Die Deutsche Telekom macht ihre eigene Vorratsdatenspeicherung, um Mobilfunkdaten ihrer Kunden zu rastern und daraus neue Erkenntnisse zu generieren. In einem ersten Schritt sollen Verkehrsstatistiken den Nahverkehr optimieren, andere Mobilfunkanbieter nutzen und verkaufen diese Daten zu kommerziellen Zwecken. Den Datenschutz will man durch eine angebliche „Anonymisierung“ der Daten realisieren – eine ganze Reihe an Studien hat dessen Wirksamkeit jedoch längst „zerstört“.

Die Deutsche Telekom hat zur CeBIT eine Pressemappe veröffentlicht, deren Mitteilungen vor Bullshit-Bingo nur so triefen: Hilfe gegen die digitale Sitzblockade, Wirtschaftswunder 4.0, David gegen Cyber-Goliath, Impulse aus der Cloud.

Handy-Tracking der Telekom

Eine ist uns aber besonders ins Auge gestochen: Anonymisierte Mobilfunkdaten helfen Verkehrs-Aktiengesellschaft Nürnberg bei Optimierung des öffentlichen Nahverkehrs.

In einem Pilotprojekt nutzt die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten. Die anonymisierten Mobilfunkdaten werden als aggregierte Schwarm- und Massendaten für die Verkehrsstatistik verwendet.

Dazu gibt es auch ein Werbe-Video (Direktlink):

Verbindungsdaten aussagekräftiger als Inhalte

Seit Jahren berichten wir darüber, wie aussagekräftig diese Metadaten sind. Unser meistgelesener Artikel im letzten Jahr war: Wie dein unschuldiges Smartphone fast dein ganzes Leben an den Geheimdienst übermittelt. Angeblich harmlose Verbindungsdaten sind in Wahrheit noch aussagekräftiger sind als Kommunikations-Inhalte. Bereits vor zwei Jahren berichteten wir über Studien, die folgende Details aus „Mobilfunkdaten“ extrahieren konnten:

Einzigartig in der Masse

Juli 2012: Kaufkraft-Bestimmung durch Geodaten: Wie Mobilfunkbetreiber mit Vorratsdaten Geld verdienen

Nicht nur der Staat will die Standort- und Verbindungsdaten von Mobilfunk-Kommunikation. Die riesigen Datenberge werden auch ausgewertet, um die Anschlussinhaber in Kategorien einzuteilen – und ihnen anschließend zielgenau Werbung verkaufen zu können.

September 2012: Dein Telefon weiß, wo du nächsten Sonntag sein wirst

Aus den Bewegungsdaten eines Mobiltelefons lässt sich errechnen, wo man in Zukunft sein wird – auf bis zu drei Meter genau. Das haben drei britische Informatik-Studenten an einem Datensatz von gerade einmal 25 Freiwilligen demonstriert. Die Forscher wollen Behörden bei der Überwachung helfen – und der Werbewirtschaft.

März 2013: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.

Datenschutz: „Anonymisierung im Hochsicherheits-Rechenzentrum“

Das weiß auch die Telekom, daher ist sie peinlich darauf bedacht, einen Absatz zum Datenschutz zu liefern:

Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten wurde von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff eingehend geprüft und als datenschutzkonform und rechtlich einwandfrei bewertet. Der Anonymisierungsprozess läuft in einem Hochsicherheits-Rechenzentrum der Deutschen Telekom ab. Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt. Die anonymisierten und aggregierten Daten werden ausschließlich an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Motionlogic ist auf Datenanalysen spezialisiert und verfügt über das nötige Know-how, um auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme zu erstellen.

2009: „Glauben in Datenschutz durch Anonymisierung zerstört“

Ebenfalls bereits 2012 berichteten wir:

Eine nicht umkehrbare Anonymisierung wird im Zeitalter von „Big Data“ immer schwieriger. Bereits in den Neunziger Jahren gelang es Forschern, aus einem „anonymisierten“ Datensatz mit Krankendaten die Krankenakte des Gouverneurs von Massachusetts herauszufinden, der vorher Anonymität versicherte. Vor fünf Jahren haben Forscher der Universität Texas die Anonymisierung eines ganzen Datensatzes von Netflix gebrochen und rückgängig gemacht. Die Studien zum Thema De-Anomisierung häufen sich: Informatiker haben unseren Glauben in den Schutz des Datenschutzes durch Anonymisierung, also den Schutz der Privatsphäre durch das Entfernen von persönlichen Informationen wie Namen oder Sozialversicherungsnummer in großen Datensätzen, zerstört. Diese Wissenschaftler haben gezeigt, dass sie Einzelpersonen oft mit erstaunlicher Leichtigkeit aus anonymen Datensätzen „re-identifizieren“ oder „de-anonymisieren“ können. Auch die Königliche Gesellschaft Großbritanniens kam kürzlich in einem Bericht Science as an open enterprise zum Schluss: In der Vergangenheit wurde davon ausgegangen, dass die Privatsphäre von Menschen in Datensätzen durch Prozesse der Anonymisierung, wie der Entfernung von Namen oder Anschrift, geschützt werden könnte. Allerdings haben eine beträchtliche Menge an Studien in der Informatik nun gezeigt, dass die Sicherheit von persönlichen Daten in Datenbanken durch Anonymisierung nicht garantiert werden kann, wenn aktiv nach Identitäten gesucht wird.

Opt-Out, aber nicht vollständig

Als wäre das nicht schon pikant genug, schreibt die Telekom direkt hinterher:

Die Datenanalysen können mit drei zusätzlichen, ebenfalls anonymisierten Informationen zu Kunden – sogenannten CRM-Daten – ergänzt werden: Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion. Für Verkehrsunternehmen beispielsweise kann diese Datenkombination hilfreich sein, um besser zu verstehen, welche Kundengruppen wann und wo am Verkehr teilnehmen und darauf basierend neue Angebote zu entwickeln.

Immerhin bietet man ein Opt-Out an, aber nicht für die Rasterfahndung an sich, sondern nur für die Nutzung dieser zusätzlichen Datentypen:

Den Kunden wird bis zum 01.06.2015 unter www.telekom.de/opt-out und 0800/0005608 ein „Ausschaltknopf“ zur Verfügung stehen. Damit können sie die Verwendung der drei einzigen persönlichen Daten im Modell der Deutschen Telekom – Geschlecht, Altersgruppe und Postleitzahl – abstellen.

Viele Fragen bleiben

Wir haben folgende Fragen an die Telekom gestellt:

Welche einzelnen Datentypen werden in diesem Verfahren verwendet? Wie funktioniert die Anonymisierung genau? Wie wird eine De-Anonymisierung ausgeschlossen? Welche Datensätze werden an Motionlogic übermittelt? Wie erstellt Motionlogic Aussagen aus diesen Daten? Wie lange werden diese Daten bei Telekom und Motionlogic gespeichert? Warum gilt das Opt-Out nur für die CRM-Daten, nicht generell? Wurden Telekom-Datenschutzbeauftragter, Datenschutzbeirat und Compliance-Management involviert? Wie viel Geld zahlt die Verkehrs-Aktiengesellschaft Nürnberg dafür?

Zudem haben wir „sämtliche Dokumente zum Verfahren zur Anonymisierung der Mobilfunkdaten der Telekom“ bei der Bundesdatenschutzbeauftragten auf FragDenStaat.de angefragt.

Wir werden die Antworten nachtragen.