Studenten der Stanford University haben im November 2013 eine Studie ins Leben gerufen, um zu belegen, dass Metadaten (speziell Telefoniedaten) im Rahmen von Überwachungsprogrammen relevant sind. Hierfür haben sie die Android-App „Metaphone“ entwickelt, die nach der Beschreibung folgendes tut:

MetaPhone is a project to understand call and text privacy. Researchers at Stanford University’s Department of Computer Science are studying metadata to estimate the reach of National Security Agency surveillance.

This study is open to all members of the public 18 or older. An Android smartphone and a Facebook account are required to participate. Participation ordinarily takes under five minutes.

Additional details and contact information are available on the study website. In the course of the study, you will provide mobile phone and social network data to Stanford researchers. Please carefully review the study explanation before electing to participate. The study is entirely voluntary and does not guarantee any benefits.

Rund 6 Wochen später haben die Initiatoren die bisher gesammelten Daten mit öffentlichen Verzeichnissen abgeglichen. Dabei haben sie herausgefunden, dass sie allein mit den – öffentlich zugänglichen – Quellen Yelp, Google Places und Facebook 27,1% der gesammelten Telefonnummern ihren jeweiligen Inhabern zuordnen konnten:

So, just how easy is it to identify a phone number?

Trivial, we found. We randomly sampled 5,000 numbers from our crowdsourced MetaPhone dataset and queried the Yelp, Google Places, and Facebook directories. With little marginal effort and just those three sources—all free and public—we matched 1,356 (27.1%) of the numbers. Specifically, there were 378 hits (7.6%) on Yelp, 684 (13.7%) on Google Places, and 618 (12.3%) on Facebook.

Zusätzlich haben die Studenten aus ihrem Datensatz 100 zufällig ausgewählte Nummern mit einer kommerziellen Datenquelle abgeglichen und erzielten 74 Treffer. Zusammen mit den öffentlichen Quellen kamen sie auf eine Trefferrate von 91%!

What about if an organization were willing to put in some manpower? To conservatively approximate human analysis, we randomly sampled 100 numbers from our dataset, then ran Google searches on each. In under an hour, we were able to associate an individual or a business with 60 of the 100 numbers. When we added in our three initial sources, we were up to 73.

How about if money were no object? We don’t have the budget or credentials to access a premium data aggregator, so we ran our 100 numbers with Intelius, a cheap consumer-oriented service. 74 matched.¹ Between Intelius, Google search, and our three initial sources, we associated a name with 91 of the 100 numbers.

Dazu muss gesagt werden, dass die Argumentation in den USA etwas anders ist als hier in Deutschland, da der „Privacy“-Begriff nicht mit der deutschen Definition der „personenbezogenen Daten“ nach § 3 Abs. 1 BDSG übereinstimmt. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten nämlich „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“ Auf Telefonnummern trifft das in der Regel zu.

Interessant ist die Studie trotzdem auch aus der deutschen Sicht. In Bezug auf IP-Adressen brennt nämlich noch immer der Streit, ob der Personenbezug relativ oder absolut zu bestimmen ist. Absolut heißt hierbei, dass Daten, die auch nur eine Person (bspw. der Access Provider) einer konkreten Person zuordnen kann, unter § 3 Abs. 1 BDSG fallen, während nach dem relativen Begriff zu unterscheiden ist: Wer selbst nicht mit zumutbarem Aufwand die Daten einer konkreten Person zuordnen kann, operiert danach nicht mit personenbezogenen Daten (so zuletzt LG Berlin, Urt. v. 31.1.2013; dazu s. auch meine Anmerkung in der Zeitschrift für Datenschutz (ZD), Heft 12/2013, S. 625 ff.).

Die Metaphone-Studie zeigt nun, dass die öffentlichen Quellen immer relevanter werden – wenn durch Zugriff auf öffentliche Quellen die zu den Daten gehörige Person bestimmt werden kann, handelt es sich für jedermann um personenbezogene Daten, der Streit zwischen relativem und absolutem Personenbezug wird daher im Ergebnis immer weniger relevant.

Dementsprechend düster ist auch das Fazit des Blog-Eintrags:

If a few academic researchers can get this far this quickly, it’s difficult to believe the NSA would have any trouble identifying the overwhelming majority of American phone numbers.

Das gilt selbstverständlich auch für große kommerzielle Unternehmen wie Google, Facebook etc. Um es mit dem Bundesverfassungsgericht zu formulieren: Es gibt (praktisch) keine nicht-personenbezogenen Daten mehr.

(via @FBorgesius)