Kreditkarten-Studie: Shopping-Gewohnheiten verraten Nutzer-Identitäten
Eine Studie belegt, dass Kreditkartennutzer trotz Entfernung aller persönlichen Daten in 90 Prozent der Fälle anhand ihrer Shopping-Gewohnheiten identifiziert werden können.
(Bild: dpa, Oliver Berg/Archiv)
Forscher des MIT Media Lab haben in einer Studie erläutert, wie sie trotz anonymisierter Datensätze Kreditkartenbesitzer anhand von Transaktionen und einigen Zusatzinformationen identifiziert haben. Die Ergebnisse wurden im Wissenschaftsmagazin Science veröfftenlicht. Für die Untersuchung standen den Forschern Kreditkartendaten von 1,1 Millionen Nutzern aus 10.000 Geschäften zur Verfügung, die sie drei Monate lang sammelten.
Am Anfang der Studie fand eine Anonymisierung der Kreditkartennutzer statt. Demnach wurden Daten wie etwa Namen, Karten- und Kontonummern entfernt. Fortan wurden die Nutzer mittels einer Identifikationsnummer pseudonymisiert, die wiederum mit den Transaktionen der Kreditkarte verknüpft war.
Wann, wo und wie teuer?
Zur Identifizierung stand den Forschern ein Zeitstempel mit einer Genauigkeit von einem Tag, der Name des jeweiligen Geschäftes und der gezahlte Betrag zur Verfügung. Neben diesen Daten benötigten die Forscher aber noch weitere, etwa ortsbezogene Informationen.
Folgendes Beispiel verdeutlicht die Vorgehensweise: Ein Nutzer namens Scott bezahlt mit seiner Karte am 23.9 in einer Bäckerei und am 24.9 in einem Restaurant. In der Datenbank kann bezüglich der Transaktionen nur eine Nummer zugeordnet werden – und Scott wurde identifiziert. Letztlich konnten die Forscher auf diesem Weg alle weitere Transaktionen des Nutzers inklusive der gezahlten Beträge einsehen, was weitere Rückschlüsse zuließ.
Erfolgsquote von bis zu 90 Prozent
Anhand dieser Daten haben die Forscher eigenen Angaben zufolge 90 Prozent der Personen in der Datenbank identifiziert. Doch auch mit weniger Informationen, aber mehr Wissen über die Person, sei die Identifizierung in 80 Prozent der Fälle von Erfolg gekrönt gewesen. Als Quelle für persönliche Informationen nannten die Forscher Quellen wie Instagram oder Twitter.
Als Ergebnis der Studie führt der Doktorand Yves-Alexandre de Montjoye an, dass das derzeitige Anonymisierungs-Modell in großen Datenbanken, etwa von Krankenkassen, im Zeitalter sozialer Netzwerke nicht mehr zeitgemäß ist. Die Pseudonymisierung scheint ein möglicher Ausweg zu sein. Dieser Punkt spielt im Zuge der Verhandlungen über die neuen EU-Datenschutzverordnungen auch für die Bundesregierung eine Rolle. (des)
