DE102009016419B4 - Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten - Google Patents

Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten Download PDF

Info

Publication number
DE102009016419B4
DE102009016419B4 DE200910016419 DE102009016419A DE102009016419B4 DE 102009016419 B4 DE102009016419 B4 DE 102009016419B4 DE 200910016419 DE200910016419 DE 200910016419 DE 102009016419 A DE102009016419 A DE 102009016419A DE 102009016419 B4 DE102009016419 B4 DE 102009016419B4
Authority
DE
Germany
Prior art keywords
data
record
record identifier
user
fiduciary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE200910016419
Other languages
English (en)
Other versions
DE102009016419A1 (de
Inventor
Wolfgang Dipl.-Math. Hüffer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AZ Direct GmbH
Original Assignee
AZ Direct GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AZ Direct GmbH filed Critical AZ Direct GmbH
Priority to DE200910016419 priority Critical patent/DE102009016419B4/de
Publication of DE102009016419A1 publication Critical patent/DE102009016419A1/de
Application granted granted Critical
Publication of DE102009016419B4 publication Critical patent/DE102009016419B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Verfahren zum sicheren Speichern von Datensätzen (22), die vertrauliche Daten (26) und zugehörige Identifizierungsdaten enthalten, bei dem je Datensatz die folgenden Schritte ausgeführt werden:
– auf Seiten eines Benutzers (10):
– Umwandeln der Identifizierungsdaten in eine erste Datensatzkennung (18) und
– übermitteln der ersten Datensatzkennung zusammen mit den vertraulichen Daten an eine Treuhandstelle (12),
– auf Seiten der Treuhandstelle:
– umschlüsseln der ersten Datensatzkennung (18) mit einem symmetrischen Schlüssel (36) in eine zweite Datensatzkennung (24) und
– übermitteln der zweiten Datensatzkennung zusammen mit den vertraulichen Daten an eine Datenbank (14),
dadurch gekennzeichnet, daß die Identifizierungsdaten und entsprechend auch die ersten und zweiten Datensatzkennungen (18, 24) mehrere Hierarchiestufen (28–34) umfassen und die Umschlüsselung getrennt nach Hierarchiestufen erfolgt.

Description

  • Die Erfindung betrifft ein Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten bei dem je Datensatz die folgenden Schritte ausgeführt werden:
    • – auf Seiten eines Benutzers;
    • – Umwandeln der Identifizierungsdaten in eine erste Datensatzkennung und
    • – übermitteln der ersten Datensatzkennung zusammen mit den vertraulichen Daten an eine Treuhandstelle,
    • – auf Seiten der Treuhandstelle:
    • – umschlüsseln der ersten Datensatzkennung mit einem symmetrischen Schlüssel in eine zweite Datensatzkennung und
    • – übermitteln der zweiten Datensatzkennung zusammen mit den vertraulichen Daten an eine Datenbank.
  • Im Geschäftsleben und in der öffentlichen Verwaltung besteht häufig das Erfordernis, Datenbanken zu unterhalten, in denen neben Identifizierungsdaten von Personen, beispielsweise von Kunden oder Bürgern, auch vertrauliche Merkmalsdaten gespeichert sind, etwa Daten über Alter, Kaufverhalten, besondere Vorlieben, Kreditwürdigkeit, Krankheiten, Vorstrafen etc. der betroffenen Personen. Angesichts zunehmend strengerer Datenschutzbestimmungen erfordert es ständig steigende Kosten, einen verantwortungsbewußten Umgang mit diesen Daten sicherzustellen, beispielsweise durch Begrenzung des Zugangs zu den Datenbanken, Sicherheitsüberprüfung und -schulung des zugangsberechtigten Personals, und dergleichen.
  • Aus WO 2006/015100 A2 ist ein Verfahren der eingangs genannten bekannt. Aus WO 01/18631 A1 ist die Umwandlung der Identifizierungsdaten mittels Einwegverschlüsselung bekannt.
  • Ein wesentlicher Vorteil des erstgenannten Verfahrens besteht darin, daß auf Seiten des Benutzers auf eine Speicherung der Identifizierungsdaten und der jeweils zugehörigen vertraulichen Merkmalsdaten in einer gemeinsamen Datenbank verzichtet werden kann. Statt dessen werden die Merkmalsdaten zusammen mit der ersten Datensatzkennung an eine Treuhandstelle übermittelt, die dann die erste Datensatzkennung in eine zweite Datensatzkennung umschlüsselt und diese zusammen mit den vertraulichen Daten an eine Datenbank weiterleitet. Diese Datenbank kann sich wieder im Verfügungsbereich des Benutzers befinden oder es kann sich um eine Datenbank eines externen Dienstleisters handeln, beispielsweise eines Unternehmens, das Marketinganalysen durchführt. Wesentlich ist dabei, daß es sich bei der Treuhandstelle, die auch als ”Trusted Third Party” (TTP) bezeichnet wird, um eine von dem oder den Benutzern und dem Betreiber der Datenbank rechtlich und physisch getrennte Institution handelt, beispielsweise ein eigenständiges Unternehmen mit einem allein unter seiner Kontrolle stehenden Datenverarbeitungssystem zur Umschlüsselung der Daten. Dadurch ist gewährleistet, daß für jemanden, der Zugang zu der Datenbank hat, zwar noch erkennbar ist, welche Merkmalsdaten zu welcher (zweiten) Datensatzkennung gehören, doch ist diese zweite Datensatzkennung durch die Umschlüsselung anonymisiert, so daß sie keinen Rückschluß auf die Identität der Personen erlaubt, auf die sich die gespeicherten Merkmale beziehen. So kann diese Datenbank beispielsweise für statistische Analysen benutzt werden, ohne daß besondere Geheimhaltungsvorkehrungen erforderlich sind. Aufgrund der in der Treuhandstelle vorgenommenen Umschlüsselung sind die Personen in der Datenbank nicht einmal für den Benutzer identifizierbar, der die Daten ursprünglich geliefert hat.
  • Falls auf Seiten des Benutzers das Erfordernis besteht, die Personen zu identifizieren, auf welche sich die vertraulichen Merkmale beziehen, so ist dies nur durch Einschaltung der Treuhandstelle möglich, die dann auch die Zulässigkeit der gewünschten Abfrage prüfen kann.
  • Aufgabe der Erfindung ist es deshalb, ein technisches Verfahren anzugeben, das eine zweckmäßigere Speicherung von vertraulichen Daten und Identifizierungsdaten ermöglicht.
  • Diese Aufgabe wird dadurch gelöst, daß die Identifizierungsdaten und entsprechend auch die ersten und zweiten Datensatzkennungen mehrere Hierarchiestufen umfassen und die Umschlüsselung getrennt nach Hierarchiestufen erfolgt.
  • Für statistische Analysen ist es zweckmäßig, wenn bei den Identifizierungsdaten mehrere Hierarchiestufen unterschieden werden, beispielsweise Person, Wohnhaus, Ort, Region, und wenn die Unterscheidung zwischen diesen Hierarchiestufen bei der Umwandlung und Umschlüsselung der Daten gewahrt bleibt, so daß die zweite Datensatzkennung letztlich aus Teilkennungen für die verschiedenen Hierarchiestufen besteht. Das erlaubt es, bei der statistischen Analyse auffällige Häufungen bestimmter Merkmale an bestimmten Orten zu erkennen. Dabei bleibt jedoch die Anonymität der Merkmalsträger gewahrt, zumal auch die höheren Hierarchiestufen wie Ort oder Region nur in Form einer Kennung repräsentiert sind, aus der sich ohne Mitwirkung der Treuhandstelle nicht herleiten läßt, welcher konkrete Ort oder welche konkrete Region sich dahinter verbirgt.
  • Das Verfahren kann mittels geeigneter Software auf herkömmlichen Arbeitsplatzrechnern, Servern und sonstigen Datenverarbeitungssystemen ausgeführt werden, die auf elektronischem Wege miteinander kommunizieren, beispielsweise über das Internet.
  • Vorteilhafte Ausgestaltungen und Weiterbildungen des Verfahrens wird in den Unteransprüchen angegeben.
  • In vielen Fällen, insbesondere dann, wenn die Datenbank hauptsächlich zu Analysezwecken unterhalten wird, ist es nicht erforderlich und auch nicht erwünscht, daß die Benutzer, die einen Teil oder sämtliche der zu analysierenden Daten geliefert haben, in der Lage sind, die Merkmale und die zugehörigen Identifizierungsdaten wieder zusammenzuführen. In dem Fall ist es zweckmäßig, für die Umwandlung der Identifizierungsdaten in die erste Datensatzkennung eine Einwegverschlüsselung vorzusehen, die für jeden Satz von Identifizierungsdaten eine oder mehrere Hash-IDs liefert, die zwar insofern eindeutig sind, als die Identifizierungsdaten von verschiedenen Personen stets auch zu verschiedenen Hash-IDs führen, die andererseits jedoch nicht genügend Information enthalten, um aus der Hash-ID die ursprünglichen Identifizierungsdaten zu rekonstruieren. Selbst wenn die an die Treuhandstelle übermittelten Daten dann in falsche Hände gelangen sollten, ist es nicht mehr möglich, die zu den vertraulichen Daten gehörenden Personen anhand der Hash-ID zu identifizieren.
  • In der Praxis werden die Identifizierungsdaten häufig die Adresse der betreffenden Person umfassen. In dem Fall muß die Adresseninformation nicht zwingend von den Benutzern bereitgestellt werden, sondern sie kann auch von einer weiteren unabhängigen Instanz bereitgestellt werden, die die Adressen eines ganzen Landes oder einer Region zusammen mit eindeutigen Kennungen speichert, jedoch ohne die Namen der Personen, die unter diesen Adressen zu erreichen sind. Auf Seiten des Benutzers werden dann beispielsweise in einer Kundendatei anstelle der Namen und vollständigen Anschriften der Kunden nur die Namen und die Adressenkennungen gespeichert. Die an die Treuhandstelle übermittelten Identifizierungsdaten können in diesem Fall aus einer (verhashten) Personenkennung und der (vorzugsweise verschlüsselten) Adressenkennung bestehen. Ein solches Verfahren zur getrennten Speicherung von Namen und Adressen wird in DE 10 2009 009 276 A1 beschrieben.
  • Vorzugsweise erfolgt der Datenverkehr zwischen dem Benutzer, der Treuhandstelle und ggf. dem Betreiber der Datenbank über sichere Kanäle und/oder in verschlüsselter Form. Für die Ver- und Entschlüsselung der ersten und zweiten Datensatzkennungen wird aus Effizienzgründen vorzugsweise ein symmetrischer Schlüssel verwendet. Für die Übermittlung dieser symmetrischen Schlüssel an die Treuhandstelle kann dann der Schlüssel noch einmal nach einem asymmetrischen Verfahren mit öffentlichem und privatem Schlüssel verschlüsselt werden.
  • Im folgenden werden Ausführungsbeispiele der Erfindung anhand der Zeichnung näher erläutert.
  • Es zeigen:
  • 1 ein Blockdiagramm eines Datenbanksystems zur Ausführung des erfindungsgemäßen Verfahrens;
  • 2 ein Flußdiagramm zur Erläuterung der wesentlichen Schritte eines Verfahrens zur Speicherung von Daten;
  • 3 ein Flußdiagramm zur Erläuterung der wesentlichen Schritte eines Verfahrens zur Rückgewinnung der Daten;
  • 4 ein Beispiel eines anonymisierten Datensatzes; und
  • 5 ein Blockdiagramm eines Verfahrens zur Verschlüsselung der Daten bei dem erfindungsgemäßen Verfahren.
  • In 1 sind als Blockdiagramm vier verschiedene Institutionen dargestellt, die beispielsweise über das Internet miteinander kommunizieren, nämlich ein Benutzer 10, eine Treuhandstelle 12 (TTP), eine Merkmalsdatenbank 14 und eine Adressdatenbank 16. In allgemeinen wird es sich bei diesen Institutionen um verschiedene öffentlich- oder privatrechtliche Körperschaften handeln, beispielsweise um unterschiedliche Firmen, unterschiedliche Behörden und dergleichen. Die Merkmalsdatenbank 14 kann beispielsweise von einem Dienstleistungsunternehmen unterhalten werden, das statistische Analysen und Marketinganalysen für den Benutzer 10 oder allgemein für eine Vielzahl von Benutzern ausführt. Wahlweise kann die Merkmalsdatenbank 14 auch direkt vom Benutzer 10 unterhalten werden.
  • Die Adressdatenbank 16 kann von einem anderen Dienstleistungsunternehmen unterhalten werden, das die Adressenverwaltung für einen oder mehrere Benutzer 10 übernimmt, wie in DE 10 2009 009 276 A1 beschrieben wird. Wahlweise kann die Adressendatenbank 16 jedoch auch in eine Kundendatenbank oder eine sonstige Personendatenbank des Benutzers 10 integriert sein.
  • Die Treuhandstelle 12 sollte hingegen sowohl rechtlich wie auch physisch von den übrigen Institutionen getrennt sein. Rechtliche Trennung bedeutet hier, daß Beteiligte, die Verfügungsgewalt über Datenverarbeitungseinrichtungen des Benutzers 10, über die Merkmalsdatenbank 14 und/oder die Adressenbank 16 haben, nicht automatisch auch Verfügungsgewalt über die Datenverarbeitungseinrichtungen und den Datenbestand der Treuhandstelle 12 haben und umgekehrt. Physische Selbständigkeit bedeutet, daß die Datenträger der Treuhandstelle 12 physikalisch getrennt sind von Datenträgern des Benutzers 10 und den Datenträgern, auf denen sich die Adressendatenbank 16 und insbesondere die Merkmalsdatenbank 14 befinden. Insbesondere ist damit sichergestellt, daß jemand, der die Merkmalsdatenbank 14 in seinen Besitz bringt, nicht automatisch Zugang zu den Daten der Treuhandstelle 12 hat.
  • 2 illustriert die wesentlichen Schritte eines Verfahrens, mit dem ein oder mehrere Benutzer 10 vertrauliche Daten über verschiedene Personen dem Betreiber der Merkmalsdatenbank 14 zur Verfügung stellen können, und zwar in einer Weise, bei der die Anonymität der Merkmalsträger gewahrt wird. Dabei wird davon ausgegangen, daß der Benutzer 10 über Identifizierungsdaten verfügt, die bestimmte Personen, z. B. Kunden, identifizieren (z. B. Name und Adresse), und außerdem Kenntnisse über bestimmte Merkmale dieser Personen besitzt. Diese Kenntnisse sollen nun dem Betreiber der Merkmalsdatenbank 14 zur Verfügung gestellt werden, damit dieser die Daten einer statistischen Analyse unterziehen kann und beispielsweise Empfehlungen für verbesserte Marketingstrategien erstellen kann.
  • In einem ersten Schritt S1 in 2 werden auf Seiten des Benutzers die Identifizierungsdaten für eine Person oder ggf. auch für mehrere Personen anonymisiert. Die Identifizierungsdaten können beispielsweise aus einer von dem Benutzer unterhaltenen Kundendatenbank oder dergleichen abgerufen werden und umfassen jeweils mindestens den Namen der betreffenden Person und zumeist auch dessen Adresse oder zumindest eine Adressenkennung, für welche dann die zugehörige Klaradresse in der Adressendatenbank 16 abgerufen werden kann.
  • Die Anonymisierung erfolgt auf einem Rechner des Benutzers, auf dem eine geeignete Software für die Anonymisierung implementiert ist. Wahlweise kann die Anonymisierung auch auf einem externen Rechner eines Dienstanbieters (Application Service Provider; ASP) erfolgen, dem die Identifizierungsdaten über einen sicheren Kanal über das Internet zugeführt werden und der seinerseits die anonymisierten Daten an den Rechner des Benutzers zurück übermittelt. Das Ergebnis dieser Anonymisierung ist in jedem Fall ein bestimmter Code, der hier als ”erste Datensatzkennung” 18 bezeichnet wird. Beispielsweise kann es sich bei der ersten Datensatzkennung 18 um eine Hash-ID handeln, die man gewinnt, indem die Identifizierungsdaten zunächst standardisiert und dann nach einem bekannten Algorithmus ”verhasht”. In diesem Fall lassen sich aus der Hash-ID die ursprünglichen Identifizierungsdaten nicht wieder zurückgewinnen, und es ist lediglich sichergestellt, daß von einer Identität der Hash-IDs auf eine Identität der Personen geschlossen werden kann (Einweg-Verschlüsselung). In einem anderen Ausführungsbeispiel kann die Anonymisierung jedoch auch durch eine geeignete Verschlüsselung erfolgen, so daß sich durch Entschlüsselung der ersten Datensatzkennung 18 die ursprünglichen Identifizierungsdaten zurückgewinnen lassen.
  • In einem Schritt S2 werden dann zu der Datensatzkennung 18 die vertraulich zu behandelnden Merkmale der betreffenden Person hinzugefügt, und die erste Datensatzkennung wird zusammen mit den hinzugefügten Merkmalen an die Treuhandstelle 12 übermittelt. Die Treuhandstelle 12 empfängt somit einen Datensatz 20, der die erste Datensatzkennung und, verschlüsselt oder unverschlüsselt, die zugehörigen Merkmale enthält.
  • In einem Schritt S3 wird dann auf Seiten der Treuhandstelle 12 die in dem Datensatz 20 enthaltene erste Datensatzkennung 18 mit Hilfe eines symmetrischen, nur der Treuhandstelle bekannten Schlüssels in eine zweite Datensatzkennung umgeschlüsselt. Das Ergebnis ist ein Datensatz 22, der die zweite Datensatzkennung und die zugehörigen Merkmale enthält. Dieser Datensatz wird dann an den Betreiber der Merkmalsdatenbank 14 übermittelt und in einem Schritt S4 in dieser Datenbank gespeichert. Sofern es sich bei den in der Merkmalsdatenbank 14 gespeicherten vertraulichen Merkmalen um Merkmale von Personen handelt, ist die Merkmalsdatenbank somit eine anonymisierte Datenbank, die zwar noch erkennen läßt, daß bestimmte Merkmale zu ein und derselben Person gehören, jedoch die Identität dieser Person nicht mehr erkennen läßt. Dadurch wird einem Mißbrauch der vertraulichen Merkmalsdaten vorgebeugt.
  • Das beschriebene Verfahren läßt sich durch Einsatz von elektronischen Datenverarbeitungssystemen und geeigneter Software praktisch vollständig automatisieren. Beispielsweise wird dazu auf Seiten der Treuhandstelle 12 ein Server unterhalten, der die von den Benutzern gelieferten Daten automatisch empfängt, umschlüsselt und an die Merkmalsdatenbank weiterleitet. Auf Seiten des Benutzers 10 wird durch die bereitgestellte Software beispielsweise eine Eingabemaske erzeugt, in die der Benutzer die Identifizierungsdaten und die zugehörigen Merkmale eingibt. Auf einen entsprechenden Befehl des Benutzers (Mausklick) erfolgt dann automatisch die Anonymisierung (Schritt S1) und die Übermittlung des Datensatzes 20 an die Treuhandstelle. Die Software auf Seiten des Benutzers ist dabei vorzugsweise so beschaffen, daß keine dauerhafte Speicherung der Identifizierungsdaten zusammen mit den zugehörigen Merkmalen erfolgt.
  • Sofern es auf Seiten des Benutzers 10 erlaubt und erforderlich ist, daß er zu einem späteren Zeitpunkt den einzelnen Personen die zugehörigen Merkmale wieder zuordnen kann, so kann in einem wahlfreien Schritt S2' die erste Datensatzkennung 18 zusammen mit den ursprünglichen Identifizierungsdaten in einer Datenbank gespeichert werden.
  • Wenn mehrere Benutzer 10 mit derselben Treuhandstelle 12 zusammenarbeiten und ggf. Daten zu einer gemeinsamen Merkmalsdatenbank 14 beisteuern, so sollte jedem Benutzer eine benutzerspezifische Software zur Verfügung gestellt werden, die sicherstellt, daß zwei verschiedene Benutzer keinesfalls identische erste Datensatzkennungen 18 erzeugen (auch dann nicht, wenn sich die Daten tatsächlich auf dieselbe Person beziehen). Das läßt sich beispielsweise dadurch erreichen, daß jedem Benutzer ein anderer Kreis von möglichen ersten Datensatzkennungen 18 zugewiesen wird. Wenn in diesem Fall zwei verschiedene Benutzer Merkmalsdaten über ein und dieselbe Person beisteuern, so werden zwar die ersten Datensatzkennungen der beiden Benutzer voneinander verschieden sein, doch werden beide Kennungen dann von der Treuhandstelle in dieselbe zweite Datensatzkennung übersetzt. Dadurch wird sichergestellt, daß die Daten, die zu ein und derselben Person gehören, in der Merkmalsdatenbank 14 auch als die Daten einer einzigen (allerdings anonymen) Person behandelt werden.
  • In einer anderen Ausführungsform wird jedem Benutzer dieselbe Software für die Anonymisierung der Identifizierungsdaten zur Verfügung gestellt, so daß man für identische Personen stets auch identische Datensatzkennungen erhält, auch wenn die Daten von verschiedenen Benutzern stammen. Der ersten Datensatzkennung 18 wird dann jeweils eine benutzerspezifische Kennung hinzugefügt, und auf Seiten der Treuhandstelle werden die Benutzerkennungen und die ersten Datensatzkennungen jeweils getrennt umgeschlüsselt.
  • 3 illustriert ein Verfahren, das es einem Benutzer erlaubt, die Merkmalsdaten, die er in die Merkmalsdatenbank 14 eingestellt hat, bei Bedarf wieder zurückzugewinnen und mit den entsprechenden Identifizierungsdaten zusammenzuführen. Wenn der Benutzer die Merkmalsdaten zu einer bestimmten Person abrufen möchte, so werden in einem Schritt S11, der mit dem Schritt S1 in 2 identisch ist, die Identifizierungsdaten dieses Benutzers anonymisiert, so daß man wieder die erste Datensatzkennung 18 erhält. Diese wird dann an die Treuhandstelle 12 übermittelt und dort in einem Schritt S13 (entsprechend dem Schritt S3 in 2) umgeschlüsselt. Die dadurch erhaltene zweite Datensatzkennung 24 wird dann an die Merkmalsdatenbank 14 übermittelt, und dort werden in einem Schritt S14 die zugehörigen Merkmalsdaten abgefragt. Das Ergebnis wird an die Treuhandstelle 12 gemeldet, die so den Datensatz 22 zurückerhält, der die zweite Datensatzkennung 24 und die zugehörigen Merkmale umfaßt. In einem Schritt S15 wird auf Seiten der Treuhandstelle 12 die zweite Datensatzkennung umgeschlüsselt, und zwar mit dem symmetrischen Schlüssel, der in Schritt S13 zur Umwandlung der ersten Datensatzkennung 18 in die zweite Datensatzkennung 24 gedient hat. Als Ergebnis erhält man wieder den Datensatz 20, der die erste Datensatzkennung 18 und die zugehörigen Merkmale enthält, und dieser Datensatz wird an den Benutzer 10 zurückgemeldet, der dann in einem Schritt S16 die Identifizierungsdaten wiederherstellen kann und somit die aus der Merkmalsdatenbank 14 zurückgewonnenen Merkmalsdaten der betreffenden Person zuordnen kann.
  • Die Wiederherstellung der Identifizierungsdaten kann etwa dadurch geschehen, daß in Schritt S11 die Identifizierungsdaten (z. B. Name und Adresse der Person) gespeichert werden, bis der Datensatz 20 von der Treuhandstelle zurückerhalten wird.
  • Wenn in Schritt S2' (2) die erste Datensatzkennung 18 zusammen mit den Identifizierungsdaten gespeichert wurde, kann der Schritt S11 auch durch einen Schritt ersetzt werden, in dem die erste Datensatzkennung 18 für die betreffende Person direkt aus der Datenbank des Benutzers abgerufen wird. Ebenso können dann in Schritt S16 zu der in dem Datensatz 20 enthaltenen ersten Datensatzkennung auch wieder die Identifizierungsdaten aus der Datenbank abgerufen werden.
  • Wenn zur Umwandlung der Identifizierungsdaten in Schritt S1 (2) ein (Zweiweg-)Verschlüsselungsverfahren eingesetzt wurde, können die Identifizierungsdaten in Schritt S16 auch einfach durch Entschlüsselung der ersten Datensatzkennung gewonnen werden.
  • Mit Hilfe des in 3 gezeigten Verfahrens ist der Benutzer somit in der Lage, bei Bedarf die Daten, die er in der Merkmalsdatenbank 14 gespeichert hat, wieder abzurufen.
  • Es sind jedoch auch Anwendungsfälle denkbar, in denen der Benutzer keinen direkten Zugriff mehr auf die von ihm gelieferten Merkmalsdaten hat, sondern vom Betreiber der Merkmalsdatenbank 14 lediglich ein anonymisiertes Analyseergebnis erhält.
  • 4 zeigt ein detailliertes Beispiel eines der Datensätze 22, die in der Merkmalsdatenbank 14 gespeichert werden. Dieser Datensatz enthält die zweite Datensatzkennung 24 sowie die zugehörigen Merkmalsdaten 26. Die zweite Datensatzkennung 24 weist in diesem Beispiel jedoch eine hierarchische Struktur auf und besteht aus einer Personen-ID 28, einer Gebäude-ID 30, einer Orts-ID 32 und einer Regionen-ID 34. Diese hierarchische Struktur wird bei der Umschlüsselung in Schritt S3 (2) erzeugt.
  • Als Beispiel kann angenommen werden, daß der Benutzer als erste Datensatzkennung 18 eine Personenkennung und eine Adressenkennung übermittelt, anhand derer die Treuhandstelle 12 die Klaradresse aus der Adressendatenbank 16 abrufen kann. Die Treuhandstelle erzeugt dann in Schritt S3 einerseits aus der Personenkennung die Personen-ID 28 und andererseits durch Verhashung der Adressdaten die Gebäude-ID 30, die Orts-ID 32 und die Regionen-ID 34. Dabei ist der Verhashungs-Algorithmus wieder so beschaffen, daß, wenn zwei Datensätze 22 in der Merkmalsdatenbank 14 beispielsweise dieselbe Orts-ID haben, verläßlich geschlossen werden kann, daß die betreffenden Personen ihre Adresse in demselben Ort haben.
  • Die hierarchische Struktur der zweiten Datensatzkennung gemäß 4 erlaubt es somit, unter Wahrung der Anonymität auch geographische Analysen an den in der Merkmalsdatenbank gespeicherten Daten vorzunehmen. Wenn diese Analyse z. B. ergibt, daß auffällig viele Personen, die ausweislich der Orts-ID 32 an demselben Ort wohnen, Interesse an einer bestimmten Klasse von Produkten zeigen, so kann gezielt eine Werbekampagne für diesen Ort in Auftrag gegeben werden. Zur Identifizierung dieses Ortes anhand der Orts-ID ist wieder die Mitwirkung der Treuhandstelle 12 erforderlich.
  • In einer anderen Ausführungsform werden in der Merkmalsdatenbank 14 nur die Personen-IDs gespeichert, und die IDs der anderen Hierarchiestufen werden aus der Adressdatenbank 16 abgerufen. Dazu wird die Personen-ID in der Treuhandstelle 12 in eine andere Personenkennung umgeschlüsselt, die in der Adressdatenbank zusammen mit der zugehörigen Adresse gespeichert ist. Aus der Adresse werden dann in der Adressdatenbank eine Gebäude-ID, eine Orts-ID etc. extrahiert, und diese werden in der Treuhandstelle 12 erneut umgeschlüsselt und dann anonym in der Merkmalsdatenbank ausgewertet.
  • Der Datenverkehr zwischen den Benutzern 10 und der Treuhandstelle 12 und ggf. dem Betreiber der Merkmalsdatenbank 14 erfolgt vorzugsweise verschlüsselt. 5 illustriert ein Verschlüsselungsschema für die Übermittlung von Merkmalsdaten von einem Benutzer 10 an die Merkmalsdatenbank 14.
  • Zweckmäßigerweise wird der Benutzer 10 nicht jeden Datensatz 20 (2) einzeln an die Treuhandstelle 12 übermitteln, sondern er wird eine Vielzahl von Datensätzen als ”Batch” übermitteln. Es wird deshalb im folgenden davon ausgegangen, daß die dem Benutzer zur Verfügung gestellte Software in der Lage ist, die ersten Datensatzkennungen 18 und die zugehörigen Merkmale für mehrere Personen temporär in einem nichtflüchtigen Speicher zu speichern und dann gesammelt an die Treuhandstelle zu übermitteln.
  • Während für die Verschlüsselung der ersten Datensatzkennung 18 und für die Umschlüsselung in die zweite Datensatzkennung 24 symmetrische Schlüssel benutzt werden, erfolgt die Übermittlung dieser symmetrischen Schlüssel an die Treuhandstelle 12 nach einem asymmetrischen Verschlüsselungsverfahren mit öffentlichem und privatem Schlüssel. Gemäß 5 erzeugt der Benutzer 10 in einem Schritt S20 einen zufälligen Schlüssel, der dann als symmetrischer Benutzerschlüssel 36 für das gesamte Batch dient. Mit Hilfe eines von der Treuhandstelle 12 publizierten öffentlichen Schlüssels 38 wird dann in Schritt S22 der Benutzerschlüssel 36 noch einmal verschlüsselt, so daß man einen verschlüsselten Benutzerschlüssel 40 erhält, der dann an die Treuhandstelle 12 (TTP) übermittelt wird.
  • Für jeden einzelnen Datensatz werden in einem Schritt S24 die Identifizierungsdaten standardisiert und verhasht und so der Datensatz 20 erzeugt, der die erste Datensatzkennung (auch als Hash-ID bezeichnet) und die zugehörigen Merkmale enthält. Mit Hilfe des symmetrischen Benutzerschlüssels 36 wird dieser Datensatz oder zumindest die Hash-ID verschlüsselt. Auf diese Weise erhält man einen verschlüsselten Datensatz 20 mit der verschlüsselten Datensatzkennung und den Merkmalen. In diesem Beispiel wird angenommen, daß die Verschlüsselung nur auf die Datensatzkennung wirkt. Wahlweise könnte die Verschlüsselung jedoch auch auf die Merkmale wirken.
  • Dieser verschlüsselte Datensatz 20 wird dann an die Treuhandstelle 12 übermittelt. Entsprechend verfährt man mit sämtlichen Datensätzen des Batches.
  • Auf Seiten der Treuhandstelle 12 wird dann ein privater Schlüssel 42 der Treuhandstelle benutzt, um in einem Schritt S26 den Benutzerschlüssel wieder zu entschlüsseln und so den symmetrischen Benutzerschlüssel 36 zurückzugewinnen, der dann für das gesamte Batch benutzt werden kann. In einem Schritt S28 werden dann die verschlüsselten Datensätze 20 entschlüsselt, und man erhält wieder die Datensätze 20, bestehend aus Hash-ID und Merkmalen.
  • Mit Hilfe eines symmetrischen Schlüssels 44 des Betreibers der Merkmalsdatenbank 14, hier als Analyse-Agentur AA bezeichnet, wird dann in Schritt S30 der Datensatz 20 umgeschlüsselt, so daß man den Datensatz 22 erhält, der die zweite Datensatzkennung (umgeschlüsselte Datei-ID) und die Merkmale enthält. Dieser Datensatz wird dann an die Analyse-Agentur übermittelt und in der Merkmalsdatenbank 14 gespeichert. Der symmetrische Schlüssel 44 der Analyse-Agentur kann ebenfalls mit Hilfe von asymmetrischer Verschlüsselung an die Treuhandstelle 12 übermittelt werden.

Claims (5)

  1. Verfahren zum sicheren Speichern von Datensätzen (22), die vertrauliche Daten (26) und zugehörige Identifizierungsdaten enthalten, bei dem je Datensatz die folgenden Schritte ausgeführt werden: – auf Seiten eines Benutzers (10): – Umwandeln der Identifizierungsdaten in eine erste Datensatzkennung (18) und – übermitteln der ersten Datensatzkennung zusammen mit den vertraulichen Daten an eine Treuhandstelle (12), – auf Seiten der Treuhandstelle: – umschlüsseln der ersten Datensatzkennung (18) mit einem symmetrischen Schlüssel (36) in eine zweite Datensatzkennung (24) und – übermitteln der zweiten Datensatzkennung zusammen mit den vertraulichen Daten an eine Datenbank (14), dadurch gekennzeichnet, daß die Identifizierungsdaten und entsprechend auch die ersten und zweiten Datensatzkennungen (18, 24) mehrere Hierarchiestufen (2834) umfassen und die Umschlüsselung getrennt nach Hierarchiestufen erfolgt.
  2. Verfahren nach Anspruch 1, bei dem die Umwandlung der Identifizierungsdaten in die erste Datensatzkennung (18) durch Einweg-Verschlüsselung erfolgt.
  3. Verfahren nach Anspruch 1 oder 2, für mehrere Benutzer (10), dadurch gekennzeichnet, daß jeder Benutzer (10) einen eigenen Kreis von nur ihm zur Verfügung stehenden ersten Datensatzkennungen (18) erhält.
  4. Verfahren nach einem der vorstehenden Ansprüche, bei dem die erste Datensatzkennung (18) mit einem symmetrischen Schlüssel (36) verschlüsselt an die Treuhandstelle (12) übermittelt wird.
  5. Verfahren nach Anspruch 4, bei dem der symmetrische Schlüssel (36) noch einmal mittels eines öffentlichen Schlüssels (38) der Treuhandstelle (12) asymmetrisch verschlüsselt und in dieser Form an die Treuhandstelle (12) übermittelt wird.
DE200910016419 2009-04-04 2009-04-04 Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten Active DE102009016419B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200910016419 DE102009016419B4 (de) 2009-04-04 2009-04-04 Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200910016419 DE102009016419B4 (de) 2009-04-04 2009-04-04 Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten

Publications (2)

Publication Number Publication Date
DE102009016419A1 DE102009016419A1 (de) 2010-10-07
DE102009016419B4 true DE102009016419B4 (de) 2011-03-31

Family

ID=42675055

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200910016419 Active DE102009016419B4 (de) 2009-04-04 2009-04-04 Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten

Country Status (1)

Country Link
DE (1) DE102009016419B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220229935A1 (en) * 2019-05-21 2022-07-21 Nippon Telegraph And Telephone Corporation Information processing system, information processing apparatus, information processing method and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001018631A1 (en) * 1999-09-02 2001-03-15 Medical Data Services Gmbh Method for anonymizing data
WO2001042883A2 (en) * 1999-12-10 2001-06-14 Arcanvs, Inc. Anonymously linking a plurality of data records
DE202004014697U1 (de) * 2004-09-21 2005-01-20 Bayer, Andreas U., Dr.med. Augendiagnosenetzwerk zur Erkennung und Verlaufskontrolle pathologischer Veränderungen des Sehnerven und/oder der Netzhaut
WO2006015100A2 (en) * 2004-07-28 2006-02-09 Ims Health Incorporated A method for linking de-identified patients using encrypted and unencrypted demographic and healthcare information from multiple data sources

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009009276A1 (de) 2009-02-17 2010-08-19 Az Direct Gmbh Verfahren zum Missbrauchsschutz von Adressendateien

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001018631A1 (en) * 1999-09-02 2001-03-15 Medical Data Services Gmbh Method for anonymizing data
WO2001042883A2 (en) * 1999-12-10 2001-06-14 Arcanvs, Inc. Anonymously linking a plurality of data records
WO2006015100A2 (en) * 2004-07-28 2006-02-09 Ims Health Incorporated A method for linking de-identified patients using encrypted and unencrypted demographic and healthcare information from multiple data sources
DE202004014697U1 (de) * 2004-09-21 2005-01-20 Bayer, Andreas U., Dr.med. Augendiagnosenetzwerk zur Erkennung und Verlaufskontrolle pathologischer Veränderungen des Sehnerven und/oder der Netzhaut

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220229935A1 (en) * 2019-05-21 2022-07-21 Nippon Telegraph And Telephone Corporation Information processing system, information processing apparatus, information processing method and program
US11954232B2 (en) * 2019-05-21 2024-04-09 Nippon Telegraph And Telephone Corporation Information processing system, information processing apparatus, information processing method and program

Also Published As

Publication number Publication date
DE102009016419A1 (de) 2010-10-07

Similar Documents

Publication Publication Date Title
DE112018005628T5 (de) Datenbereinigungssystem für eine öffentliche Host-Plattform
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
EP2409255B1 (de) Verfahren zur erzeugung von asymmetrischen kryptografischen schlüsselpaaren
EP2389641B1 (de) Einrichtung zur generierung eines virtuellen netzgängers
DE102006012311A1 (de) Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
DE10253676B4 (de) Verfahren und Vorrichtung für die Fernübertragung sensibler Daten
WO2018202550A1 (de) Verfahren zum gesicherten zugriff auf daten
DE102010037326B4 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
DE102009016419B4 (de) Verfahren zum sicheren Speichern von Datensätzen, die vertrauliche Daten und zugehörige Identifizierungsdaten enthalten
DE602005000234T2 (de) Verfahren zur gesicherten Abfrage von Lieferscheinen für Gegenstände
DE102006021371B4 (de) Verfahren zur reversiblen Anonymisierung vertraulicher Datenteile und eine entsprechende Datenstruktur
DE102017000167A1 (de) Anonymisierung einer Blockkette
EP2506177A1 (de) Verfahren und Vorrichtung zum Vergleich von Identifikationsdaten
EP3105703B1 (de) Verfahren und system zum sichern von datenbankrelationen vor unberechtigtem zugriff
WO2018153610A1 (de) Verfahren zum gesicherten zugriff auf daten
EP2920754B1 (de) Verfahren zur durchführung von transaktionen
WO2017063803A1 (de) Verfahren und system zum schutz von vertraulichen elektronischen daten
DE4420967C2 (de) Entschlüsselungseinrichtung von digitalen Informationen und Verfahren zur Durchführung der Ver- und Entschlüsselung dieser mit Hilfe der Entschlüsselungseinrichtung
AT503291B1 (de) Datenverarbeitungssystem zur verarbeitung von objektdaten
DE202021100647U1 (de) Personendatenanonymisierungssystem (PDAS) mit kundenspezifischem Token
DE102013017100A1 (de) Ortsbezogener Dienst
DE10041514C2 (de) Verfahren zur Wahrung der Vertraulichkeit von Anwenderdaten bei deren Speicherung und Bearbeitung auf einem zentralen Rechner eines Betreibers
DE102021118590A1 (de) Verfahren, system und computerprogramm zur verschlüsselung, verarbeitung, übertragung, speicherung und nachvollziehbarkeit der verschlüsselung von personenbezogenen daten
DE102021118591A1 (de) Verfahren, system und computerprogramm zur verschlüsselung, verarbeitung, übertragung, speicherung und nachvollziehbarkeit der verschlüsselung von personenbezogenen daten
EP2308194B1 (de) Produktsicherungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R020 Patent grant now final
R020 Patent grant now final

Effective date: 20110817