Smartphone-Bewegungsdaten: „Unmöglich zu anonymisieren“

Wenn ihr gerade keine halbe Stunde Zeit habt, dann setzt euch ein Lesezeichen für den von der New York Times veröffentlichten Artikel mit der Überschrift „Twelve Million Phones, One Dataset, Zero Privacy“. Der Text leitet eine Artikelreihe zum Thema Datenschutz ein und dokumentiert das lukrative Geschäft mit den „anonymisierten“ Ortsdaten von Smartphones anschaulich und zugleich beunruhigend. Dass der zweite, ebenfalls bereits verfügbare Artikel in der Serie den Titel „Freaked Out? 3 Steps to Protect Your Phone“ trägt, sagt schon viel über den Inhalt des Aufmachers.

12 Millionen Smartphones in einer Datenbank

Anlass für die Berichterstattung ist eine Datenbank mit den Bewegungsdaten von zwölf Millionen Smartphones, in deren Besitz die Autoren der New York Times gelangt sind. Wohlgemerkt liegen diese Daten anonymisiert vor, doch wird schnell klar, dass sämtliche Privatsphäre-Versprechen in diesem Zusammenhang eigentlich eine Farce sind. Die enorme Zahl der gespeicherten Datenpunkte erlaubt eine nahezu lückenlose Rekonstruktion des Tagesablaufs der einzelnen Nutzer und aus den dadurch ersichtlichen Wegen – beispielsweise der täglichen Strecke zur Arbeit und zurück – lassen sich in der Regel zweifelsfrei dann auch die Besitzer der Geräte ableiten.

Die Beschreibung von Standortdaten als anonym ist eine völlig falsche Behauptung, die in mehreren Studien entlarvt wurde. Wirklich präzise, longitudinale Geolokalisierungsdaten sind absolut unmöglich zu anonymisieren.

Bilder: New York Times

Ein Beispiel gefällig? Die Journalisten beobachteten im Rahmen ihrer Analyse ein Smartphone, das sich schnell als Gerät eines Microsoft-Mitarbeiters herausstellte. An einem Tag allerdings wurde der Besuch auf dem Firmengelände von Amazon verzeichnet und schon wenig später war ersichtlich, dass der Mitarbeiter den Arbeitsplatz gewechselt hatte und nun bei der Konkurrenz tätig war. Es sei ein Kinderspiel gewesen, auf Basis dieser Angaben den mittlerweile bei Amazon für die Entwicklern des Drohnen-Lieferdienstes Amazon Prime Air zuständigen ehemaligen Microsoft-Mitarbeiter Ben Broili auszumachen. Dieser staunte dann auch nicht schlecht, als die Autoren des Artikels ihn mit dieser Tatsache konfrontierten.

Playboy-Gäste und Demo-Teilnehmer

In anderen Fällen geriet beispielsweise die Privatsphäre von Gästen auf einer Playboy-Party oder Teilnehmern an einer Demonstration ins Wackeln. Auch hier genügt es, einen Datenpunkt herauszugreifen, um die Identitäten dahinter auf Basis von deren gewohntem Tagesablauf zu ermitteln.

Wer bei dieser Thematik nur an große Konzerne oder Geheimdienste denkt, liegt falsch. Daten wie die von der New York Times behandelten stammen von Firmen mit meist unbekannten Namen, die sich besonders auf das Sammeln und Handeln mit solchen Daten spezialisiert haben. Der Datenbestand wird von eher unverdächtigen Anwendungen wie beispielsweise Wetter- oder Coupon-Apps geliefert, die den Standort ihrer Nutzer permanent auch im Hintergrund abfragen und deren Betreiber sich mit dieser Datenerhebung ein Zubrot verdienen. Im Kleingedruckten steht dann, dass die erfassten Daten anonymisiert verwertet werden – was dieses Versprechen wert ist, hält uns der Times-Artikel deutlich vor Augen.

Ihr seid jetzt beunruhigt? Dann wisst ihr, warum die New York Times den zweiten Artikel der Reihe gleich mit veröffentlicht hat. Dort ist für iOS und Android getrennt erklärt, wie man sich vor diesen Praktiken bestmöglich schützt.