In einer Szene der Snowden-Dokumentation Citizenfour spricht der Sicherheitsexperte Jacob Appelbaum vor einer Gruppe von Occupy-Demonstranten in New York. Er erklärt, wie leicht es für die Behörden sei, ihre Identität und Bewegungen herauszufinden. Es genüge bereits, wenn sie auf dem Weg zur Demo ihr U-Bahn-Ticket mit der EC-Karte bezahlen, um eine Verbindung zwischen ihnen und ihrem möglichen Zielort zu erstellen.

Wie leicht es tatsächlich ist, aus Finanzdaten auf einzelne Personen rückzuschließen, zeigt eine aktuelle Studie. Ein Forscherteam des Massachusetts Institute of Technology (MIT) und der Universität von Aarhus haben dafür drei Monate lang die Kreditkartenkäufe von insgesamt 1,1 Millionen Menschen analysiert. Ihr Ergebnis: Mit Informationen über den Ort und den Zeitpunkt von bloß vier Bezahlvorgängen war es möglich, 90 Prozent der Personen in einer anonymisierten Liste zu identifizieren, wie sie im Magazin Science schreiben (De Montjoye et al., 2015).

Wussten die Forscher etwa, dass eine Person am Montag einen Kaffee mit der Kreditkarte bezahlt, am Dienstag im Supermarkt eingekauft hatte, am Donnerstag in einem Sportartikelgeschäft und am Freitag in einem Kleidungsladen war, konnten sie diese Person fast immer in der Liste wiederfinden. Auf Basis dessen ist es möglich, Bewegungsprofile zu erstellen und Rückschlüsse auf den sozialen Status und die Finanzen einer einzelnen Person zu schließen.

Wie anonym sind anonyme Datensätze?

Möglich machen das die Metadaten. Dazu gehören etwa die Dauer eines Telefongesprächs, Zeitstempel, IP-Adressen, aber auch ein Check-in auf Facebook, ein mit GPS-Daten verknüpfter Tweet oder eben die Verwendung einer Kredit- oder Bankkarte. Die Informationen sind für sich stehend wenig aussagekräftig, gesammelt und in Verbindung zueinander aber lassen sie ein Kommunikationsmuster erkennen.

Dass die Banken und Kreditkartenfirmen die Transaktionen der Kunden kennen und auswerten können, ist eine Sache. Doch in einigen Fällen teilen sie die Daten anonymisiert mit Dritten, etwa um das Kaufverhalten einer Kundengruppe zu analysieren oder Betrug abzuwenden. Sowohl in den USA als auch in Europa gibt es Gesetze, die diese Weitergabe "persönlicher identifizierbarer Informationen" (PII) regeln.

"Die Gesetzgebung fußt auf dem Begriff von Anonymität. Wir behandeln Daten unterschiedlich, je nachdem ob sie anonym sind oder nicht", sagt Yves-Alexandre de Montjoye, Erstautor der Studie. "Aber auch ohne eindeutige persönliche Informationen ist es möglich, einzelne Personen zu identifizieren." Anders gesagt: Nur weil ein Datensatz keine Namen, Adressen oder Telefonnummern enthält macht ihn das noch lange nicht anonym.

Frauen sind einfacher zu identifizieren als Männer

Die Studie brachte noch zwei weitere interessante Nebenaspekte zum Vorschein. So war es deutlich einfacher, sowohl Frauen als auch Personen mit hohem Einkommen in der Liste zu identifizieren. Die Wahrscheinlichkeit, in den Datensätzen eine Frau wiederzufinden, lag 1,2-mal höher als die von Männern.

Die Entdeckung hat die Forscher überrascht. "Es ist zunächst nur eine Beobachtung", sagt de Montjoye, "jede Person hat ein individuelles Muster was die Verwendung von Kreditkarten angeht." Offenbar entstehen aber für einzelne Personengruppen größere Muster. Über die möglichen soziologischen oder kulturellen Hintergründe, also etwa die Frage, ob Frauen einfach öfter und vorhersehbarer einkaufen, wollte sich de Montjoye nicht äußern. Das sei die Aufgabe anderer Fachbereiche, sagt er.

"Mobile Payment" sorgt für weitere Verknüpfungen

Vor allem vor dem Hintergrund des aufstrebenden mobilen Bezahlens sind die Ergebnisse von Yves-Alexandre de Montjoye und seinen Kollegen brisant. Neue Entwicklungen von Apple, von eBay und der US-Supermarkt-Kette Walmart möchten die Smartphones zur Geldbörse machen. Das klingt zunächst praktisch: Statt der Kreditkarte wird einfach das Handy gezückt und über NFC-Funk mit dem smarten Kassensystem verknüpft.

Die Kehrseite des Mobile Payments sind die Daten, die anfallen. Denn nicht nur der Einzelhandel, sondern auch Dienstleister wie Apple sind daran interessiert, sie abzugreifen. In Deutschland experimentiert seit mehr als einem Jahr Edeka mit dem System. Wer mitmachen möchte, muss Daten zum Einkauf preisgeben. Diese werden in anonymen Nutzerprofilen zusammengefasst und unterliegen den entsprechenden Datenschutzbestimmungen, heißt es.

Eine Reform des Datenschutzes ist notwendig

Doch wie die Studie zeigt, schützen sie möglicherweise nicht vor Metadaten-Analysen. Die größte Gefahr besteht für de Montjoye darin, verschiedene Metadatensätze zu verbinden. Ein Smartphone könnte das vereinfachen, denn es liefert Daten zu Standorten, Gesprächen, sozialen Netzwerken wie Facebook und Twitter und in der Zukunft womöglich auch Kreditkarten- und Gesundheitsdaten.

Deshalb sei eine Reform des Datenschutzes notwendig, der über personenbezogene Daten hinausgeht. "Ich denke, wir sollten uns mit der Frage beschäftigen, wie wir die Identifizierung von Personen in Datensätzen verhindern können", sagt de Montjoye.

Das gilt nicht nur für Kreditkartendaten. Auch beim Surfen im Internet, beim Benutzen von öffentlichen Verkehrsmitteln oder beim Streamen von Filmen über Onlinedienste fallen massenhaft Daten an, die gesammelt und analysiert werden. Es sei wahrscheinlich, dass auch diese Daten trotz Anonymisierung einfach wieder einzelnen Personen zugeordnet werden könnten, schreiben die Forscher.