Freemail

GMX: Wie sicher sind die Versprechen des deutschen Anbieters?

16. September 2014
  • Freemail

Mit seinem kostenfreien E-Mail-Dienst „GMX FreeMail“ verspricht das Münchener Unternehmen GMX Sicherheit, genügend Speicherplatz und ergänzende Services. Was ist dran an den Versprechen der United Internet AG-Tochter? Wir haben den Service auf Herz und Nieren getestet:

GMX: Hintergrundinfos zum Unternehmen

GMX ist ein Tochterunternehmen der United Internet AG, der auch Freenet und web.de angehören. Seit 1997 offeriert GMX sein Freemailer-Angebot; zwei Jahre später hätten bereits über eine Million Menschen das Angebot genutzt, heißt es auf der Website. Neben kostenlosen und kostenpflichtigen Angeboten wirbt GMX mit seinen zusätzlichen Services, E-Mail made in Germany und der DE-Mail. Seit dem 29. April 2014 gehört GMX zu den Freemailern, die ihre Transportwege verschlüsseln.

E-Mail made in Germany – was steckt dahinter?

E-Mail made in Germany“ ist eine Initiative, die sich zum Ziel gesetzt hat, „einen hohen Sicherheits- und Datenschutzstandard“ zu etablieren. Die Initiative ist eine Reaktion auf die Überwachungsskandale, die im Jahr 2013 ans Tageslicht kamen. Der TÜV Rheinland ist zuständig für die Zertifizierung und Prüfung teilnehmender Unternehmen (derzeit GMX, Deutschen Telekom, web.de, Freenet, 1&1 sowie Strato) – im Wesentlichen also aus den Unternehmen der United Internet AG. Die Initiative möchte ihr Ziel mit zwei Mitteln erreichen: Mit verschlüsselter Datenübertragung und Rechenzentren in Deutschland.

Die Verschlüsselung erfolgt automatisch zwischen dem Endgerät und dem E-Mail-Server. Verwenden Sie einen Client, beispielsweise Outlook oder Thunderbird, ist es nötig, SSL-Verschlüsselung zu aktivieren. Das Problem an der Sache: Möchten Sie einem Empfänger mailen, der einen anderen Service nutzt, beispielsweise Google Mail, kann eine Verschlüsselung nicht garantiert werden. Anwender erkennen verschlüsselte E-Mails an einem grünen Haken. Apropos Haken: Einen solchen erkennen einige Experten an dieser Initiative. Die Kritikpunkte:

Der CCC nennt die Initiative „werbewirksam“ und mutmaßt dahinter den „etwas verzweifelten Versuch, das grandios gescheiterte Projekt De-Mail wieder ins Rampenlicht zu rücken“. Die Anbieter kämen „nun mit dieser betagten Technologie um die Ecke“ und möchten „sie als bahnbrechende Innovation verkaufen“, empört sich der CCC weiter. Die Experten werden konkret: Die Verschlüsselung der Leitungen zwischen den Anbietern hat noch nicht zur Folge, dass die E-Mails auch verschlüsselt auf den Servern liegen. Die Technologien reichen nicht, um „Abhörschnittstellen“ auszuschließen und noch immer sei der volle Zugriff auf die E-Mailinhalte für die E-Mail-Provider und „befreundete Geheimdienste“ gegeben. Stattdessen empfiehlt der CCC wirksame Methoden der Ende-zu-Ende-Verschlüsselung. Weiter kritisiert der CCC an anderer Stelle, dass Neukunden zur Konfiguration des Clients angewiesen werden, Bestandskunden allerdings weiterhin unverschlüsselte Verbindungen nutzen – ohne gewarnt zu werden. Kennen Sie den Postkarten-Vergleich? Verschlüsselte elektronische Kommunikation entspricht einem Brief mit geschlossenem Umschlag, unverschlüsselte Kommunikation entspricht einer Postkarte. Was die Initiative „E-Mail made in Germany“ geschaffen hat, entspricht einer Postkarte mit durchsichtigem Briefumschlag.

Die Initiative hat ihr Verfahren zu den Spezifikationen „Inter Mail Provider Trust“ genannt. Angesichts dieses Verfahrens prüft der TÜV Rheinland, ob potenziell neue Teilnehmer der Initiative eben diese Spezifikationen erfüllen. Man wolle das Verfahren kontinuierlich an die aktuellen Anforderungen der IT-Sicherheit anpassen. Ob dieses Verfahren als RFC Standard bei der IETF werden kann, prüfe man derzeit, zitiert heise Mitte Mai 2014. Da das Verfahren noch nicht veröffentlicht wurde, ist es für Dritte recht undurchsichtig und schließt neue Teilnehmer von vornherein aus, denn nicht einsehbare Standards können schlecht eingehalten werden. Nachdem mit DANE seit 2012 ein offener Standard besteht, den Provider als Alternative zu „Inter Mail Provider Trust“ nutzen können, erscheint fraglich, ob weitere Interessenten wirklich die Zertifizierungskosten für den Stempel „E-Mail made in Germany“ auf sich nehmen oder lieber auf DANE vertrauen. Der Service mailbox.org kritisierte, dass die Initiative „die Teilnahme anderer Anbieter systematisch verhindert“ und dass Anträge auf Teilnahme seit Monaten ignoriert würden.

Datenschutz & AGB bei GMX

Die Allgemeinen Geschäftsbedingungen von GMX sind leicht aufzufinden. Wir erfahren, dass diese AGB für sämtliche GMX-Geschäftsbereiche gelten. Ändert GMX die AGB, werden Kunden informiert und können binnen vier Wochen nach Zugang der Mitteilung widersprechen, was zur Folge haben kann, dass Kunden die Services nicht mehr nutzen können. Es folgt eine Widerrufsbelehrung: Binnen 14 Tagen Widerrufsfrist können Sie den Vertrag per Post, Fax oder E-Mail widerrufen. Etwaig bereits getätigte Zahlungen, beispielsweise für das Premium-Angebot, werden innerhalb von 14 Tagen ab Widerrufseingang bei GMX zurückerstattet. Der Münchener Konzern haftet nur dann für Fehler wie die korrekte Wiedergabe Ihrer Webseiten oder das Ankommen von E-Mails, wenn GMX Vorsatz oder grobe Fahrlässigkeit unterstellt werden kann. Einige GMX-Produkte integrieren ein Virenschutzprogramm. In seinen AGB weist GMX darauf hin, dass die Wirksamkeit nicht zu 100 % gewährleistet wird und der Kunde für die Datensicherung zuständig ist.

Sind Sie GMX-Kunde, sind Sie verpflichtet, Ihre Nachrichten „in angemessenen Abständen abzurufen und auf eigenen Rechnern zu speichern“. Ihr kostenfreier Account kann zudem nach sechsmonatiger Inaktivität von GMX gelöscht werden – ohne Rückfrage. Sind Sie ein Jahr oder länger inaktiv, darf GMX zudem Ihre E-Mail-Adresse inklusive Aliase freigeben. Sie können sich dann nur noch mit Ihrer Kundennummer und Ihrem Passwort einloggen. Wählen Sie eine neue E-Mail-Adresse, können Sie Ihren Account wie gehabt nutzen. Sowohl Domainnamen als auch E-Mail-Adressen dürfen keine Inhalte enthalten, die gegen das Gesetz, die Rechte Dritter oder guten Sitten verstoßen. Ein solcher Verstoß kann zur Sperrung führen. Sie verpflichten sich, Ihr Passwort geheimzuhalten und GMX umgehend zu informieren, falls Sie ahnen, dass Ihr Account kompromittiert wurde. Mindestens einmal täglich ist es laut den AGB an Ihnen, Ihre Daten zu sichern: Sie haben „eine vollständige Datensicherung insbesondere vor jedem Beginn von Arbeiten am Computersystem oder vor der Installation von Hardware durchzuführen“. Bei sämtlichen kostenpflichtigen Angeboten ist GMX berechtigt, „Preise jederzeit nach schriftlicher Vorankündigung mit einer Frist von sechs Wochen zu erhöhen“. Widersprechen Sie dem binnen sechs Wochen vor der Preisänderung, bedeutet dies die Vertragskündigung mit einer Frist von einem Monat zum Monatsende. Bei GMX sind Sie verpflichtet, „Mängel stets aussagekräftig zu dokumentieren“ und diese Protokollierung inklusive konkreter Fehlermeldungen schriftlich zu melden.

Auch die Datenschutzrichtlinien finden wir zügig. Ihre personenbezogenen Daten werden ohne Ihre zusätzliche Einwilligung ausschließlich zur „Vertragsbegründung und -abwicklung sowie zu Abrechnungszwecken“ erhoben, verarbeitet und genutzt. Darüber hinaus nutzt der Konzern Ihre personenbezogenen Daten für E-Mail-Werbung, Markt- sowie Meinungsforschungen, postalische Werbung (jeweils für eigene Produkte und Dienstleistungen) und für Spendenwerbung von gemeinnützigen Organisationen. Letzterem können Sie postalisch (1&1 Mail & Media GmbH, Datenschutz, Zweigniederlassung München, Sapporobogen 6-8, 80637 München) oder per E-Mail (datenschutz@gmxnet.de) widersprechen. Ihre Daten werden in einer zentralen Datei der United Internet AG, Montabaur, gespeichert und anderen Konzernunternehmen, beispielsweise Freenet, „bei berechtigtem Interesse zweckgebunden zur Verfügung gestellt“. Leider wird das „berechtigte Interesse“ nicht näher definiert. Verkehrsdaten (i. a. R. Datum, Uhrzeit und Zeitzone des Starts und Endes der Nutzung, Umfang in Bytes, IP-Adresse und Art des Dienstes) „werden erhoben, verarbeitet und genutzt, soweit dies erforderlich ist, um die Inanspruchnahme dieser Dienste zu ermöglichen und abzurechnen“. Sind Nutzungs- oder Verkehrsdaten zur Abrechnung relevant, werden sie maximal sechs Monate nach Rechnungsversand gespeichert. Dem deutschen Datenschutzrecht unterliegend und der Aufsicht des Bundesdatenschutzbeauftragten unterstellt, verspricht der Konzern, „nie den Inhalt Ihrer E-Mails für eigene Zwecke auszuwerten“.

Ihre Bestandsdaten werden ein Jahr nach Beendigung des Vertragsverhältnisses gelöscht, es sei denn, es bestehen gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen, die das längere Speichern erforderlich machen. Ihre Nutzungs- und Verkehrsdaten löscht der Konzern nach Beendigung des Nutzungsvorgangs. Ist die Weitergabe Ihrer Abrechnungsdaten an Dritte zur Entgeltermittlung und zur Abrechnung erforderlich, ist GMX zur Übermittlung Ihrer Daten berechtigt. Auch Auskünfte an Strafverfolgungsbehörden oder Gerichte sind berechtigt. Zum User-Tracking verwendet GMX Cookies. Für die zielgruppenorientierte Werbung sammelt die 1&1 Mail & Media GmbH Ihre Website-Aktivitäten (beispielsweise Werbebanner-Klicks) unter einem Pseudonym und legt sie ggf. mit Daten aus Online-Fragebögen zusammen, um Ihnen „interessengerechte Werbung auszuliefern“. Ihre IP-Adresse wird vollständig anonymisiert und nicht zur Werbeeinblendung genutzt. Deshalb, verspricht GMX, sei eine persönliche Identifikation nicht möglich. Ihrer Datenverwendung für gesteuerte Werbeeinblendung können Sie über diesen Opt-Out-Link deaktivieren. Möchten Sie auch auf interessensbasierte Inhalte verzichten, können Sie der Datenverwendung über diesen Link widersprechen. Löschen Sie Ihre Cookies, müssen Sie beide Opt-Out-Links erneut aktivieren.

GMX befolgt die selbstregulativen Vorgaben vom IAB Europe Framework for Online Behavioral Advertising und des Deutschen Datenschutzrats Online-Werbung. Den Selbstregulierungskodex können Sie unter meine-cookies.org einsehen. Die GMX-Website nutzt das „Skalierbare Zentrale Messverfahren“ (SZM) von INFOnline. Dieser Service ermittelt statistische Kennwerte zur Websitenutzung. IP-Adressen werden dabei anonymisiert und nicht gespeichert. Es ist zu keinem Zeitpunkt möglich, Nutzer zu identifizieren, weiter wird über dieses Verfahren keine Werbung verbreitet. Möchten Sie nicht Teil dieser Nutzungsauswertung sein, können Sie dem SZM an dieser Stelle widersprechen. Auch hierbei gilt: Nachdem Sie Cookies gelöscht haben, müssen Sie erneut klicken. Möchten Sie wissen, was GMX über Sie weiß, können Sie diese Information unter datenschutz@gmxnet.de erfragen. Über Änderungen in den Datenschutzvereinbarungen werden Sie nicht informiert, sondern gebeten, gelegentlich Einsicht zu nehmen.

Der Registrierungsprozess bei GMX

Um einen E-Mail-Account bei GMX einzurichten, sind diverse persönliche Angaben nötig:

  • Anrede
  • Vor- und Zuname
  • Land
  • PLZ/ Ort
  • Geburtstag
  • Kontakt-E-Mail-Adresse bzw. Handynummer (falls Sie Ihr Passwort vergessen, kann es dorthin versendet werden)

Schon während der Registrierung versucht GMX, uns einen Pro-Account mit eigener Domain zu verkaufen. Wir verzichten darauf und füllen das Registrierungsformular aus. Leider wird uns das Passwort „12345678“ als fast sicher angezeigt. Wir probieren etwas ähnlich Unsicheres: „Passwort“ hält GMX auch für so sicher, dass wir in der Sicherheitsampel immerhin gelbes Licht erhalten (rot = unsicher, gelb = mittelmäßig sicher, grün = sicher). Probieren wir einen unsinnigen Mix: „Passwort123“ wird als grün, also sicher angezeigt. GMX bewirbt auf der rechten Seite des Registrierungsformulars seinen Umzugsservice: Die E-Mail-Weiterleitung nennt GMX „Sammelservice“ (E-Mails an Ihre Kontakt-E-Mail-Adresse werden an Ihre GMX-Adresse weitergeleitet). Mittels Adressimport-Funktion holen Sie Ihre Kontakte des alten Postfachs ins GMX-Adressbuch und Ihre Dateien können Sie ins GMX MediaCenter übertragen. Registrieren Sie sich bei GMX und möchten all das nicht, beachten Sie, dass Sie das standardmäßig aktivierte Häkchen am Ende des Registrierungsprozesses entfernen, andernfalls durchwühlt GMX Ihren alten bzw. Zweit-Account. Zudem werden Sie gefragt, ob Sie das kostenfreie Plus-Upgrade nutzen möchten: Dafür, dass Sie einen Organizer und monatlich zehn Frei-SMS bzw. zwei Frei-MMS versenden können, müssen Sie hinnehmen, dass Sie „von Zeit zu Zeit interessante Informationen und Angebote von GMX Partnern per Post oder E-Mail“ erhalten. Ist das Formular vollständig ausgefüllt und haben Sie alle Häkchen richtig gesetzt oder entfernt, bestätigen Sie mit einem Klick auf „Ich stimme zu. Jetzt E-Mail Konto anlegen.“ die AGB und Datenschutzvereinbarungen.

Nun treffen wir auf die bunte Welt der GMX-Werbung: Unser E-Mail-Account ist eingerichtet und wahlweise können wir den winzigen Button „Weiter ins Freemail-Postfach“ nutzen oder uns erst mal durch verschiedene Abo- und Testangebote wühlen. Stellenweise ist es dafür nötig, die Telefonnummer anzugeben, wobei die übermittelten Daten vorbildlich aufgeführt und alle rechtlichen Details wie AGB der Werbepartner oder Lieferbedingungen verlinkt sind. Haben Sie es bis zum Seitenende geschafft, führt ein größerer Button weiter in Ihr Postfach. Schön: Im Footer-Menü haben Sie jederzeit Zugriff auf die AGB, Datenschutzvereinbarungen und aufs Impressum von GMX. In unser Postfach gelangen wir allerdings immer noch nicht: GMX heißt uns herzlich willkommen und bewirbt eine Willkommensüberraschung. Das macht einige User sicher neugierig genug, also klicken auch wir: Das Premium-Angebot von GMX können wir drei Monate lang gratis nutzen. Vergessen Sie die Kündigung innerhalb der drei Freimonate, wird Ihr Vertrag automatisch zum Preis von 4,99 €/Monat (Stand: 09/2014) für ein komplettes Jahr verlängert. Wir finden einen riesigen Button „AGB bestätigen“ – und unten links winzig klein „Nein, danke. Weiter zum Postfach“. Wir wählen diesen Weg. Zum dritten Mal können wir nicht einfach ins Postfach wechseln, sondern müssen uns einem weiteren Willkommensgruß von GMX widmen, der auf den deutschen Datenschutz, die verschlüsselte Kommunikation, die GMX-Features und den Umzugsservice aufmerksam macht. Endlich sind wir am Ziel und können unsere ersten beiden E-Mails lesen, die von GMX selbst stammen: Eine E-Mail bewirbt erneut den Umzugsservice, die andere gibt Details zum Tarif, zeigt unsere Registrierungsdaten und gibt einige Tipps zu den Features. Wir werden auf die iOS-/Android-Apps aufmerksam gemacht und es wird zum Kundenservice verlinkt – diese E-Mail ist wichtig, denn so haben wir alle Infos auf einem Blick.

E-Mail-Produkt-Details aus dem Hause GMX

GMX offeriert drei verschiedene E-Mail-Produktlinien: FreeMail als kostenfreier Service, Pro- und TopMail als kostenpflichtige Angebote. Das FreeMail-Angebot zeichnet sich durch die folgenden Eigenschaften aus:

  • E-Mail-Speicher: 1 GB zzgl. 0,5 GB bei Aktivierung des kostenfreien MailChecks (= Browser zeigt neue E-Mails an)
  • MediaCenter-Speicher: 2 GB
  • SMS/ MMS: 10 Frei-SMS/ Monat oder 2 Frei-MMS/ Monat (nur bei kostenlosem Plus-Upgrade mit Post- und E-Mail-Werbung an Ihre Adresse), jede SMS darüber hinaus oder ohne Plus-Upgrade wird mit 9 Ct. berechnet. Sie können SMS zeitversetzt versenden und finden Ihren SMS-Manager im Postfach.
  • SMS-Benachrichtigungen: Erinnerungen an Termine/ Geburtstage sowie Benachrichtigung neuer E-Mails
  • Viren-/Spamschutz: Jeweils in der Basic-Variante (= automatischer Viren-/Spamcheck aller eingehenden E-Mails). Ein persönliches Spamprofil können Sie nur in den kostenpflichtigen Versionen anlegen. Optional können Sie Ihren Virenschutz um die McAfee Internet Security-Suite erweitern: Nach drei kostenfreien Testmonaten zahlen Sie monatlich 1,99 €.
  • Backup: E-Mails & Dateien automatisch
  • Verschlüsselung: Login (SSL/HTTPS), Webdienst (SSL/HTTPS), E-Mails verschlüsselt empfangen (POP3-SSL) und versenden (SSMTP & StartTLS).
  • Download-Volumen MediaCenter: 2 GB
  • Upload-Volumen MediaCenter: 2 GB
  • Gast-Download-Volumen MediaCenter: 2 GB
  • File-Sharing: ja
  • PC-Direktzugriff auf Webordner via WebDAV: ja
  • Kalender & Organizer: nein
  • Adressbuch: ja
  • E-Mail-Adressen pro Account: 2
  • FunDomain-E-Mail-Adressen: 20 (z. B. @alpenjodel.de, @wolke7.net oder @gmx-topmail.info)
  • Domain-Pool für individuelle E-Mail-Adressen: 2
  • max. Größe für Dateianhänge: 20 MB (Empfang & Versand)
  • Einschreibe-E-Mails: nein
  • E-Mail-Weiterleitung & Abwesenheitsschaltung: ja
  • E-Mail-Speicherdauer: unbegrenzt
  • E-Mail-Suche & -Filter: ja
  • Verteilerlisten: ja, max. 5 Stück mit max. 50 Teilnehmern
  • persönliche Ordner: max. 20
  • externe Postfächer abrufen: ja, maximal 3 POP3-Postfächer
  • POP3-Zugriff: ja
  • IMAP-Zugriff: nein
  • POP3-Abruf-Intervall: 60 Sek.
  • Push-Service fürs Handy: nein
  • mobile GMX-Version: ja, mm.gmx.net
  • E-Mail-Apps für iOS und Android: ja, Informationen auf dieser Seite
  • Postfach-Deaktivierung: nach 6 Monaten Inaktivität
  • Telefon-Support: 3,99 € pro Anruf
  • Newsletter GMX-Magazin: wöchentlich, kann nur bei kostenpflichtigen Accounts abbestellt werden
  • Newsletter GMX Update: ja

Da das FreeMail-Angebot von GMX kostenfrei ist, entstehen keine Kosten (Einrichtungsgebühr/ Monatsgebühr) und es gibt weder Vertragslaufzeiten noch Kündigungsfristen. Möchten Sie Ihren Account nicht mehr nutzen, finden Sie in Ihrem Profil den Button „Account stilllegen“. Dadurch schließen Sie Ihr Nutzerkonto endgültig.

Abofallen bei GMX: Das sorgte für Negativ-Presse

Wir waren schon etwas genervt davon, dass der Registrierungsprozess dreimal durch Produktwerbung in eigener Sache unterbrochen wurde: Bis wir auf unser Postfach zugreifen konnten, mussten wir GMX mehrmals verdeutlichen, dass wir wirklich kein Interesse am Pro-Angebot haben. Auch unser Willkommensgeschenk hinterließ einen zweifelhaften Eindruck: Probemonate für den Pro-Account. Mit warmen Worten wie „Herzlichen Glückwunsch!“, „Ihr exklusives Willkommensgeschenk“ oder „Unser Dankeschön für Sie“ sind aus der United Internet-Konzernfamilie besonders GMX und web.de negativ durch die Presse gegangen, weil damit Abofallen verbunden waren: Die Verbraucherzentrale Niedersachsen warnte im Oktober 2013 vor vermeintlichen „Gratis“-Angeboten der Freemail-Anbieter. Auf Facebook existiert sogar eine Fanpage mit dem vielsagenden Titel „Stoppt die GMX Abzocke“ – immerhin 1.894 Menschen haben bereits „gefällt mir“ geklickt. Rechtfokus.de beschreibt einen konkret verhandelten Fall und zeigt die rechtlichen Konsequenzen einer solchen Abofalle. Und nun wird es richtig absurd: beschwerden-portal.com informiert darüber, dass ein solches Versehen sogar zu Negativ-Einträgen in Kreditauskunfteien führen kann. GMX meldet nicht getätigte Zahlungen bei einem versehentlichen Abschluss einer solchen Abofalle an Auskunfteien und selbst, wenn diese Meldung gelöscht wird, geht aus der Datenbank hervor, dass es mal einen Eintrag gab.

Usability bei GMX: Vorsicht vor falschen Klicks

Das Interface bei GMX ist übersichtlich angeordnet: In der Hauptnavigation oben sehen wir die Kategorien (Start, E-Mail, Adressbuch usw.), rechts die jeweilige Kategorie-Einteilung (E-Mail, SMS & MMS usw. bei Start, die E-Mail-Ordner bei E-Mail usw.). Die Benutzeroberfläche ist im Gratis-Angebot von GMX ziemlich deftig mit Werbung zugepackt – fünf von sieben Feldern auf der Startseite nach dem Login bestehen aus Werbung, eines zeigt uns das Wetter an, ein weiteres zeigt eine Kurzübersicht unseres E-Mail-Accounts (ungelesene Nachrichten, Spamverdacht, Speicherkapazität). Möchten wir eine E-Mail verfassen, stehen verschiedene Formatierungsoptionen, Smileys, Briefpapiere (= Hintergrundbilder, auf denen die Nachricht verfasst wird), Formate (Text oder HTML) und Optionen (Priorität, vertraulich, Visitenkarte anhängen, Einschreiben [nur für Pro-Accounts], Lesebestätigung) zur Verfügung. Wir können Anhänge hinzufügen, die E-Mail als Entwurf speichern, sie als De-Mail oder normal versenden.

Möchten wir das De-Mail-Angebot nutzen, werden wir auf eine Seite weitergeleitet, die uns die De-Mail noch mal schmackhaft machen soll. Im Kleingedruckten unter dem „Weiter“-Button steht: „Als Zahlungsart akzeptieren wir das SEPA-Lastschriftverfahren (Bankeinzug)“, sodass wir davon ausgehen, nun auf ein kostenpflichtiges Angebot weitergeleitet zu werden. Uns werden Vor-/Nachname und Geburtstag zur eventuellen Korrektur angezeigt und E-Mailadressen-Vorschläge mit dem Zusatz „de-mail“ unterbreitet. Anschließend erfahren wir endlich etwas zu der Preisgestaltung: Als „Top-Deal“ wird „De-Mail Basic“ für 5,99 € einmalig und 0 €/ Monat angepriesen, in der alle Standard De-Mails dauerhaft kostenlos sind. Die Einrichtungsgebühr von knapp 6 € kann man sich sparen, wenn man die „dauerhaft gebührenfreie MasterCard Gold“ ordert. Der Versuch, sich die AGB, Schufaklausel und vorvertragliche Verbraucherinformationen anzuschauen, scheitert: „Die von Ihnen aufgerufene Adresse ist auf unserem Server nicht (mehr) vorhanden“, heißt es auf der von GMX verlinkten Seite der Advanzia Bank S. A. Das komplette Preisverzeichnis von GMX‘ De-Mail-Service können Sie in diesem PDF einsehen. Wir brechen die De-Mail-Bestellung an dieser Stelle ab und widmen uns wieder unserem Postfach.

Unsere versendete Testmail kam derweil beim Empfänger an. Auf GMX werden wir nun gefragt, ob wir den Empfänger zum Adressbuch hinzufügen möchten und ob wir eine SMS erhalten wollen, wenn von dieser Adresse eine E-Mail eingeht. Das ist ziemlich praktisch aufgebaut. Das Hinzufügen von Ordnern und E-Mail-Postfächern zeigt sich ebenfalls einfach und logisch. Im Wesentlichen stimmen Handling und Usability, aber gelegentlich kamen wir an Punkte, an denen ein Klick auf „zurück“ nichts brachte und wir auf entsprechenden Seiten (meist Preisverzeichnisse und Infos) blieben. Vorsicht ist geboten, wenn GMX eines seiner zahlreichen Angebote unterbreitet – Abofallen scheinen bei dem Konzern keine Seltenheit zu sein. Uns gefällt das Gesamtpaket recht gut: Wir können Office-Tools (Text, Tabellen & Präsentationen) nutzen, das Fotoalbum, Lesezeichen erstellen und im Kiosk auf diverse externe Angebote (u. a. Weltbild, limango oder Parship) zugreifen. Die Werbung, die im Freemail-Account nun mal Bestandteil ist, fällt schon sehr erdrückend aus – es braucht eine Weile, bis unsere Augen tatsächlich relevante Felder ausmachen können.

In den Einstellungen finden Sie verschiedene Optionen, die in Ihrem Gratis-Account eher eingeschränkt sind: Sie können nur die standardisierte Startseite verwenden und diese nicht personalisieren. Bei der Gelegenheit erhalten Sie gleich Werbung für den Pro-Account, bei dem Sie individualisieren können. Prospekte vom GMX FreeReader können Sie immerhin deaktivieren. Schön ist, dass Sie das Design farblich anpassen können. Der Sicherheit dienlich ist die Auskunft über aktive Sitzungen, die Sie von dieser Übersicht aus auch beenden können. Die E-Mail-Einstellungen zeigen sich extrem umfangreich – von der Signatur über die Black-/Whitelist bis hin zum Newsletter-Versand können Sie Ihre Einstellungen anpassen. Während Sie als Freemail-Kunde bei GMX die „Best Price Info“ abbestellen können, bleibt das Abbestellen des GMX Magazins nur Nutzern kostenpflichtiger Accounts vorbehalten. Abbestellen können Sie auch die Geburtstagsmails, die schon zu zahlreichen Abofallen führten. Benötigen Sie Unterstützung, ist Hilfe schnell gefunden: Die angenehm umfangreiche GMX-Hilfe antwortet auf gängige Fragen und gibt Anleitungen zu verschiedenen Einstellungen.

GMX: Wie sicher ist die Verschlüsselung?

unverschlüsselte Startseite
unverschlüsselte Startseite

Wenn Sie GMX nutzen, ist der erste Schritt der Weg zur Startseite, von der aus Sie sich einloggen können. Gewohnheitsgemäß werden Sie gmx.de oder gmx.net eingeben. Die Startseite, auf der Sie Ihre E-Mail-Adresse und Ihr Passwort eingeben, ist dann nicht verschlüsselt! Nutzen Sie GMX, ist es empfehlenswert, sich die HTTPS-Version der Startseite als Favorit zu speichern und die Seite nur über diesen Bookmark aufzurufen. Weitergeleitet werden Sie auf eine verschlüsselte Seite – Ihrem Backend unter navigator.gmx.net. Verwendet wird eine tatsächlich hochgradige Verschlüsselung (TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 256-bit-Schlüssel) mit Perfect Forward Secrecy (PFS; weiterführende Infos: „Knowledgebase: Perfect Forward Secrecy„) – leider mit SHA-1 als Hashalgorithmus (weiterführende Infos: „SHA-1 dankt ab, künftig auch bei Chrome„). Diese hochgradige Verschlüsselung greift zudem nicht bei allen Seiteninhalten: Wechseln wir auf unseren Posteingang, erhalten wir den Hinweis, dass nicht alle Elemente der Seite verschlüsselt sind. Dies trifft mit hoher Wahrscheinlichkeit die Werbung, die in Flash über den rechten Bildrand flackert. Besser macht das die Situation allerdings nicht.

Die Testmail, die wir während des Usability-Tests versendet haben, fördert folgende Verschlüsselungsinfos zutage: TLS wird in der Version 1.0 verwendet und GMX setzt auf 256-bit-AES-Verschlüsselung. Für den Versandweg ist das gut. Jedoch bringt das nicht allzu viel, wenn die Daten inklusive aller E-Mail-Inhalte auf den GMX-Servern nicht verschlüsselt und persönliche Daten ohnehin an die Muttergesellschaft übertragen werden, wo sie zwar auf deutschen Servern liegen, aber konzernintern weitergereicht werden dürfen. Daneben ist die Tatsache ein Problem, dass zwischen den Teilnehmern der Initiative „E-Mail made in Germany“ verschlüsselt wird, nicht aber bei E-Mails an Empfänger, die einen anderen Provider gewählt haben. Versenden wir eine Testmail an einen Gmail-Account, wird uns das Verschlüsselungshäkchen von GMX nicht angezeigt. Gehen wir auf „E-Mail schreiben“, ergibt sich dasselbe Problem wie im Posteingang: Nicht die komplette Webseite konnte SSL-verschlüsselt werden. Deaktivieren wir Flash, wandelt sich die flackernde Werbung am rechten Bildrand in ein Standbild und noch immer warnt der Browser: „Die Verbindung zu dieser Website ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält“.

GMX: Fazit & Zusammenfassung

Dass GMX auf seiner HTTPS-Startseite auf eine starke Verschlüsselung inklusive PFS setzt, ist lobenswert. Beim E-Mailversand müssen wir uns der Kritik des CCC anschließen – hier gibt es immensen Nachholbedarf! Insgesamt offeriert GMX ein sehr reichhaltiges Angebot für Verbraucher, die für ihren E-Mail-Account nichts zahlen möchten. Allerdings ist größte Vorsicht bei Abofallen geboten und generell darf bezüglich der Sicherheit nachgebessert werden. Die Datenschutzbestimmungen und AGB sind eindeutig formuliert – bis auf die Passage, in der darauf hingewiesen wird, dass die Konzernfamilie Ihre persönlichen Daten bei „berechtigtem Interesse“ haben darf. Hier mangelt es an einer Definition von „berechtigt“. Ohnehin wird Werbung bei GMX extrem großgeschrieben: Die Flash-Inhalte blitzen uns an und nur wenige der Felder, die wir im Login-Bereich sehen, sind thematisch relevant; die meisten Felder sind mit Werbung gefüllt. Das ist an sich okay, schließlich nutzen wir den Service kostenfrei, aber etwas mehr Sensibilität in der Werbeplatzierung und eine Möglichkeit, sich vom Post- und E-Mail-Werbeversand zu befreien, wären wünschenswert. Genauso wünschenswert wäre ein Telefonsupport, der nicht knappe 4 € pro Anruf verschlingt.

  • Sitz des Unternehmens: München (Mutter United Internet AG in Montabaur)
  • AGB & Datenschutz: gut auffindbar, größtenteils eindeutig und klar formuliert
  • Werbeversand: ja, per Post & E-Mail, konzerninterne Werbung nicht abbestellbar
  • Registrierung: einfach, aber durch eigene Produktwerbung mehrfach unterbrochen
  • Registrierungsdaten: Anrede, Vor- und Zuname, Land, PLZ/ Ort, Geburtstag, Kontakt-E-Mail-Adresse bzw. Handynummer
  • Passwortsicherheitskontrollen: unzureichend
  • E-Mail-Speicher: 1 GB
  • max. Größe für Dateianhänge: 20 MB (Empfang & Versand)
  • Cloud-Speicher: 2 GB im MediaCenter
  • sonstige Features: SMS/ MMS bei Plus-Upgrade (kostenfrei), SMS-Benachrichtigungen, Backup, FileSharing, Adressbuch, 2 E-Mail-Adressen/Account, 20 Fun-Aliase, E-Mail-Weiterleitung & Abwesenheitsschaltung, unbegrenzte E-Mail-Speicherdauer, max. 5 Verteilerlisten, max. 20 persönliche Ordner, POP3-Zugriff, E- Mail-Apps für Android & iOS
  • Support/ Hilfe: kostenpflichtiger Telefonsupport (3,99 €/ Anruf) & kostenfreie Hilfeseiten
  • Abofallen bekannt: ja
  • Handling/ Usability: im Wesentlichen intuitiv, sehr werbelastig, insgesamt okay
  • Webseitenverschlüsselung: stark
  • Backend-Verschlüsselung: unzureichend
  • E-Mail-Verschlüsselung: kritikwürdig
  • PFS: ja
  • Serverstandort: Deutschland



1 Kommentar(e)

Schreibe einen Kommentar

Auf dieses Thema gibt es eine Reaktion

  1. GMX Test | 3. Januar 2017

    Wenn mann bei GMX sein Postfach löscht, gibt es keine Wiederherstellung. Auf die Anfrage hin ob GMX auf richterliche Anordnung noch etwas herstellen kann, wurde uns geantwortet: Wie wir Ihnen bereits mitgeteilt haben, kann ein gelöschtes Postfach nicht wieder hergestellt werden. Wir bitten von weiteren Fragen hierzu abzusehen.

    3. Januar 2017 @ 15:38 Antworten