Digitale Kindheit ohne Googles Datenhunger
Family Link vs. GrapheneOS: Wer kontrolliert die Daten wirklich?
Wer ein Smartphone für sein Kind absichern will, greift reflexartig zu Google Family Link - und übergibt damit gleichzeitig die gesamte digitale Kindheit an einen US-Konzern. Dabei existiert eine technisch sauberere, deutlich datenschutzfreundlichere Alternative: GrapheneOS, lokale Kindersicherung, ganz ohne Google-Konto als Schaltzentrale. Dieser Artikel beleuchtet zunächst, was Family Link datentechnisch wirklich bedeutet, warum Samsung und Xiaomi keine echte Alternative sind - und wie ein funktionierendes Kinderprofil auf GrapheneOS in der Praxis aussieht.
Google Family Link: Bequem, aber zu welchem Preis?
Wenn Eltern die Kontrolle über das Smartphone ihres Kindes behalten wollen, lautet die erste Google-Empfehlung: Family Link. Das klingt harmlos, ja geradezu fürsorglich. Tatsächlich handelt es sich aber um ein vollständig in Googles Cloud-Infrastruktur eingebettetes System, das sich aus Datenschutzsicht kaum vom normalen Google-Konto eines Erwachsenen unterscheidet.
Der entscheidende Punkt: Wer Google Family Link aktiviert, entscheidet sich für eine permanente technische Anbindung an Googles Cloud-Infrastruktur. Ohne Google-Konto für das Kind, ohne Play Store, ohne Google-Dienste - Family Link läuft schlicht nicht.
Was Google dabei konkret an Daten einsammelt, ist in den eigenen Google Family Link Datenschutzhinweise dokumentiert - und die Lektüre ist ernüchternd:
Zu den erhobenen Daten gehören unter anderem die IP-Adresse, Absturzberichte, Systemaktivitäten sowie das Datum, die Uhrzeit und die Referrer-URL der Anfrage des Kindes. Diese Daten entstehen, wenn ein Google-Dienst auf dem Gerät des Kindes Verbindung zu den Servern aufnimmt - etwa wenn eine App aus dem Play Store installiert wird. Dazu werden in den Diensten Daten zu den Aktivitäten des Kindes erhoben, darunter Suchbegriffe, angesehene Videos, Sprach- und Audiodaten bei Nutzung von Audiofunktionen, Personen, mit denen das Kind kommuniziert oder Inhalte teilt, sowie der Chrome-Browserverlauf, der mit dem Google-Konto synchronisiert wurde.
Um es auf den Punkt zu bringen: Das Nutzungsprofil, das Google so über ein Kind aufbaut, unterscheidet sich strukturell kaum von dem eines Erwachsenen. Nachdem Eltern eingewilligt haben, dass ihr Kind ein Google-Konto haben darf, wird dieses Konto in Bezug auf die erhobenen Daten im Allgemeinen so behandelt wie das eigene.
Das Argument, Google zeige Kindern keine personalisierte Werbung, klingt beruhigend - ist aber nur die halbe Wahrheit. Auch das oft vorgebrachte Argument »keine personalisierte Werbung« löst das Grundproblem nicht. Google sagt zwar, dass für Kinder keine personalisierten Anzeigen auf Basis des Kontos ausgeliefert werden - gleichzeitig können Anzeigen weiterhin kontextbezogen sein, und außerhalb von Google-Diensten können Drittanbieter-Werbenetzwerke auftauchen, inklusive personalisierter Werbung durch Dritte. Nach wie vor werden detaillierte Verhaltensdaten gesammelt und lediglich nicht für die Anzeige von Werbung verwendet, bis das gesetzliche Mindestalter erreicht ist.
Hinzu kommt, dass Google sich das Recht vorbehält, personenbezogene Daten unterschiedlicher Google-Produkte - also zum Beispiel aus Family Link und YouTube - zusammenzuführen. Das ist keine Panikmache, sondern schlicht die dokumentierte Plattformlogik.
Die folgende Übersicht fasst zusammen, welche Datenkategorien bei der Nutzung von Family Link anfallen und was davon in Googles Cloud landet:
| Datenkategorie | Erhoben? | Verbleibt bei Google? |
|---|---|---|
| IP-Adresse & Geräte-ID | ✅ Ja | ✅ Ja |
| App-Installationen & -Nutzung | ✅ Ja | ✅ Ja |
| Suchanfragen (Google, YouTube) | ✅ Ja | ✅ Ja |
| Chrome-Browserverlauf | ✅ Ja (bei Sync) | ✅ Ja |
| Standortdaten (optional) | ✅ Optional | ✅ Ja |
| Sprach- & Audiodaten | ✅ Ja | ✅ Ja |
| Kommunikationspartner | ✅ Ja | ✅ Ja |
| Absturzberichte & Systemaktivität | ✅ Ja | ✅ Ja |
| Nutzungsmuster & Bildschirmzeiten | ✅ Ja | ✅ Ja |
Was Family Link in der Praxis bedeutet: Das eigene Kind bekommt ab dem ersten Tag ein dauerhaftes Datenprofil beim weltgrößten Werbekonzern. In dem Moment, in dem Play Store und andere Google-Dienste aktiv werden, läuft der Austausch mit Googles Servern permanent mit - und hinterlässt dabei fortlaufend Datenspuren.
Digitale Souveränität: Was auf dem Spiel steht
Der Begriff digitale Souveränität beschreibt die Kontrolle über die eigenen digitalen Daten, Entscheidungen und Identitäten - die Fähigkeit, selbstbestimmt zu agieren, ohne von einer fremden Infrastruktur abhängig zu sein. Bei Google Family Link wird diese Souveränität für das Kind faktisch an Google abgegeben, bevor es alt genug ist, das zu verstehen oder selbst entscheiden zu können.
Was konkret verloren geht:
Datensparsamkeit: Ohne Family Link kann ein Kindergerät vollständig ohne Google-Konto betrieben werden. Kein Konto bedeutet: keine Profilerstellung, keine Cross-Service-Verknüpfung, keine Datenakkumulation über Jahre hinweg. Mit Family Link ist das strukturell nicht möglich.
Datenhoheit: Google stellt personenbezogene Daten Partnern sowie anderen Unternehmen zur Verfügung, die diese in Googles Auftrag verarbeiten. Welche Partner das im Einzelfall sind und wohin die Daten konkret fließen, bleibt für Eltern intransparent.
Kontrolle über den Datenhorizont: Einmal in Googles Systemen gespeicherte Daten können über Jahre gespeichert bleiben und zu einem Zeitpunkt genutzt werden, an dem das Kind längst erwachsen ist - dann aber bereits ein vollständiges Verhaltensprofil aus der Kindheit besitzt.
Unabhängigkeit vom Plattformzwang: Wer Family Link nutzt, ist dauerhaft an Googles Ökosystem gebunden. Ein Wechsel zu einer anderen Lösung ist mit erheblichem Aufwand und Datenverlust verbunden. Kinder wachsen so von Anfang an in eine Abhängigkeit hinein, die später schwer aufzulösen ist.
Das Android-Dilemma: Samsung und Xiaomi sind keine echte Alternative
Wer die Schlussfolgerung zieht, einfach kein Google Family Link zu verwenden und stattdessen ein handelsübliches Samsung- oder Xiaomi-Gerät zu kaufen, löst das Datenschutzproblem leider nur halb.
Samsung: One UI und die Schattenseiten des Ökosystems
Samsung-Geräte laufen mit One UI, einer umfangreichen Android-Anpassung. Neben Google-Diensten sammelt Samsung selbst Daten über ein eigenes Konto (Samsung Account) und ein eigenes Cloud-Ökosystem. Samsung erfasst personenbezogene Daten, die Nutzer direkt bereitstellen, Daten über die Nutzung der Dienste und Daten von Dritten - unter anderem, um die Benutzererfahrung zu verbessern, zu personalisieren und personalisierte Werbung zu schalten. Diese Daten werden an angeschlossene Unternehmen von Samsung Electronics sowie an Unternehmen weitergegeben, die im Auftrag von Samsung Dienstleistungen erbringen.
Das eigentliche Datenproblem auf Samsung-Geräten sitzt aber tiefer - in der Bloatware. Auf Geräten der Galaxy A-, M- und F-Serie (also genau jenen Einsteiger- und Mittelklassemodellen, die Eltern ihren Kindern typischerweise kaufen) ist die App AppCloud vorinstalliert, die sich nicht deinstallieren lässt. Kritiker werfen ihr vor, im Hintergrund Standortinformationen, App-Nutzungsmuster und Gerätedaten zu sammeln. Eine verständliche Datenschutzerklärung fehlt - Nutzer tappen im Dunkeln, während ihre Daten möglicherweise weitergegeben werden.
AppCloud ist kein Zufallsprodukt: Samsung hat ironSource zum exklusiven Partner für App-Empfehlungen in über 50 Ländern gemacht. Die App ist Teil von Samsungs offizieller Strategie, günstigere Geräte durch Drittanbieter-Software zu monetarisieren. Eine klar einsehbare Datenschutzrichtlinie fehlt. Eine Option zum Deaktivieren oder Abwählen ebenfalls. Stattdessen läuft im Hintergrund eine unauffällige System-App, die mit externen Servern kommuniziert und Änderungen am Gerät vornehmen kann - ohne dass Nutzer aktiv etwas tun müssen.
Das Fazit für Samsung-Geräte: Auf Mittelklasse-Hardware bekommt man neben Google-Telemetrie mindestens noch Samsungs eigene Datenernte plus das AppCloud-Ökosystem. Das Kindergerät telefoniert also gleich bei mehreren Stellen nach Hause.
Xiaomi: Wenn der Browser mehr weiß, als er sollte
Xiaomi-Geräte laufen mit HyperOS (ehemals MIUI) und erfreuen sich dank günstiger Preise großer Beliebtheit. Datenschutztechnisch steht der Hersteller allerdings seit Jahren in der Kritik. IT-Sicherheitsforscher stellten fest, dass Xiaomi-Smartphones das Nutzerverhalten tracken und „schlecht" verschlüsselt an chinesische Server senden. Besonders betroffen ist der vorinstallierte Xiaomi-Browser, der alle besuchten Webseiten und Suchanfragen aufzeichnet - und das tatsächlich auch bei der Benutzung des Inkognito-Modus.
Besonders relevant für den Standort der Server: Die Daten landen auf Servern in China, Russland oder Singapur - die haben mit europäischem Datenschutz wenig bis nichts zu tun. Inwiefern auch die chinesische Regierung Zugriff auf diese Daten hat, ist unklar.
Und selbst wenn ein umfangreiches Opt-out durchgeführt wird und alle Tracking- und Sammel-Schalter deaktiviert werden, wird ein Grundstock an Telemetrie-Daten weiterhin gesammelt - ob gewollt oder nicht.
Die folgende Übersicht stellt die Datenschutzsituation der drei Plattformen gegenüber:
| Aspekt | Stock Android + Family Link | Samsung One UI | Xiaomi HyperOS | GrapheneOS |
|---|---|---|---|---|
| Google-Telemetrie | ✅ Vollständig | ✅ Vollständig | ✅ Vollständig | ❌ Keine (optional) |
| Hersteller-Telemetrie | ❌ Keine | ✅ Samsung Account, Knox | ✅ Xiaomi Cloud, chinesische Server | ❌ Keine |
| Vorinstallierte Bloatware | Gering | Viel (AppCloud etc.) | Sehr viel | ❌ Keine |
| Nicht entfernbare System-Apps | Einige | Viele | Sehr viele | ❌ Keine |
| Datenabfluss zu Drittservern | Hoch | Hoch | Sehr hoch | Kontrollierbar |
| Installationssperre für Kinderprofile | ❌ Nein | ❌ Eingeschränkt | ❌ Nein | ✅ Ja (systemseitig) |
Warum GrapheneOS der ernsthafte Wechsel lohnt
GrapheneOS ist ein Android-basiertes Betriebssystem, das ausschließlich auf Google Pixel-Geräten läuft und konsequent auf Google-Dienste und Telemetrie verzichtet. Es ist kein experimentelles Hobbyprojekt, sondern ein ausgereiftes, aktiv gepflegtes System, das in Sicherheitskreisen als Goldstandard unter den Android-Derivaten gilt - und das aus mehreren Gründen, die über den reinen Datenschutz hinausgehen:
Keine systemseitige Telemetrie: GrapheneOS sendet von sich aus keinerlei Daten an Google oder Hersteller. Was nicht gesendet wird, kann auch nicht abgefangen, analysiert oder für Profilerstellung genutzt werden.
Keine vorinstallierte Bloatware: Das System kommt ohne fremde Apps, ohne Werbepartner-Integrationen, ohne AppCloud-Äquivalente. Jede installierte App ist eine bewusste Entscheidung.
Härtere Sandbox-Implementierung: GrapheneOS verstärkt Androids ohnehin vorhandene App-Sandbox durch eigene Maßnahmen, was das Schadenspotenzial einer kompromittierten App erheblich reduziert.
Reguläre Google-Dienste optional nutzbar: Wer bestimmte Google-Dienste benötigt, kann diese über die GrapheneOS Sandboxed Google Play-Funktion als normale, einsperrbare App nachrüsten - ohne Systemzugriff.
Für Kinderprofile systemseitiger Installationsschutz: Genau hier liegt der entscheidende Vorteil gegenüber jedem anderen Android-Hersteller: GrapheneOS bietet einen eingebauten Schalter, der App-Installationen in sekundären Profilen zuverlässig sperrt - ohne Mobile Device Management und ohne Google-Anbindung. Das ist auf Samsung, Xiaomi oder Geräten mit Standard-Android nicht verlässlich möglich.
Kinderschutz auf GrapheneOS: Die drei Bausteine
Das Konzept ist bewusst schlicht gehalten: Statt Fernverwaltung über eine Cloud-Plattform gibt es eine klare lokale Hierarchie - ein Owner-Profil für die Eltern als Verwaltungsebene, ein separates Kinderprofil für den Alltag. Drei ergänzende Bausteine vervollständigen das Setup.
Baustein 1: Profiltrennung
Android unterstützt von Haus aus mehrere Nutzerprofile mit vollständig getrennten App-Daten und Konten. GrapheneOS macht sich das für die Kindersicherung zunutze.
Das Owner-Profil dient ausschließlich der Verwaltung: App-Freigaben, Systemupdates, Konfigurationsänderungen. Es bleibt im Alltag unangetastet.
Das Kinderprofil ist die tägliche Nutzungsumgebung: eigene PIN, eigene Apps, eigene Daten - aber keine Möglichkeit, selbst Apps zu installieren.
Ein wichtiger Praxishinweis nach Neustarts: Nach einem Neustart oder einem Update muss zunächst das Owner-Profil entsperrt werden, bevor das Kinderprofil zugänglich ist. Das ist eine bewusste Sicherheitsarchitektur von GrapheneOS, da das Owner-Profil sicherheitsrelevante systemweite Verschlüsselungsdaten verwaltet. Für jüngere Kinder ist das selten ein Problem; bei älteren Kindern, die das Gerät auch mal mehrere Tage ohne Eltern dabeihaben, sollte man das einplanen.
Profil anlegen:
Einstellungen → System → Nutzer → Nutzer hinzufügen
Anschließend in das neue Profil wechseln, eine eigene PIN setzen (am besten gemeinsam mit dem Kind) und nur die tatsächlich benötigten Apps einrichten.
Wichtiger Hinweis zu WLAN und DNS: WLAN-Verbindungen und Private DNS gelten geräteweit und sind nicht pro Profil konfigurierbar. VPNs hingegen können pro Profil separat eingerichtet werden.
Baustein 2: App-Installation im Kinderprofil sperren
GrapheneOS bietet im Owner-Profil einen systemseitigen Schalter zur Steuerung von App-Installationen in anderen Profilen. Dieser Schalter ist das eigentliche Alleinstellungsmerkmal gegenüber allen anderen Android-Varianten.
Owner-Profil → Einstellungen → System → Nutzer → [Kinderprofil auswählen] → App-Installation
Drei Stufen stehen zur Verfügung:
Disabled- Keine App-Installation aus diesem Profil heraus. Weder über einen Store noch per APK-Sideloading. Das ist für die meisten Kinderprofile die richtige Wahl.Enabled for first party sources- Installationen und Updates nur aus systemnahen Erstquellen (z. B. einem fest installierten Store), nicht per frei heruntergeladener APK.Enabled- Installationen können aus dem Profil heraus angestoßen werden. Für Kinderprofile nicht empfehlenswert.
Apps für das Kinderprofil bereitstellen läuft ausschließlich über das Owner-Profil:
- Gewünschte App im Owner-Profil installieren
- Einstellungen → Apps → [App auswählen] → „Für anderen Nutzer installieren" / „Verfügbare Apps installieren"
Diese Richtung ist bewusst einseitig: vom Owner ins Kinderprofil, nicht umgekehrt.
Hinweis zu App-Updates: Da das Kind keine Updates anstoßen kann, liegt die Updatepflege beim Owner-Profil. Einmal wöchentlich App-Updates durchführen und auf ausstehende Systemneustarts prüfen reicht in der Praxis vollständig aus.
Baustein 3: Zeitlimits mit Open TimeLimit
Für die Steuerung von Bildschirmzeiten kommt Open TimeLimit ins Spiel - eine freie, quelloffene App des deutschen Entwicklers Jonas Lochmann, die ohne Google-Konto funktioniert und Kategorien, Tages- und Wochenbudgets, Ruhezeiten sowie Bonuszeit abbilden kann.
Die App wird im Kinderprofil installiert und direkt dort konfiguriert. Wichtig ist eine realistische Erwartungshaltung: Zeitlimits schaffen Struktur und reduzieren alltägliche Diskussionen - sie ersetzen weder Erziehung noch Vertrauen und können von einem technisch versierten Kind mittelfristig umgangen werden. Der eigentliche Sicherheitsanker des Setups bleibt die Profiltrennung und der Installationsschutz.
Baustein 4: Privates DNS als Inhaltsfilter
Android unterstützt seit Version 9 DNS-over-TLS auf Systemebene. Über die Funktion Privates DNS lässt sich geräteweit ein DNS-Anbieter mit Familien- oder Jugendschutzfilter eintragen, der typische Problemkategorien blockiert - ohne Google-Konto, ohne Cloud-Anbindung.
Einstellungen → Netzwerk & Internet → Privates DNS → „Hostname des Anbieters"
Ein geeigneter Anbieter ist dnsforge.de in der „Clean-Variante", die erweiterte Jugendschutz-Blocklisten sowie aktivierte SafeSearch-Funktion bei Suchmaschinen und YouTube bietet.
Achtung: Private DNS wirkt geräteweit - also auch im Owner-Profil. Wer DNS-Regeln wirklich nur im Kinderprofil greifen lassen will, muss auf ein profilspezifisches VPN ausweichen.
Auch hier gilt ein realistischer Blick: DNS-Filter sind eine Leitplanke, kein Zaun. VPNs oder bestimmte App-Konfigurationen können sie umgehen. Für die meisten Familien ist der Ansatz dennoch ein sinnvoller und datensparsamer Baustein.
Updates und Wartung: Der wöchentliche Rhythmus
GrapheneOS installiert Systemupdates automatisch im Hintergrund. Das funktioniert hervorragend, hat im Mehrprofil-Betrieb aber einen Haken: Der abschließende Neustart liegt beim Owner-Profil. Ist der automatische Neustart nach Updates aktiv, kann das Gerät zu einem ungünstigen Zeitpunkt selbst neu starten - und bleibt danach am Owner-Profil-Sperrbildschirm hängen, bis jemand entsperrt.
Sinnvoller ist folgender Rhythmus:
- Updates automatisch laden und vorbereiten lassen
- Den Neustart manuell auslösen - abends oder wenn das Gerät ohnehin kurz bei den Eltern ist
- Gleichzeitig App-Updates im Owner-Profil durchführen
- Nach dem Neustart: Owner-Profil entsperren → Kinderprofil wieder zugänglich
Das klingt nach Aufwand, lässt sich aber gut in einen wöchentlichen Rhythmus einbauen und dauert in der Praxis wenige Minuten.
Fazit
Google Family Link ist bequem, aber der Preis dafür ist hoch: ein vollständiges Datenprofil des Kindes in Googles Cloud, das von Geburt an wächst und niemals wirklich in elterlicher Hand liegt. Samsung und Xiaomi lösen das Problem nicht - sie ergänzen Google-Telemetrie lediglich um herstellereigene Datenerhebung und zum Teil um nicht entfernbare Drittanbieter-Software. GrapheneOS ist derzeit die einzige Android-Plattform, die einen systemseitigen, zuverlässigen Installationsschutz für Kinderprofile bietet - ohne MDM, ohne Google, ohne Cloud. Das Setup erfordert etwas mehr initiale Einrichtung und vielleicht einen wöchentlichen Wartungsrhythmus, dafür liegen alle Daten genau dort, wo sie hingehören: auf dem Gerät.