Lassen sich Datenschutz und Informationsgehalt vereinbaren?

Der Schutz der Privatsphäre ist eine grundlegende ethische Anforderung bei der Datennutzung. Der Schutz der Privatsphäre bedeutet die Wahrung der Rechte und Freiheiten der betroffenen Personen. Aber wie kann man Dateninhalte segmentieren, den Informationsgehalt bewahren und den persönlichen Raum des Einzelnen schützen? Das optimale Gleichgewicht in dieser Frage zu finden, ist die größte Herausforderung bei der Nutzung von Mobilitätsdaten.

Der Schutz der Privatsphäre ist gleichzeitig ein normatives Konzept, das philosophische, rechtliche, soziologische, politische und wirtschaftliche Aspekte umfasst, und ein technischer Begriff, der für bestimmte Maßnahmen bei der Entwicklung von Technologien steht. Philosophen erklärten bereits vor fast zweitausend Jahren die Bedeutung des Schutzes der Privatsphäre. Vereinfacht ausgedrückt bedeutet diese Forderung das «Recht, in Ruhe gelassen zu werden» für die Selbstbestimmung der Persönlichkeit. Im Zusammenhang mit der Datennutzung wird zwischen semantischer und syntaktischer Privatsphäre unterschieden. Die semantische Definition von Privatsphäre bedeutet das Recht des Einzelnen auf Kontrolle über die Sammlung, Verwendung und Weitergabe von Informationen, die sich auf seine Bewegungen und seinen Standort beziehen: seine Standortgeschichte, seine üblichen Reiserouten, seine Reisepräferenzen, seine Häufigkeit und seine Dauer. Syntaktischer Datenschutz bezieht sich nicht auf den Informationsgehalt der Daten, sondern auf die Architektur ihrer Organisation für die Nutzung. Die syntaktische Definition umfasst die technischen Einzelheiten, wie Daten anonymisiert, verschlüsselt oder aggregiert werden, um die Privatsphäre zu wahren.

Persönliche Daten

Als normatives oder semantisches Konzept umfasst der Datenschutz personenbezogene Daten (Name, Adresse, Telefonnummer, d. h. Informationen, die eine Person identifizieren), Kommunikationsdaten (E-Mails, Telefonanrufe, Messenger-Nachrichten), Finanzdaten (Bankkonto, Kreditkartennummer, Transaktionshistorie), Gesundheitsdaten (medizinische Leistungen, Behandlungshistorie, Versicherung), Verhaltensdaten (Vorlieben und Gewohnheiten, Einkaufsverhalten), Standort- und Bewegungsdaten, Daten über geistiges Eigentum, Internetverhalten, politische Ansichten, religiöse Überzeugungen und Beschäftigungsgeschichte. Bei der Nutzung mobiler Daten bedeutet Datenschutz auch Abfragen bei einem standortbezogenen Dienst, die Zeit der Bewegungen einer Person, den Zweck einer Reise, die Teilnahme an bestimmten Veranstaltungen oder Orten. All diese Beispiele beschreiben die semantische Ebene der Privatsphäre.

Technische Lösungen

Die syntaktische Ebene des Datenschutzes wird durch technische Lösungen bei der Datennutzung umgesetzt. Dazu gehören die Entfernung persönlicher Attribute (persönlich identifizierbare Informationen, PII), deren Maskierung oder Pseudonymisierung (durch Ersetzen privater Identifikatoren). Häufig werden auchDatenaggregationen (Zusammenfassen einzelner Datenpunkte zu größeren Mengen oder Zusammenfassungen) sowie die Ununterscheidbarkeitsmethode angewandt, bei der einzelne Datenpunkte (z. B. Standorte oder Bewegungen einer Person) innerhalb des Datensatzes weniger eindeutig oder weniger identifizierbar gemacht werden. Neben den Operationen mit dem vorhandenen Dateninhalt werden auch Praktiken des differenzierten Datenschutzes angewandt, bei denen dem Datensatz sorgfältig kalibriertes Rauschen, also Zufallsdaten, hinzugefügt wird, um die (Wieder-)Identifizierung der betroffenen Personen zu verhindern. Es ist problematisch, bei dieser Praxis ein Gleichgewicht zu finden, da der Grad des Rauschens den Grad der Privatsphäre und der Genauigkeit bestimmt. Mehr Rauschen bedeutet mehr Datenschutz, aber potenziell weniger nützliche Daten, und umgekehrt.

Zum Schutz der Privatsphäre werden die Mobilitätsdaten vergröbert, d. h. die Genauigkeit oder Granularität der Daten wird reduziert. Anstatt die genauen GPS-Koordinaten einer Person zu dokumentieren, können die Informationen beispielsweise auf die Angabe von Stadtteilen oder Straßen vereinfacht werden. Und anstelle von präzisen Zeitstempeln können die Daten in allgemeineren Zeitrahmen wie stündlichen oder täglichen Intervallen dargestellt werden. Die Granulierung der Daten stellt einen Kompromiss zwischen der Gewährleistung der Vertraulichkeit und der Beibehaltung ihrer Nützlichkeit dar. Eine zu grobe Verarbeitung der Daten kann dazu führen, dass sie für die praktische Nutzung ungeeignet sind, während eine zu grobe Verarbeitung möglicherweise keinen angemessenen Schutz vertraulicher Informationen gewährleistet. Eine erwähnenswerte Form dieser Strategie ist das «Beschneiden von Trajektorien», bei dem nur Segmente oder Teile der Bewegungstrajektorie einer Person im Datensatz erhalten oder verwendet werden. Ein weiterer, nicht mit Anonymisierungstechniken verbundener Ansatz ist die Vermeidung einer zentralen Datenverarbeitung, bei der die Analyse dezentral durchgeführt wird und die rohen, detaillierten Mobilitätsdaten nicht an einen zentralen Server gesendet oder dort gespeichert werden müssen.

Die radikalste Lösung zum Schutz der Privatsphäre ist die Verwendung synthetischer Daten, also künstlich erzeugter Datensätze, die die statistischen Eigenschaften der Originaldaten imitieren. Diese technische Lösung ist jedoch in der Praxis schwer umzusetzen.

Das Gleichgewicht finden

Einen Kompromiss zu finden, der die Ununterscheidbarkeit der Daten gewährleistet, ist eine Frage des richtigen Gleichgewichts. Wenn die Daten zu stark verändert werden, kann dies ihre Eignung für Analyse- und Forschungszwecke beeinträchtigen. Umgekehrt können minimale Änderungen an den Daten Risiken für die Wahrung der Vertraulichkeit mit sich bringen. Wenn zu viele detaillierte Daten präsentiert werden, kann dies zu einem Verlust der Privatsphäre führen. Andererseits sind unrealistische Datenschutzstandards, die eine vollkommene Vertraulichkeit verlangen, nicht umsetzbar. Daher ermöglichen die derzeitigen technischen Lösungen den Schutz der Privatsphäre und die Erzielung «fast des gleichen Ergebnisses» in Bezug auf die Informativität der Daten. Wirksamkeit des Gleichgewichts zwischen Informativität und Ununterscheidbarkeit, gemessen anhand einer zweidimensionalen Skala: De-Identifizierungstechniken и Szenarien für die gemeinsame Nutzung von Daten, wobei verschiedene Kombinationen in der Literatur und in praktischen Fällen gefunden wurden.


Über das Projekt

Die Genossenschaft Posmo (POSitive MObility) sammelt Mobilitätsdaten in einer bisher in der Schweiz nicht verfügbaren Qualität. Die Daten werden nicht nur als Entscheidungsgrundlage für die Gestaltung einer nachhaltigeren Mobilität genutzt, sondern auch in einem Datenmarkt für Forschung, Stadtentwicklung oder Mobilitätsplanung zur Verfügung gestellt. Das Ziel der Genossenschaft ist es nicht, Gewinn zu machen, sondern einen wichtigen Beitrag für eine bessere Zukunft der Schweiz zu leisten. Da Mobilitätsdaten datenschutzrechtlich hochsensibel sind, hat Posmo in einem früheren Innocheque-Projekt zusammen mit Forschern des Instituts für Datenanwendungen und Sicherheit IDAS ein erstes Konzept für den ethischen Datenmarkt entwickelt, das nun weiterentwickelt werden soll.

Weitere Informationen finden Sie hier.

Creative Commons Licence

AUTHOR: Olena Yatsenko

Olena Yatsenko ist Gastwissenschaftlerin am Labor für Virtuelle Realität und Robotik an der Berner Fachhochschule sowie Dozentin für Universitätsphilosophie an der Nationalen Pädagogischen Drahomanov Universität (Kiyv, Ukraine).

AUTHOR: Maël Gassmann

Maël Gassmann arbeitet als Assistent im Institut für Datenanwendungen und Sicherheit IDAS an der Berner Fachhochschule. Er hat Informatik mit Vertiefung in IT-Sicherheit studiert.

AUTHOR: Dominic Baumann

Dominic Baumann arbeitet als Assistent im Institute for Data Applications and Security IDAS an der Berner Fachhochschule. Er hat Informatik mit Vertiefung in IT-Sicherheit studiert.

AUTHOR: Annett Laube

Annett Laube ist Dozentin der Informatik an der BFH Technik & Informatik und leitet das Institute for Data Applications and Security (IDAS). Sie hat die fachliche Verantwortung für das Wissenschaftsmagazine SocietyByte, insbesondere für den Schwerpunkt Digital Identity, Privacy & Cybersecurity.

Create PDF

Ähnliche Beiträge

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert