TechTok #14: Alltägliche Gewohnheiten, die eure Daten gefährden
Wenn ihr diesen Artikel lest, achtet ihr wahrscheinlich schon viel mehr auf eure Privatsphäre als durchschnittliche Internetnutzer:innen. Das bedeutet, ihr wisst, dass eure Daten in den Augen vieler Konzerne und Tech-Riesen ein Produkt sind — und sie tun alles, um daran zu kommen. Die Methoden, die sie dabei anwenden, sind endlos: Einige sind bekannt, andere weniger offensichtlich. Viele dieser Methoden haben jedoch eines gemeinsam: Man übersieht sie leicht und gibt ungewollt Daten preis. Ihr tut etwas völlig Alltägliches, wie eine App zu installieren oder einen QR-Code zu scannen, und schon ist eure Privatsphäre in Gefahr. Im heutigen TechTok beantworten wir diese Frage:
Was sind die häufigsten Datenschutzfallen? Welche Dinge tut ihr fast jeden Tag, die eure persönlichen Daten gefährden können?
Wenn ihr persönliche Details auf einer öffentlichen Plattform postet oder ein Online-Formular mit eurem echten Namen oder eurer Adresse ausfüllt, ist es ziemlich offensichtlich, dass eure Privatsphäre darunter leidet. In solchen Szenarien hilft der gesunde Menschenverstand: Gebt eure Zugangsdaten nicht auf dubiosen Websites ein, damit sie alle sehen können. Aber was ist mit den anderen, weniger klaren Fällen? Wir haben neun Szenarien gesammelt, in denen ihr euch leicht wiederfinden könntet und in denen ihr riskiert, eure persönlichen Daten preiszugeben, ohne es überhaupt zu merken.
1. Einen QR-Code scannen
QR-Codes sind aus dem Alltag nicht mehr wegzudenken — sie sind das Bindeglied zwischen der physischen und der digitalen Welt. Wir scannen sie, um Dinge zu bezahlen, eine Speisekarte im Restaurant herunterzuladen oder Kontaktdaten zu teilen. Je öfter wir das tun, desto weniger denken wir darüber nach, was eigentlich hinter der Kamera passiert, die auf das Karomuster gerichtet ist. Und was passiert, ist meistens, dass euer Smartphone eine URL öffnet, entweder im Browser oder in einer In-App-Webansicht.
In dem Moment, in dem die Seite geladen wird, sendet euer Gerät eine Anfrage an den Server, auf dem sie gehostet wird. Diese Anfrage enthält automatisch einige Informationen, und die Seite kann über darauf laufende Skripte noch mehr sammeln, je nachdem, wie sie aufgebaut ist und welchen Schutz ihr nutzt. Hier sind die Arten von Informationen, die gesammelt werden können:
Eure IP-Adresse. Dies führt indirekt dazu, dass euer ungefährer Standort, euer Internetanbieter und die Art eure Verbindung (WLAN oder Mobilfunk) bekannt werden.
Eure Browser- und Geräteinformationen. Gerätetyp, Betriebssystem, Spracheinstellungen, manchmal sogar die Browserversion und das genaue Gerätemodell.
Hinweise auf Sprache und Region. Wenn sich die Website basierend auf anderen Daten nicht sicher über euren Standort oder eure Sprache ist, kann sie hier zusätzliche Hinweise erhalten.
Und das sind nur die Dinge, die der Server automatisch erhält. Nach dem Laden der Seite kann JavaScript im Browser ausgeführt werden, um noch mehr herauszufinden:
Bildschirmgröße und Display-Eigenschaften. Bildschirmauflösung, Geräteausrichtung, Pixelverhältnis, Farbtiefe — all diese kleinen Details helfen beim „Fingerprinting“ eures Geräts und tragen zu eurem Profil bei.
Zeitpunkt des Zugriffs. Ziemlich offensichtlich, aber die Website kann eure Ortszeit und Zeitzone erfahren sowie aufzeichnen, wie lange ihr auf der Seite geblieben seid.
Interaktionssignale. Wenn die Website möchte, kann sie nachverfolgen, welche Schaltflächen ihr angeklickt habt, ob ihr etwas kopiert habt, wie viel Zeit ihr mit Lesen verbracht habt und so weiter.
Behandelt QR-Codes also im Grunde wie Links. Wir klicken ja auch nicht auf jeden beliebigen Link in einer Spam-E-Mail, also sollten wir ähnlich wählerisch sein, welche QR-Codes wir scannen. Scannt nur Codes an vertrauenswürdigen Orten; das Scannen eines zufälligen QR-Codes auf einem Aufkleber an einer Straßenlaterne ist daher eine schlechte Idee.
Bedenkt außerdem, dass QR-Codes letztlich physische Objekte sind, die mit realen Orten verknüpft sind. Sobald ihr einen scannt, gebt ihr unter Umständen preis, dass ihr euch zu einer bestimmten Zeit an einem bestimmten Ort aufgehalten habt. Das kann dabei helfen, euer Offline-Verhalten mit Online-Tracking oder Profiling zu verknüpfen.
2. Push-Benachrichtigungen erlauben
Ein weiteres Paradebeispiel für etwas, das so tief in unserem Leben verankert ist, dass wir es oft ohne Nachdenken nutzen. Push-Benachrichtigungen sind nützlich, weil sie der einfachste Weg für eine App sind, euch zu erreichen und euch über etwas Wichtiges zu informieren — aber genau das macht sie so gefährlich. Sie geben einer App einen direkten, dauerhaften Kanal zu eurem Gerät — einen Kanal, der im Laufe der Zeit viel über euer Verhalten, eure Interessen und eure Gewohnheiten verraten kann.
Blicke über die Schulter. Die einfachste Stufe, warum Push-Benachrichtigungen eine Gefahr für eure Privatsphäre sein können, ist die Offenlegung sensibler Inhalte auf eurem Sperrbildschirm. Keine unsichtbare „Tracking-Magie“, sondern schlicht und einfach die Tatsache, dass jemand anderes im falschen Moment einen Blick auf euren Bildschirm wirft und eure Nachrichtenvorschauen, Bankdaten oder Bestellbenachrichtigungen sieht.
Und denkt daran, dass diese Benachrichtigungen buchstäblich zu jeder Zeit eintreffen können — das ist ja ihr Sinn. Seid also sehr wählerisch, welchen Apps ihr das Senden von Push-Benachrichtigungen erlaubt. Sobald man die Erlaubnis erteilt hat, vergisst man sie leicht wieder. Am besten beugt man einem potenziellen Desaster also so früh wie möglich vor.
Erstellung eines Tagesprofils. Jedes Mal, wenn eine App euer Smartphone mit einer Push-Nachricht erreicht, erfährt sie, dass euer Gerät online ist. Indem sie untersucht, wann ihr auf welche Push-Nachrichten reagiert, lässt sich euer Tagesablauf relativ leicht analysieren: wann ihr schlaft, wann ihr pendelt oder Pausen macht und wann ihr am besten erreichbar seid. Das fühlt sich vielleicht nicht so bedrohlich für die Privatsphäre an wie das Leaken eurer E-Mail-Adresse oder Telefonnummer, aber es hilft dabei, euer digitales Profil zu schärfen und euer Verhalten zu manipulieren.
Nicht immer gut für die Psyche. Es geht hierbei zwar nicht direkt um Datenschutz, aber es sollte erwähnt werden: Push-Benachrichtigungen können euren Tagesrhythmus und eure Routinen leicht durcheinanderbringen. Ständig mit Push-Nachrichten bombardiert zu werden, stört den inneren Frieden und erhöht den Stresspegel. Schaut euch mal an, welche Apps auf eurem Smartphone die Berechtigung für Push-Benachrichtigungen haben — wir wetten, wenn ihr die Hälfte davon deaktiviert, würdet ihr nichts wirklich Wichtiges vermissen, aber einige Nerven sparen.
3. Unnötige Berechtigungen erteilen
Anknüpfend an den vorherigen Punkt: Gebt Apps auf eurem Smartphone generell nicht mehr Berechtigungen, als sie für ihre ordnungsgemäße Funktion benötigen. Wenn eure Karten-App nach der Standortberechtigung fragt, ist das eine legitime Anfrage. Wenn eine Sudoku-App dasselbe tut, könnt ihr sie wahrscheinlich ablehnen, ohne an Funktionalität zu verlieren.
Die meisten Menschen können mit gesundem Menschenverstand beurteilen, ob eine App eine bestimmte Berechtigung wirklich braucht. Das Problem liegt woanders. Viele von uns haben es ständig eilig: Ein Freund zeigt euch eine coole App und ihr rennt in den Store, um sie herunterzuladen. Sobald der Download abgeschlossen ist, tippt ihr auf das Symbol, und statt des Hauptbildschirms seht ihr ein nerviges Berechtigungs-Pop-up. Wenn ihr noch nie in dieser Situation wart und ungeduldig auf „Zulassen“ getippt habt, ohne kurz innezuhalten und es durchzulesen, seid ihr weitaus geduldigere Menschen als die meisten.
Macht es euch zur Gewohnheit, jedes Mal langsamer zu machen, wenn ihr eine neue App installiert, und kurz darüber nachzudenken, welche Berechtigungen die App tatsächlich benötigt. Wenn ihr noch einen Schritt weiter gehen wollt, solltet ihr die Datenschutzerklärung lesen. Das ist allerdings oft nicht einfach, da viele skrupellose Entwickler die Datenschutzerklärungen für ihre Apps und Browsererweiterungen absichtlich unklar gestalten oder schwer auffindbar machen. Aber das ist die nächste Stufe — jegliche Versuche, unnötige Berechtigungen zu erlangen, im Keim zu ersticken, ist ein guter Ausgangspunkt für alle, die das eigene Datenschutzniveau anheben möchten.
4. Kostenlose Apps und Erweiterungen installieren
Hier gibt es natürlich einen Haken. Nicht alle kostenlosen Dienste und Apps sind schlecht, das zu behaupten, ginge zu weit. Aber die einfache Wahrheit ist: Menschen verschenken selten etwas ohne Gegenleistung. Wenn ihr im Begriff seid, eine kostenlose App auf eurem Gerät zu installieren, fragt euch selbst: Warum ist sie kostenlos? Manchmal gibt es dafür einen legitimen Grund, etwa wenn eine kostenlose Version einer App auch ein kostenpflichtiges Pro-Abonnement anbietet, es sich um ein Freemium-Spiel handelt, das darauf hofft, dass ihr später In-Game-Objekte kauft, oder es sich vielleicht um das Herzensprojekt von jemandem handelt.
In vielen Fällen geht eine kostenlose App jedoch mit weitreichendem Tracking einher. Kleinere Entwickler binden oft Analyse- und Werbe-SDKs (Software Developer Kits) in ihre Apps ein, um Geld zu verdienen. Diese SDKs sammeln Daten wie euer Verhalten, Geräteinformationen und Nutzungsmuster. Im schlimmsten Fall dienen kostenlose Apps als Einfallstor für Viren und verschiedene Phishing-Betrügereien.
Das bedeutet nicht, dass ihr ab sofort alle kostenlosen Apps meiden müsst, aber überlegt es euch jedes Mal gut, wenn ihr eine installiert. Fragt euch, ob ihr sie wirklich braucht. Wenn die Antwort „Ja“ lautet, rüstet euch mit eurem bewährten Werbeblocker aus und achtet auf Anzeichen von Phishing und anderen unsauberen Praktiken: eine fehlende oder lückenhafte Datenschutzerklärung, ein unbekannter Entwickler, fehlende Bewertungen oder eine geringe Anzahl an Installationen.
5. Cookie-Banner einfach durchklicken
Cookies haben sich in der Datenschutz-Community und bei allen, denen die Sicherheit ihrer Daten am Herzen liegt, einen schlechten Ruf erarbeitet. Und das aus gutem Grund — sie können leicht missbraucht werden, um euch über verschiedene Websites hinweg zu verfolgen und eine digitale Akte über euch anzulegen.
In vielen Ländern, insbesondere in der EU, sind Websites verpflichtet, eure Zustimmung einzuholen, bevor sie Informationen über euch in Cookies speichern. Ihr wisst, was gemeint ist — diese „Wir schätzen eure Privatsphäre“-Banner, die aufpoppen, wenn ihr einem Link folgt, um einen Artikel zu lesen oder in einem Online-Shop zu stöbern. Sie haben meist eine hervorgehobene „Alle akzeptieren“-Schaltfläche, die förmlich darum bettelt, angeklickt zu werden, während andere Schaltflächen wie Anpassen oder Alle ablehnen in den Hintergrund rücken und versuchen, so unsichtbar wie möglich zu sein.

Ein typisches Beispiel für ein Cookie-Banner mit hervorgehobener „Alle akzeptieren“-Schaltfläche. Quelle: Webtoffee
Das ist natürlich alles Absicht. Websites müssen sich an das Gesetz halten, wollen euch aber auch tracken, wenn sie damit durchkommen. Deshalb präsentieren sie die Optionen so, dass ihr zu einer Entscheidung gedrängt werdet, die ihr sonst vielleicht nicht treffen würdet. Wenn ihr diesen Artikel wirklich lesen wollt, klickt ihr viel eher auf das Erste, was eure Aufmerksamkeit erregt, nur damit das Banner verschwindet. Nehmt euch stattdessen eine Sekunde Zeit, um eine passendere Option als „Alle akzeptieren“ zu finden. Selbst in den hartnäckigsten Fällen dauert es nicht länger als eine halbe Minute, um eine ungewollte Zustimmung zu vermeiden. Meist reicht eine Sekunde oder zwei, um dem ersten Impuls zu widerstehen und auf die weniger auffällige Schaltfläche daneben zu klicken.
6. Über Google/Apple/etc. anmelden
Auf der Liste der Dinge, die sich viel nerviger anfühlen, als sie eigentlich sind, steht die Registrierung für einen neuen Dienst ganz weit oben. E-Mail-Adresse und Passwort eintippen, den Posteingang öffnen, vielleicht eine Minute warten und auf den Bestätigungslink klicken — wenn wir ehrlich sind, ist das weder schwer noch zeitaufwendig, aber wenn wir die Wahl haben, verzichten wir lieber darauf. Und wie praktisch ist es doch, dass direkt neben der Schaltfläche Registrieren ein Button Über Google anmelden zu finden ist! Warum sollte man diese Option nicht wählen und sich den ganzen Aufwand sparen?

Ein Beispiel für Social-Login-Buttons, entworfen von @nelsonic
Doch wenn man darüber nachdenkt, werden die Nachteile schnell klar. Jedes Mal, wenn ihr einen Social-Login nutzt, erhält die App oder Website möglicherweise eine eindeutige Kennung von Google/Apple/Facebook, die es erleichtert, eure Aktivitäten über verschiedene Dienste hinweg zu verknüpfen. Stellt euch vor, ihr benutzt denselben Generalschlüssel, um viele verschiedene Gebäude zu betreten — was zwar praktisch ist, außer dass ihr einem Unternehmen wie Google oder Apple erlaubt, diesen Generalschlüssel für euch zu verwalten. Dieses Unternehmen weiß nun genau, wohin ihr geht. Und wenn der Schlüssel verloren geht oder gestohlen wird, ist euer Zugriff auf viele Orte gleichzeitig gefährdet.
Hier geht es nicht nur um einfache Handhabung oder den reinen Zugang. Sobald die Website diese feste Kennung hat, kann sie euch bei jedem eurer Besuche wiedererkennen — selbst wenn ihr einen anderen Browser oder ein anderes Gerät benutzt. Das macht es viel einfacher, eure Aktivitäten auf diesem einen Dienst zu verknüpfen: welche Seiten ihr besucht, was ihr kauft, worauf ihr klickt, wie oft ihr wiederkommt und wie lange ihr bleibt. Mit anderen Worten: Die Website kennt vielleicht nicht eure ganze Lebensgeschichte, kann aber in ihrer eigenen Datenbank ein ziemlich detailliertes Profil über euch anlegen. Aus Sicht der Website unterscheidet sich das kaum von einer herkömmlichen Registrierung per Benutzerkonto.
Der eigentliche Unterschied liegt darin, dass nun das Unternehmen im Spiel ist, das den „Generalschlüssel“ besitzt. Egal ob Google, Apple oder Facebook: Der Tech-Riese sieht, dass dasselbe Konto für die Anmeldung bei verschiedenen Diensten verwendet wird. Das bedeutet, dass eure Aktivitäten im gesamten Web in einem viel größeren Ausmaß verknüpft werden können. Jetzt weiß also nicht mehr nur eine Website, dass ihr sie wiederholt besucht — ein riesiger Konzern sieht potenziell, dass ihr an vielen verschiedenen Türen immer wieder auftaucht. An dieser Stelle schrumpft die Privatsphäre: Nicht, weil jede Website plötzlich alles über euch erfährt, sondern weil eine einzige Identitätsebene es viel einfacher macht, die einzelnen Puzzleteile zusammenzufügen.
Die Lösung ist recht einfach: Versucht, die Social-Login-Funktion zu vermeiden. Ein Konto zu erstellen, erfordert nicht viel Zeit oder Aufwand. Als Bonus könnt ihr ein Alias oder einen temporären E-Mail-Dienst wie AdGuard Mail nutzen, um eure Privatsphäre weiter zu stärken.
7. Google und andere nicht-private Suchmaschinen nutzen
Wir nutzen Suchmaschinen ständig, dutzende Male am Tag. Das passiert so intuitiv, dass wir gar nicht mehr darüber nachdenken — euer Kopf überlegt noch, während die Finger schon die Suchanfrage eintippen. Es fühlt sich schnell und privat an: Nur ihr und der Suchschlitz. Wenn wir nach etwas Sensiblem suchen, wechseln wir vielleicht in den Inkognito-Modus (der übrigens kaum Privatsphäre bietet), aber das war es dann meistens auch schon.
Und wenn wir etwas googeln, nutzen die meisten von uns eben Google. Es ist nicht zufällig zum Synonym für die Online-Suche geworden — Google hält nach wie vor über 90% des Suchmaschinen-Marktanteils. Jedes Mal, wenn ihr Google oder eine andere nicht-private Suchmaschine wie Bing, Baidu, Yahoo oder Yandex nutzt, kann diese eure Suchanfragen speichern, sie mit eurem Konto oder Gerät verknüpfen und diese Informationen später für Personalisierung und Werbung verwenden.
Glücklicherweise lässt sich dieses Problem leicht umgehen: Wechselt einfach zu einer datenschutzorientierten Suchmaschine wie DuckDuckGo oder Brave Search. Diese sind so konzipiert, dass sie eure Suchanfragen nicht auf dieselbe Weise mit euch persönlich verknüpfen wie die großen Mainstream-Suchmaschinen.
Ein weiteres, vielleicht weniger offensichtliches Datenschutzproblem im Zusammenhang mit Suchmaschinen ist das sogenannte „Shoulder Surfing“ (das Mitlesen über die Schulter). Selbst wenn ihr merkt, dass jemand neben euch steht und sieht, was ihr tippt, macht es die Autovervollständigung leicht, etwas anzuzeigen, das ihr lieber nicht öffentlich machen möchtet. Tippt einfach „wie viele...“ in die Suchleiste ein, und es wird euch automatisch so etwas wie „wie viele Länder gibt es auf der Welt“ vorgeschlagen. Dies ist ein sehr harmloses Beispiel, aber in der Realität basieren die Vorschläge auf eurem Standort, eurer Sprache und euren früheren Suchen. Es ist also leicht vorstellbar, dass die Autovervollständigung etwas Privates über euch verraten könnte. Dies ist ein weiteres Beispiel für den Kompromiss zwischen einfacher Handhabung und Privatsphäre — ihr könnt diese Entscheidung für euch selbst treffen, solltet euch aber bewusst sein, dass ihr eine Wahl habt.
8. Mit KI-Chatbots sprechen
In der vorherigen TechTok-Ausgabe haben wir bereits darüber gesprochen, wie KI-Chatbots eure Daten für das Training verwenden können oder auch nicht und für welche Zwecke sie sonst noch genutzt werden. Lange Rede, kurzer Sinn: Es kommt darauf an, welche KI ihr nutzt.
Aber als Faustregel gilt: Wenn ihr einem Chatbot etwas erzählt, kann es in den meisten Fällen für jeden Zweck verwendet werden, den das dahinterstehende Unternehmen für angemessen hält. Ihr könnt euch für Modelle entscheiden, die weniger Informationen über euch sammeln, und nach Einstellungen suchen, die das Tracking deaktivieren oder einschränken.
Die wichtigsten Erkenntnisse aus dem letzten TechTok-Artikel:
Unter den beliebten dialogorientierten KI-Modellen ist Claude das einzige, das eure Daten standardmäßig nicht für das KI-Training sammelt.
Perplexity und Gemini bieten Optionen, um die zukünftige Datenspeicherung zu deaktivieren, aber das Ausschalten hat keine Auswirkungen auf vergangene Interaktionen.
ChatGPT verfügt über eine Opt-out-Option in den Einstellungen, ein Teil der Datenspeicherung wird jedoch in jedem Fall fortgesetzt.
Werbeblocker können Tracker von Drittanbietern blockieren, die auf den Websites von Chatbots laufen. Die meisten großen Plattformen setzen jedoch stark auf First-Party-Tracking, das sich nicht so einfach unterbinden lässt.
Der beste Schutz der Privatsphäre im Umgang mit Chatbots ist Vorsicht: Wählt eure KI sorgfältig aus und teilt keine persönlichen Details ohne triftigen Grund.
9. Öffentliches WLAN nutzen
Wir schließen die Liste mit dem wohl größten Datenschutz-Fauxpas ab, den man begehen kann: sich mit einem ungeschützten WLAN-Netzwerk zu verbinden, ohne ein VPN und andere digitale Schutzwerkzeuge zu nutzen. Jeder weiß, dass es gefährlich ist, jeder weiß, dass man es lassen sollte — und trotzdem tun es manche Leute immer wieder. Hier ist eine kurze Erinnerung, warum genau es so gefährlich ist:
Es bietet allen mit technischem Wissen und bösen Absichten eine Angriffsfläche. Angreifer können potenziell sehen, welche Websites ihr besucht und welche Anfragen euer Browser sendet — das kann sensible Informationen wie Zahlungsdaten einschließen.
Öffentliches WLAN kann für Man-in-the-middle-Angriffe genutzt werden. Eine böswillige Person kann sich zwischen euer Gerät und die Internetverbindung schalten, um den Datenverkehr zu überwachen, zu verändern oder umzuleiten. Dies kann genutzt werden, um Anmeldedaten zu stehlen oder euch auf gefälschte Websites zu locken.
Es ist leicht, jemanden mit einem gefälschten Hotspot zu täuschen. Cyberkriminelle können ein WLAN mit einem Namen einrichten, der legitim aussieht, wie etwa „CoffeeShop_Free_WiFi“, und Menschen dazu verleiten, sich damit zu verbinden. Sobald ihr im falschen Netzwerk seid, können sie eure Daten abfangen oder euch auf schädliche Seiten umleiten.
Dies sind nur einige der Gründe. Es gibt noch viele mehr, aber der Kern bleibt gleich: Verbindet euch nicht mit öffentlichen, ungeschützten Netzwerken, es sei denn, ihr seid durch ein VPN geschützt. Das bedeutet nicht, dass in der Sekunde, in der ihr euch mit dem Hotspot am Flughafen verbindet, all eure Kreditkartendaten gestohlen werden, aber jedes Mal, wenn ihr es tut, fordert ihr das Schicksal ohne jeden vernünftigen Grund heraus.
Die Liste ist natürlich nicht vollständig, und es gibt noch weitere Bedrohungen für eure Privatsphäre. Sie sollte euch jedoch dabei helfen, einige der Schwachstellen in euren digitalen Gewohnheiten zu schließen und euer Bewusstsein in die richtige Richtung zu lenken. Wenn es einen Grundgedanken gibt, der all diesen neun Beispielen zugrunde liegt, dann ist es dieser: „Behandelt eure Privatsphäre mit Respekt.“ Wählt nicht automatisch die etwas einfachere Option, nur weil sie euch ein paar Sekunden spart. Bleibt wachsam, bleibt kritisch, und es werden euch gute Dinge widerfahren — oder zumindest weniger schlechte.








