtergesellschaften, verbundene Unternehmen, Führungskräfte, Angestellte, Vertreter, Partner und Lizenzgeber ausdrücklich alle Gewährleistungen, Bedingungen oder sonstige Bestimmungen, explizit oder implizit, aus, die sich auf solche Geräte oder Plug-in-Anwendungen Dritter beziehen, einschließlich aller impliziten Bedingungen und Gewährleistungen von Rechtsansprüchen und solchen, die sich auf Gebrauchstauglichkeit, zufriedenstellende Qualität, Eignung für bestimmte Zwecke, die Bereitstellung eines Dienstes zu einem Standard an gebotener Sorgfalt und Fertigkeiten und die Achtung von geistigen Eigentumsrechten beziehen.“

Wissen Sie noch, wie der Satz anfing? Das ist nicht verbraucherfreundlich, Usern solche Brocken hinzuwerfen und davon auszugehen, dass es irgendwer versteht. Die Verwirrung wird komplett mit dem sich anschließenden Satz: „Der vorstehende Satz gilt nicht, wenn Sie die deutschen Dienste wie in Ziffer 10 angegeben nutzen.“ Sie haben sich also auch noch umsonst bemüht, zu verstehen, was Yahoo da sagen will. Was nun für User der deutschen Dienste nach Ziffer 10 gilt, wissen wir nicht. Und bezweifeln, dass es der Verfasser dieser BesGB weiß (oder zumindest verständlich rüberbringen kann).

Allgemeine Geschäftsbedingungen von Yahoo Mail

Wir sind den Links unter Punkt 10 gefolgt, um die geltenden AGB zu finden. In ihnen erfahren wir, dass die BesGB die AGB zwar ergänzen, jedoch auch Abweichungen enthalten können. Dann gelten die Bestimmungen der BesGB vor denen in den AGB.

Yahoo gestattet bei der Registrierung keine Pseudonymisierung, die im Sinne der Privatsphäre wäre. Stattdessen „sind Sie verpflichtet, wahrheitsgemäße und vollständige Angaben zu Ihrer Person nach den Vorgaben des Anmeldeformulars („Registrierungsdaten“) zu machen, und diese Daten im Falle von Änderungen unverzüglich zu aktualisieren“.

Kinder unter 13 Jahren dürfen die Yahoo-Dienste ausschließlich mit der Einwilligung des Erziehungsberechtigten nutzen. Yahoo weist darauf hin, dass die Dienste „Material enthalten können, das für Kinder ungeeignet ist“.

Nutzen Sie Yahoo, sollten Sie Jura studieren

Stellen Sie sich vor, Sie nutzen Yahoo Mail, und weil Sie passionierter Hobbyfotograf sind, auch noch Flickr, einen weiteren Yahoo-Dienst. Sie veröffentlichen Ihre Fotos und stellen sie auf „öffentlich“, sodass sie für jeden sichtbar sind. Nun sollten Sie Jurist sein, um nicht gegen Yahoos AGB zu verstoßen. Und zwar ein Jurist, der sich mit den Gesetzen der ganzen Welt auskennt.

Denn in Yahoos AGB ist zu lesen: „Bitte beachten Sie, dass im Internet öffentlich zugänglich gemachte Inhalte, d.h. auch die Inhalte, die Sie im Rahmen der Dienste veröffentlichen oder verbreiten, ggf. weltweit abrufbar sind. Es liegt in Ihrem Verantwortungsbereich, dafür zu sorgen, dass von Ihnen zugänglich gemachte Inhalte nicht gegen möglicherweise anwendbares ausländisches Recht verstoßen.“

Sie schenken Yahoo Werbematerialien

Spinnen wir den Faden anhand der AGB weiter: Sie haben Ihre Fotos auf „öffentlich“ gestellt. Die Lizenzrechte, die Sie nun angeben, haben für den folgenden Part in den AGB keinerlei Bedeutung:

„Wenn Sie einen Inhalt in einen öffentlich zugänglichen Bereich von Yahoo eingeben, gewähren Sie Yahoo, den mit Yahoo verbundenen Unternehmen und den Vertragspartnern von Yahoo das gebührenfreie, nicht ausschließliche, unbefristete Recht, diesen Inhalt (ganz oder teilweise) weltweit zur Erbringung der im Rahmen des betreffenden Dienstes angebotenen Leistungen und zur Bewerbung der Dienste von Yahoo zu nutzen.“

Sie schenken also nicht nur Yahoo Werbematerial mit Ihren Fotos auf Flickr, sondern auch noch den Vertragspartnern von Yahoo. Gleichzeitig dürfen Sie gegen kein ausländisches Recht verstoßen.

Änderungen werden rechtzeitig bekanntgegeben

In den AGB heißt es, dass Änderungen der AGB „mindestens vier Wochen vor Inkrafttreten“ angekündigt werden. Binnen vier Wochen haben Sie Zeit, Widerspruch einzulegen. Widersprechen Sie fristgerecht, „gelten für Ihre Nutzung der Dienste weiterhin die bisherigen vertraglichen Regelungen.“ Eine Widerrufsbelehrung einschließlich Widerrufsfolgen und Kontakt-Link sind den AGB angehängt.

Datenschutzcenter von Yahoo

Yahoo verfügt über ein „Datenschutzcenter„, in dem sich diverse Informationen bündeln. Hier gibt es viele Informationen – für unser Verständnis etwas zu viel Information, denn die Site ist sehr überladen und wir sind unsicher, wo wir zuerst hinschauen sollen.

Wir widmen uns erst mal den Informationen am rechten Bildschirmrand: Opt-Out für interessenbasierte Werbung. Folgen wir dem Link, landen wir im „Ad Interest Manager„. Erneut erschlägt uns die Fülle an Informationen. Dieser Manager zeigt auch, welche Infos Yahoo über uns hat: Standort und IP-Adresse; unser Betriebssystem hingegen ist unbekannt. Browser, Bildschirmauflösung, Farbtiefe und Altersgruppe hingegen sind bekannt, unser Geschlecht wieder unbekannt.

Zurück im Datenschutzcenter lesen wir den zweiten Block auf der rechten Seite. Der verweist mit anderen Worten wieder auf den Ad Interest Manager. In einem dritten Block verweist Yahoo auf die Datenschutzbestimmungen und Cookie-Richtlinien, die wir eigentlich hier im Datenschutzcenter bereits erwartet haben. Wir folgen dem Link, der uns unsinniger Weise dahin führt, wo wir bereits sind: zum Datenschutzcenter.

Das sind völlig unnötige Informationen, die aufgrund ihrer Fülle nur davon abhalten, die Datenschutzbestimmungen überhaupt zu lesen. Man wird erschlagen von zahlreichen Texten und Links – die letztlich keinen informellen Mehrwert bieten, da sie auf dieselben Zielseiten verlinken.

Wie geht Yahoo mit unseren Daten um?

Wie in einem schlechten Arbeitszeugnis drückt sich Yahoo zu Beginn seiner Datenschutzerklärung aus: „Yahoo ist stets darum bemüht, Ihr Vertrauen zu gewinnen.“ Liest man die Formulierung „stets bemüht“ in einem Arbeitszeugnis, ist das keineswegs etwas, worauf man stolz sein kann. Denn der Satz ließe sich etwa so beenden: „Er war stets bemüht, erreichte seine Bemühungen jedoch nicht mal ansatzweise“. Diese Formulierung entspricht einem „ungenügend“.

Ob das auch auf Yahoos Umgang mit unseren Daten zutrifft? Die bisherigen Rechtstexte waren weder klar und eindeutig noch verständlich oder inhaltlich akzeptabel.

Yahoo agiert nach irischem Datenschutzrecht

Yahoo unterliegt dem irischen Datenschutz und agiert entsprechend. Yahoo sammelt personenbezogene Daten …

• … beim Registrieren von Yahoo-Accounts,
• … beim Nutzen bestimmter Produkte & Services,
• … bei der Teilnahme an Aktionen & Gewinnspielen sowie
• … „wenn Sie Seiten von Yahoo oder bestimmten Partnern von Yahoo außerhalb des Netzwerks der Yahoo-Websites besuchen“.

Wir schlucken: „Yahoo kann vorhandene Informationen (einschließlich personenbezogener Daten) über Sie mit weiteren Informationen kombinieren, die wir von Geschäftspartnern oder anderen Unternehmen erhalten“.

Darüber hinaus sammeln und speichern Yahoos Serverprotokolle Informationen vom Browser; darunter IP-Adresse, Cookie-Informationen, Soft- und Hardware-Eigenschaften sowie Informationen von der von Ihnen angeforderten Site. Melden Sie sich bei Yahoo an, werden diese Daten mit Ihrem Account verbunden – Sie sind alles andere als anonym.

Yahoo hält die Informationen sehr allgemein

Anonyme, pseudonyme sowie personenbezogene Daten verwendet Yahoo ohne weitere Differenzierung für:

• Personalisierung von Anzeigen
• Ausführung von Produkt- & Service-Anfragen
• Verbessern von Services
• Kontaktaufnahmen
• Recherchezwecke
• anonyme Berichte für interne & externe Yahoo-Kunden

Das ist alles sehr allgemein gehalten. Wir würden uns differenziertere Aussagen wünschen und gerne nachvollziehen können, welche Yahoo-Kunden was für Berichte erhalten oder welche Recherchezwecke unsere Daten haben sollten.

Safe Harbor ohne Safe Harbor

Zum Thema Datenübertragung schreibt Yahoo offen, dass „Ihre personenbezogenen Daten […] in andere Länder übertragen werden [können], insbesondere auch an Server in den Vereinigten Staaten, um Daten entsprechend unserer Datenschutzerklärung zu speichern und um Ihnen Produkte und Services zur Verfügung zu stellen.“

Der Absatz endet mit einer Verlinkung auf den Themenbereich „Datenübertragung„. Hier ist zu lesen, dass das Safe-Harbor-Abkommen zwar für ungültig erklärt wurde. Yahoo nimmt aber „weiterhin an den Safe-Harbor-Vereinbarungen zwischen den USA und der EU bzw. der Schweiz teil.“ So einfach ist das, Ihre personenbezogenen Daten über den großen Teich zu schicken und dort auf deutlich geringerem Datenschutzniveau zu verarbeiten.

Yahoo erklärt weiter, Ihre Daten keinesfalls zu teilen, zu verleihen oder zu verkaufen – es sei denn:

• man möchte Informationen für „vertrauenswürdige Partner“ bereitstellen, „die mit oder für Yahoo auf Grundlage von Vertraulichkeitsvereinbarungen zusammenarbeiten“.
• das Gesetz möchte es so. Hier gelten auch Gerichtsbeschlüsse oder sonstige gesetzliche Erfordernisse.
• die Weitergabe Ihrer Daten hilft, illegale Aktivitäten aufzudecken: von Betrug über AGB-Verstöße bis hin zu bedrohlichen Situationen werden hier viele Gründe genannt.
• Yahoo erwirbt ein anderes Unternehmen oder wird selbst erworben oder fusioniert. Jedoch werden Sie in diesen Fällen über die Datenübertragung informiert.

Umgang mit Account-Löschung

Möchten Sie Ihren Yahoo-Account abstoßen, werden Ihre Daten zunächst gesperrt. Binnen 90 Tagen werden Ihre Daten aus der Nutzerdatenbank entfernt. Informationen jedoch, die Yahoo als Kopie vorliegen hat, können „nach Ihrer Bitte um Löschung aus technischen und rechtlichen Gründen auf unseren Datensicherungssystemen für eine gewisse Zeit noch zur Verfügung stehen. Das kann auch dann der Fall sein, wenn keinerlei Account-Informationen in unserer Datenbank mehr enthalten sind.“

Interessant wäre, was „für eine gewisse Zeit“ in Zahlen bedeutet; ansonsten ist der Umgang mit gelöschten Accounts in Ordnung. Klar: 90 Tage sind verhältnismäßig lang, jedoch zeigt sich Yahoo hier ausnahmsweise recht transparent und klärt über diese 90-Tage-Frist auf.

Verwirrende Zugangsbeschränkungen

Es gehört zum Datenschutz, dass Mitarbeiter in ihren Zugriffen auf Kundendaten auf das beschränkt werden, was sie zum Verrichten ihrer Arbeit tatsächlich benötigen. Ein Logistik-Mitarbeiter muss also beispielsweise nicht auf Zahlungsinformationen des Kunden zugreifen können, die Buchhaltung hingegen schon.

Yahoo verwirrt diesbezüglich mit dieser Formulierung: „Wir beschränken den Zugriff auf Ihre Informationen auf solche Mitarbeiter, von denen wir annehmen, dass sie erforderlicherweise auf diese Informationen zugreifen, um Ihnen Produkte oder Services zur Verfügung zu stellen oder um ihre Tätigkeiten verrichten zu können.“

Tatsächlich: Yahoo nimmt an, dass Mitarbeiter auf diese Informationen zugreifen müssen. Die Sicherheit wäre uns lieber als eine bloße Annahme. Das ist mehr als ungünstig formuliert – das senkt die Glaubwürdigkeit dieser Aussage.

Bei wesentlichen Änderungen der Datenschutzbestimmungen wird Yahoo seine Nutzer darüber benachrichtigen, kleinere Änderungen müssen die User selbstständig bemerken. Glücklicherweise steht unter den Datenschutzbestimmungen immerhin das letzte Änderungsdatum. Das fehlte bei den restlichen Rechtstexten.

Zusammenfassung Rechtstexte:

• Auffindbarkeit: gut, 2 Punkte
• Verständlichkeit: nicht gegeben, Dokumente widersprechen sich, 0 Punkte
• Klarheit/ Eindeutigkeit: vielfach unverständlich, zuweilen verständlich, 1 Punkt
• Inhalt: wir fanden zu viele Aufreger (z. B. Anwendung von Safe Harbor, unklare Datenweitergabe & Berichterstellung, usw.) – 0 Punkte

Damit erreicht das Freemail-Angebot von Yahoo bei den Rechtstexten 3 von 9 Punkten.

Sicherheit bei Yahoo Mail

Die Login-Site von Yahoo besteht aus zwei Teilen: Werbung und der Login-Eingabe. Die Verschlüsselungsparameter dieser Site stimmen: TLS 1.2 als aktuelle Protokollversion, ECDHE_RSA für den Schlüsselaustausch und eine starke Cipher (AES_128_GCM) sichern alle Bestandteile dieser Site ab.

Auch das Webinterface, das Sie zum Versenden und Empfangen Ihrer Yahoo Mails verwenden, ist stark verschlüsselt (ebenfalls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, 128-Bit-Schlüssel, TLS 1.2). Jedoch enthält die Seite Inhalte, die Ihre Aktivitäten verfolgen – nämlich die Werbeanzeigen. Besondere Berechtigungen erfordert die Site nicht.

E-Mail-Verschlüsselung: Yahoo scannt. Alles.

Yahoo selbst erklärt auf der hauseigenen Landingpage für Yahoo Mail: „SSL-Verschlüsselung sichert Ihre Mail, während sie zwischen dem Web-Browser auf Ihrem Computer und dem Server von Yahoo übertragen wird. Das bedeutet Folgendes: Ganz gleich, wo Sie sich gerade befinden, ob Sie zu Hause sind oder sich Ihre Mail in einem Café ansehen, Ihre Mail-Daten sind sicher.“

Und weiter: „Immer, wenn Sie Yahoo Mail verwenden – sei es im Web, im Mobile-Web, in einer Mobil-App oder über IMAP, POP oder SMTP – sie wird standardmäßig zu 100 % verschlüsselt und mit 2.048-Bit-Zertifikaten geschützt. Diese Verschlüsselung erstreckt sich auf Ihre Mails, Anhänge, Kontakte sowie auf den Kalender und auch auf Messenger in Mail.“

Vollmundige Worte, die Yahoo so nicht einhalten kann. Wir prüfen zunächst die Quellinformationen in den von uns versendeten Test-Mails. TLS wird in der älteren Version 1.0 genutzt, außerdem kommt SHA1 zum Einsatz. SHA-1 ist ein veralteter und als unsicher geltender Hashalgorithmus, dessen Verwendung wir seit über zwei Jahren stark kritisieren.

Die Tatsache allerdings, dass wir eingangs bei der Registrierung bereits erfahren haben, dass Yahoo sämtliche E-Mail-Inhalte scannt und durchleuchtet, sollte Sie ebenfalls stutzig gemacht haben. Yahoo kann sämtliche E-Mail-Inhalte lesen und verwenden. Der Konzern steht dem Vorwurf gegenüber, E-Mails sämtlicher Kunden nach bestimmten Suchbegriffen gescannt und diese Informationen an US-Behörden weitergeleitet zu haben.

Yahoo nutzt ausschließlich eine Client-to-Server-Verschlüsselung. E-Mails, die Sie über Ihren Yahoo-Account versenden, werden nicht ausreichend verschlüsselt!

Sonstige Sicherheitsparameter bei Yahoo

Sie haben die Möglichkeit, neben der Passworteingabe beim Login eine weitere Information erforderlich zu machen. Wie Sie die Anmeldung in zwei Schritten aktivieren und welche Optionen Sie haben, erklärt Yahoo an dieser Stelle.

On-Demand-Passwörter sollen die Sicherheit weiter steigern: per SMS sendet Yahoo Ihnen ein Passwort zu, sodass Sie sich kein Passwort mehr merken müssen. Hier besteht eine ähnliche Gefahr wie beim Mobile-TAN-Verfahren beim Online-Banking: es ist immer ein Sicherheitsrisiko, sich das Passwort fürs Login auf das Gerät senden zu lassen, mit dem Sie sich einloggen möchten. Sie müssen Ihr Mobilgerät vorher mit Ihrem Account verknüpft haben. Wir sehen dieses Feature kritisch: es steigert eher die Bequemlichkeit des Users als die Sicherheit.

Ein Safety Center soll Ihnen weitere Tipps zur Steigerung der Sicherheit liefern. So richtig begeistert sind wir von diesen zusätzlichen Sicherheitstools nicht! Die Anmeldung in zwei Schritten finden wir sehr gut, On-Demand-Passwörter jedoch fragwürdig, wenn sie an das Mobilgerät gesendet werden, von dem aus man sich anmeldet.

Zusammenfassung Sicherheit:

• Seitenverschlüsselung (Login-Site & Mail-Interface): sicher verschlüsselt, 2 Punkte
• E-Mail-Verschlüsselung: Client-to-Server, Transportverschlüsselung, unsichere Parameter (SHA-1), 1 Punkt
• sonstige Sicherheitsfeatures: gering (Anmeldung in 2 Schritten gut, On-Demand-Passwörter geben nur scheinbare Sicherheit), 1 Punkt
• Serverstandorte: wo Yahoos Server stehen, verrät der Konzern nicht. Da Daten laut Datenschutzerklärung in aller Herren Länder, auch in die USA, transferiert werden können, gehen wir von zahlreichen Standorten aus. Die fehlende Transparenz sorgt für 0 Punkte
• Serververschlüsselung: auch darüber schweigt sich Yahoo aus, 0 Punkte
• Datenspeicherung auf Servern: Yahoo speichert uns definitiv zu viel! Den Rechtstexten haben wir entnommen, dass Nutzerprofile auch mithilfe unternehmensfremder Daten erstellt werden. Beim Speichern der Daten greift Yahoo zu extrem zu, 0 Punkte

Damit erreicht das Freemail-Angebot von Yahoo bei der Sicherheit 4 von 14 Punkten.

Yahoo Mail: Fazit

Die ersten Einstiegshürden nahm Yahoo Mail noch sehr lässig: das Registrieren ist einfach, der Einstieg in die Yahoo-Welt kinderleicht und die Seitenverschlüsselung für die Registrierung gut. Allerdings lässt Yahoo Mail auch unsichere Passwörter durch, speichert mehr Registrierungsdaten als nötig wären und kommt mit vorausgewählter Checkbox daher. 2 von 5 Punkten.

Das kostenfreie Angebot hält neben den E-Mail-Standardfunktionen eine gute Auswahl an zusätzlichen Funktionen bereit. Die Werbeeinblendungen jedoch verwirren zuweilen, da sie sich in den Posteingang wie E-Mails einfügen und User leicht versehentlich drauf klicken können. Rechts und links vom Posteingang blinkt uns ebenfalls Werbung an. Sie stört noch nicht extrem, ist aber auch nicht mehr so dezent wie bei der Deutschen Telekom.

Der Login-Prozess ist genauso einfach wie der Versand und Empfang von E-Mails. Dass man sich vom Werbe-Newsletter jederzeit abmelden kann, ist sehr in unserem Sinne. Bei der Usability kann Yahoo Mail 9 von 11 Punkten holen.

Die Rechtstexte hatten es in sich! Einziger Pluspunkt ist letztlich die Auffindbarkeit. Es mangelt extrem an Verständlichkeit, Eindeutigkeit und Klarheit. Auch inhaltlich gibt es extrem viel zu kritisieren – Yahoo Mail ist so ziemlich das Gegenteil von gelungenem Datenschutz! Lediglich 3 von 9 möglichen Punkten kann Yahoo hier holen.

Während die Seitenverschlüsselung der Login-Page und des Mail-Interfaces stimmig ist, setzt Yahoo bei der E-Mail-Verschlüsselung auf veraltete Parameter und unzureichende Verschlüsselung. Ihre Mail-Inhalte werden gescannt und womöglich an Behörden weitergeleitet. Ein Hack, der seit Jahren im Unternehmen bekannt sein soll, macht die Sache nicht besser. Yahoo wird sich noch erklären müssen!

Yahoo zeigt sich speicherfreudig, erklärt jedoch nicht, wo genau was gespeichert wird. Erklärt wird jedoch, dass das für ungültig erklärte Safe-Harbor-Abkommen nach wie vor Anwendung findet. Mit 4 von 14 möglichen Punkten befindet sich Yahoo auch im Sicherheits-Prüfpunkt im unteren Bereich.

Alles in allem kommt Yahoo auf 18 von 39 möglichen Punkten.