Digital Detox: Die Gedanken sind frei aber vielleicht kommt die Gedankenpolizei

24. Mai 2025

Sie haben die Chats der letzten 10 Jahre auf dem Mobiltelefon und alle WhatsApp-Backups bei Google oder Apple gespeichert?

Sie denken auf Ihrem Mobiltelefon oder PC sind keine problematischen Inhalte? Wissen Sie welche Inhalte auf dem Telefon sind? Haben Sie jeden Inhalt einzeln geprüft? Haben Sie den Browser-Cache geprüft? Wissen Sie noch welche Inhalte Ihnen z. B. in Facebook unfreiwillig angezeigt wurden oder welche Inhalte im Rahmen von z. B. Werbung unfreiwillig auf das Gerät gelangt (und auf dem Gerät gespeichert) wurden? Nein, mit Sicherheit nicht – und genau hier liegt das Problem.

Geplante Chatkontrolle

Die geplante Einführung der sogenannten Chatkontrolle durch die EU stellt in diesem Zusammenhang einen massiven geplanten Eingriff in unsere Grundrechte dar. Angeblich soll sie zur Bekämpfung von Kriminalität dienen – in Wahrheit würde sie eine allgemeine und anlasslose Überwachung privater Kommunikation ermöglichen.

Private Nachrichten über Messenger-Dienste wären genauso betroffen wie E-Mails oder Cloud-Inhalte. Inhalte könnten automatisiert durch Uploadfilter analysiert und bei Verdacht an Behörden übermittelt werden – und zwar nicht nur neue, sondern auch sämtliche bereits gespeicherte Nachrichten. Das bedeutet: Auch Jahre alte, vertrauliche Chats könnten plötzlich durchsucht und bewertet werden.

Dabei ist in Deutschland die Aufnahme eines nicht öffentlich gesprochenen Wortes strafbar (§ 201 StGB), und das Briefgeheimnis ist verfassungsrechtlich geschützt. Digitale Nachrichten sind nichts anderes als moderne Briefe – warum sollten sie weniger schützenswert sein?

Besonders alarmierend ist das Zusammenspiel dieser Überwachungspläne mit fortschrittlicher Künstlicher Intelligenz. KI kann Inhalte nicht nur analysieren, sondern auch interpretieren, Muster erkennen und Profile erstellen – und das vollautomatisch, flächendeckend und rund um die Uhr. In Kombination mit der Chatkontrolle entwickelt sich daraus ein orwellsches Horrorszenario: ein Überwachungsapparat, der jeden Bürger unter Generalverdacht stellt und dessen intimste Kommunikation in Echtzeit auswerten kann – ohne dass ein konkreter Anlass besteht.

Auch andere rechtsstaatliche Grundsätze werden durch die Einführung der Chatkontrolle massiv verletzt. Besonders schwer wiegt der Eingriff in den sogenannten privaten Kernbereich menschlicher Lebensgestaltung, der nach ständiger Rechtsprechung des Bundesverfassungsgerichts unter dem Schutz der Menschenwürde (Art. 1 Abs. 1 GG) und des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) steht. Selbst bei einer richterlich angeordneten Telefonüberwachung gilt: Gespräche, die diesen unantastbaren Kernbereich betreffen – etwa tief persönliche, intime oder seelisch belastende Inhalte – dürfen nicht verwertet und nicht einmal angehört werden (§ 100d Abs. 5 StPO). Dieser Schutz wird mit der Chatkontrolle de facto aufgehoben: Private und intime Inhalte, darunter Kommunikation mit dem Partner, persönliche Gesundheitsinformationen oder psychologische Krisengespräche, sollen durch automatisierte Systeme gescannt und möglicherweise an staatliche Stellen weitergeleitet werden. Damit wird ein besonders geschützter Raum des Privaten geöffnet, den selbst der Staat bislang nur mit größter Zurückhaltung und unter strengsten Auflagen betreten durfte. Das stellt einen eklatanten Verstoß gegen die Prinzipien der Verhältnismäßigkeit, der informationellen Selbstbestimmung und der Menschenwürde dar.

Ein weiteres Problem der geplanten Chatkontrolle betrifft die völkerrechtliche Zulässigkeit der Maßnahme im grenzüberschreitenden Kontext und ergibt sich insbesondere bei einem Zugriff von Daten mit Aufenthalt in einem Drittstaat. Da die anlasslose Durchleuchtung digitaler Kommunikation regelmäßig nicht auf den EU-Raum beschränkt bleibt – etwa bei Unterhaltungen mit Personen in Drittstaaten oder bei Personen mit temporärem oder gewöhnlichem Aufenthalt im Ausland –, besteht die akute Gefahr, dass durch die technische Umsetzung hoheitlicher Überwachungsmaßnahmen auf Kommunikationsinhalte auch außerhalb des EU-Hoheitsgebiets zugegriffen wird. Ein solches Vorgehen ohne vorheriges Rechtshilfeersuchen oder völkerrechtliche Vereinbarung stellt eine unzulässige extraterritoriale Ausübung staatlicher Hoheitsgewalt dar und verletzt damit das in Art. 2 Ziff. 1 der UN-Charta verankerte Prinzip der staatlichen Souveränität. Die automatische Inhaltsanalyse, insbesondere unter Einsatz von KI, könnte de facto zu einer flächendeckenden, nicht autorisierten digitalen Überwachung auch von Bürgern anderer Staaten führen – mit massiven diplomatischen und rechtlichen Implikationen. Zudem ist zu hinterfragen, inwieweit die EU überhaupt befugt ist, Maßnahmen mit potenziell extraterritorialer Wirkung ohne Rückgriff auf bestehende Instrumente der internationalen Rechtshilfe oder völkerrechtlicher Abkommen einzuführen. Eine solche Praxis unterläuft nicht nur die bestehenden internationalen Rechtsrahmen, sondern stellt auch eine Erosion rechtsstaatlicher Grundprinzipien im internationalen Kontext dar.

Ein solcher Präventiv-Überwachungsansatz widerspricht demnach rechtsstaatlichen Prinzipien fundamental. Wer heute Chatkontrollen und Uploadfilter akzeptiert, erlaubt morgen den permanenten Lauschangriff auf jede private Kommunikation.

Auslesen von Mobiltelefonen

Nach jetzigem Stand kann jedes Handy (ja, auch das iPhone) mit z. B. UFED ausgelesen werden, dies insbesondere auch, wenn es nach dem Neustart bereits entsperrt wurde. Die einzige halbwegs sichere Möglichkeit ist ein Google Pixel mit GrapheneOS zu verwenden. Die Einstellungen auf GrapheneOS sollten entsprechend angepasst werden (USB nur zum Laden, Exploit-Schutz etc.). Auch sollten keine biometrischen Faktoren genutzt werden, da es in manchen Staaten auch gerne mal dazu kommt, dass ein Finger mit Gewalt zum Entsperren eines Mobiltelefons genutzt wird.

UFED von Cellebrite ist ein Tool zur forensischen Auswertung mobiler Geräte, mit dem selbst gelöschte Daten wie Nachrichten, Fotos oder Standortverläufe ausgelesen werden können. Es wird von Strafverfolgungsbehörden genutzt, steht aber in der Kritik, da es auch in autoritären Staaten zur Überwachung und Verfolgung von Journalisten, Aktivisten und Regimekritikern eingesetzt wurde. Trotz Exportbeschränkungen gelangte die Technologie teils über Umwege in solche Länder.

GrapheneOS ist ein sicheres, datenschutzorientiertes Android-System für Pixel-Geräte, das sogar ohne Google-Dienste auskommen kann. Es wurde von Edward Snowden empfohlen und bietet durch starke Härtung, Sandbox-Isolierung und Schutz vor Zero-Day-Exploits deutlich mehr Sicherheit als Standard-Android.

Verschlüsselung ist schön und gut aber haben Sie sich bisher nicht gefragt, ob Sie tatsächlich alle Chats der letzten 10 Jahre benötigen? Die meisten von uns werden diese Daten nicht benötigen, besonders nicht für derart lang zurückliegende Zeiträume. Daher sollten Sie es sich zur Gewohnheit machen regelmäßig eine Art „Digital Detox“ durchzuführen. Damit ist gemeint, dass alle nicht notwendigen Chats und Daten gelöscht werden.

Für Unternehmen ist die Einhaltung von Speicherfristen im Rahmen der DSGVO ohnehin eine Pflicht.

Den freien Speicherplatz auf dem Mobiltelefon sollten Sie nach einer solchen Löschungsaktion ebenfalls überschreiben. Hierfür gibt es Apps oder Sie kopieren schlichtweg so lange Daten auf das Handy bis der Speicherplatz voll ist. Damit erschweren Sie die Wiederherstellung solcher Daten enorm, selbst wenn das Handy doch entsperrt wird.

Was ist mit WhatsApp und den Backups bei Google?

Das ist wahrlich ein weiteres Problem, denn auch wenn die Daten von WhatsApp Ende-zu-Ende verschlüsselt sind habe ich persönlich starke Bedenken hinsichtlich des WhatsApp-Web-Clients. Auch werden die WhatsApp-Backups standardmäßig eben nicht Ende-zu-Ende verschlüsselt (unbedingt in den Einstellungen aktivieren). Am besten sollte WhatsApp nicht für sensible Kommunikation genutzt und das Backup in der Cloud deaktiviert werden. Auch sollte immer der 2FA-Schutz aktiviert sein, damit der Account nicht durch andere Akteure übernommen werden kann.

Eine Alternative kann hier z. B. Threema oder Signal sein.

Threema und Signal sind sichere Messenger mit Ende-zu-Ende-Verschlüsselung. Threema kommt aus der Schweiz, benötigt keine Telefonnummer und speichert keine Metadaten. Signal ist Open Source, kostenlos, werbefrei und bekannt für höchste Sicherheitsstandards – ideal für vertrauliche Kommunikation.

Digital Detox auf dem PC

Auf anderen Geräten wie z. B. einem PC stellt sich ebenfalls die selbe Frage: Benötigen Sie tatsächlich alle Daten? Wenn nein, löschen Sie auch dort einfach mal überflüssige Daten, den Browsercache, Verlauf und viele weitere sensible Bereiche.

Setzen Sie auch auf anderen Geräten starke Verschlüsselung ein und gehen Sie noch einen Schritt weiter. Verschlüsseln Sie selten genutzte Daten noch einmal separat mit einem anderen Passwort z. B. mit VeraCrypt innerhalb eines anderen Containers.

VeraCrypt ist ein kostenloses Verschlüsselungsprogramm, das Dateien, Container oder ganze Betriebssystemlaufwerke sicher schützt. Es nutzt starke Algorithmen und eignet sich ideal zur Absicherung sensibler Daten – sowohl auf externen Medien als auch auf dem gesamten Systemlaufwerk.

Vergessen Sie auch nicht einen Passwortmanager für Accounts im Internet mit einem starken Passwort zu nutzen. Erhöhen Sie sofern möglich die Anzahl der Iterationen um Brute-Force-Angriffe zu erschweren und verwenden Sie zusätzlich auch weitere Möglichkeiten wie Schlüsseldateien.

Nutzen Sie 2FA korrekt, d. h. speichern und generieren Sie 2FA-Codes nur auf einem zweiten Gerät und nicht aus Faulheit in einem Passwortmanager auf dem PC.

Zum Löschen des freien Speicherplatzes kann z. B. Cipher unter Windows benutzt werden. Dazu einfach die Eingabeaufforderung öffnen und für ausführen:

cipher /W:C:

Der Befehl cipher /W in Windows überschreibt den freien Speicherplatz auf einem Laufwerk, um zuvor gelöschte Daten dauerhaft und sicher zu entfernen. Aber vorsichtig: Manche Daten wie kleine Textdateien könnten trotzdem im Dateisystem verbleiben, verschlüsseln Sie deshalb immer das gesamte Gerät und führen Sie cipher nur zusätzlich aus.

Das A und O: Daten Löschen

Stellen Sie sich immer wieder die Frage: Benötige ich diese Daten auf meinem Handy oder PC?

Löschen Sie grundsätzlich so viele Daten wie möglich, insbesondere wenn Dritte Ihnen z. B. grenzwertige Memes zusenden gilt immer: Am besten gleich wieder löschen. Ein vermeintlich lustiges Bildchen aus dem Internet kann sehr schnell zu handfesten Problemen führen, denn in vielen Fällen ist der Inhalt eben doch nicht „lustig“. Auch landet leider ziemlich viel unerwünschtes z. B. aus dem Facebook-Feed oder Feed von X/Twitter im Cache des Browsers.

Die Gedankenpolizei

Und was kann in der Praxis passieren? Anbei einige Beispielfälle:

Sie reisen z. B. in die USA und bei der Einreise wird das Telefon ausgelesen. Der Grenzbeamte findet Trump kritische Memes von X auf dem Telefon und Ihnen wird die Einreise verweigert.

Das Mobiltelefon wird aus einem anderen Grund eingezogen und es werden Memes gefunden, welche vielleicht strafrechtlich relevant sein könnten. Am Ende entlasten Sie sich und alles ist gut aber Sie hatten ziemlich viel Stress und dazu noch jede Menge Zeit und Geld verloren. Auch war das Mobiltelefon mehrere Jahre lang in der „Auswertung“.

Sie reisen im Transit über ein fragwürdiges Land und werden festgenommen aufgrund eines Facebook-Kommentars. Das Handy wird ausgelesen und es werden weitere vermeintlich staatskritische Inhalte gefunden. In Folge dessen sitzen Sie mehrere Jahre in Untersuchungshaft – am anderen Ende der Welt – während Sie vergeblich auf konsularischen Schutz hoffen.

E-Mails

Verwenden Sie einen E-Mail-Anbieter mit vollständiger Verschlüsselung der Daten und Zero-Knowledge-Architektur. Trotz allem können in vielen Fällen ein- und ausgehende E-Mails – sozusagen direkt vor dem Postfach – abgefangen und weitergeleitet werden. Es empfiehlt sich daher die Kommunikation mit PGP-Schlüsseln.

PGP funktioniert mit zwei Schlüsseln, die zusammengehören – einem öffentlichen und einem privaten Schlüssel. Sie geben Ihren öffentlichen Schlüssel an andere weiter, damit diese Ihnen Nachrichten verschlüsselt schicken können. Nur Sie besitzen den privaten Schlüssel, mit dem Sie die Nachrichten wieder entschlüsseln und lesen können. So ist sichergestellt, dass nur Sie die verschlüsselten Nachrichten öffnen können.

Tutanota, Proton Mail, Mailfence und StartMail sind E-Mail-Anbieter mit vollständiger Verschlüsselung und Zero-Knowledge-Architektur. Tutanota besticht durch automatische Ende-zu-Ende-Verschlüsselung, die auch Betreffzeilen und Kontakte schützt, was einzigartig ist. Proton Mail punktet mit einfacher Bedienung und Servern in der datenschutzfreundlichen Schweiz. Mailfence kombiniert OpenPGP-Verschlüsselung mit integrierten Kalender- und Dokumentenfunktionen, während StartMail durch seine Verbindung zu StartPage und starken Datenschutz mit OpenPGP-Support hervortritt.

Backups

Erstellen Sie regelmäßig Backups mit einem sehr starken Passwort und sehr starker Verschlüsselung. Speichern Sie die Backups ggf. in anderen europäischen Staaten mit hohem Datenschutzniveau.

Stellen Sie sicher, dass Sie über eine Möglichkeit verfügen, bei einem Totalverlust aller Geräte, schrittweise alle Daten wiederherzustellen. Der Prozess muss und sollte nicht komfortabel sein, sondern auf maximale Sicherheit ausgelegt sein. Bedenken Sie: Sie müssen die entsprechenden starken Passwörter im Kopf haben.

Notfalls nutzen Sie einen Hash-Generator mit HMAC, um ein starkes Passwort aus einem einfacheren abzuleiten. Einen Hash-Generator mit clientseitiger Generierung, HMAC und sogar Iterationen finden Sie auch hier: https://www.lautenbacher.io/hashgenerator/

So liefert z. B. der Input „Apfel“ mit dem HMAC „Kartoffeln“ und 100 Iterationen den folgenden SHA-512-Hash zurück:

7ffae305f78a1b6b8c43c5a7c0e18ff47ad60aa14eb9436cd7ffdde083ecd05ae347763478dd831910399e1afa5a856031a38f748a58e66d5cfc8af4bbba155b

Was z. B. als Passwortersatz verwendet werden könnte.

Iterationen (=Wiederholungen) bei einem Hashwert bedeuten, dass der berechnete Hashwert nicht nur einmal, sondern wiederholt mit sich selbst gehasht wird. Das Ergebnis eines Hash-Vorgangs wird dabei zur Eingabe für den nächsten. Dies macht die Berechnung des finalen Hashwerts absichtlich sehr langsam, um die Sicherheit zu erhöhen – besonders bei Passwörtern, die so für Angreifer extrem aufwendig zu „erraten“ sind.