das gerät in deiner hosentasche kennt deinen aufenthaltsort auf drei meter genau. es weiß, wann du schläfst. es kennt deine stimme, dein gesicht, deine kontakte, deine gewohnheiten. es weiß, welche apps du nutzt, wie lange, und in welcher reihenfolge.
das ist kein datenschutzproblem. das ist das produkt.
was ein smartphone technisch ist
ein modernes smartphone enthält mehrere prozessoren, die unabhängig voneinander laufen. der hauptprozessor — der, den apps nutzen — ist dabei der einzige, den der nutzer theoretisch kontrolliert. daneben läuft ein sogenanntes baseband-modul. das ist ein separater chip, der die mobilfunkverbindung verwaltet. er hat direktzugriff auf den speicher, läuft mit eigener firmware, und ist für den nutzer vollständig intransparent.
kein betriebssystem der welt gibt zugriff auf das baseband. kein audit ist möglich. keine kontrolle existiert.
das baseband kommuniziert mit mobilfunkmasten — und damit mit netzbetreibern. netzbetreiber sind in den meisten ländern verpflichtet, auf anfrage von behörden standortdaten, verbindungsdaten und gesprächsinhalte herauszugeben. nicht nach verurteilung. auf anfrage.
dazu kommt das secure enclave — ein weiterer separater prozessor, der biometrische daten verarbeitet. fingerabdrücke, gesichtserkennung, bezahldaten. auch hier: kein externer zugriff, keine überprüfbarkeit, keine transparenz.
drei prozessoren. einer davon nutzerkontrolliert. zwei nicht.
was betriebssysteme daraus machen
android ist ein google-produkt. der quellcode des kernbetriebssystems ist zwar open source, die version die auf geräten läuft aber nicht. hersteller modifizieren android, fügen eigene dienste hinzu — und google services sind in der standardkonfiguration tief ins system integriert.
google services laufen im hintergrund, ohne dass apps aktiv geöffnet sind. sie synchronisieren standortdaten, app-nutzung, suchanfragen, sprachbefehle. der nutzer kann einzelne berechtigungen einschränken. er kann die dienste nicht abschalten — nicht ohne das gerät zu entleeren und ein alternatives betriebssystem zu installieren.
ios ist ein apple-produkt. apple vermarktet sich als datenschutzfreundliche alternative. das stimmt relativ — verglichen mit google. absolut betrachtet: apple sammelt diagnosedaten, nutzungsstatistiken, kaufverhalten. siri-anfragen werden auf apple-servern verarbeitet. icloud-backups liegen verschlüsselt auf fremden servern — apple hat den schlüssel.
apples geschäftsmodell basiert nicht auf werbung. es basiert auf hardware-verkauf und diensten. das macht apple strukturell weniger abhängig von datenverwertung als google. es macht apple nicht vertrauenswürdig.
was apps darüber hinaus tun
auf einem durchschnittlichen android-gerät sind 80 bis 120 apps installiert. jede app kann im rahmen ihrer berechtigungen auf sensoren, daten und verbindungen zugreifen. was wenige wissen: apps können auch ohne explizite berechtigung daten sammeln — über sogenannte side channels.
beschleunigungssensor und gyroskop benötigen keine berechtigung. sie sind standardmäßig für alle apps lesbar. eine studie der princeton university zeigte 2018, dass diese sensoren ausreichen, um tippverhalten zu rekonstruieren — und damit passwörter.
ultraschall-tracking ist seit 2015 dokumentiert. apps spielen unhörbare töne ab, andere apps hören sie — und können so gerätepositionen triangulieren, ohne gps. ohne berechtigung. der nutzer merkt nichts.
sdk-tracking ist die standard-infrastruktur der app-wirtschaft. die meisten apps integrieren fremde code-bibliotheken von drittanbietern — für analyse, werbung, abstürze. diese bibliotheken sammeln eigenständig daten. der app-entwickler weiß oft nicht genau, was sie tun. er hat sie trotzdem eingebaut, weil sein geschäftsmodell es erfordert.
exodus privacy hat über 4.000 android-apps analysiert. durchschnittlich enthält eine app 7 tracker. tiktok enthält 6 bekannte tracker — plus proprietäre bytedance-infrastruktur, die nicht von außen analysierbar ist.
warum das kein versehen ist
das mobilfunksystem wurde nicht für privatsphäre gebaut. es wurde für erreichbarkeit gebaut. erreichbarkeit bedeutet: das netz weiß immer, wo das gerät ist.
das betriebssystem wurde nicht für kontrolle gebaut. es wurde für nutzung gebaut. nutzung bedeutet: so wenig reibung wie möglich, so viel bindung wie möglich.
die app-wirtschaft wurde nicht für services gebaut. sie wurde für datenerfassung gebaut. kostenlose apps sind keine services. sie sind erfassungsinfrastruktur.
das ist kein versagen des systems. das ist das system.
was das bedeutet
ein smartphone, das mit einem google- oder apple-konto verbunden ist, das standard-betriebssystem läuft, und apps aus offiziellen stores enthält — dieses gerät ist keine private kommunikationseinheit. es ist ein sensor, der von mehreren unternehmen und potenziell von behörden ausgelesen werden kann.
wer das akzeptiert, tut es bewusst. wer es nicht akzeptiert, muss handeln — nicht hoffen.
die optionen reichen von einfachen maßnahmen (berechtigungen einschränken, google-dienste deaktivieren, dns-over-https aktivieren) bis zu radikalen (grapheneos, kein google-konto, nur f-droid). der abstand zwischen diesen optionen ist groß. der erste schritt ist der wichtigste.
das gerät gehört dir. noch.