Privacy Enhancing Technologies (PETs) und PPDSA: Datenschutztechnologien im internationalen Vergleich

Was sind Privacy Enhancing Technologies (PETs)?

PETs stehen für datenschutzfördernde Technologien oder Techniken. Ihr Hauptziel ist es, personenbezogene Daten zu schützen und Risiken bei deren Verarbeitung zu minimieren. Sie unterstützen Unternehmen und Behörden dabei, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einzuhalten. Der Begriff PETs umfasst technische und organisatorische Maßnahmen, die den Datenschutz in Informationssystemen fördern, durchsetzen oder zumindest unterstützen.

Die Definition von John J. Borking und Charles D. Raab aus dem Jahr 2001 bleibt dabei richtungsweisend: PETs sind ein zusammenhängendes System von ICT-Maßnahmen, das den Datenschutz schützt, indem es personenbezogene Daten entweder ganz entfernt, reduziert oder eine unerwünschte Verarbeitung verhindert – und das ohne Funktionseinbußen für die Systeme.

Wesentliche Grundsätze von PETs sind:

• Datenvermeidung und -sparsamkeit: So wenig personenbezogene Daten wie möglich werden verarbeitet.
• Systemdatenschutz: Technische und organisatorische Maßnahmen werden systematisch im Lebenszyklus verankert.
• Selbstdatenschutz: Nutzer erhalten möglichst viel Kontrolle über die eigenen Daten.
• Transparenz: Datenverarbeitungsprozesse sollen nachvollziehbar und überprüfbar bleiben.

PETs sind ein interdisziplinäres Feld. Sie reichen von klassischen Kryptografie-Verfahren über Anonymisierung bis hin zu juristischen Konzepten und organisatorischen Prozessen. In Deutschland fördert die Fachgruppe für Datenschutzfördernde Technik der Gesellschaft für Informatik den Austausch zu aktuellen Entwicklungen und Herausforderungen, etwa durch die Veranstaltungsreihe der „PET Talks“.

Globale Perspektiven auf PETs und die Rolle von PPDSA

Im internationalen Vergleich zeigt sich, dass PETs in den USA und Großbritannien schon lange als wichtiger Bestandteil von Datenstrategien gelten. Die UN beschreibt PETs als Methoden zur Minderung von Datenschutzrisiken beim Umgang mit sensiblen Daten. Das Weiße Haus betont, dass PETs Analysen auf sensiblen Daten ermöglichen, ohne den eigentlichen Datenzugriff zu gewähren. Organisationen wie das britische Information Commissioner’s Office (ICO) unterstreichen die Bedeutung von PETs, um Daten sicher und verantwortungsvoll zu nutzen.

Mit der Verbreitung von Big Data und KI entstehen neue Herausforderungen: Daten müssen analysiert werden, ohne die Privatsphäre zu verletzen. Hier setzt die Entwicklung von PPDSA an. PPDSA versteht sich als spezialisierte Untergruppe der PETs. Ziel ist es, Datenaustausch und -analysen zwischen verschiedenen Akteuren zu ermöglichen, ohne dass personenbezogene Daten offengelegt werden. Technologisch werden dabei Methoden wie Secure Multi-Party Computation, Homomorphic Encryption, Differential Privacy, Zero-Knowledge-Proofs, Synthetic Data, Federated Learning und Trusted Execution Environments kombiniert.

Technische Verfahren und Methoden: Von Verschlüsselung bis KI

Die Bandbreite der PETs-Technologien ist groß. Zu den wichtigsten Verfahren zählen:

• Verschlüsselungsverfahren: Dazu gehören Ende-zu-Ende-Verschlüsselung, bei der nur Absender und Empfänger eine Nachricht lesen können, und Homomorphic Encryption, die Berechnungen auf verschlüsselten Daten ermöglicht.
• Anonymisierung und Pseudonymisierung: Hier werden personenbezogene Merkmale aus Datensätzen entfernt oder durch Ersatzwerte ersetzt.
• Secure Multiparty Computation (SMC): Mehrere Parteien können gemeinsam Berechnungen durchführen, ohne ihre Daten offenlegen zu müssen.
• Differential Privacy: Mathematische Verfahren sorgen dafür, dass einzelne Datensätze in statistischen Auswertungen nicht identifizierbar sind.
• Zero-Knowledge-Proofs: Es wird bewiesen, dass eine Aussage stimmt, ohne die zugrunde liegenden Daten preiszugeben.

Fortgeschrittene Technologien wie Federated Learning ermöglichen maschinelles Lernen, bei dem die Daten dezentral bleiben. Trusted Execution Environments sorgen dafür, dass sensible Berechnungen in abgeschotteten Hardwarebereichen ablaufen. Synthetic Data kann reale Datensätze simulieren, ohne dass echte personenbezogene Daten verwendet werden. Blockchain-basierte Lösungen bieten neue Möglichkeiten für Transparenz und Unveränderbarkeit bei der Datenverarbeitung.

PETs kommen in vielen Bereichen zum Einsatz: Gesundheitswesen, Finanzsektor, Mobilität, soziale Medien und öffentliche Verwaltung profitieren von datenschutzfördernden Lösungen.

Rechtlicher Rahmen in Deutschland: DSGVO und Privacy by Design

In Deutschland ist der Datenschutz eng an die Vorgaben der DSGVO geknüpft. Artikel 25 fordert „Datenschutz durch Technikgestaltung“ (Privacy by Design). Systeme und Dienste sollen von Anfang an datenschutzfreundlich ausgelegt sein. Die DSGVO verlangt, dass Unternehmen und Behörden die Rechte und Freiheiten der Betroffenen achten, Daten sparsam erheben und datenschutzfreundliche Voreinstellungen wählen.

In der Praxis gibt es jedoch große Lücken: Es fehlen konkrete Standards, verbindliche Vorgaben und einheitliche Verfahren, um die Wirksamkeit von PETs zu messen und zu bewerten. Das betrifft auch die Umsetzung der Koalitionszusage, PETs breit zu fördern. Ohne Operationalisierung und Standardisierung bleibt der Einsatz von PETs Stückwerk.

Die Datenschutzbehörden überwachen die Entwicklung, können aber bislang kaum verbindliche Guidance zur Auswahl oder Bewertung von PETs geben. Die Haftungsfrage ist ebenfalls nicht abschließend geklärt: Wer haftet, wenn trotz PETs Datenpannen auftreten?

PETs sind dennoch ein zentrales Werkzeug zur Erfüllung der DSGVO-Anforderungen. Sie gelten als technische und organisatorische Maßnahme (TOM) und spielen eine wichtige Rolle bei Datenschutz-Folgenabschätzungen, in der Wahrung von Betroffenenrechten und bei der Dokumentation von Datenschutzprozessen.

Status quo und Herausforderungen in Deutschland

Trotz wissenschaftlicher Exzellenz hinkt Deutschland bei der praktischen Umsetzung von PETs hinterher. Zwar gibt es zahlreiche Forschungsprojekte – etwa an der Universität Göttingen oder in der GI-Fachgruppe PETs –, doch der Transfer in die Praxis gestaltet sich schwierig. Es fehlen einheitliche Standards, Bewertungsmethoden und Zertifizierungen, die Unternehmen und Behörden die Auswahl und Einführung von PETs erleichtern würden.

Ein weiteres Problem ist die Marktorientierung: In vielen Fällen werden etablierte, marktreife Lösungen bevorzugt, auch wenn sie nicht aus dem eigenen Land stammen. Die Beschaffung von Polizeisoftware aus den USA ist dafür ein Beispiel. Innovative Ansätze aus der Forschung finden kaum den Weg in den Alltagsbetrieb. Die Innovationskultur in Deutschland gilt als vorsichtig und risikoscheu. Förderprogramme und klare Strategien fehlen, was die praktische Verbreitung von PETs ausbremst.

Die USA: Strategien, Messbarkeit und Innovationsdrang

Im Gegensatz dazu verfolgen die USA eine aktive und koordinierte Strategie zur Förderung von PETs und PPDSA. Mit der National Privacy Research Strategy (NPRS) 2025 und der PPDSA-Strategie 2023 gibt es ressortübergreifende Programme, die gezielt Forschung und Entwicklung vorantreiben. Die Koordination erfolgt zentral, multidisziplinär und mit Beteiligung aller relevanten Akteure.

Ein besonderes Augenmerk liegt auf der Messbarkeit. Organisationen werden dazu angehalten, die Effektivität ihrer Datenschutzmaßnahmen regelmäßig zu überprüfen. Es werden Metriken und Kennzahlen entwickelt, um Datenschutzpräferenzen zu erfassen, die Wirksamkeit von PETs zu bewerten und Auswirkungen auf Wirtschaft, Gesellschaft und Innovation zu analysieren. Test-Labore und Pilotprojekte sorgen dafür, dass neue Technologien praxisnah und unter realistischen Bedingungen geprüft werden.

Executive Orders wie EO 14110 (KI-Entwicklung) und EO 14067 (Digitale Vermögenswerte) verpflichten Behörden zur Nutzung und Förderung von PETs. Der „Blueprint for an AI Bill of Rights“ betont den Datenschutz als Grundrecht und fordert technische Schutzmaßnahmen bereits beim Design von Systemen.

Vergleich: Deutschland und USA bei PETs

Der Vergleich zeigt deutliche Unterschiede in der Herangehensweise:

• Strategische Ausrichtung: Die USA setzen auf klar definierte Ziele, messbare Vorgaben und staatlich koordinierte Forschung. Deutschland beschränkt sich auf allgemeine Absichtserklärungen.
• Operationalisierung: In den USA gibt es detaillierte Pläne und Metriken. In Deutschland fehlen verbindliche Standards und Evaluationskriterien.
• Forschungsförderung: Die USA investieren systematisch in Privacy-R&D, während die deutsche Förderung fragmentiert bleibt.
• Kulturelle Unterschiede: Die USA gelten als experimentierfreudig, Deutschland als risikoscheu. Die Vergabe öffentlicher Aufträge orientiert sich in Deutschland oft an Marktreife, nicht an Innovationspotenzial.

Deutschland punktet mit einer starken wissenschaftlichen Basis und einem robusten Rechtsrahmen. Die USA sind schneller in der Umsetzung, setzen auf Innovationsförderung, leiden aber unter einer weniger strengen Datenschutzgesetzgebung.

PETs, KI und Big Data: Neue Herausforderungen

Mit dem Aufkommen von KI-Systemen und Big-Data-Analysen verschärft sich das Spannungsfeld zwischen Datensparsamkeit und Datenhunger. KI-Modelle benötigen große Datenmengen, was das Risiko für Datenschutzverstöße erhöht. PETs können helfen, etwa durch Federated Learning, Differential Privacy oder die Generierung synthetischer Daten. So bleibt die Kontrolle über sensible Informationen erhalten, während Modelle trainiert werden können.

Ein weiteres Problem ist die Erklärbarkeit von KI-Entscheidungen. Datenschutzmaßnahmen dürfen nicht dazu führen, dass die Funktionsweise von KI-Systemen intransparent wird. Angriffe wie Model Inversion oder Membership Inference müssen durch geeignete PETs abgewehrt werden. Edge Computing gilt als weitere Option, weil es Daten dezentral verarbeitet und so die Weitergabe sensibler Informationen einschränkt.

Digitale Souveränität und internationale Zusammenarbeit

PETs sind ein Schlüssel für digitale Souveränität – also die Kontrolle über eigene Daten und technologische Unabhängigkeit. Sie stärken nicht nur die individuelle Selbstbestimmung, sondern auch die Handlungsfähigkeit von Organisationen und Staaten. Europa kann mit eigenen Standards und Open-Source-Lösungen unabhängig von US-Anbietern agieren und so einen Wettbewerbsvorteil schaffen.

International ist die Zusammenarbeit entscheidend. Nur gemeinsame Standards, Zertifizierungen und Best Practices ermöglichen einen sicheren Datenaustausch über Ländergrenzen hinweg. Organisationen wie ISO, NIST oder BSI spielen bei der Entwicklung solcher Standards eine zentrale Rolle. Multilaterale Initiativen, etwa der UN PET Guide oder die Global Privacy Assembly, fördern den Austausch von Erfahrungen und den Aufbau von Kompetenzen.

Implementierung von PETs in Organisationen: Erfolgsfaktoren und Hürden

Bei der Einführung von PETs in Unternehmen und Behörden gibt es einige Stolpersteine. Alte IT-Infrastrukturen (Legacy-Systeme) sind oft schwer nachrüstbar. Neue Technologien bringen zusätzlichen Rechenaufwand und können die Systemleistung beeinträchtigen. Die Akzeptanz bei den Nutzern ist nicht immer gegeben, weshalb Schulungen und Change-Management-Maßnahmen notwendig sind. Wirtschaftlich müssen die Kosten dem Nutzen gegenübergestellt werden, um Investitionen zu rechtfertigen. Bei proprietären Lösungen droht eine Abhängigkeit vom Anbieter (Vendor Lock-in).

Erfolgsfaktoren sind ein klares Bekenntnis des Managements, interdisziplinäre Teams aus IT, Recht und Datenschutz, eine transparente Governance und die Einbindung externer Expertise. Pilotprojekte und kontinuierliche Evaluation helfen, die Wirksamkeit und Praxistauglichkeit von PETs zu sichern.

Handlungsempfehlungen und Ausblick

Für Deutschland empfiehlt sich eine nationale PETs-Strategie nach US-Vorbild. Dazu gehören gezielte Investitionen in Forschung und Entwicklung, der Aufbau von Test-Infrastrukturen, die Schaffung verbindlicher Standards und die Bevorzugung von PETs-Lösungen in der öffentlichen Beschaffung. Unternehmen sollten PETs strategisch in ihre Digitalisierungsprojekte integrieren, Kompetenzen aufbauen und Partnerschaften mit Forschung und Technologieanbietern suchen.

Politisch ist eine kohärente Abstimmung zwischen Datenschutz, Sicherheit und Digitalpolitik nötig. Regulatorische Klarheit, gezielte Anreizstrukturen und eine aktive Mitgestaltung internationaler Standards sichern langfristig die Wettbewerbsfähigkeit und schützen die Rechte der Bürger.

Absehbar werden technologische Trends wie Quantum Computing und Post-Quantum-Kryptografie neue Anforderungen an PETs stellen. Die gesellschaftliche Akzeptanz und der bewusste Umgang mit Privatsphäre werden weiter wachsen. Die Marktentwicklung zeigt großes Potenzial für europäische Anbieter, die mit robusten, transparenten und interoperablen Lösungen punkten können.

Fazit: Von der Vision zur Umsetzung

PETs und PPDSA sind zentrale Elemente für einen zukunftsfähigen Datenschutz. Während die USA mit klaren Strategien und messbaren Zielen voranschreiten, muss Deutschland die Lücke zwischen Anspruch und Wirklichkeit schließen. Der Aufbau von Testlaboren, die Entwicklung verbindlicher Standards und eine aktive Förderung von Forschung und Innovation sind entscheidend. Nur so lassen sich die Chancen verantwortungsvoller Datennutzung und digitaler Souveränität nutzen – und das Vertrauen in digitale Ökosysteme langfristig sichern.

(Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion inhaltlich und sprachlich geprüft.)