Heilige Kühe darf man nicht töten, schon klar. Aber ist es okay, wenn man sie ein bisschen schubst? Vor dieser Frage steht Apple gerade, im übertragenen Sinn natürlich.

Einerseits gab Apple zu Beginn seiner Entwicklerkonferenz WWDC in San Francisco mehrere Neuerungen bekannt, die wunderbar zum sorgsam gehegten Narrativ vom privatsphäreschonenden, nicht an Nutzerdaten interessierten, dem FBI auf die Nerven gehenden US-Unternehmen passten.

Das abseits der Keynote angekündigte Dateisystem APFS für alle Apple-Geräte von der Watch bis zum Mac etwa wird eine neue Verschlüsselungstechnik beinhalten, die es gleichermaßen Kriminellen wie Behörden unmöglich machen soll, an Daten auf einem Gerät heranzukommen. Craig Federighi, Apples Vizepräsident für Software-Entwicklung, wiederholte mehrfach, dass HomeKit, iMessages und FaceTime eine integrierte Ende-zu-Ende-Verschlüsselung für sichere Kommunikation zwischen Menschen beziehungsweise zwischen vernetzten Gegenständen bieten. Und die Analyse, intelligente Sortierung und Kuratierung von Fotos in iOS 10? Läuft komplett auf dem Gerät ab. Schönen Gruß an Google.

Andererseits hat sich Apple entschlossen, seinen Kunden nützlichere Empfehlungen anzubieten: Welche Emojis sind besonders beliebt, welche QuickType-Vorschläge helfen beim Schreiben von Nachrichten, welche von der Spotlight-Suche vorgeschlagenen Links tippen Nutzer besonders häufig an? Dazu braucht das Unternehmen Nutzerdaten, die es auf seinen Servern analysieren und mit denen seine Deep-Learning-Systeme arbeiten können. Schönen Gruß von Google.

Das Datenschutznarrativ gefährden für ein paar Emojis?

Muss das sein? Nutzerdaten sammeln, damit Apples Betriebssystem besser versteht, welche Wörter die Nutzer durch welche Emojis ersetzen? Und vor allem: Lässt sich das mit den eigenen, hohen Ansprüchen an den Datenschutz vereinbaren? 

Ja, sagt Apple. Das Stichwort ist Differential Privacy. Die soll helfen, Muster in großen Mengen von Nutzerdaten zu erkennen, ohne dabei die Privatsphäre einzelner Nutzer zu gefährden.

Grundsätzlich ist die Technik schon seit vielen Jahren bekannt. Einem Datensatz werden Hash- und Zufallswerte hinzugefügt, die einerseits eine statistische Auswertung zulassen, andererseits aber Rückschlüsse auf einzelne Personen unmöglich machen. Letzteres, und damit geht der Ansatz über eine einfache Verschleierung von Daten hinaus, muss mathematisch beweisbar sein. Anders gesagt: Was die Masse der Apple-Nutzer tippt und anklickt, ließe sich mit Differential Privacy ermitteln. Was bestimmte einzelne Nutzer tippen und anklicken oder ob bestimmte einzelne Nutzer überhaupt Teil der Datensammlung sind, dagegen nicht.

Soweit die Theorie. Für die praktische Umsetzung in iOS 10 und macOS Sierra hatte sich Apple von Aaron Roth beraten lassen, Informatikprofessor an der Universität von Pennsylvania und Mitautor des Standardwerks über Differential Privacy. Doch weder Roth noch Apple verraten bisher Genaueres über Apples Implementierung der Anonymisierungstechnik. Roth sagte auf Anfrage von Wired nur: "Ich denke, sie machen es richtig." Das Unternehmen gab auf Anfrage von US-Medien bisher nur die folgende Erklärung heraus:

Apple-Statement zu "Differential Privacy" © Gizmodo.com/Screenshot ZEIT ONLINE

Auf einer so großen Datenbasis – es geht schließlich um Millionen von Mac-, iPhone- und iPad-Nutzern – wurde Differential Privacy wohl noch nie eingesetzt. Der auf Apple spezialisierte Sicherheitsforscher Jonathan Zdziarski und der Kryptographieprofessor Matthew Green warnen deshalb schon vor übertriebenen Hoffnungen in die Anonymisierungstechnik. "Die meisten Menschen gehen von der Theorie in die Praxis über, dann erst in die Massenverbreitung. Im Fall von Differential Privacy scheint Apple den Zwischenschritt ausgelassen zu haben", schrieb Green auf Twitter.

Zdziarski schrieb: "Ich bin mir nicht sicher, ob den Menschen klar ist, dass Differential Privacy so ziemlich das Gegenteil von Privatsphäre ist, jedenfalls von der Privatsphäre, wie wir sie von Apple erwarten." Er befürchtet, der Ansatz werde nicht verhindern, dass Behörden bei Apple an Daten herankommen, die zur Identifikation einzelner Nutzer taugen. Dass genau das zumindest in der Theorie von Aaron Roth mathematisch unmöglich ist, berücksichtigt Zdziarski dabei nicht.

Aber es gibt noch weitere Kritiker, die glauben, die Methode führe entweder zu "sehr falschen Forschungsergebnissen oder sehr nutzlosen Schutzmaßnahmen für die Privatsphäre". Wenn Apple in den kommenden Monaten mehr Details bekannt gibt, könnten solche Befürchtungen möglicherweise ausgeräumt werden. Bis dahin lässt sich – und bitte entschuldigen Sie das Wortspiel – nicht genau sagen, wie dünn das Eis ist, auf dem Apples heilige Kuh steht.