Tracking-Pixel: E-Mail-App kann Bewegungsprofil der Empfänger erstellen

Von der E-Mail-App Superhuman haben vermutlich die wenigsten von euch schon gehört. Kein Wunder, denn der Zugriff ist erst seit kurzem und nur per Einladung möglich, zudem peilt die App mit einem Monatspreis von 30 Dollar eine sehr begrenzte Zielgruppe an. In den USA ist der Bekanntheitsgrad der Anwendung in den vergangenen Tagen allerdings massiv gestiegen – auf eine Art und Weise, die den Entwicklern nicht gefallen dürfte. Superhuman steht aufgrund zweifelhafter Tracking-Methoden am Internet-Pranger.

Wie der Blogger Mike Davidson ausführlich dargelegt hat, bietet Superhuman eine Funktion namens „Read Receipts“, die allerdings deutlich über die auch von anderen Anwendungen bekannte Anzeige des Gelesen-Status hinaus geht. Die App protokolliert exakt, wann und sogar wo eine über sie verschickte E-Mail geöffnet wurde. In der Folge lässt sich so ganz nebenbei auch ein Bewegungsprofil des Empfängers erstellen.

Bild: Mike Davidson

Wie funktioniert das Ganze? In den E-Mails versteckt sich ein sogenannter Tracking-Pixel, ein winziges, unsichtbares Bild, das jedesmal, wenn die E-Mail geöffnet wird, vom Server der Superhuman-Betreiber geladen wird. Anhand einer eindeutig vergebenen ID lässt sich beim Zugriff auf diese Datei erkennen, welche E-Mail gerade geöffnet wurde, zudem gibt die anfragende IP-Adresse mal mehr und mal weniger detailliert Auskunft über den aktuellen Aufenthaltsort des die E-Mail lesenden Nutzers.

Speicherung der Ortsdaten ist nicht rechtens

Pixel-Tracking ist ein alter Hut, die Technik wird beispielsweise im Zusammenhang mit Mailing-Listen oder auch Spam-Emails benutzt. Bislang ging es hier aber im Wesentlichen nur darum, ob die betreffende E-Mail überhaupt geöffnet wurde. Das Erfassen und Speichern der Ortsdaten dagegen ist eine neue Dimension und ohne entsprechenden Hinweis nicht nur dreist, sondern zumindest mit Blick auf die hiesige Datenschutzverordnung auch nicht rechtens.

Superhuman hat diese Funktion keinefalls versehentlich implementiert, sondern als eines der Features ihres hochpreisigen Angebots vermarktet. Im Feuer der Kritik haben die Entwickler nun die Flucht nach vorn angetreten, und sich öffentlich entschuldigt. Wohl auch mit Blick auf die möglicherweise zu erwartenden rechtlichen Konsequenzen wird die Sammlung der Ortsdaten komplett entfernt, das Standard-Tracking des Gelesen-Status soll nicht mehr automatisch aktiviert werden, bleibt aber enthalten.

Apple Mail: So schützt ihr euch gegen Tracking-Pixel

Tracking-Pixel sind wie gesagt längst ein Quasi-Standard bei vielen Massen-Mails und Spammern. Die Gefahr, auf diese Weise ausspioniert zu werden klingelt also tagtäglich bei euch im Posteingang. Das einzig effektive Gegenmittel geht mit Einschränkungen im Benutzerkomfort einher. Ihr könnt das automatische Laden von externen Elementen deaktivieren, und diese nach Prüfung der E-Mail manuell nachladen.

Die Einstellung hierfür findet sich bei Apple Mail auf dem Mac im Bereich „Darstellung“. Entfernt dort das Häkchen bei „Entfernte Inhalte in Nachrichten laden“. Auf dem iPhone heißt der entsprechende Schalter in den Mail-Einstellungen. „Entfernte Bilder laden“.

Wenn entfernte Inhalte von einem Server abgerufen werden, können Informationen über deinen Mac preisgegeben werden. Du kannst diese Option für mehr Sicherheit deaktivieren, aber einige E-Mails werden dann möglicherweise nicht richtig angezeigt.
Entfernte Inhalte werden in E-Mails nicht angezeigt, die Mail als Werbung markiert.