Nacht Kein Tracker
Das Handy schläft. Wirklich.

Kein Schlaftracker. Keine Smartwatch, die Herzfrequenz und Atemrhythmus in eine US-Cloud überträgt. Kein Server, der morgen früh mehr über diese Nacht weiß als ich selbst.

Das Pixel 9 liegt auf dem Nachttisch. GrapheneOS startet das Gerät automatisch neu, wenn es zu lange inaktiv war — ein eingebautes Sicherheitsfeature. Im gesperrten Zustand sind alle Nutzerdaten verschlüsselt. Es gibt keinen Weg hinein.

Keine Schlaf-Cloud Gerät vollverschlüsselt Auto-Neustart nach Inaktivität
7:12 Aufwachen
Das Handy geht an

Der Wecker klingelt. Clock — die Standard-App von GrapheneOS, Open Source, kein Account, keine Cloud. Kein Google-Dienst hat mitbekommen, dass der Tag beginnt.

Nachrichten kommen über Molly. Ein Fork von Signal: vollständig kompatibel mit allen Signal-Kontakten, aber mit verschlüsselter Datenbank, automatischer Speicherlöschung beim Sperren und ohne Google-Abhängigkeit für Benachrichtigungen. Für meine Kontakte bin ich einfach ein Signal-Nutzer.

ℹ️
Auf einem normalen Android-Handy registriert Google bereits beim ersten Entsperren den Standort. Die Zeitachse läuft. Auf GrapheneOS passiert das nicht — solange kein Google-Account eingerichtet ist.
Kein Standort-Protokoll Nachrichten Ende-zu-Ende Kein Google FCM
7:45 Frühstück
Nachrichten — ohne Feed

Früher: Instagram, dann Twitter. Heute: Vanadium und ein RSS-Reader. Kein Algorithmus, der entscheidet, was ich sehe. Kein Scroll-Tracking. Kein Profil, das aus meiner Morgenstimmung gebaut wird.

Vanadium ist der eingebaute Browser von GrapheneOS — gehärtet, mit deaktiviertem JIT-Compiler, eingebautem Tracker-Blocker, ohne Google-Account. Wer Erweiterungen braucht, greift zu IronFox auf F-Droid. Alle Browser-Alternativen im Vergleich: Browser-Alternativen →

Kein Empfehlungs-Algorithmus Kein Scroll-Tracking Kein Google-Sync
9:30 Supermarkt
Bar. Ohne Payback-Karte.

Einkaufen. Bar bezahlt. An der Kasse: „Payback-Karte?" Nein.

Payback speichert mit 31 Millionen aktiven Nutzern in Deutschland: was du kaufst, wann, wo, in welchem Rhythmus. Kombiniert mit App-Daten, Partnerportalen und Onlinekäufen entsteht ein Konsumprofil, das Gesundheitszustand, Haushaltsgröße und Lebensgewohnheiten ableiten kann. Der Rabatt dafür beträgt etwa ein Prozent.

Google Pay und Apple Pay funktionieren auf GrapheneOS nicht — Google blockiert beide Dienste auf nicht-zertifizierten Systemen. Das ist zunächst unbequem. Es ist aber auch einer der seltenen Fälle, wo ein technisches Hindernis automatisch mehr Privatsphäre erzeugt.

Wo es geht, zahle ich bar. Für größere Einkäufe nehme ich die EC-Karte (Girocard) — aber mit klaren Augen darüber, was dabei passiert.

ℹ️
Bei jeder EC-Karten-Zahlung werden Kontonummer, Betrag, Uhrzeit, Datum und Ort an den Transaktionsdienstleister übermittelt und dort gespeichert. Beim Lastschriftverfahren auch der Name. Die Daten landen bei der eigenen Bank, dem Händler und einem zwischengeschalteten Netzbetreiber — nicht bei Google oder Meta, aber es entsteht ein lückenloser Kaufverlauf, der deiner Kontonummer zugeordnet ist. Datenschutzbehörden haben durchgesetzt, dass Zahlungsvorgänge beim Netzbetreiber maximal zwei Wochen gespeichert werden dürfen — bei der eigenen Bank bleiben sie deutlich länger.
Keine Payback-Profilierung Kein Bezahl-App-Tracking Bargeld = anonym EC-Karte: Betrag + Ort + Zeit gespeichert
12:40 Online-Kauf
Bestellen — ohne Konto, ohne Amazon

Ich brauche ein Kabel. Amazon wäre schneller. Aber Amazon kennt dann: mein Gerät, meine Adresse, meine Kaufhistorie, meinen Rhythmus — und verknüpft das mit allem, was davor war.

Ich bestelle bei alternate.de. Gastbestellung möglich, Zahlung per Vorkasse. Für die E-Mail-Adresse nutze ich einen Alias über meinen Proton Mail-Account — eine zufällig generierte Adresse, die auf mein echtes Postfach weiterleitet. Falls der Shop irgendwann Spam schickt: Alias löschen, fertig.

⚠️
Das OLG Hamburg hat im Februar 2025 entschieden: Onlineshops sind nicht verpflichtet, Gastbestellungen anzubieten. Otto.de verlangt zwingend ein Konto — das ist legal. Shops mit bestätigter Gastbestellung: MediaMarkt, alternate.de, notebooksbilliger.de, Galaxus.de, Thalia.

Geliefert wird an den DHL-Paketshop — ohne App, ohne Konto. Mittlerweile tätige ich 7 von 10 Online-Einkäufen nicht mehr bei Amazon. Es braucht etwas Gewöhnung. Aber es geht.

Kein Amazon-Konto E-Mail-Alias statt echter Adresse Vorkasse = kein PayPal-Profil
18:30 Abendessen
Pizza. Direkt angerufen.

Pizza. Dienstags kommt das öfter vor.

Lieferando kennt nach wenigen Bestellungen: Adresse, Lieblingsrestaurant, Bestellzeiten, Häufigkeit, Zahlungsmittel und — bei App-Nutzung — den Standort. Daraus entsteht ein Profil: wann du zu müde bist, selbst zu kochen.

Ich rufe direkt beim Restaurant an. Nummer aus Organic Maps. Bar bei Lieferung. Kein Account, kein Tracking, kein Profil.

Keine App nötig Kein Bestellprofil Bar bei Lieferung
20:15 Apps
Woher kommen die Apps?

GrapheneOS hat keinen Play Store vorinstalliert. Das ist am Anfang der größte Kulturschock. Inzwischen finde ich es praktischer als erwartet.

F-DroidF-DROIDKostenloser App-Store für freie Open-Source-Android-Apps. Keine Werbung, kein Account, alle Apps werden auf Tracker geprüft. — der App-Store für freie Open-Source-Software. Keine Werbung, kein Account, alle Apps geprüft auf Tracker und proprietäre Abhängigkeiten. Nachteil: Updates kommen oft einige Tage verzögert. Ich nutze Droid-ify als modernen Client.
Obtainium — lädt APKs direkt von den GitHub-Release-Seiten der Entwickler. Original-Signatur, sofortige Updates. Kein kuratierter Store: Ich muss Quellen selbst bewerten.
Aurora Store — anonymer Zugang zum Google Play Store, ohne eigenes Konto. Der Login über geteilte anonyme Konten fällt gelegentlich aus. Als Ergänzung trotzdem nützlich, wenn eine App nur dort existiert.
Sandboxed Google PlaySANDBOXED GOOGLE PLAYGoogle Play Services läuft auf GrapheneOS als normale, eingesperrte App — ohne Systemrechte. Berechtigungen können einzeln entzogen werden. — GrapheneOS' größte Besonderheit: Google Play Services lässt sich installieren, läuft aber als vollständig eingesperrte App ohne Systemprivilegien. Standort, Kamera, Mikrofon — alles einzeln steuerbar. Google bekommt nur, was ich explizit freigebe.
F-Droid Obtainium Aurora Store Sandboxed Play
21:00 Messenger
Meinem Bruder schreiben — über meinen eigenen Server

Abends schreibe ich meinem Bruder. Nicht über WhatsApp, nicht über einen fremden Server irgendwo. Über Element — und der Nachrichten-Server läuft bei mir zu Hause. Auf einem Raspberry Pi 5.

Element basiert auf dem offenen Matrix-Protokoll. Das funktioniert ähnlich wie E-Mail: Jeder kann seinen eigenen Server betreiben. Und wer keinen eigenen hat, kann trotzdem mit jemandem schreiben, der einen hat — genau wie GMX und Gmail miteinander kommunizieren können, ohne dasselbe Unternehmen zu sein.

Was das bedeutet: Die Nachricht meines Bruders landet auf meinem Server, in meinem Haushalt. Kein Unternehmen hat Zugriff. Keine Datenschutzerklärung, der ich vertrauen muss. Kein Serverstandort in den USA oder Irland.
💡
Wie schwer ist das einzurichten? Vor ein paar Jahren: nur für Leute, die Linux seit Jahren kennen. Heute: machbar — mit etwas Geduld und, ehrlich gesagt, mit Hilfe von KI. Ich habe ChatGPT und Claude gefragt, wenn ich nicht weiterkam. Die Einrichtung hat an einem Wochenende funktioniert.
Selbst gehostet Kein Drittanbieter Matrix-Protokoll Raspberry Pi 5
Nacht Wieder
Das Handy weiß nichts, was es nicht soll

Kein Server hat heute mitgeschrieben. Niemand weiß, wo ich war, was ich gekauft habe, mit wem ich gesprochen habe, wann ich eingeschlafen bin.

Es war ein ganz normaler Dienstag.

Ein Dienstag mit GrapheneOS

  • Kein Standortverlauf. Niemand weiß, wohin ich heute gefahren bin.
  • Kein Konsumprofil. Payback, Amazon und Lieferando haben heute nichts bekommen.
  • Kein Bezahl-Tracking. Bar bezahlt — kein Datenpunkt für Google, PayPal oder Klarna.
  • Kein fremder Messenger-Server. Die Nachrichten an meinen Bruder liegen bei mir zu Hause.
  • Kein Google-Konto nötig. F-Droid, Obtainium und Aurora Store decken fast alles ab.
Du musst kein Entwickler sein.
Du musst nur anfangen.
Das hier ist Teil drei einer Serie. Teil eins: Was ein normaler Dienstag über dich verrät. Teil zwei: Was ein iPhone nach dem Dienstag weiß.
Quellen & Belege
Alle Angaben faktenbasiert und belegbar
01
GrapheneOS — Features-Übersicht
Offizielle Dokumentation zu Sandboxed Google Play, Netzwerk- und Sensorberechtigungen, Auto-Neustart und Sicherheitsfeatures
grapheneos.org/features
02
GrapheneOS — Usage Guide
Offizielle Nutzungsanleitung: Browser-Empfehlungen, App-Installation via F-Droid, Aurora Store und Sandboxed Play
grapheneos.org/usage
03
Molly — Signal-Fork für Android
Datenbankenverschlüsselung per Passphrase, RAM-Überschreibung bei Sperre, UnifiedPush-Support; vollständig Signal-kompatibel
molly.im
04
Privacy Guides — Android App-Installation
Vergleich von F-Droid, Obtainium, Aurora Store und Accrescent; Sicherheitsbewertung der App-Bezugsquellen
privacyguides.org/en/android/obtaining-apps
05
F-Droid — Aurora Store
Aurora Store als Open-Source-Client für anonymen Google-Play-Zugang; auf F-Droid verfügbar
f-droid.org/en/packages/com.aurora.store
06
Deutsche Bundesbank — Zahlungsverhalten in Deutschland
51 % aller Zahlungen in Deutschland werden bar getätigt; 69 % der Deutschen halten Bargeld für wichtig
bundesbank.de
06b
Datenschutzbehörden (Hessen, Bayern, NRW) — EC-Karten-Datenschutz
Datenschutzbehörden haben durchgesetzt: Zahlungsvorgänge beim Netzbetreiber dürfen maximal zwei Wochen gespeichert werden. Bei jeder Girocard-Zahlung werden Kontonummer, Betrag, Uhrzeit, Datum und Ort übermittelt
check24.de (Quelle: NDR / Landesdatenschützer)
07
Verbraucherzentrale Bundesverband — Bargeldakzeptanz (Dez. 2025)
30 % der Befragten konnten mindestens einmal in sechs Monaten nicht bar zahlen; VZBV fordert gesetzlichen Schutz
vzbv.de
08
Kuketz IT-Security Blog — Online-Bezahlmethoden und Datenschutz
Analyse von Online-Bezahlmethoden; PayPal teilt Daten mit bis zu 600 Partnern; Empfehlung: Vorkasse / SEPA-Lastschrift
kuketz-blog.de
09
OLG Hamburg, Az. 5 U 30/24 — Gastbestellung auf Marktplätzen
Urteil Feb. 2025: Marktplatz-Plattformen sind nicht verpflichtet, Gastbestellungen zu ermöglichen
haendlerbund.de
10
DHL Group — Packstation ohne Registrierung (Juli 2025)
Pilotprojekt: Paketempfang an DHL-Packstationen ohne Konto; Abholcode per E-Mail, ca. 20 Partner-Shops
group.dhl.com
11
Proton Mail — Alias-Funktion
Proton Mail ermöglicht das Erstellen von E-Mail-Aliasen direkt im Account — Weiterleitungsadressen ohne Preisgabe der echten Adresse; in der kostenlosen Version verfügbar
proton.me/support/creating-aliases
12
Privacy Guides — Empfohlene Karten-Apps
Vergleich datenschutzfreundlicher Navigations-Apps; Organic Maps und OsmAnd empfohlen; Magic Earth wegen Closed Source nicht empfohlen
privacyguides.org/en/maps
13
Mr. Datenschutz — Transportr als DB-Navigator-Alternative
Transportr: Open Source, auf F-Droid, Deutsche-Bahn-Support; DB Navigator enthält laut Exodus-Analyse 7 Tracker
mrdatenschutz.de
14
Terence Eden — Contactless Payments with GrapheneOS (Juni 2025)
Praxisbericht: Google Pay auf GrapheneOS nicht verfügbar; NFC-Zahlung via Curve bestätigt
shkspr.mobi
15
ZDF heute — Payback und Datenschutz
Payback erstellt mit 31 Mio. Nutzern detaillierte Konsumprofile; Partner: dm, REWE, Aral u. v. m.
zdfheute.de
16
Wikipedia — GrapheneOS
Übersicht: Entstehung, unterstützte Geräte (Pixel 6–10), Sandboxed Google Play, Community-Entwicklung
wikipedia.org/wiki/GrapheneOS
17
Privacy Guides — Messenger-Empfehlungen
Vergleich von Signal, Molly, Element/Matrix, SimpleX Chat; Kriterien: Verschlüsselung, Metadatenschutz, Anonymität
privacyguides.org/en/real-time-communication
18
Matrix.org — Das offene Kommunikationsprotokoll
Offizielle Dokumentation zu Matrix: dezentrales, föderiertes Nachrichtenprotokoll; Element als Client; Selbsthosting mit Synapse oder Conduit
matrix.org