Das US-Handelsministerium verbietet seinen Statistikbehörden das gezielte Einstreuen von Rauschen in Daten. Fachleute warnen vor einer Lose-Lose-Lage für Genauigkeit und Privatsphäre zugleich.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Noise Infusion, also das kalkulierte Hinzufügen von Zufallswerten, war bislang das schärfste Werkzeug, um Statistiken zu veröffentlichen und zugleich Einzelpersonen zu schützen. Eine neue Anordnung des Department of Commerce streicht diese Methode für das Census Bureau und das Bureau of Economic Analysis. Der Datenschutz-Experte Damien Desfontaines ordnet die Folgen in einer vielbeachteten Analyse ein.
Das Wichtigste in Kürze
- Das US-Handelsministerium untersagt Noise Infusion in allen statistischen Produkten der beiden Behörden.
- Erlaubt bleiben nur gröbere Verfahren: Vergröberung bevorzugt, Unterdrückung als letztes Mittel.
- Die Anordnung zielt erkennbar auf Differential Privacy, den aktuellen Goldstandard des statistischen Datenschutzes.
- Sämtliche Vertraulichkeitspflichten der Behörden bleiben rechtlich bestehen.
Warum Rauschen schützt. Statistische Produkte sind Zahlen aus einem geheimen Datensatz, etwa dem Zensus. Damit veröffentlichte Werte keine Rückschlüsse auf einzelne Personen zulassen, mischen Statistiker kontrolliert Zufall bei. Genau das macht Angriffe schwer, denn aus exakten Zahlen lassen sich Einzeldatensätze rekonstruieren, aus verrauschten kaum. Das Census Bureau wechselte 2020 zu Differential Privacy, nachdem sich das alte Tausch-Verfahren als unsicher erwiesen hatte.
Was genau verbietet die Anordnung?
Stumpfe Werkzeuge. Die Verfügung schreibt eine feste Rangfolge vor. Vergröberung, also das Zusammenfassen von Landkreisen zu Bundesstaaten oder Geburtsdaten zu Altersgruppen, gilt künftig als bevorzugte Methode. Unterdrückung von Werten ist nur als letztes Mittel zulässig. Beide Verfahren funktionieren laut Desfontaines nur bei ohnehin groben Statistiken. Bei komplexen Datensätzen mit vielen Angaben über kleine Gruppen zerstören sie entweder den Nutzwert oder öffnen die Tür für Angriffe.
Breite Wirkung. Der Text nennt zwar Differential Privacy nicht beim Namen, trifft aber jede Methode mit Zufallselementen. Auch etablierte Verfahren wie die Cell-Key-Methode anderer Statistikämter, das frühere Swapping und sogar Stichproben beruhen auf eingestreutem Zufall. Wer solche Schutzschichten kennt, weiß, wie eng Datenschutz und Datennutzen zusammenhängen, ein Thema, das auch bei DSGVO-fester Einbindung von Google Maps per PHP immer wieder auftaucht.
Wer das Rauschen verbietet, schafft den Zielkonflikt zwischen Genauigkeit und Privatsphäre nicht ab, sondern macht ihn nur unsichtbar. Am Ende leidet entweder die Aussagekraft der Zahlen oder der Schutz der Menschen dahinter.
— Markus Seyfferth, Chefredakteur Dr. Web
Welche Folgen drohen für Daten und Schutz?
Doppeltes Risiko. Desfontaines hält das Ergebnis für gravierend. Künftige Veröffentlichungen würden entweder deutlich weniger brauchbar oder erheblich unsicherer, womöglich beides. Sobald alle Statistiken als exakt gelten, wird ein Angriff zum simplen Lösen eines Gleichungssystems. Rauschen dagegen zwingt Angreifer, mit Wahrscheinlichkeiten und Unsicherheiten zu rechnen. Genau diese Hürde fällt nun weg.
Offene Motivlage. Warum die Behörde so handelt, bleibt unklar. Der Fachmann führt mehrere Lesarten an, von der Erleichterung künftiger Wahlkreis-Manipulation bis zur schlichten Unbequemlichkeit des Zielkonflikts. Ein Verbot lasse das Problem nicht verschwinden, sondern verdränge es nur.
Praxiswert. Für Datenschutz-Verantwortliche in der DACH-Region ist der Fall ein Lehrstück. Vertraulichkeit und Aussagekraft lassen sich nicht per Dekret zugleich maximieren.
