Besserer Datenschutz: Wie Apples Differential Privacy funktioniert [Update]
Für bessere Apps und Dienste braucht auch Apple mehr und detailliertere Daten seiner Anwender. Differential Privacy erlaubt es, aus den Daten der Gesamtheit zu lernen, ohne einzelne Nutzer zu kompromittieren. Doch wie geht das?
(Bild: Hochzeitsfoto: Gordon Gurwell / Flickr / CC-BY-SA-2.0)
Mit iOS 10 und macOS Sierra will Apple erstmalig bestimmte Nutzerdaten mit Hilfe von Differential Privacy (DP) erheben und schützen; dabei muss der Anwender aktiv zustimmen (opt-in), so Apple bei der Ankündigung. DP ist Teil der Einstellung "Diagnose & Nutzungsdaten an Apple senden". Es existiert also kein Extra-Schalter nur dafür. Diagnose & Nutzung findet man unter Einstellungen/Datenschutz (iOS) beziehungsweise Systemeinstellungen/Sicherheit/Privatsphäre (Sierra). Da die Option beim Neu-Installieren von Sierra bereits aktiviert war, kann man allerdings nicht von opt-in sprechen, es handelt sich dann um opt-out. Wer widerspricht, von dem landen keinerlei Diagnose- und Nutzungsdaten bei Apple, so das Versprechen.
Vorerst sind für DP nur vier Bereiche im Fokus: die Emoji-Verwendung, neue Wörter im Quick-Type-Wörterbuch, Deep-Link-Vorschläge in Spotlight (nur in iOS) und häufige Hervorhebungen in geteilten Notizen. Das Erfassen der verwendeten Emojis dürfte dafür sorgen, dass man die am häufigsten benutzten Emojis schneller findet. Zusätzlich analysiert Apple die eingegebenen Worte über die Quicktype-Tastatur, die ein Nutzer in sein lokales Wörterbuch aufnimmt. Dabei soll auch der Kontext der Wörter erkannt werden. [Update:] Für die Analyse von iCloud-Daten ab iOS 10.3 und macOS 10.12.4 will Apple ebenfalls auf Differential Privacy setzen. [/Update]
Auf Basis der großen Datenmengen aller teilnehmenden Geräte kann Apple leichter einschätzen, ob sich das über die Tastatur eingegebene Wort "spielen" im Kontext auf ein Fußballspiel des FC Bayern München bezieht oder möglicherweise auf Kinder, die auf dem Spielplatz spielen. Darüber hinaus will Apple die sogenannten "Deep-Link-Vorschläge", also die Suchergebnisse (Verlinkungen) in Apps oder auf Webseiten über die Spotlight-Suche besser ranken und in Korrelation setzen. Hinweise und Markierungen in der Notizen-App, die mehrere Anwender markiert haben, sollen ebenso mittels Differential Privacy durchleuchtet werden.
Warum ist Differential Privacy wichtig?
Die Datensammelwut von Facebook, Google & Co. wird oft kritisiert. Es ist noch gar nicht so lange her, da hat Facebook angekündigt, die mit einem WhatsApp-Konto verknüpfte Telefonnummer und die Nutzungsmuster mit dem Mutterkonzern teilen zu wollen. Im Herbst 2014, als Facebook WhatsApp für 22 Milliarden Dollar übernahm, hörte sich das noch ganz anders an; die Vermischung der Daten wurde damals ausgeschlossen.
Die Vorlieben und Abneigungen seiner Benutzer kennt Facebook durch deren Aktivitäten auf seiner Plattform bereits sehr genau. Bislang fehlte der letzte Schritt: die eindeutige Identifikation eines Benutzers. Dabei hilft die Telefonnummer, die jetzt aus den WhatsApp-Daten beigesteuert wird.
Die Berge an personenbezogenen Daten inklusive verifizierten Verbindungen befähigen Facebook, mehr und passgenauere Werbung zu verkaufen, der eigentliche Grund für die Änderung. Facebook, Google und Co. verdienen ihr Geld mit den Daten ihrer Nutzer. Je besser die Daten über verschiedene Ebenen verknüpft sind, desto aussagefähiger und wertvoller sind sie. Oder anders gesagt: "Ist ein Dienst kostenlos, ist der Anwender das Produkt."
Apple dagegen betont immer wieder, dass es mit persönlichen Daten kein Geld verdienen möchte. Stattdessen sind Hardware, Software, Cloud-Dienste sowie der Vertrieb von Musik, Filmen und Büchern die tragenden Säulen des Umsatzes. Daten benötigt aber Apple ebenso, um seine Dienste zu verbessern oder überhaupt erst zu ermöglichen. Um etwa Staus auf den Straßen in seinen Karten zu erkennen und anzuzeigen, braucht es die Positionsdaten von möglichst vielen iPhone-Anwendern – Crowdsourcing macht es möglich.
Den Unterschied macht es, wie verantwortungsvoll man mit den gewonnenen Daten umgeht. Um beim Beispiel zu bleiben: Apple sagt in seinen Datenschutzrichtlinien, dass Fahrgeschwindigkeit und GPS-Position in anonymisierter und verschlüsselter Form an firmeneigene Server gesendet werden (sofern die Ortungsdienste aktiviert sind). Das mag für diese Erhebung den Schutz der Anwender gewährleisten, eine De-Anonymisierung lauert jedoch immer hinter dem geschickten Abgleich verschiedener Datensammlungen.
