Aufräumdienst Unroll.me verkauft E-Mail-Inhalte an Dritte

Screenshot: Homepage von Unroll.me

Ein Freund bei Facebook schlägt vor, sich mit Hilfe von Unroll.me von allen E-Mail-Benachrichtigungen abzumelden, wenn man schon nicht auf Facebook verzichten möchte.

Unroll.me verspricht, eine Liste aller Benachrichtigungen und Newsletter zu erstellen. Danach soll man sich von jenen Benachrichtigungen und Newslettern, die man nicht mehr abonnieren möchte, abmelden können.

Das Angebot ist kostenlos. Aber bekanntlich ist nichts umsonst, TINSTAAFL! Was ist der Haken?

Voller Zugriff auf alle E-Mails für «Online Shopping Panel»

Der Haken liegt beim Datenschutz, wie Unroll.me jenen, die es wissen möchten, erklärt:

«When you sign up for Unroll.Me, information from your commercial and transactional emails is shared with Slice Technologies, as explained above, to build market research products based on purchase or transactional information extracted from e-receipts of users of Unroll.Me and/or Slice [Technologies]. […]»

Screenshot: Unroll.me-Zugriff auf Google Mail (Gmail)

Wer Unroll.me nutzen möchte, muss vollen Zugriff auf sein E-Mail-Konto gewähren. Unroll.me kann nicht nur alle E-Mails lesen, sondern auch bestehende E-Mails löschen und neue E-Mails erstellen.

Unroll.me durchsucht alle E-Mails und filtert Informationen aus den E-Mail-Inhalten heraus. Das Ergebnis wird unter anderem mit Slice Technologies – Eigentümerin von Unroll.me – geteilt.

Slice Technologies nutzt die E-Mail-Inhalte nach eigenen Angaben – angeblich beschränkt auf geschäftliche E-Mails sowie anonymisiert und ohne Personenbezug – um Marktforschung zu betreiben. Wer Unroll.me nutzt, nimmt mit seinen E-Mails, die immer auch Daten von vielen anderen Personen enthalten, am «Online Shopping Panel» von Slice Technologies teil. Was ist ein «Online Shopping Panel»?

Im Klartext: Slice Technologies handelt mit E-Mail-Inhalten und weiteren Personendaten, die via Unroll.me aus E-Mail-Konten abgesaugt werden.

Im letzten Jahr wurde beispielsweise bekannt, dass Uber das Angebot genutzt hatte um an Daten und Informationen über Nutzerinnen und Nutzer des Konkurrenten Lyft zu gelangen:

«Im Rahmen der Enthüllung von Ubers Überwachungspraktiken hatte die New York Times quasi nebenbei auch öffentlich gemacht, dass der Dienst Unroll.me Nutzerdaten verkauft – nicht nur an den Fahrdienstvermittler. Unroll.me ist kostenlos und verspricht Nutzern, deren Postfach aufzuräumen. Dafür braucht es Zugriff auf deren Gmail-Konto, wo es automatisch nach Newslettern sucht, die dann einfach abbestellt werden können. Dabei sammelt der Dienst aber natürlich auch jede Menge Informationen über die Nutzer, die dann – bereinigt um den Nutzernamen – verkauft werden. Dessen Gründer erklärt nun, es habe sein Herz gebrochen, als er erfahren hat, dass Nutzer verärgert waren, als sie das erfuhren.»

Die Daten und Informationen stammten aus E-Mails von Lyft an die eigenen Kundinnen und Kunden.

Datenhandel statt Datenschutz bei Unroll.me

Screenshot: Datenschutzerklärung von Unroll.me (Auszug)

Mit Blick auf den Datenschutz ist das Angebot von Unroll.me äusserst fragwürdig:

  • Auf der Unroll.me-Website wimmelt es von Trackern, wobei unter anderem «Crazy Egg» ermöglicht, das Verhalten der Besucherinnen und Besucher in Echtzeit vollständig zu überwachen (Session Replay).
  • Gemäss Datenschutzerklärung, der Nutzerinnen und Nutzer von Unroll.me ausdrücklich zustimmen müssen, darf Unroll.me die E-Mail-Inhalte – ausdrücklich auch personenbezogen – nicht nur mit Slice Technologies, sondern auch mit verbundenen Unternehmen und vertrauenswürdigen Geschäftspartnern teilen. Ausserdem darf Unroll.me die Personendaten an Dritte verkaufen.
  • Für Fragen zum Datenschutz wird lediglich eine generische E-Mail-Adresse angeboten. Die Website verfügt – soweit ersichtlich – nicht über ein Impressum. Nach Angaben von Bloomberg ist Unroll.me ein amerikanisches Unternehmen mit Sitz in New York.
  • Unroll.me gewährleistet aus Sicht der Europäischen Union (EU) und der Schweiz keinen angemessenen Datenschutz. Slice Technologies und Unroll.me versprechen – soweit ersichtlich – weder mit Standardvertragsklauseln noch mit einer Privacy Shield-Zertifizierung einen angemessenen Datenschutz, was aber sowieso nicht glaubwürdig würde.
  • Es gibt keine Zeichen dafür, dass Unroll.me plant, die neue Datenschutz-Grundverordnung (DSGVO) der EU umzusetzen, obwohl dafür nur noch wenige Wochen bis am 25. Mai 2018 bleiben.

Glaubt man einem Kommentar bei Hacker News, speicherte Unroll.me alle E-Mails ohne angemessene Schutzmassnahmen bei Amazon S3:

«I worked for a company that nearly acquired unroll.me. At the time, which was over three years ago, they had kept a copy of every single email of yours that you sent or received while a part of their service. Those emails were kept in a series of poorly secured S3 buckets. […] I hope you weren’t emailed any legal documents or passwords written in the clear.»

Fazit: Finger weg von Unroll.me!

Wer das Angebot von Unroll.me nutzt, handelt verantwortungslos. Man geht nicht nur das persönliche Risiko ein, einem Unternehmen ohne angemessenen Datenschutz seine eigenen E-Mails offenzulegen. Man verrät auch die Personendaten sämtlicher E-Mail-Kontakte an Shitbags einen Datenhändler, der sich für die abgesaugten E-Mail-Inhalte sämtliche Freiheiten nimmt.

Unroll.me als Angebot von Slice Technologies erinnert an das Vorgehen von Cambridge Analytica bei Facebook:

Nutzerinnen und Nutzer wurden von Cambridge Analytica mit einer Facebook-App dazu verleitet, die Social Media-Daten ihrer Freunde zu verraten. Unroll.me funktioniert genau gleich, bloss mit Personendaten von E-Mail-Kontakten …

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.