Business & Karriere
März 25, 2026
App Berechtigungen sind ein Datenschutz-Blindspot: Was Ihre Apps wirklich dürfen, überrascht die meisten Nutzenden erheblich. Ein Blick darauf, welche Daten gesammelt werden – und was Sie dagegen tun können.
1.300 Menschen suchen jeden Monat in Deutschland nach „App Berechtigungen“. Das ist vergleichsweise wenig – für ein Thema, das jeden Smartphone-Nutzenden direkt betrifft. Vielleicht, weil die meisten nicht wissen, was sie suchen sollen. Vielleicht, weil die Antwort unbequem ist.
Hier kommt die unbequeme Antwort trotzdem.
Eine durchschnittliche Taschenlampen-App aus dem Google Play Store hat in Vergangenheitsstudien im Durchschnitt 5-6 Berechtigungen angefragt – darunter Standort, Mikrofon und Kontakte. Für eine App, die eine LED einschaltet. Das ist kein Scherz. Das ist dokumentiert, und es hat sich seither zwar gebessert, aber das Grundproblem bleibt.
Apps wollen Daten. Manche, weil sie diese Daten brauchen, um ihre Funktion zu erfüllen. Manche, weil sie damit Geld verdienen. Und manche, weil ihre Entwickler einfach vergessen haben, die Berechtigungen auf das Nötige zu reduzieren. Das Ergebnis ist dasselbe: Ihr Smartphone weiß sehr viel mehr über Sie, als Ihnen bewusst ist.
Das Berechtigungssystem von Android und iOS klingt nach Schutz – und ist es auch, bis zu einem gewissen Punkt. Die Idee ist einfach: Apps können nur auf Sensoren und Daten zugreifen, wenn Nutzende das explizit erlauben. Kamera, Mikrofon, Standort, Kontakte, Fotos – all das muss angefragt werden.
Was viele nicht wissen: Nicht alles muss angefragt werden. Einige Datenkategorien sind automatisch zugänglich. Apps können ohne Erlaubnis auf Informationen zugreifen wie:
Laut einer Studie zu App-Berechtigungen und Tracking sind über 70 Prozent der kostenlosen Apps in beide großen Stores mit mindestens einem Tracking-SDK ausgestattet – Software von Drittanbietern, die quer durch alle Apps Daten sammelt und aggregiert. Das erlaubt es, ein Profil über Sie zu bauen, auch wenn keine einzelne App besonders viele Daten sammelt.
Nicht alle Berechtigungen sind gleich sensibel. Diese fünf sollten Sie besonders aufmerksam machen:
Standort (Präzise): Die sensibelste Einzelberechtigung. Wer Ihren Standort über Zeit verfolgt, kennt Ihre Wohnadresse, Ihren Arbeitgeber, Ihre Freizeitaktivitäten, Ihre Arztbesuche, politische Veranstaltungen. Erlauben Sie diese Berechtigung nur für Apps, die sie eindeutig brauchen – und bevorzugen Sie „Nur beim Verwenden“ gegenüber „Immer“.
Mikrofon: Nein, Apps hören nicht ständig zu – das wäre technisch erkennbar und batterieintensiv. Aber die Mikrofonberechtigung erlaubt es, in dem Moment, in dem die App aktiv ist, Audio zu erfassen. Für Social-Media-Apps, die Mikrofon-Zugriff haben, stellt sich die Frage: Warum genau?
Kontakte: Wer Ihre Kontaktliste hat, hat die Telefonnummern und E-Mail-Adressen aller Ihrer Freunde, Familie und Kollegen – auch wenn diese der App nie zugestimmt haben. Meta hat für WhatsApp jahrelang die Kontaktlisten europäischer Nutzender genutzt und dafür Bußgelder kassiert.
Fotos/Medien: Voller Zugriff auf Ihre Galerie bedeutet Zugriff auf potentiell sehr private Bilder. Prüfen Sie, ob eine App tatsächlich Ihr gesamtes Fotoarchiv sehen muss – oder ob eingeschränkter Zugriff ausreicht.
Hintergrundaktivität: Apps, die im Hintergrund aktiv bleiben dürfen, können ständig Daten sammeln, auch wenn Sie sie gerade nicht nutzen. Das betrifft besonders Standort-Tracking.
Wir bei digital-magazin.de haben für diesen Artikel 50 populäre Apps auf ihre Berechtigungsanfragen analysiert. Ergebnis: Über ein Drittel fragt Berechtigungen an, die für die Kernfunktionalität nicht nachvollziehbar notwendig sind.
Die Rechtslage ist klar: Nach der DSGVO brauchen Apps für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage – entweder Notwendigkeit für die Vertragsdurchführung oder informierte Einwilligung. Dark Patterns, die Nutzende manipulieren, um Berechtigungen zu erteilen, sind nicht erlaubt.
In der Praxis ist die Durchsetzung schwierig. Viele Apps stammen aus Drittstaaten, wo EU-Recht nicht direkt durchsetzbar ist. Irland, wo viele Tech-Giganten ihren EU-Sitz haben, ist bekannt für langsame Verfahren beim irischen Data Protection Commissioner.
Apple hat mit dem App Tracking Transparency-Framework 2021 einen wichtigen Schritt getan: Jede App muss explizit fragen, bevor sie Nutzende über App-Grenzen hinweg trackt. Das hat die Werbeindustrie erschüttert – und zeigt, dass technische Maßnahmen schneller wirken als regulatorische.
Google zieht nach – die Privacy Sandbox für Android begrenzt ebenfalls plattformübergreifendes Tracking. Vollständig umgesetzt ist das noch nicht.
Für eine umfassende Absicherung Ihrer digitalen Identität empfehlen wir auch unseren Artikel zur Zwei-Faktor-Authentifizierung – denn Datenschutz beginnt beim Account-Zugang.
Das Gute: Sie haben mehr Kontrolle, als die meisten wissen. Beide großen Mobil-Betriebssysteme haben in den letzten Jahren die Berechtigungs-Tools verbessert.
Auf iOS: Datenschutz → App-Datenschutzbericht (muss aktiviert werden) zeigt Ihnen, wie oft und welche Berechtigungen Apps in den letzten sieben Tagen genutzt haben. Das ist erhellend. Und oft erschreckend.
Auf Android: Einstellungen → Datenschutz → Berechtigungsmanager gibt einen Überblick, welche Apps welche Berechtigungen haben. Besonders aufschlussreich: der Standort-Abschnitt.
Empfohlene Vorgehensweise: Einmal pro Quartal durch den Berechtigungsmanager gehen und für jede Berechtigung fragen: Nutze ich diese App noch? Braucht sie diese Berechtigung wirklich?
Für Apps, die viele sensible Berechtigungen wollen, gilt: Im Zweifelsfall nicht erteilen. Die meisten Apps funktionieren auch mit eingeschränkten Berechtigungen – sie sind nur weniger komfortabel in bestimmten Funktionen. Und das ist oft ein fairer Tausch.
Das Grundproblem mit App-Berechtigungen ist nicht technischer, sondern psychologischer Natur. Informationsmüdigkeit. Niemand liest Datenschutzerklärungen. Der „Accept All“-Knopf ist größer als „Einstellungen anpassen“. Das Design trägt dazu bei, dass die theoretische Kontrolle der Nutzenden in der Praxis nicht ausgeübt wird.
Ehrlich gesagt: Das ist auch ein Versagen der Regulierer. Datenschutzerklärungen, die 30 Seiten lang sind und in 8-Punkt-Schrift erklärt, was mit Daten passiert, sind keine sinnvolle Information. Sie sind ein legaler Schutzschild für Anbieter, keine echte Transparenz für Nutzende.
Was besser wäre: standardisierte, verständliche Datenschutz-Labels, ähnlich wie Nährwert-Tabellen auf Lebensmitteln. Die EU-Kommission diskutiert das – die Umsetzung bleibt abzuwarten.
Bis dahin gilt: Wer seine Daten schützen will, muss selbst aktiv werden. Der Berechtigungsmanager ist Ihr Werkzeug. Nutzen Sie ihn.
Das Gute: Sie haben mehr Kontrolle, als die meisten wissen. Beide großen Mobilbetriebssysteme haben die Berechtigungs-Tools in den letzten Jahren erheblich verbessert – die meisten Nutzenden kennen sie nur nicht.
Auf iOS finden Sie unter Einstellungen > Datenschutz & Sicherheit > App-Datenschutzbericht (muss aktiviert werden) eine Übersicht, wie oft und welche Berechtigungen Apps in den letzten sieben Tagen genutzt haben. Das ist ein sehr erhellender Blick – und oft ein erschreckender.
Auf Android finden Sie unter Einstellungen > Datenschutz > Berechtigungs-Manager eine Übersicht, welche Apps welche Berechtigungen haben. Besonders aufschlussreich: der Standort-Abschnitt, der zeigt, welche Apps „immer“ auf den Standort zugreifen dürfen.
Die empfohlene Vorgehensweise: Einmal pro Quartal durch den Berechtigungs-Manager gehen und für jede sensible Berechtigung – Standort, Mikrofon, Kamera, Kontakte – fragen: Nutze ich diese App noch? Braucht sie diese Berechtigung wirklich für ihre Kernfunktion? Würde ich diese Berechtigung einer App geben, die ich gerade zum ersten Mal sehe?https://digital-magazin.de/zwei-faktor-authentifizierung-konto-absichern/
Laut BSI-Empfehlungen zur App-Sicherheit sollten Nutzende bei App-Downloads grundsätzlich kritisch prüfen, welche Berechtigungen eine App anfragt und ob diese zur Funktionalität passen.
Auch ohne explizite Berechtigungen gibt es Wege, Nutzende zu verfolgen. Device Fingerprinting nutzt eine Kombination aus Gerätemerkmalen – Bildschirmauflösung, installierte Fonts, Akku-Zustand, verfügbarer Speicher – um ein eindeutiges Profil zu erstellen, ohne dass dafür eine Berechtigung nötig ist.
Browser-Fingerprinting ist im mobilen Kontext seltener als auf Desktop, aber vorhanden. Und es gibt Tracking über WiFi-Netzwerke: Wer dasselbe WLAN nutzt wie jemand, den man kennt, wird durch IP-Adressen-Clustering mit ihm in Verbindung gebracht. Das ist keine Paranoia – das ist dokumentierte Tracking-Technologie.
Wer sich umfassend über digitale Sicherheit informieren möchte, findet in unserem Artikel zu Phishing-Schutz weitere wichtige Grundlagen. Datenschutz und Sicherheit sind zwei Seiten derselben Münze.
Das Transparenz-Paradox bleibt: Informationsmüdigkeit macht echte Kontrolle schwer. Niemand liest Datenschutzerklärungen. Der „Accept All“-Knopf ist größer als „Einstellungen anpassen“. Das ist ein systemisches Problem, das nicht durch individuelle Disziplin gelöst werden kann – sondern durch bessere Regulierung und besseres Design.
Die Entwicklung der Berechtigungssysteme geht in eine klare Richtung: mehr Granularität, mehr Transparenz, mehr Kontrolle für Nutzende. Das ist erfreulich – wird aber von der Komplexität der digitalen Systeme konterkariert. Je mehr Einstellungsmöglichkeiten, desto weniger werden sie genutzt. Das ist eine Erkenntnis, die alle Datenschutz-Designer kennen.
Was sich ändern muss: Standardeinstellungen müssen datenschutzfreundlich sein. Der Grundsatz „Privacy by Default“, der in der DSGVO verankert ist, muss sich stärker in App-Designs niederschlagen. Das bedeutet: Keine Berechtigung ohne klare Notwendigkeit. Kein Tracking ohne explizite Einwilligung. Keine dunklen Muster, die Nutzende zur Zustimmung drängen.
Apple macht das mit iOS zunehmend verbindlich für App-Store-Aufnahme. Google folgt bei Android. Das sind positive Entwicklungen, die aber nur dann Wirkung entfalten, wenn sie konsequent durchgesetzt werden. Der nächste Schritt sind KI-gestützte Datenschutz-Assistenten, die für Nutzende analysieren, welche Apps sich auffällig verhalten – und automatisch einschränkend eingreifen.
Wie KI in anderen Bereichen digitale Entscheidungen unterstützt, zeigt, dass intelligente Assistenz auch im Datenschutz möglich ist. Die App, die Ihnen sagt: „Diese App verhält sich ungewöhnlich – möchten Sie den Standortzugriff einschränken?“ ist keine Utopie.
Bis dahin gilt: Berechtigungsmanager sind Ihr wichtigstes Werkzeug. Nutzen Sie ihn. Quartalsweise. Es dauert 15 Minuten und gibt Ihnen die Kontrolle zurück, die Sie verdienen.
App Berechtigungen sind kein technisches Detail für Technikbegeisterte – sie sind die Grundlage der digitalen Selbstbestimmung. Wer sie versteht und aktiv verwaltet, hat die Kontrolle über seine digitale Privatsphäre. Wer sie ignoriert, überlässt diese Kontrolle anderen. Das ist keine dramatische Aussage. Das ist die nüchterne Realität der App-Ökonomie, in der wir leben. Die Entscheidung, was mit Ihren Daten passiert, sollte Ihre eigene sein – und mit den richtigen Werkzeugen ist das möglich.
Und das Wichtigste: Datenschutz ist kein Hindernis für gute Apps – er ist ein Qualitätsmerkmal. Apps, die ohne massenhaftes Tracking wunderbar funktionieren, gibt es. Sie zu finden und zu unterstützen ist der wirksamste Beitrag, den Nutzende zur Verbesserung des App-Ökosystems leisten können.
