E-Mail-Apps die deine Mails lesen — Was du wissen musst
Hinweis für Nutzer der DigitalMDMA Mailserver:
Die in diesem Artikel beschriebenen problematischen Dienste sind auf allen DigitalMDMA Mailservern dauerhaft gesperrt. Verbindungsversuche von Edison Mail, Superhuman und vergleichbaren Cloud-Mail-Proxies werden automatisch geblockt. Details am Ende des Artikels.
Was passiert wirklich, wenn du eine kostenlose Mail-App nutzt?
Viele E-Mail-Apps werben damit, kostenlos, smart und bequem zu sein. Automatische Reisezusammenfassungen, Paketverfolgung, smarte Antwortvorschläge — das klingt nützlich. Aber diese Features haben einen Preis, der nicht in Euro bezahlt wird, sondern mit deinen E-Mails.
Das Geschäftsmodell ist einfach: Die App ist kostenlos, weil du das Produkt bist.
Einige Anbieter lesen deine E-Mails auf ihren eigenen Servern — oft in den USA — analysieren sie und verkaufen die gewonnenen Daten an Hedgefonds, Unternehmensberater und Handelsketten.
Die Anbieter im Detail
⛔ Edison Mail — Dokumentierter Datenmissbrauch
Plattformen: iOS, Android, macOS
Status auf DigitalMDMA Servern: Gesperrt
Edison Mail ist der bekannteste und am besten dokumentierte Fall. Die App verbindet sich nicht nur vom Gerät des Nutzers mit dem Mailserver — sie leitet alle E-Mails über eigene Server in den USA (Amazon AWS, Region US-East, Ashburn/Virginia) weiter.
Was Edison Mail macht:
Eine Untersuchung des Technologie-Magazins Motherboard (Vice) aus dem Jahr 2020 enthüllte: Edison Mail scannt Posteingänge automatisch nach Kaufbelegen, Reisebuchungen und Abonnements. Diese Daten werden anonymisiert und als „Consumer Purchase Metrics“ an Unternehmenskunden verkauft — darunter Investmentbanken wie J.P. Morgan sowie Unternehmensberatungen wie McKinsey und Bain & Company.
Ein internes J.P. Morgan-Dokument, das Motherboard vorlag, beschreibt Edison explizit als Quelle für „consumer purchase metrics including brand loyalty, wallet share, purchase preferences“ — also Markentreue, Ausgabenverhalten und Kaufpräferenzen.
Der technische Vorgang:
- Du gibst deine IMAP-Zugangsdaten in Edison Mail ein
- Edison Mail verbindet sich von seinen AWS-Servern (USA) mit deinem Mailserver
- Alle E-Mails werden auf Edison-Servern verarbeitet
- Kaufrelevante Daten werden extrahiert und für Marktforschungsprodukte genutzt
Quellen:
- Vice/Motherboard (2020): How Big Companies Spy on Your Emails
- MacRumors (2020): Edison Mail Responds to Report on Email Apps Selling Anonymized Data
- 9to5Mac (2020): Popular iOS and Mac email apps scrape inboxes to profit from personal data
- Inverse (2020): Edison Mail scrapes users‘ inboxes and sells the data to clients
⛔ Superhuman — Tracking-Pixel in jeder gesendeten Mail
Plattformen: macOS, iOS, Windows, Android
Preis: $30/Monat
Status auf DigitalMDMA Servern: Gesperrt (ausgehende Tracking-Pixel werden blockiert)
Superhuman wurde 2019 zum Symbol für eine andere Art des E-Mail-Datenmissbrauchs. Der damalige VP of Design bei Twitter, Mike Davidson, veröffentlichte einen viralen Blogartikel mit dem Titel „Superhuman is Spying on You“, der die Tech-Welt aufschreckte.
Was Superhuman standardmäßig tat:
Jede E-Mail, die mit Superhuman gesendet wurde, enthielt automatisch ein unsichtbares Tracking-Pixel. Damit konnte der Absender sehen:
- Wann die E-Mail geöffnet wurde (Datum, Uhrzeit)
- Wie oft sie geöffnet wurde
- Von wo (ungefährer Standort anhand der IP-Adresse)
Das Perfide: Der Empfänger wusste nichts davon und hatte keine Möglichkeit, es zu verhindern. Betroffen waren alle, die eine E-Mail von einem Superhuman-Nutzer erhielten — unabhängig davon, welchen Mail-Client sie selbst nutzten.
Nach dem öffentlichen Aufschrei schaltete Superhuman die Standorterfassung ab und stellte Read Receipts auf opt-in um. Tracking-Pixel sind jedoch nach wie vor ein optionales Feature.
Quellen:
- The Verge (2019): Superhuman says it will disable email read receipts by default after privacy controversy
- Mike Davidson (2019): Superhuman is Spying on You
- Engadget (2019): Superhuman email client turns off location tracking after ’spying‘ controversy
- CBC News (2019): The downside of giving app users too many superpowers
⛔ Spike (SpikeNow) — IMAP-Proxy über eigene Cloud-Server
Plattformen: iOS, Android, macOS, Windows, Web
Status auf DigitalMDMA Servern: Gesperrt (sofern identifizierbar)
Spike funktioniert als vollständiger Cloud-Proxy: Anstatt dass die App direkt mit deinem Mailserver kommuniziert, läuft die gesamte E-Mail-Kommunikation über Spike-Server. Das ermöglicht kollaborative Features wie gemeinsame Postfächer und Chat-Funktionen — bedeutet aber auch, dass Spike technisch alle deine E-Mails lesen kann.
Spike speichert E-Mails auf eigenen Servern für Synchronisation und Collaboration-Features. Für geschäftliche E-Mails und vertrauliche Kommunikation ist das inakzeptabel.
Quelle:
- Spike Hilfe-Dokumentation: Which Ports does Spike support — bestätigt den Proxy-Betrieb über eigene Server
⛔ Newton Mail — Eingestellt, aber historisch relevant
Status: App wurde im Jahr 2023 endgültig eingestellt
Status auf DigitalMDMA Servern: Nicht mehr relevant (Server offline)
Newton Mail nutzte ähnliche Mechanismen wie Edison Mail — Cloud-Backend in den USA, IMAP-Proxy über eigene Server. Der Dienst wurde nach mehrfachen Schließungen und Übernahmen 2023 endgültig eingestellt.
⛔ Cleanfox / Foxintelligence — Datenhändler im Mail-Gewand
Plattformen: iOS, Android, Web
Herkunft: Frankreich
Status auf DigitalMDMA Servern: Gesperrt
Cleanfox wirbt damit, den Posteingang von Newslettern zu „bereinigen“. Das Geschäftsmodell: Für jedes bereinigte Abo erhält Cleanfox Einblick in die Kaufhistorie des Nutzers. Diese Daten verkauft Cleanfox unter dem Namen Foxintelligence an Unternehmenskunden — darunter laut Motherboard PayPal, McKinsey und Bain & Company.
Quelle:
- Vice/Motherboard (2020): How Big Companies Spy on Your Emails
Warum das ein besonderes Problem für Unternehmen ist
Privatpersonen mögen selbst entscheiden, welche Kompromisse sie eingehen. Für Unternehmen, Vereine und Organisationen ist das anders:
- Vertragsgeheimnisse — Angebote, Rechnungen, Verhandlungen landen auf US-Servern
- Personendaten von Kunden und Mitgliedern — DSGVO-Verstoß, wenn Daten ohne Einwilligung in die USA übertragen werden
- Finanzdaten — Kaufbelege, Banktransaktionen, Buchhaltungs-E-Mails
- Mandantenvertraulichkeit — besonders kritisch für Anwälte, Ärzte, Berater
Die Übertragung von E-Mail-Inhalten auf US-Server ohne angemessene Datenschutzvereinbarung (Data Processing Agreement) ist in der EU rechtlich problematisch — insbesondere nach dem Schrems-II-Urteil des EuGH (2020).
⚠️ Das unterschätzte Risiko: Weiterleitungen an Freemailer
Neben problematischen Mail-Apps gibt es ein weiteres, häufig übersehenes Datenschutzproblem: die automatische Weiterleitung von E-Mails an Freemailer wie Gmail, GMX, Web.de oder Outlook.com.
Viele Nutzer richten in ihrem Mailpostfach eine Weiterleitung ein — oft aus Bequemlichkeit, um alle E-Mails an einem Ort zu lesen. Was praktisch klingt, hat weitreichende Konsequenzen für den Datenschutz.
Was passiert bei einer Weiterleitung?
Wenn eine E-Mail an eine Adresse mit aktivierter Weiterleitung gesendet wird, läuft der Vorgang wie folgt ab:
- Der Absender schickt eine E-Mail an die eigentliche Adresse (z. B. auf einem eigenen Mailserver)
- Der Mailserver leitet die E-Mail automatisch an den Freemailer weiter
- Die vollständige E-Mail — inklusive Anhängen, persönlichen Daten und vertraulichen Inhalten — wird dauerhaft auf den Servern des Freemailanbieters gespeichert
- Der ursprüngliche Absender hat keine Kenntnis davon und hat dieser Weitergabe nie zugestimmt
Das Ergebnis: Jede E-Mail, die an dieses Postfach gesendet wird, landet automatisch bei Google, Microsoft oder einem anderen US-amerikanischen Großkonzern — unabhängig davon, wie sicher der eigentliche Mailserver betrieben wird.
Warum das rechtlich problematisch ist
Die DSGVO verlangt, dass personenbezogene Daten nur mit einer rechtlichen Grundlage verarbeitet und weitergegeben werden dürfen. Bei einer automatischen Weiterleitung fehlen diese Grundlagen in der Regel vollständig:
- Keine Einwilligung des Absenders — Die Person, die die E-Mail sendet, hat nicht zugestimmt, dass ihre Nachricht an Google oder GMX weitergeleitet wird
- Keine Transparenz — Der Absender hat keine Kenntnis von der Weiterleitung
- Drittlandübermittlung — Gmail (Google) und Outlook.com (Microsoft) speichern E-Mails auf Servern in den USA. Ohne angemessene Garantien (z. B. EU-Standardvertragsklauseln) ist das nach DSGVO unzulässig
- Datenweitergabe ohne Auftragsverarbeitungsvertrag — Der Freemailer wird zum faktischen Datenverarbeiter, ohne dass ein entsprechender Vertrag abgeschlossen wurde
Besonders brisant ist das bei Vereinen, Organisationen und Unternehmen: Hier sind in E-Mails regelmäßig Mitgliederdaten, Kundendaten, Vertragsinhalte oder Gesundheitsinformationen enthalten — allesamt besonders schützenswerte Kategorien nach DSGVO Art. 9.
Die Freemailer im Vergleich
| Anbieter | Firmensitz | Serverstandort | Datenweitergabe an Dritte | DSGVO-Konformität |
|---|---|---|---|---|
| Gmail (Google) | USA | Weltweit, inkl. USA | Ja (Werbezwecke, intern) | Eingeschränkt |
| Outlook.com (Microsoft) | USA | Weltweit, EU-Option verfügbar | Begrenzt (Microsoft-Dienste) | Bedingt (mit DPA) |
| GMX / Web.de (United Internet) | Deutschland | Deutschland | Werbezwecke im Konzern | Weitgehend |
| Yahoo Mail (Yahoo) | USA | Weltweit, inkl. USA | Ja (Werbung, Analyse) | Problematisch |
Hinweis: Google hat zwar zugesagt, keine E-Mail-Inhalte mehr für personalisierte Werbung zu nutzen (seit 2017). Google behält sich jedoch vor, E-Mail-Daten für andere Zwecke — etwa zur Verbesserung eigener Dienste und KI-Modelle — zu verarbeiten. Die Nutzungsbedingungen erlauben dies ausdrücklich.
Was stattdessen zu tun ist
Weiterleitungen an Freemailer sollten vollständig deaktiviert werden. Wer E-Mails mehrerer Postfächer zentral verwalten möchte, hat datenschutzkonforme Alternativen:
- IMAP-Mehrkonten-Zugriff — Mail-Apps wie Thunderbird, Apple Mail oder Outlook unterstützen beliebig viele IMAP-Konten. Die E-Mails bleiben auf dem jeweiligen Mailserver und werden nur zur Anzeige abgerufen — nicht kopiert
- Kein Auto-Forward — In den Einstellungen des Postfachs prüfen, ob eine Weiterleitung aktiv ist, und diese deaktivieren
- DigitalMDMA ansprechen und weitere E-Mail Konten bestellen, um seperate Zugänge je Mitarbeiter / Vorstandsmitglied zu ermöglichen
Maßnahmen auf DigitalMDMA Mailservern
Auf den DigitalMDMA Mailservern werden aktive Weiterleitungen an externe Freemailer regelmäßig überprüft. Nutzer werden über erkannte Weiterleitungen informiert und auf die Datenschutzrisiken hingewiesen. Eine automatische Sperrung von Weiterleitungen ist technisch möglich, wird jedoch aus Rücksicht auf laufende Kommunikation nicht pauschal durchgesetzt — stattdessen setzt DigitalMDMA auf Aufklärung und freiwillige Deaktivierung.
Woran erkennst du eine problematische Mail-App?
Warnsignale:
- Die App bietet automatische Kategorisierung von Kaufbelegen, Reisen oder Abonnements
- KI-gestützte Antwortvorschläge, die den Inhalt deiner Mails „verstehen“
- Die App synchronisiert über eigene Cloud-Server (nicht direkt Gerät → Mailserver)
- Die App ist kostenlos, obwohl sie aufwendige Server-Infrastruktur betreibt
- Firmensitz in den USA mit unklarer DSGVO-Compliance
- Das Unternehmen bietet parallel ein Marktforschungsprodukt an (wie Edison Trends)
Technischer Test:
Wenn du prüfen möchtest, ob eine Mail-App als Cloud-Proxy funktioniert, schaue in den Server-Logs nach. Ein lokaler Mail-Client verbindet sich von deiner eigenen IP-Adresse. Ein Cloud-Proxy verbindet sich von einer Rechenzentrums-IP (z. B. Amazon AWS, Google Cloud, Microsoft Azure).
✅ Empfohlene datenschutzfreundliche Mail-Apps
Diese Apps verarbeiten E-Mails ausschließlich lokal auf deinem Gerät — ohne Cloud-Backend:
| App | Plattform | Kosten | Open Source | Besonderheit |
|---|---|---|---|---|
| Apple Mail | iOS, macOS | Kostenlos (inklusive) | Nein | Einfach, zuverlässig, vollständig lokal |
| Thunderbird | Windows, macOS, Linux | Kostenlos | Ja | Vollständig, viele Erweiterungen |
| FairEmail | Android | Kostenlos (Open Source) | Ja | Beste Datenschutz-Optionen für Android |
| K-9 Mail | Android | Kostenlos | Ja | Bewährt, jetzt Teil des Thunderbird-Projekts |
| Mimestream | macOS, iOS | Kostenpflichtig | Nein | Nur Gmail, aber lokal |
| Outlook | Alle Plattformen | Kostenlos (Microsoft) | Nein | DSGVO-konform (EU-Rechenzentren verfügbar) |
Wichtig bei Outlook: Microsoft verarbeitet E-Mails auf eigenen Servern, ist aber DSGVO-konform und bietet Datenschutzvereinbarungen (Data Processing Agreements) für Geschäftskunden. Das ist rechtlich ein Unterschied zu Edison Mail & Co.
Maßnahmen auf DigitalMDMA Mailservern
Im Juni 2026 wurden auf den Mailservern von DigitalMDMA folgende Sicherheitsmaßnahmen umgesetzt:
Gesperrte IP-Adressen (Edison Mail AWS-Backend)
| IP-Adresse | Provider | Standort |
|---|---|---|
35.172.201.49 |
Amazon AWS | Ashburn, Virginia, USA |
18.212.239.37 |
Amazon AWS | Ashburn, Virginia, USA |
34.227.193.152 |
Amazon AWS | Ashburn, Virginia, USA |
54.234.252.84 |
Amazon AWS | Ashburn, Virginia, USA |
Automatische Erkennung
Neue Edison Mail IPs werden durch regelmäßige Log-Analyse identifiziert und blockiert. Da Edison Mail ein dynamisches AWS-IP-Pool nutzt, ist eine vollständige Sperrung durch manuelle IP-Listen allein langfristig nicht möglich. Die einzig wirksame Lösung ist die Deinstallation der App durch den Nutzer.
Fazit
Kostenlose E-Mail-Apps mit „smarten“ Features sind selten wirklich kostenlos. Die Währung sind deine E-Mails — und damit die E-Mails all deiner Kunden, Mitglieder, Kollegen und Geschäftspartner, die dir jemals geschrieben haben.
Für Unternehmen, Vereine und Organisationen gilt:
Verlangt von euren Mitarbeitern und Mitgliedern die Nutzung von datenschutzkonformen Mail-Clients. Die hier empfohlenen Apps (Apple Mail, Thunderbird, FairEmail) bieten identischen Komfort — ohne den Datenmissbrauch.