Zugangsdaten bei Nutzung von Mailapps in Gefahr - Stand 2025
Microsoft / Outlook App
Microsoft stellt eine Outlook-App für iOS und Android bereit, die auch IMAP-Accounts wie mailbox inklusive von Kontaktdaten und Kalendern nutzen kann.
Im Gegensatz zu anderen Mail-Clients für Smartphones wie z. B. K-9 Mail oder FairEmail verbindet sich die Outlook-App bei Nutzung eines mailbox-Accounts nicht direkt mit unseren Mail-Servern, sondern hinterlegt Ihre Zugangsdaten in der Microsoft Cloud und „beauftragt“ den Dienst von Microsoft mit dem Abruf und der Versendung Ihrer Mails sowie der Verwaltung Ihrer Kontakte und Termine. Der Cloud-Service von Microsoft ruft Ihre Mails ab und speichert sie, die Anhänge werden ebenfalls unverschlüsselt in einem Cloud-Drive abgelegt. Erst danach stehen die Daten Ihrem Smartphone zur Verfügung. Gleiches gilt für Kalender und Kontakte.
Privacy Policy Outlook for iOS & Android (Auszug, 2015):
“Email Credentials. We collect and process your email address and credentials to provide you the Service.
Email Data. We collect and process your email messages and associated content … Your email data may contain messages, address book, contact information, message attachments and calendar information.”
In neueren Fassungen geht Microsoft nicht mehr auf einzelne Apps ein, sondern beschreibt die Datenerhebung allgemein:
“The data we collect depends on the context of your interactions with Microsoft and the choices you make (including your privacy settings), the products and features you use, your location, and applicable law.”
Unter anderem werden dabei Credentials, also Passwörter und ähnliche Informationen zur Authentifizierung, erhoben. (Microsoft Privacy Statement)
Dieses Verhalten kompromittiert die Vertraulichkeit und Sicherheit Ihrer Daten, insbesondere im beruflichen Umfeld. Daher haben verschiedene Organisationen die Nutzung der Outlook-App im beruflichen Kontext untersagt oder den Zugriff auf die Microsoft Cloud blockiert.
Das Swiss Federal Institute of Technology Lausanne warnte vor der Nutzung der App. Auch das IT-Department des EU-Parlaments (DG ITEC) warnte seine Mitarbeitenden:
“Please do not install this application, … the apps will send password information to Microsoft without permission and will store emails in a third-party cloud service over which the Parliament has no control.”
Auch aktuelle Analysen (2023–2025) weisen darauf hin, dass Microsoft Outlook zunehmend als Datensammeldienst fungiert und dass bei der Nutzung von Drittanbieter-Konten (IMAP/SMTP) die Zugangsdaten an Microsoft-Server übertragen werden. (Proton Blog)
Spark Email
Auch die Spark-App benötigt Ihre Zugangsdaten, die dann auf den Servern des Anbieters gespeichert werden. Stand 2025 ergeben sich folgende Punkte aus der Datenschutzerklärung und ergänzenden Informationen:
- Spark erklärt, dass die Daten verwendet werden, um den Mail-Service bereitzustellen (Abruf, Versand, Benachrichtigungen, Zusatzfunktionen). (Spark Privacy)
- Spark betont, dass Nutzerdaten nicht verkauft werden. (Readdle Support)
- Für die Funktion Spark +AI wird angegeben, dass die Inhalte verschlüsselt übermittelt werden. Daten, die an Azure OpenAI gehen, werden nicht zum Training genutzt und maximal 30 Tage gespeichert. (Spark AI Security)
- Nutzer können ihre Daten gemäß DSGVO/CCPA exportieren oder löschen lassen. (Readdle Support)