Studie: Wie anonym sind ‚anonymisierte‘ Metadaten?

Wie anonym ‚anonymisierte‘ Metadaten tatsächlich sind, zeigt die Studie „Unique in the shopping mall: On the reidentifiability of credit card metadata“, die in der aktuellen Ausgabe „The End of Privacy“ des Science-Magazin erschienen ist. Ein internationales Forscherteam aus den USA und Dänemark hat dazu einen Datensatz analysiert, der anonymisierte Informationen über Kreditkartentransaktionen im Zeitraum von 3 Monaten von 1,1 Millionen Nutzern in 10.000 Geschäften enthielt. Eindeutige Identifikations-Informationen wie etwa Name, Konto- und Kartennummer wurden aus dem Datensatz entfernt und jeder Person wurde eine User-ID zugeordnet. Die Daten werden somit eher pseudonymisiert als anonymisiert. Zusätzlich wurden Angaben zur genauen Uhrzeit der Transaktion und dem gekauften Produkt entfernt. Übrig blieben Daten über das Geschäft, den Ort, das Kaufdatum und die gezahlte Summe. Die Studie ging der Frage nach, mit wie wenigen Informationen und welcher Genauigkeit sich aus pseudonymisierten Daten Rückschlüsse auf die Identität der Kreditkartenbesitzer ziehen lassen.

Die Antwort: Es reichen etwa vier Informationspaare aus Raum und Zeit (Geschäft/Datum) aus, um die User-ID mit einer 90-prozentigen Wahrscheinlichkeit seinem Besitzer zuzuordnen. Zudem wurden zwei weitere Beobachtungen gemacht: Frauen und Personen mit hohem Einkommen waren einfacher zu identifizieren. Über mögliche Ursachen äußerten sich die Verantwortlichen der Studie nicht.

3 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.