Spark und das unangenehme Thema Datenschutz

Da freue ich mich über Spark, seine tollen Funktionen (später lesen, erinnen, später versenden, usw.) und das hervorragende Erscheinungsbild, dann weist mich Philipp auf diverse Artikel zum Thema Spark und Datenschutz hin. Das erste Problem ist, dass Spark vollständigen Zugriff auf meine Mailkonten erhält. Das mag bei einer App, mit der ich meine E-Mails bearbeiten können soll, nicht weiter verwundern, immerhin erhalten Apple Mail, Thunderbird oder Outlook den Zugriff ja auch, bei Spark ist es aber ein wenig anders, denn:

If you enter your E-mail login and password into Spark […] that login and password will be sent to Readdle’s servers, stored there, and used to access your E-mail.

Spark E-mail app: why I don’t use it anymore

Das zweite Problem ist damit eng verbunden, denn einige Features von Spark bedingen, dass E-Mails auf Spark-Servern zwischengespeichert werden. Nutzt man beispielsweise die Später-senden-Funktion, so wird der gesamte Inhalt einer E-Mail zuerst auf Servern von Spark gespeichert und erst, nachdem das E-Mail zum geplanten Zeitpunkt versendet wurde, gelöscht. Diese zwischen meinen Mailserver und das Mailprogramm eingezogene Zwischenschicht wirft natürlich Fragen auf: Wo sind die Spark-Server verortet? EU, USA, China, Russland? Und: Wie sicher sind meine Daten dort, sowohl aufgrund von Maßnahmen die Readdle, das ist die Firma, die Spark entwickelt, setzt, als auch durch die dort herrschende Gesetzgebung?

tl;dr: Zum Schluss.

Standort meiner Daten: USA

Wo die Server sind, auf denen Readdle die Spark-Services betreibt, findet man schnell in der Datenschutzerklärung. Das bestätigt auch die Datenschutzbeauftragte des Unternehmens, der ich ein E-Mail mit ein paar Fragen geschrieben habe:

Our production systems and user information is hosted in G[oogle] C[loud] P[lattform], in the US region. GCP maintains highest security and data privacy standards. Also GCP maintains their compliance to the GDPR, please read it on their official website: https://cloud.google.com/security/gdpr. We use Hetzner for some development services and environments without leaving data in them.

Aus einem E-Mail mit E. Dovgan, Readdle Data Privacy Specialist

Meine E-Mails liegen also, sobald ich Spark, die App, und somit auch die Spark-Services nutze, auf einem von Google gehosteten System in den USA. Als in der EU ansässige Person mit einem Faible für Datenschutz sieht das auf den ersten Blick nun eher nicht so gut aus, würde ich meinen. Google, USA und Datenschutz sind jetzt nicht gerade drei Vokabel, die gut zusammenpassen. Diverse Durchgriffsrechte, die man in den USA auf die Betreiber von (Mail-) Hostingdiensten hat, machen den Aufrechterhalt eines Datenschutzniveaus europäischen Standards nahezu unmöglich.

Aber immerhin, die Daten sind verschlüsselt:

There are some functions that require server-side email processing to work. […] In Spark [you] have a secure space where you share information such as email conversations, shared drafts, have private discussions, or create links to specific emails. This information is stored on our secure servers in order to make Services available to you, so you can collaborate with your teammates around email. In case you have used the ‚Send Later‘ feature, the encrypted email which should be sent at the chosen time is stored on our servers only until this time comes. Once your message is sent — it is removed from our server. […] If any information is stored on our servers, it is always encrypted.

Aus einem E-Mail mit E. Dovgan, Readdle Data Privacy Specialist

Na immerhin, die Daten sind verschlüsselt. Den Schlüssel hat aber… Readdle. Eine verzwickte Situation.

Was machen „Spark-Services“ mit meinen Daten?

Durch die Bank findet man bei Google-Suchen nach den besten E-Mailclients Spark immer unter den Top 3-Empfehlungen. Unter macOS und iOS wird Spark sehr häufig sogar als die beste App für das Senden, Empfangen und Verwalten von E-Mails genannt. Und in der Tat, hat man Spark einmal installiert und an seine Bedürfnisse angepasst, integriert sich die App nahezu nahtlos ins System und bietet Unterstützung für viele der gängigen To-Do- und sonstigen Produktivitätsapps.

Googelt man allerdings nach „Spark und Datenschutz“, so ist das Bild plötzlich von Verunsicherung getrübt. Was passiert mit meinen Daten, wenn Readdle einmal Zugang zu meinen Mailservern hat? Werden meine E-Mails in irgendeiner Form analysiert, direkt oder indirekt ausgewertet? Wenn nicht die E-Mails selbst, dann vielleicht ihre Metadaten? Die Spark-Services, die eine Ebene zwischen meinen Mailserver und das Mailprogramm ziehen, sind ein schwarzes Loch. Ich kann nur den Aussagen in der Datenschutzerklärung oder der Rückversicherung durch die Datenschutzbeauftragte Glauben schenken.

We don’t sell, rent or unlawfully share your personal data with any third parties. We do not read or analyze emails of our users also. If any information is stored on our servers, it is always encrypted. You can read our article regarding Spark’s Privacy here.

Aus einem E-Mail mit E. Dovgan, Readdle Data Privacy Specialist

Und in dem Moment, in dem das Wort „unlawfully“ vorkommt, springt der Datenschützer in mir auf und vermeldet: Ja, okay, aber „lawfully“ in einem Land mit niedrigeren Datenschutzlevels als in Europa bedeutet, dass der Zugriff auf meine Daten mit (bei uns in Europa als Nichtigkeiten wahrgenommenen) Argumenten begründet werden kann. (Und das ist der Grund, warum der Serverstandort so wichtig ist.)

Zur Lektüre, was die Interwebs dazu zu sagen haben, empfehle ich diese drei Forumsbeiträge. In diesen Threads geht es allerdings mehr ums Speichern der Zugangsdaten und weniger um die potentielle Verarbeitung der in den Spark-Services gespeicherten Daten:

  • Spark Mail by Readdle promised privacy but didn’t deliver it, ein Reddit-Beitrag von Juli 2019 skizziert das Problem, ist aber unbefriedigend, weil keine Lösung vorgeschlagen wird.
  • sooo, is spark mail still sketchy? Auch das ein Reddit-Beitrag von Juni 2019, in dem – und das ist der Punkt hier – schnell herauskommt, dass man eigentlich nichts weiß. Hier lese ich übrigens zum ersten Mal, dass Readdle ein deutsches Unternehmen ist, was ich nicht nachvollziehen kann. (Readdle ist in Panama registriert, steht auf der Readdle-Website, und hat einen Repräsentanten für Europa, der in der deutschen Version der Datenschutzerklärung in Zypern, in der englischen allerdings in Deutschland verortet ist. – Sketchy!)
  • What do you think about Spark (by Readdle) security? Ein Forumsbeitrag von November 2019, allerdings hat sich hier der Readdle-Support eingeschaltet und von einem der Diskutierenden zitiert wurde.

Und auch bei verschiedenen Tests steht Spark gut da, außer es geht um den Datenschutz:

Es ist ein Murks und mehr, als dass die Spark-Services zusätzliche Features bereitstellen, ist aus den mir zur Verfügung stehenden Quellen nicht zu entnehmen.

Schwache Datenschutzerklärung

Wenn Spark bzw. Readdle meine E-Mails zwischenspeichert, wenn Daten wie E-Mailadressen oder die Inhalte meiner E-Mails – und damit potentiell höchst sensible Daten – auf der cloudbasierten Plattform Spark-Services auf Google-Servern in den USA abgelegt werden, was alles erfülle ich dann unter dem Gesichtspunkt der DSGVO plötzlich nicht? Spark verweist auf seiner Website prominent auf die Erfüllung der DSGVO, aber wenn ich lese, dass die Inhalte meiner E-Mails auf Servern in den USA gespeichert werden, frage ich mich, wie das funktionieren soll! (Auch wenn da ein „GDPR compliant“-Banner abgebildet ist.)

Spark ist vollständig mit der EU-DSGVO / GDPR konform. Damit alles so sicher wie möglich ist, werden Ihre Daten verschlüsselt und auf der sicheren Infrastruktur von Google Cloud abgelegt.

sparkmailapp.com/de

Wie schon oben gezeigt. Google Cloud per se ist nicht das Problem. Google Cloud mit Standort USA kann ein Problem sein. Die Datenschutzerklärung ist hier wenig Hilfe. Findet man Antworten im ohnehin oben schon zitierten Artikel „Spark Email Privacy: Everything you Need to Know„? Oder zumindest im „Personal data processing annex“ in den Nutzungsbedingungen? Leider nein. In keinem der Dokumente geht eine Erklärung zum Thema Schutz meiner Daten über den allgemeinen Hinweis auf die GDPR-Compliance der Google Cloud Plattform hinaus. Das liest sich dann so:

To make everything as safe as possible, we don’t use our own servers. Instead, we rely on Google Cloud service, one of the most secure solutions available in the industry. […] Our cloud infrastructure is hosted by Google in the US, which is fully SOC-2 and ISO 27001 certified. Google Cloud service meets the requirements of Standard Contractual Clauses. This is a mechanism (after invalidating the US-EU Privacy Shield framework) for the lawful transfer of personal data from the European Union to countries outside of the EU under the EU GDPR. Thus Google Cloud meets the GDPR standards for the transfer of personal data outside of the EU.

Spark Email Privacy: Everything you Need to Know

Viele Unternehmen hosten in der Google Cloud Plattform, das ist schon klar. Aber die Cloud-Plattform hat keine Sicherheit per se. Wenn man sich dort einen Server oder Service anmietet und den schlecht konfiguriert, dann kann die Plattform noch so sicher sein: es wird ein Problem geben. Und genau dieser Aspekt ist – zum Beispiel – mit keinem Punkt erwähnt. Klärt also ein Absatz wie der oben zitierte nun irgendetwas auf oder, noch wichtiger, hat mir die Datenschutzerklärung in ihrer Gesamtheit irgendwie geholfen? Leider nein. Ein paar Dinge sind in meinen Augen einfach nicht genügend (gut) erklärt und ein paar Dinge kommen mir einfach eigenartig oder zumindest hinterfragenswert vor.

Zusammengefasst: Gut, dass es eine Datenschutzerklärung gibt, und gut, dass es zumindest den einen Blogpost gibt, in dem das Thema aufgegriffen und der Versuch unternommen wird, es näher zu erläutern. Doch gerade die Datenschutzerklärung ist in meinen Augen schwach und lässt viele wichtige Fragen offen. Etwas mehr konkret, etwas weniger Allgemeinposten, klare, unmissverständliche Sprache – und schon wäre ich weniger skeptisch. Und Skepsis ist das Gegenteil von Vertrauen, womit ich widergeben möchte, was die österreichische Futurezone zum Thema Spark im letzten Absatz zu sagen hat:

Einen Punkt gilt es aber auch bei Spark zu beachten. Passwörter und Inhalte werden auf den Servern des Anbieters gespeichert bzw. verarbeitet. Die Nutzung der App verlangt aus Sicht des Datenschutzes also einiges an Vertrauen.

Erleichterung beim Arbeiten mit Mails

😳!

Daten in die Cloud, schon beim Setup

Natürlich habe ich Spark ausprobiert. Und natürlich war ich begeistert. Mir war aber beim initialen Setup bis zu einem Zeitpunkt an dem es bereits zu spät war, nicht klar, dass die Zugangsdaten für mein Mailkonto nicht in der Spark-App, also der lokalen Applikation auf meinem Endgerät, sondern bei einem Onlinedienst („Spark-Services“) gespeichert würden. Diese Spark-Services würden von nun an eine Ebene zwischen meinen Mailserver und meine Mailprogramm ziehen. Ja, richtig gelesen! Meine E-Mail-Accountdaten werden an einen Onlineservice übermittelt, der meine E-Mails abruft und sie an meine Geräte weiter versendet.

Aufgefallen ist mir das, weil ich app- bzw. gerätespezifische Passwörter nutze, Spark mich aber, trotz der Installation der App auf mehreren Endgeräten, nur ein einziges Mal zur Eingabe von Zugangsdaten aufgefordert hat; und dennoch haben alle Geräte Zugriff auf alle registrierten E-Mailkonten erhalten. Wie kann das anders sein als eben über eine zentrale Mailverwaltung auf einem Drittserver? Eine unangenehme Situation, die noch unangenehmer wird, weil man eben nicht explizit darauf hingewiesen wird. – Und das ist ein gewaltiger Kritikpunkt!

Setup-Modus von Spark: Ab jetzt werden meine Daten in der Cloud gespeichert. Sieht irgendwer hierzu einen Indikator?

Nicht nur mir, es ist offenbar auch anderen Userinnen und Usern – darunter zum Beispiel Jan Rychter – nicht klar gewesen, dass Spark die Zugangsdaten nicht lokal, sondern in der Cloud speichert. Dieser Jan Rychter macht einen vernünftigen Vorschlag, nämlich, eben diese Tatsache ganz klar zu kommunizieren und sie nicht – und dieser Mief geht einfach nicht weg – hinter ominösen „Spark-Services“, die man leicht missverstehen könnte, zu verstecken.

I do not know if it was Readdle’s intention to hide the fact that „Spark services“ are really „servers in the cloud“. I do not suspect them of ill will, but I consider all this to be a serious lapse in judgment. […] Ask clearly for permission to „SEND AND STORE YOUR PASSWORD ON OUR ONLINE SERVERS WHICH WILL ACCESS YOUR E-MAIL“. It should be very clear to the user what is happening. The wording and presentation should make it difficult to accidentally agree. The users takes on additional risks by agreeing, so be clear about those risks.

Spark E-mail app: why I don’t use it anymore

Einhundertprozentige Zustimmung meinerseits. Wenn mir klar ist, was passieren wird, dann bleibt es meine Entscheidung, zuzustimmen oder eben nicht. Ich könnte mir die Frage stellen, ob ich damit einverstanden bin. Ich hätte die Möglichkeit, nocheinmal darüber nachzudenken. So, wie das aktuell läuft, bin ich erst drauf gekommen, als es schon zu spät war. (Und ja, „Spark-Services“ werden in den Datenschutzbestimmungen erwähnt, aber so eine Information gehört meiner Meinung nach klar und ohne Umweg kommuniziert.)

Spark entfernt. Aber der Service hat noch 3 Monate lang (!) Zugriff auf meine Konten

In der Datenschutzerklärung von Spark steht in Kapitel 4, „Wie lange Ihre persönlichen Daten gespeichert werden„, dass Spark meine „E-Mail-Adresse, E-Mail-Inhalt für Spark-Dienste, Mailserver-Anmeldeinformationen, APNS-Geräte-Token, uns zugeordnetes App-Token [und] Geräteinformationen“ für „3 Monate nach Löschung [meines] Accounts“ behält. Eine meiner Fragen an die Datenschutzbeauftragte bezog sich auf genau diese Vorhaltezeit. Hier die Antwort:

This data retention policy is necessary to make sure you can restore an accidentally deleted account or if your device is stolen and Spark was deleted by somebody else. If you stop using Spark, you can always remove your information in app’s settings manually or request such data deletion by contacting our team. In this case, the information is removed immediately. (Spark Preferences > General > Remove my Data from Spark).

Aus einem E-Mail mit E. Dovgan, Readdle Data Privacy Specialist

Da drei Monate aber eine sehr, sehr lange Zeit sind, sorge ich besser von meiner Seite aus dafür, dass Spark keinen Zugang mehr zu meinen Daten hat und entziehe der App alle Berechtigungen bei all meinen Konten – so, wie es die Datenschutzbeauftrage ja auch vorschlägt. Ich bin hier nur besonders gründlich.

Konten gegen den Zugriff durch Spark sichern: Apps entfernen oder Passwörter ändern

Screenshot Spark-Mail. In Allgemein > Hauptmenü lassen sich meine Daten aus Spark entfernen.
  • Bei FastMail habe ich ein App-Passwort für Spark erstellt. Dieses wird unter fastmail.com/settings/security/devicekeys einfach gelöscht. (Es gibt ohnehin nur eines für alle meine Geräte, da ja der Spark-Service meine Mails dort abgerufen hat – und eben nicht meine Devices.) Spark hat nun keinen Zugriff mehr auf meine E-Mails von FastMail, ich kann das Konto nun auch direkt in der Spark-App entfernen.
  • Auch in der G Suite bzw. in Gmail ist es relativ einfach, Spark zu entfernen. Unter myaccount.google.com/permissions kann man im Abschnitt „Drittanbieter-Apps mit Kontozugriff“ Spark die Zugriffsrechte (für E-Mails und Kalenderdaten) entziehen. Auch hier kann das Konto direkt aus Spark entfernt werden.
  • Wer mit Office365 arbeitet, muss einen etwas steinigeren Weg gehen, aber auch da wechselt man auf myapplications.microsoft.com/, wählt den Punkt „Anwendung verwalten“ im Kontextmenü bei Spark aus und widerruft im nächsten Fenster alle Berechtigungen.
  • Hat man ein reguläres IMAP-Konto konfiguriert, bleibt einem nichts anderes übrig als dort das Passwort zu ändern.

Der letzte Schritt ist dann, „meine Daten aus Spark [zu] entfernen“, wie im Screenshot gezeigt, wodurch die App (und wohl auch der Service) zurückgesetzt wird. Man bestätigt ein Pop-Up und das war’s mit Spark.

Zum Schluss

Es ist wirklich schade, dass es keinen ausführlichen Beitrag zum Thema Sicherheit bei Spark gibt. Und mit „ausführlich“ meine ich detaillierte Angaben, die mich ruhig schlafen lassen, obwohl ich weiß, dass hier eine Firma, die in Panama, Zypern oder Deutschland ihren Sitz hat (der Support hat mir geschrieben, dass das Headquarter in der EU ist, immerhin) – alles Informationen, die man auf der Readdle-Website finden kann – gut mit meinen Daten umgeht. So, zum Beispiel, wie es Backblaze gemacht hat. Oder Wormhole. Zeigt mir, Readdle, dass niemand, außer ich, Zugang zu meinen Mails hat. Schafft es, irgendwie Ende-zu-Ende-Verschlüsselung zu implementieren und die Sache sähe ganz anders aus.

Warum finde ich das schade und freue mich nicht darüber, mit Apple Mail oder MailMate zu arbeiten? Weil Spark wirklich eine attraktive und im Funktionsumfang hervorragende App ist, mit der die Nutzung des Mediums E-Mail im Jahr 2021 vernünftig möglich ist. Mails sind Erinnerungen, Termine, Benachrichtigungen und eben nicht mehr nur Nachrichten alleine. Sieht man E-Mails eben so an, dann wird ihre Verwaltung und Bearbeitung zum entscheidenden Feature für eine E-Mail-Applikation. Ein reiner Reader mit Antwortfunktion – und so geben sich die Platzhirschen Apple Mail, Thunderbird, MailMate, usw. – ist eigentlich passé.

Spark erfüllt das alles, speichert meine Daten aber bei Nutzung bestimmter Funktionen außerhalb Europas. Deshalb muss ich es aktuell zähneknirschend hinnehmen. Hoffentlich gibt es bald eine Option (so, wie das G Suite, Office 365 und die anderen großen Dienste handhaben), die Daten in Europa zu belassen, und womöglich sogar mittels Ende-zu-Ende-Verschlüsselung zu sichern. Die Hoffnung stirbt zuletzt, richtig?

📧☁️