Ich habe seit einer Woche eine Art Auseinandersetzung mit web.de. Diese schreiben – zumindest, wenn der Absender die Webmail-Oberfläche und E-Mails im HTML Format nutzt – URLs in den E-Mails um und leiten diese über einen eigenen Server.
Also war ich so frei, und hab mal den LFD in Baden-Württemberg und das Datenschutzzentrum (mit web.de auf CC) darüber informiert, dass ich dieses Vorgehen für nicht statthaft halte. Die Antwort von web.de kam recht zügig – allerdings ging dieser Mailprovider mit keinem Wort auf den Umstand ein, dass sie Mails verändern, sondern biss sich mit Textbausteinen am Wort Phishing fest. Mein Fehler. Das hätte ich gleich anders formulieren müssen.
Heute habe ich also ein follow-up formuliert, in dem ich noch einmal ausführlicher meine Position darstelle:
Sehr geehrte Damen und Herren, ich habe inzwischen eine Antwort von Frau XXX von web.de erhalten (als EML im Anhang), in der diese mir mit vielen Textbausteinen zum Thema Phishing antwortet. Nur die wenigsten dieser Textbausteine passen zum von mir geschilderten Problem ... dafür erschöpft sich die Mail in allgemeinen Ratschlägen zum Thema Phishing. Richtig merkt web.de an, dass es sich bei der Phishing-Warnung von Thunderbird nicht um Phishing im eigentlichen Sinn handelt, da web.de nicht versucht, die Empfänger von E-Mails zur Eingabe von Benutzernamen und Passwörtern auf gefälschten Seiten ... zu überreden. Thunderbird erkennt aber richtig die auch von web.de genutzte Phishing-Technik, einen Link als solchen anzuzeigen, aber "dahinter" (im HTML versteckt), eine andere URL aufzurufen. Der für den Empfänger angezeigte Link ist ungleich der aufgerufenen URL. Das ist der Punkt. Leider geht web.de mit keinem Wort auf den Umstand ein, dass web.de E-Mails seiner Nutzer verändert, indem es URLs durch Verweise auf einen eigenen Server ersetzt, der dann die eigentliche URL aufruft oder auf diese weiterleitet (Referrer). Ich halte diese Veränderung von Benutzer-E-Mails aus den folgenden Gründen weiterhin für sehr kritisch: Erstens: Ein solches Umschreiben von E-Mails durch web.de wird von den Anwendern nicht erwartet. Es ist überraschend, so dass aus meiner Sicht zumindest der Grundsatz von Treu und Glauben tangiert ist. Zweitens stellt dies einen Eingriff in den Inhalt einer E-Mail dar (Inhaltskontrolle). Es kann aus meiner Sicht nicht Aufgabe des "Postboten" sein, Nachrichten zu verändern - auch wenn er selbst dies als "Verbesserung" wahrnehmen will. Der Inhalt einer Nachricht steht unter dem Schutz des Grundgesetzes. Eingriffe könnten deswegen lediglich auf Grund eines Gesetzes vorgenommen werden - und ein solches Gesetz zur Re-Formulierung von URLs ist mir nicht bekannt. Drittens: Ich vermute, web.de handelt wie beschrieben, um Nutzerdaten einzusammeln. Das kann ja noch angehen, wenn web.de dies für die eigenen Nutzer macht (diese können evtl. rechtlich bindend einer derartigen Verwendung ihrer Daten zugestimmt haben, als sie sich zu Freemail anmeldeten - quasi als Bezahlung mit Daten für die Bereitstellung des Maildienstes) - aber dass auch die Empfänger von E-Mails, die nicht Kunden von web.de sein mögen, ebenso abgeschöpft oder mit URL-Rewriting "beglückt" werden ... das geht schlicht zu weit. Ich vermute, dass eine Zustimmung zur Veränderung von E-Mails von den web.de Nutzern nicht rechtlich bindend abgegeben werden kann. Auf Grund der Tiefe des Grundrechtseingriffs sehe ich hier und für diesen Fall ein sittenwidriges Rechtsgeschäft vorliegen. Insgesamt ergibt sich für mich hier ein Bild von web.de, das sich an den großen US-"Datenkraken" orientiert und deren Verhalten zu kopieren versucht, indem es grundlegende Rechte (Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hier: Nachrichten) seiner Nutzer/innen ignoriert. In Erwartung Ihrer Stellungnahme - mit freundlichen Grüßen Dirk Weller
Jetzt bin ich mal gespannt, was passiert. Ich kann – als Laie – meine Vorwürfe sicherlich nicht juristisch wasserdicht formulieren und biete damit bestimmt viele Ansatzpunkte für die entsprechenden Experten, mit denen sie sich aus der Affäre winden können. Unversucht lassen wollte ich es aber auch nicht.
Pingback: 1und1 | /localhost