Einkäufe mit der Kreditkarte: Sag mir, wo du kaufst, und ich weiß, wer du bist

Das trifft selbst dann zu, wenn weder der Name noch andere persönliche Daten bekannt sind. Das haben amerikanische und dänische Forscher herausgefunden. Sie konnten anhand der Metadaten, die beim Einkauf mit Kreditkarten entstehen, Rückschlüsse auf die jeweilige Person selbst und ihr Verhalten ziehen, wie sie im Fachblatt „Science“ berichten.

Als Metadaten bezeichnet man jene Informationen, die eigentlich andere Daten nur beschreiben, wie beispielsweise beim Einkauf mit der Kreditkarte. Die eigentlichen Daten, die dabei entstehen und die als besonders schützenswert angesehen werden, sind persönliche Angaben des Käufers, seine Zahlungsdaten und die Informationen darüber, was gekauft wurde. Die beschreibenden Daten Ort, Zeit und Wert des Einkaufs (die Metadaten) galten losgelöst von den eigentlichen Einkaufsdaten bisher als nicht besonders aussagekräftig und somit auch als nicht besonders schutzbedürftig.

Fasst man viele dieser Datensätze zusammen, werden Metadaten zu einer wichtigen und für die Allgemeinheit nützlichen Informationsquelle. Mit ihrer Hilfe sind Wissenschaftler in der Lage, Erkenntnisse über die Entstehung und Verbreitung von Krankheiten zu gewinnen. Und Städteplaner können Verkehrsflüsse und Wege besser planen.

Metadaten verraten mehr, als auf den ersten Blick zu erahnen ist

Experten sagen, nur mithilfe der geballten Daten werde es künftig möglich sein, Megacitys mit Millionen Einwohnern zu managen. Metadaten bergen in sich also ein riesiges Erkenntnispotenzial. Aber Metadaten haben auch ihre Schattenseiten. Das zeigten bereits Untersuchungen an Kommunikationsdaten. Und auch die jetzige Studie an Transaktionen belegt, dass die Metadaten entgegen der landläufigen Meinung mehr verraten, als auf den ersten Blick zu erahnen ist.

Für die aktuelle Untersuchung sammelten die Forscher um Yves-Alexandre de Montjoye vom Massachusetts Institute of Technology über drei Monate die Daten von Einkäufen mit Kreditkarten. So entstand ein Datensatz mit Einträgen von über 1,1 Millionen Konsumenten, die in mehr als 10 000 Geschäften einkauften. Den Berg an Informationen verkleinerten die Forscher dann um alle Angaben, die direkte Rückschlüsse auf den Kreditkartenbesitzer erlaubt hätten, wie die Namen der Kreditkarteninhaber, deren Adressen oder was genau sie kauften. Übrig blieben der Zeitpunkt des Einkaufs verknüpft mit dem Geschäft sowie der Wert des Einkaufs. Eben die anonymisierten Metadaten.

Den Metadaten-Wust schickten die Forscher durch eine Reihe von Berechnungen. Dabei stellte sich heraus, dass sie neun von zehn Konsumenten wieder klar identifizieren konnten. Nur vier Einkäufe reichten den Wissenschaftlern, um aus Ort und Zeit eines Einkaufs auf eine Person zu schließen.

War der Wert des Kaufes bekannt, verbesserte sich die Erkennungsquote um 22 Prozent

Hilfreich war, wenn die Forscher um den Wert des Kaufs wussten. Das verbesserte die Erkennungsquote um 22 Prozent. Dennoch, unvollständige oder ungenaue Daten bewahrten die Personen nicht davor, wiedererkennbar zu sein. Man konnte sie selbst dann ausmachen, wenn statt der Ladenadresse nur die Region oder statt des genauen Tags nur ein Zeitraum von einigen Tagen bekannt war.

Die Autoren der Studie nehmen an, dass ihre Ergebnisse im großen Maßstab und mit anderen Arten von Daten reproduzierbar sind, wie sie im Mobilfunk, beim Surfen im Internet oder im öffentlichen Nahverkehr entstehen. Obwohl sich Kreditkartentransaktionen stark von diesen anderen Daten unterscheiden, einzelne Personen seien ebenso genau zu identifizieren.

Die Forscher mahnen, dass gesetzliche Bestimmungen in den USA und Europa nicht ausreichten, um die Privatsphäre von Nutzern elektronischer Geräte und Dienste zu schützen. Es genüge nicht, Daten zu anonymisieren. Sie plädieren für einen besseren technischen Schutz und für gesetzliche Änderungen. Nur dann könne das volle positive Potenzial von Metadaten genutzt werden.

Jan Rähm