Ein anonymisierter Datensatz von über einer Million Kreditkartennutzern mit den Angaben über Ort und Datum aller Zahlungen – das stand Forschenden aus Dänemark und den USA zur Verfügung. Die Frage war nun: Wie viel mussten sie über einen einzelnen Kreditkartennutzer wissen, um ihn aus dem riesigen Datensatz eindeutig identifizieren zu können? Das Resultat, erschienen im Fachmagazin «Science», ist erschreckend: Vier ganz alltägliche Details reichen, und schon ist die Person demaskiert.
Link zur Studie
Nehmen wir ein Beispiel: Wir suchen Peter Müller in diesem riesigen Datensatz. Dafür reicht es zu wissen, dass Peter Müller an einem bestimmten Tag im Restaurant Krone in Zürich gegessen hat, gleichentags mit dem Zug nach Bern gefahren ist und dabei mutmasslich das Zugticket per Kreditkarte gezahlt hat, dass er dann im Hotel Bellevue in Bern eingecheckt und am Abend per mobilem Computer ein E-Book gekauft hat.
Und schon haben wir beim Abgleich mit unserem Datensatz Peter Müller mit über 90-prozentiger Sicherheit gefunden – in der Million anderer Menschen. Und weil wir damit Peter Müllers gesamten Zahlungsverkehr kennen, wissen wir also nun auch, wo er sonst noch war in den vergangenen Wochen und Monate, was er gekauft hat und so weiter.
Woher wir die vier zusätzlichen Informationshäppchen – also das Essen im Restaurant Krone, das Hotel, das E-Book – haben, ist unwichtig. Wir können Peter Müller beobachtet haben oder aber er hat selbst im Internet Spuren seiner Aktivitäten hinterlassen, in Form einer Buchbewertung, eines Fotos, eines Tweets oder eines Facebook-Eintrags.
Nicht nur Kreditkartendaten sind betroffen
Was die Forschenden anhand anonymisierter Kreditkartendaten gezeigt haben, gilt auch für ganz andere Datensammlungen. Eine andere Studie konnte zum Beispiel zeigen, wie viel sich aus vermeintlich anonymisierten Daten aller Taxifahrten eines Jahres in der Stadt New York herauslesen liess: Mit ein wenig Geduld fand man heraus, wer sich von welchem Taxi zu zwielichtigen Etablissements chauffieren liess oder wie viel Trinkgeld eine einzelne Person zahlte.
Nur weil in einem Datensatz also keine Namen, Adressen oder Telefonnummern stehen, sind die erfassten Personen noch lange nicht so anonym, wie wir uns das gerne vorstellen. Denn es braucht nur ganz wenige nicht anonyme Informationen – und ganze Berge von eigentlich anonymen Daten verlieren ihren Schutz. Die Autoren der «Science»-Studie warnen, die meisten Datenschutzgesetze liessen diese Erkenntnis bisher völlig unbeachtet.
