Privatsphäre und Datenschutz stellen ein Grundrecht in der heutigen digitalisierten Welt dar. Um diese auch zu ermöglichen, gibt es Datenschutzfördernde Technologien, die entwickelt wurden, um den Datenschutz und die Privatsphäre von Individuen und Organisationen bei der Verarbeitung und Übertragung von Daten zu schützen und somit zur digitalen Sicherheit beitragen.
Diese Technologien, Tools und Methoden zielen darauf ab, die Erfassung, Verwendung und Offenlegung personenbezogener Daten zu minimieren, die Notwendigkeit des Vertrauens in Dritte zu reduzieren und die Kontrolle der Benutzer über ihre persönlichen Informationen zu erhöhen.
Einige der wichtigsten Arten von PETs sind die Anonymisierung, Pseudonymisierung und Verschlüsselung.
Doch was sind Privacy Enhancing Technologies (PETs) im Allgemeinen?
Privacy Enhancing Technologies (PETs) ermöglichen die Verarbeitung, das Teilen und die Analyse sensibler Informationen, ohne die Identität der betroffenen Personen offenzulegen oder deren Privatsphäre zu gefährden. Ziel von PETs ist der Schutz persönlicher Daten in digitalen Umgebungen vor Diebstahl und Missbrauch. Angesichts des wachsenden Zugangs von Unternehmen zu persönlichen Daten und der Bedeutung von Datenschutz erfordern PETs klare Gesetze, sichere Technologien und ein Bewusstsein für den Umgang mit persönlichen Informationen. Dies ist wichtig, damit Menschen die Kontrolle über ihre persönlichen Daten behalten und ihre Freiheiten schützen können.
Welche Arten von Privacy Enhancing Technologies gibt es?
PETs können nach verschiedenen Kriterien kategorisiert werden. Die Kategorisierung nach der Funktionsweise der PETs ist in drei Kategorien aufgeteilt.
1. Altering Data. Hierbei werden Daten so verändert, dass bei Nutzung der Daten keine Rückschlüsse auf die Person möglich sind.
Differential Privacy: Diese Technologie ermöglicht die statistische Datenanalyse ohne Identifizierung von Einzelpersonen durch Hinzufügen eines „Rauschen“, sodass allgemeine Muster in den Daten sichtbar bleiben, aber spezifische Details verschleiert werden.
Anonymisierung: Hierbei werden Informationen entfremdet und können somit nicht mehr, oder nur mit sehr großem Aufwand bestimmten Personen zugeordnet werden.
Pseudonymisierung: Ist ein Prozess, bei dem bestimmte Identifikationsmerkmale durch Pseudonyme ersetzt werden, um eine Feststellung der Identität zu verhindern. Anders als bei der Anonymisierung bleiben hierbei Bezüge verschiedener Datensätze erhalten.
2. Shielding Data. Hierbei werden Daten zu bestimmten Zeitpunkten unbrauchbar gemacht, um Unbefugte vor dem Zugriff zu hindern.
Verschlüsselung: Die Verschlüsselung ist der Prozess, bei dem Daten in eine unleserliche Form umgewandelt werden, um sie vor unbefugtem Zugriff zu schützen.
Homomorphe Verschlüsselung: Sie ermöglicht es, Daten in verschlüsselter Form zu analysieren, ohne dass diese entschlüsselt werden müssen, was Privatsphäre und Sicherheit gewährleistet.
Privacy Enhanced Hardware: Hardware-Technologien wie Webcam-Blocker oder Festplattenverschlüsselung, um Datenschutzfunktionen zu verstärken und die Privatsphäre sicherzustellen.
3. Systems & Architecture. Hierzu gehören:
Secure Multi-party Computation (SMPC): SMPC ermöglicht es mehreren Parteien gemeinsam auf Daten zuzugreifen, ohne die Daten offenlegen zu müssen. Während jede Partei die Kontrolle über ihre eigenen Daten behält, können gleichzeitig gemeinsame Erkenntnisse gewonnen werden.
Management Interfaces: Durch die Nutzung bestimmter Schnittstellen können der Zugriff und die Kontrolle über Datensätze geregelt werden.
Data Dispersion: Bei der Datenstreuung werden Datensätze oder Informationen auf verschiedene Orte gespeichert, um sicherzustellen, dass diese nicht so anfällig für Verlust oder unbefugten Zugriff sind. PETs sind Technologien, die dabei helfen Ziele zu erreichen und Risiken zu minimieren, dennoch reichen sie nicht aus, um vollumfänglich Datenschutz zu gewährleisten. In Kombination mit Data Clean Rooms als ganzheitlicher Ansatz, können PETs zur Sicherung des Datenschutzes beitragen.
Die Rolle von Privacy Enhancing Technologies in Data Clean Rooms
Data Clean Rooms bieten sichere Umgebungen, in denen verschiedene Organisationen gemeinsam Daten teilen und analysieren können, ohne Datenschutzrisiken einzugehen und die Privatsphäre der Verbraucher zu gefährden. PETs spielen dabei eine entscheidende Rolle, indem sie Mechanismen wie Anonymisierung und Pseudonymisierung bereitstellen, die den Schutz sensibler Daten während der Analyse gewährleisten. Dies ermöglicht es, wichtige Erkenntnisse zu gewinnen, ohne die Privatsphäre zu gefährden, und fördert Vertrauen und Transparenz gegenüber den Verbrauchern. PETs erhöhen somit das Datenschutz- und Privatsphäreniveau von Endkonsumenten in Data Clean Rooms.
In der Datenkollaboration fungiert die Trusted Third Party (TTP) als Ergänzung zu Privacy-Enhancing Technologies (PETs). Während PETs durch Technologien wie Verschlüsselung und sichere Mehrparteienberechnung die Daten direkt schützen, bietet die TTP eine zusätzliche Schicht, die diese Technologien für eine sichere, regulierte Kollaboration ermöglicht. Die TTP dient hier also als kontrollierter Rahmen, in dem PETs zum Einsatz kommen, und sorgt dafür, dass sensible Daten ohne direkten Austausch zugänglich gemacht werden.
Dieser hybride Ansatz kombiniert das Beste aus beiden Welten: Die TTP gewährleistet die Verlässlichkeit und Einhaltung von Compliance-Anforderungen, während PETs eine datenschutzfreundliche Verarbeitung sicherstellen. Für Unternehmen bedeutet das mehr Flexibilität und Vertrauen, wenn Daten gemeinschaftlich genutzt werden sollen – ideal für Bereiche, in denen strenge Datenschutzauflagen und höchste Sicherheitsanforderungen gelten.
Datenschutz by adality: Data SecureTTP
Unsere patentierte Privacy Enhancing Technologie („PET“) DataSecureTTP ermöglicht anonymisierte Datenverarbeitung und dient als Basis für Data Clean Rooms (DCR), auch in drittlandsfreien Varianten. DataSecureTTP wird standardmäßig in DCRs eingesetzt, um sicherzustellen, dass alle Daten bereits beim Teilnehmer oder spätestens beim Onboarding in die DCR-Plattform verschlüsselt werden. Hierbei kommt die AES-Verschlüsselung zum Einsatz.
Der TÜV Rheinland fungiert als „Trusted Third Party“ und vergibt die AES-Schlüssel. Jeder Teilnehmer erhält einen eigenen AES-Schlüssel vom TÜV, sodass seine Daten individuell verschlüsselt und vor externem Zugriff geschützt sind. Adality, als technischer Betreiber des DCRs, erhält die Daten mit einem separaten AES-Schlüssel, der adality nicht bekannt ist. Dies stellt sicher, dass die Datenquellen inkompatibel bleiben und nur im DCR abgeglichen und bearbeitet werden können, wodurch die Anonymität gemäß DSGVO gewahrt bleibt.
Durch die Verschlüsselung und Hashing der Daten mit unserer DataSec Software, beispielsweise beim Advertiser, verlassen keine personenbezogenen Daten den Advertiser, sondern nur anonyme Daten. Dadurch entfallen die sonst notwendigen Informationspflichten für den Advertiser sowie der Bedarf an AVV/JCV, was die Zusammenarbeit und die Time-to-Market erheblich vereinfacht.
Die zugrunde liegende Snowflake-Technologie des adality-DCR bietet zudem eine optionale Verwässerung der Ursprungsdaten durch Noise-Injection. Im Managed-Service von adality können wir mit unserer optionalen DIAS-Datenbank sicherstellen, dass die ergänzten Datensätze thematisch zur Zielgruppe passen, wodurch die Performance nicht zu Lasten des Datenschutzes beeinträchtigt wird.
Herausforderungen und zukünftige Entwicklungen
Die Implementierung von PETs erfordert oft komplexe technische Lösungen und spezielles Fachwissen. Sie kann zeitaufwendig sein und zu Leistungseinbußen führen, wenn die Datenverarbeitungsgeschwindigkeit beeinträchtigt wird. Außerdem können zusätzliche Kosten durch den Erwerb, die Integration der Technologien und die Schulung der Mitarbeiter entstehen. Trotz dieser Herausforderungen lohnt sich die Investition in PETs, da sie den Datenschutz verbessern, ohne die Vorteile moderner Technologien zu opfern. Angesichts zunehmender rechtlicher Datenschutzmaßnahmen sollten Unternehmen und Verbraucher PETs als integralen Bestandteil ihrer digitalen Strategie betrachten.