mobilkom Austria verkauft Bewegungsdaten ihrer Kunden

Als "Da­ten­quel­le für Mar­ke­ting, For­schung und Pla­nung" prä­sen­tiert mo­bil­kom Aus­tria ihren Dienst A1 Traf­fic Data Stream. Ver­spro­chen wer­den die Be­we­gungs­da­ten von 4,7 Mil­lio­nen Kun­den. Ei­ni­ge Be­we­gungs­da­ten, so ver­spricht die Prä­sen­ta­ti­on, sind zu­sätz­lich durch GPS-Po­si­ti­on prä­zi­siert. Selbst­ver­ständ­lich wer­den sämt­li­che Daten voll­stän­dig an­ony­mi­siert - doch wie ein­fach eine Dea­n­ony­mi­sie­rung mög­lich ist, habe ich be­reits in mei­ner Pro­mo­ti­on fest­ge­stellt.

Voll­ends ent­setzt mich das 2. Up­date bei netzpolitik.​org - hier heißt es:

Da wir die An­ony­mi­sie­rungs­schlüs­sel re­gel­mäs­sig aus­tau­schen, las­sen sich auch keine Lang­zeit­be­ob­ach­tun­gen durch­füh­ren.

Dar­aus ver­mu­te ich, daß die ein­zel­nen Sam­ples die­sel­be (pseud­ony­mi­sier­te) ID tra­gen - so lange, bis der An­ony­mi­sie­rungs­schlüs­sel ge­än­dert wird. So etwas als "An­ony­mi­tät" zu be­zeich­nen ist voll­kom­men ab­surd; der letz­te No­tan­ker, um nicht so­fort auf einen Namen zu­rück­ge­führt zu wer­den, ist die Me­ß­ge­nau­ig­keit der Po­si­ti­on. Hier­über schweigt sich die Pres­se­mit­tei­lung aus - die In­for­ma­ti­on wird je­doch min­des­tens aus der GSM-Zel­le be­ste­hen, und die Schau­bil­der der Pres­se­map­pe sug­ge­rie­ren noch hö­he­re Ge­nau­ig­keit.

Hier ein paar ein­fa­che Ideen, wie Be­we­gungs­spu­ren einem rea­len Name zu­ge­ord­net wer­den kön­nen:

  • Handy ruht über Nacht an einer Geo­po­si­ti­on, die einem Haus zu­zu­ord­nen ist? Über die Adres­se läßt sich min­des­tens der Fa­mi­li­en­na­me her­aus­fin­den (wie be­reits hier skiz­ziert)
  • Wer mit EC-Kar­te oder Kre­dit­kar­te zahlt oder eine Kun­den­kar­te (Pay­back & Co.), hin­ter­lä­ßt sei­nen Name; die Geo­po­si­ti­on der Kasse ist be­kannt, so kann der Be­zahl­vor­gang u.U. einem Meß­samp­le zu­ge­ord­net wer­den
  • Punkt­glei­che Be­we­gun­gen ent­lang von Stra­ßen las­sen ein ge­mein­sa­mes Fahr­zeug ver­mu­ten. Der Trenn­punkt läßt auf die Art der Be­zie­hung (Schu­le? Kind wurde von El­tern ge­bracht, etc.) schlie­ßen

Und selbst wenn keine ex­ak­te Zu­ord­nung mög­lich ist - es schränkt die Zahl der Kan­di­da­ten deut­lich ein, und durch Kom­bi­na­ti­on meh­re­rer sol­cher Be­din­gun­gen ist eine ein­deu­ti­ge Iden­ti­fi­zie­rung er­reich­bar.

Der Wech­sel des An­ony­mi­sie­rungs­schlüs­sels ist eben­falls ein höchst schwa­cher Schutz: Der Ta­ges­ab­lauf vie­ler Leute weist hohe Re­gel­mä­ßig­kei­ten auf (zur ähn­li­cher Zeit auf dem sel­ben Weg gen Ar­beit, etc.). Indem man meh­re­re Tage über­la­gert, kann man sehr ein­fach ähn­li­che Mus­ter er­ken­nen und so ver­schie­de­ne Pseud­ony­me zu­sam­men­füh­ren.

Im üb­ri­gen bie­ten selbst voll­stän­dig an­ony­me Meß­wer­te (ohne ir­gend­wel­che Iden­ti­fier) nur einen be­ding­ten Schutz: Je nach Ge­nau­ig­keit der Mes­sung und Fre­quenz der Meß­wer­te las­sen sich auch sol­che In­for­ma­tio­nen zu Be­we­gungs­spu­ren re­kon­stru­ie­ren; wer's ganz genau wis­sen will, kann die Al­go­rith­men hier­zu in mei­ner Aus­ar­bei­tung ab Seite 42 nach­schla­gen oder die Pa­pers von Sta­ja­no und Be­res­ford über Mix Zones durch­le­sen.

Ich hatte im Zuge mei­ner Ar­beit bei ver­schie­de­nen Mo­bil­funk­an­bie­tern an­ge­fragt, ob es mög­lich wäre, sol­che Daten für meine Ar­beit zu be­kom­men... da­mals ver­geb­lich. Das ganze nun nicht nur aus­zugs­wei­se, son­dern im ge­sam­ten Netz­ge­biet und für alle Kun­den her­aus­zu­ge­ben (man kann "Daten ein­zel­ner Tage oder Mo­na­te er­wer­ben bzw. auch un­li­mi­tier­ten Zu­gang zu den an­ony­mi­sier­ten Daten er­hal­ten"), halte ich da­ten­schutz­tech­nisch für einen Skan­dal. Die Bei­spie­le aus der Prä­sen­ta­ti­on mögen für Mar­ke­ting­leu­te si­cher sehr in­ter­es­sant sein (Ein­zugs­ge­bie­te von Ein­kaufs­zen­tren, Nut­zung von Zu­fahrts­we­gen, etc.) - einem Da­ten­schüt­zer trei­ben sie die Gän­se­haut auf den Rü­cken.

(via netzpolitik.​org)