Neue mobile Apps fordern routinemäßig Zugriff auf Standortinformationen, Adressbuch und andere Anwendungen an, und natürlich verfolgen Websites wie Amazon oder Netflix Ihren Browserverlauf, um personalisierte Empfehlungen zu geben.
Gleichzeitig zeigen mehrere aktuelle Studien, dass es überraschend einfach ist, unidentifizierte Personen in vermeintlich anonymen Datenbanken zu identifizieren, selbst in solchen mit Millionen von Datensätzen. Wie können wir also unsere Privatsphäre schützen, wenn wir die Vorteile von Data-Mining – wie personalisierte Empfehlungen oder standortbasierte Dienste – nutzen wollen?

In der neuesten Ausgabe von PLoS ONE präsentieren Forscher des MIT eine mögliche Lösung. Ihr Prototyp-System openPDS – zur Speicherung persönlicher Daten – speichert Daten von Ihren digitalen Geräten an einem von Ihnen festgelegten Ort: Dies kann ein verschlüsselter Server in der Cloud sein, aber auch ein Computer in einem verschlossenen Gehäuse unter Ihrem Schreibtisch.

Jede mobile Anwendung, jeder Online-Dienst oder jedes Big-Data-Forschungsteam, das Ihre Daten nutzen möchte, muss das Data Warehouse abfragen, das nur die benötigte Informationsmenge zurückgibt.

Gemeinsamer Code, nicht die Daten.
„Ich verwende gern personalisierte Musik als Beispiel“, sagt Yves-Alexandre de Montjoye, Doktorand der Geistes- und Naturwissenschaften und Erstautor der neuen Studie. „Pandora beispielsweise basiert auf dem sogenannten Musikgenom, das eine Zusammenfassung Ihres Musikgeschmacks enthält. Um Ihnen ein Lied zu empfehlen, benötigt die App lediglich die letzten zehn gehörten Titel – damit nicht immer wieder dasselbe vorgeschlagen wird – und dieses Musikgenom braucht nicht die vollständige Liste aller jemals gehörten Lieder.“

Montjoye erklärt, dass man mit openPDS „Code teilt, aber keine Daten. Anstatt Daten an Pandora zu senden, um Ihre Musikpräferenzen festzulegen, sendet Pandora Ihnen einen Codeabschnitt, der Ihre Musikpräferenzen definiert, und sendet diesen anschließend zurück.“
Montjoye wurde bei der Veröffentlichung von seinem Doktorvater Alex „Sandy“ Pentland, dem Toshiba-Professor für Medienkunst und -wissenschaften, unterstützt; außerdem von Erez Shmueli, einem Postdoktoranden in Pentlands Arbeitsgruppe; und Samuel Wang, einem Softwareentwickler bei Foursquare, der zum Zeitpunkt der Studie Doktorand am Institut für Elektrotechnik und Informatik war.

Nach einer ersten Testphase mit 21 Personen, die openPDS zur Regulierung des Zugriffs auf ihre medizinischen Daten nutzten, erproben Forscher das System nun mit mehreren Telekommunikationsunternehmen in Italien und Dänemark. Obwohl openPDS prinzipiell auf jedem beliebigen Rechner des Nutzers laufen kann, werden die Daten in den Testphasen in der Cloud gespeichert.

Sinnvolle Berechtigungen.
Montjoye erklärt, dass einer der Vorteile von openPDS darin besteht, dass Anwendungen angeben müssen, welche Informationen sie benötigen und wie diese verwendet werden. „Heute“, sagt er, „erhält man bei der Installation einer Anwendung lediglich die Meldung ‚Diese Anwendung hat Zugriff auf Ihren GPS-Standort‘ oder ‚Hat Zugriff auf die SD-Karte‘. Man als Nutzer hat keinerlei Möglichkeit zu verstehen, was das bedeutet. Die Berechtigungen sind völlig nutzlos.“

Tatsächlich sammeln Apps oft weit mehr Daten, als sie eigentlich benötigen. Dienstanbieter und App-Entwickler wissen nicht immer im Voraus, welche Daten am nützlichsten sein werden, daher speichern sie so viele wie möglich, falls sie diese später benötigen. Es könnte sich beispielsweise herausstellen, dass für manche Musikhörer das Albumcover ein besserer Indikator dafür ist, ob ihnen die Lieder gefallen werden, als die von Pandoras Musikdatenbank erfassten Daten.

OpenPDS speichert alle potenziell nützlichen Daten in einem vom Endnutzer kontrollierten Repository, nicht vom Anwendungsentwickler oder Dienstanbieter. Ein Entwickler, der feststellt, dass eine bisher ungenutzte Information nützlich ist, muss den Zugriff darauf beim Nutzer anfordern. Falls die Anfrage als unnötig aufdringlich empfunden wird, kann der Nutzer sie einfach ablehnen.

Natürlich könnte ein böswilliger Entwickler versuchen, das System zu manipulieren, indem er Anfragen erstellt, die mehr Informationen liefern, als der Nutzer preisgeben möchte. Eine Navigations-App könnte beispielsweise berechtigt sein, die nächstgelegene U-Bahn-Haltestelle oder das nächstgelegene Parkhaus zu ermitteln. Sie sollte jedoch nicht beide Informationen gleichzeitig benötigen und könnte durch die Anfrage detailliertere Standortinformationen ableiten, als der Nutzer preisgeben möchte.

Montjoye räumt ein, dass Schutzmaßnahmen gegen solche Datenlecks fall- und anwendungsbezogen entwickelt werden müssen und dass die vollen Auswirkungen mancher Abfragekombinationen zumindest anfangs nicht offensichtlich sein werden. „Aber selbst wenn es nicht hundertprozentig sicher ist, ist es immer noch eine enorme Verbesserung gegenüber der aktuellen Situation“, sagt er. „Wenn wir den Menschen Zugriff auf den Großteil ihrer Daten ermöglichen und ihnen modernste Technologie für die anonyme Nutzung interaktiver Systeme bieten können, wäre das ein großer Erfolg.“ (

Verfasst von Larry Hardesty, MIT News Office)