Verfahren und Vorrichtung zur Pseudonymisierung von digitalen

Daten

Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Pseudonymisierung von digitalen Daten, insbesondere um die statistische Auswertung von personenbezogenen Daten aus unterschiedlichen Quellsystemen nach Kennziffern zu ermöglichen. Darüber hinaus soll die Erfindung auch eine unter kontrollierten Bedingungen erfolgende Reidentifizierung ermöglichen.

Gebiet der Erfindung:

Pseudonymisierung ist das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können.

Dazu werden beispielsweise die Identifikationsdaten durch eine Abbildungsvorschrift in ein willkürlich gewähltes Kennzeichen (das Pseudonym) überführt.

Ziel eines solchen Verfahrens ist es, nur bei Bedarf und unter Einhaltung vorher definierter Rahmenbedingungen den Personenbezug wieder herstellen zu können.

Pseudonymisierte Daten sind nach § 3 Abs. βa BDSG personenbeziehbare Daten, weil definitionsgemäß eine Zuordnung zwischen dem Pseudonym und dem Namen der Person prinzipiell möglich sein soll. Umgekehrt soll die Pseudonymisierung aber nach § 3 Abs. 6 a BDSG eine zufällige Reidentifizierung praktisch ausschließen oder zumindest erschweren. Die Pseudonymisierung muss also - abgesehen von der Existenz einer Zuordnungsfunktion - für Dritte die Qualität faktisch anonymisierter Daten erreichen. Hierzu sind entsprechende mathematische Verfahren einzusetzen, wozu auch das Auffüllen von Datensätzen gehört, um ihre Reidentifizierung wirkungsvoll zu verhindern.

Die Re-Identifizierung kann mitunter auch ausschließlich dem Betroffenen vorbehalten bleiben.

/*Hier brauche ich Input: Wie kann man davon am besten die Anonymisierung abgrenzen*/

Anmerkung zur Definition und Abgrenzung „Pseudonymisierung" und „Anonymisierung" : Vgl. Auszug (S.274 bis S. 280) aus Kommentar zum Bundesdatenschutzgesetz (Simitis) .

Im Folgenden wird der Bereich der Erfindung anhand von Beispielen beschrieben.

Als ein erstes Anwendungsbeispiel ist die unternehmensweite Auswertung von Personaldaten denkbar. So wird z.B eine

unternehmensweite Suche nach Mitarbeitern mit einem bestimmten Qualifikationsprofil für einen Auslandseinsatz beabsichtigt. Das rechtliche Problem dieser Konstellation ist, dass die Arbeitsverhältnisse in der Regel nur mit der jeweiligen juristischen Person bestehen, nicht aber mit dem Gesamtunternehmen. Mangels vertraglicher Rechtsgrundlage ist die übermittlung von Personaldaten an andere Arbeitgeber daher nur mit Zustimmung der betroffenen Personen zulässig. Zur Vermeidung von Datenschutzproblemen würde nach dem Konzept ein erster Suchlauf nach Personen mit einem geforderten Qualifikationsprofil zunächst nur über die pseudonymisierten Datensätze erfolgen, anschließend wäre eine Reidentifizierung nur für den ermittelten Mitarbeiterkreis erforderlich, um diesen direkt ansprechen zu können. In diesem Fall sind dann die rechtlichen Voraussetzungen der Reidentifizierung zu beachten.

Ein zweites Anwendungsbeispiel ist die Verwaltung von

Rechnungsdaten der Nutzer eines TK- oder Onlinedienstes. Die

Rechnungsdaten sollen pseudonymisiert verwaltet und erst für die Einziehung des Rechnungsbetrages bzw. die übersendung der Rechnung an den Kunden reidentifiziert werden.

Ein weiteres Beispiel ist das Outsourcing der Verarbeitung personenbezogener Daten an einen Datenverarbeiter mit Sitz im Ausland, insbesondere in einem Drittstaat ohne ein mit der Europäischen Union vergleichbaren Schutzniveau. In diesem Fall würde die Pseudonymisierung bzw. Reidentifizierung ausschließlich in der Hand des Auftraggebers im Inland erfolgen, während sich die Rechenprozesse des Auftragnehmers lediglich auf die Verarbeitung pseudonymisierter Daten beschränken.

Schließlich könnte die Erfindung zur Anwendung kommen, um eine Verarbeitung personenbezogener Daten mit aktuell verfügbaren Rechenkapazitäten unterschiedlicher Stellen zu ermöglichen.

überblick über die Erfindung:

Aufgabe der Erfindung ist eine Lösung, die qualitative Aussagen über Datensätze aus unterschiedlichen Systemen ermöglicht, aber gleichzeitig auch im Sinne einer möglichen Gesetzgebung datensparsam die schutzwürdigen Interessen der Betroffenen zu wahren. über das Modell der Pseudonymisierung werden Auswertungen möglich, die mit personenbezogenen Individualdaten datenschutzrechtlich unzulässig wären. Gleichzeitig ermöglicht die Erfindung aber auch eine Reidentifizierung der Datensätze, allerdings unter kontrollierten und damit vorgegebenen Voraussetzungen.

Die Erfindung soll einen Beitrag zur Einhaltung des Datenschutzes bieten, indem sie durch die Pseudonymisierung vor einer unzulässigen Nutzung geschützt werden. Hierdurch wird dem Datenschutzmanagement eine zentrale Rolle zugewiesen, denn es sichert Kunden- oder Personaldaten vor unzulässigen Zugriffen und Verarbeitungen und leistet damit eine wichtige Voraussetzung ^• für die Akzeptanz der Verarbeitung bei den Betroffenen.

Gelöst wird diese Aufgabe durch eine Erfindung mit den Merkmalen der unabhängigen Ansprüche.

Zum Verständnis der Erfindung sind die folgenden Bereiche zu unterscheiden:

- Die Quelle der Daten (Source List) , aus der die personenbezogenen Daten gewonnen werden. Im Quellsystem können bspw. die Personaldaten einer Konzerntochter oder die Kundendaten eines Systems zur Erstellung von Rechnungen liegen.

- Der Empfänger (Zielsystem), der die Daten in der Regel anonymisiert erhält, aber unter „kontrollierten und festgelegten Bedingungen" zum Zweck einer späteren

Reidentifizierung diese Daten auch pseudonymisiert bekommen kann.

- Der T-IP (T-Identity-Protector) , in dem die Pseudonymisierung nach dem „Konzept des auf unterschiedliche Rollen verteilten Wissens" durchgeführt bzw. aufgehoben wird. Innerhalb des T-IP Systems ist die Verarbeitung der Daten auf unterschiedliche Rollen verteilt. Auf diese Rolle bzw. Komponenten wird weiter unten eingegangen. Wobei der zweistufige Prozess der Pseudonymisierung, wie er in den Ansprüchen beschrieben wird, ein wichtiger Aspekt ist.

Die Vorpseudonymisierung erfolgt in der Verantwortung des Quellsystems durch eine vom T-IP bereitgestellte Pseudonymisierungsbox bzw. Pseudonymisierungssytem (T-IP Client) . Der T-IP Client befindet sich vorzugsweise im Verantwortungsbereich der für das Quellsystem verantwortlichen Stelle. Die starke Pseudonymisierung findet dann im T-IP Master statt.

Für den Empfänger des Zielsystems ist zu klären, unter welchen Voraussetzungen er pseudonymisierte an Stelle von anonymisierten Daten erhalten darf und welche Anforderungen an den Grad der Pseudonymisierung zu stellen sind.

Zum anderen ist von Bedeutung, unter welchen Voraussetzungen eine Reidentifizierung zulässig ist.

Unter welchen Voraussetzungen eine Reidentifizierung zulässig sein soll, hängt vom jeweiligen VerwendungsZusammenhang ab.

Die Aufgabe der Pseudonymisierung übernimmt der T-IP auf der Basis eines nach unterschiedlichen Rollen verteilten Wissens bezeichneten Modell, das im Folgenden in den wesentlichen Grundzügen zusammengefasst dargestellt wird.

Das Prinzip des auf unterschiedliche Rollen verteilten Wissens soll eine wirkungsvolle Pseudonymisierung ermöglichen und eine

unkontrollierte Reidentifizierung verhindern. Hierzu wird sowohl das für die Pseudonymisierung als auch das für die Reidentifizierung erforderliche Wissen auf unterschiedliche Rollen verteilt. Der Informationsfluss zwischen diesen Rollen ist technisch unterstützt reglementiert, um eine regelwidrige Reidentifizierung zu verhindern. Die Sicherheit des Verfahrens kann dadurch erhöht werden, dass einzelne Rollen Dritten außerhalb der für den T-IP verantwortlichen Stelle zugewiesen werden können.

Der T-IP übernimmt dabei vorzugsweise die folgenden Aufgaben: das Pseudonymisieren, das Erkennen fehlerhafter Daten, die verschlüsselte übermittlung der Daten an einen Empfänger unter der Voraussetzung einer sicheren Authentifizierung, das Vorhalten pseudonymisierter Daten für Auswertungszwecke, die statistische Auswertung pseudonymisierter Daten, das Generieren, Verwalten und Löschen der Informationen zur Pseudonymisierung und zur Reidentifizierung und die Unterstützung der Reidentifizierung.

Der T-IP besteht hierbei in seiner bevorzugten Ausführungsform aus den folgenden Komponenten, dem T-IP Client, dem T-IP Master, der T-IP Trusted Database (T-DB) und der Vertrauensstelle .

Der T-IP Client steht in der Verantwortung des Quellsystems, so dass weder der Betreiber des T-IP Masters bzw. der T-DB noch das Zielsystem einen Zugriff auf die in dem T-IP Client durchgeführte Vorpseudonymisierung hat. Die technische Funktionalität des T-IP Clients ist aber Bestandteil der Dienstleistung des T-IP.

Im T-IP Master erfolgt die Verarbeitung der pseudonymisierten Datensätze, aber nicht die Verwaltung der Pseudonyme.

Die T-DB verwaltet die Pseudonyme und ihre Identifikatoren im Zusammenwirken mit der Vertrauensstelle. Datensätze werden

aber von T-DB mit Ausnahme der Quell-ID der Datensätze nicht verarbeitet .

Ohne Vertrauensstelle kann eine Reidentifizierung der pseudonymisierten Daten nicht angestoßen werden. Ihre Rolle darf daher nicht von dem Betreiber des T-IP Master bzw. der T- DB übernommen werden.

Der Ablauf der Pseudonymisierung läuft nach dem folgenden Schema ab.

Der T-IP Client erhält personenbezogene Daten aus einem mit einer Quell-ID versehenen Quellsystem. Er erstellt aus Name, Geburtsdatum und anderen eindeutigen Identifikatoren ein Vorpseudonym (PI) mit Hilfe einer geschützten Hash-Funktion und liefert den PI an das Quellsystem. Ferner können mögliche Identifikatoren wie Geburtsdatum oder Postleitzahl auf zur Auswertung notwendige Klassen wie Geburtsjahr oder Postleitzahlbereich reduziert werden.

Der so aufbereitete Datensatz wird mit einer Quell-ID versehen, die auf die Ursprungsdatei im Quellsystem verweist, und vorzugsweise einem Prüfwert, um die Integrität der Daten sicherzustellen .

Diese vorpseudonymisierten Datensätze werden an den T-IP Master übermittelt. Der T-IP Client löscht dann die von dem Quellsystem erhaltenen personenbezogenen Daten.

Der T-IP Client steht im Verantwortungsbereich des Quellsystems. Er wird der für das Quellsystem verantwortlichen Stelle von dem T-IP ausschließlich für den Zweck der Pseudonymisierung zur Verfügung gestellt. Die Pseudonymisierung erfolgt in einer Art Black Box.

Nach Abschluss der Pseudonymisierung verfügt das Quellsystem über die Ausgangsdaten, die Quell-ID sowie den PI, während im T-IP Client nach der übermittlung der vorpseudonymisierten

Daten alle Daten gelöscht wurden. Der T-IP Master bekommt vom Quellsystem mit Unterstützung des T-IP Client den mit PI vorpseudonymisierten Datensatz sowie die Quell-ID, die auf die Datenbank des Quellsystems verweist.

Der T-IP Master empfängt die vom T-IP Client für diese Anforderung generierten vorpseudonymisierten Datensätze.

Daraufhin erstellt er zu jedem Datensatz ein Pseudonym (PPI), das aus dem Vorpseudonym (PI) und der Quell-ID, und vorzugsweise einem Streuwert (Salt) und einem Zeitwert generiert wird, und bildet vorzugsweise aus kritischen personenbezogenen Daten statistische Klassen (SD) , und verändert die Datenfelder vorzugsweise, die in Kombination mit anderen Informationen eine Reidentifizierung ermöglichen, und gibt sie als unkritische Daten (UD) an das Zielsystem weiter.

Weiterhin werden standardmäßig die jeweiligen Datensätze ohne Pseudonym (PPI) an das Zielsystem übermittelt.

Wobei Datensätze mit dem Pseudonym (PPI) an das Zielsystem nur auf besondere Anforderung transferiert werden. In diesem Fall werden für Zwecke einer späteren Reidentifizierung die Informationen aus den Feldern PPI, Quell-ID, PI und Zeitwert an die T-DB übermittelt.

Nach Abschluss der Pseudonymisierung werden die Daten gelöscht .

Für Standardauswertungen werden nur anonymisierte Datensätze (ohne PPI) an das Zielsystem ausgeliefert. Sollen die Datensätze nach einer solchen Auswertung reidentifiziert werden können, dann werden die Datensätze mit den Pseudonymen (PPI) an das Zielsystem übermittelt.

Durch die doppelte Pseudonymisierung - der Vorpseudonymisierung im T-IP Client unter der Verantwortung des Quellsystems, der nachfolgenden Pseudonymisierung im T-IP

Master sowie der Verwaltung der Pseudonyme in der T-DB - wird eine unkontrollierte Reidentifizierung im Zielsystem verhindert .

Das Zielsystem kann den PPI in Zusammenarbeit mit der T-DB zwar dem Vorpseudonym PI zuordnen, aber letztere kann PI über die Quell-ID nur in Zusammenwirken mit dem Quellsystem reidentifizieren.

Eine Reidentifizierung kann auch nicht durch ein Zusammenwirken zwischen Zielsystem und T-IP Master erfolgen, denn letzterer hat nach Abschluss der Pseudonymisierung keine Daten mehr gespeichert.

Eine Reidentifizierung ist also nur mit Hilfe der Informationen aus dem jeweiligen Quellsystem möglich. Dieses trägt jedoch gegenüber dem Betroffenen die Verantwortung, wenn es das Pseudonym aufdeckt und dadurch eine rechtfertigungsbedürftige übermittlung personenbezogener Daten an das Zielsystem auslöst.

Figurenbeschreibung :

Die folgenden Figuren dienen zum besseren Verständnis der Erfindung im Einzelnen zeigt:

Fig. 1 die Komponenten Source List (SL) , den T-IP Client, den Master IP, der den Personal Identifier (PI) aus dem der Pseudonymmous-Personal-Identifier (PPI) generiert wird und mit statistischen Daten (SD) und unkritischen Daten (UD) weitergeleitet wird and die Trusted Database (T-DB) bzw. die Quelle;

Fig. 2 zeigt den Aufbau des T-IP Client;

Fig. 3 zeigt die Ablage der Daten in einer T-DB;

Fig. 4 zeigt den Ablauf im T-IP Master;

Fig. 5 zeigt die verschlüsselte Ablage in der Datenbank;

Fig. 6 zeigt die Zuordnung der Person zu einer PI für die Reidentifizierung;

Beschreibung der bevorzugten Ausführungsform:

Der in den Fig. 1 und 2 dargestellte T-IP Client verarbeitet personenbezogene Daten aus Quell-Datenbanken ^• (Source Lists) . Aufgabe des T-IP Clients ist es, personenbezogene Daten des Quellsystems aufzubereiten, zu pseudonymisieren, in einer bevorzugten Ausführungsform zu verschlüsseln und an den T-IP Master zu übertragen, der detailliert in den Fig. 3 und 4 gezeigt wird.

Die Vorpseudonymisierung erfolgt in einer P-Box des T-IP Clients, die dem Quellsystem von dem T-IP-System bereitgestellt wird, aber unter der Verantwortung des für das Quellsystem Verantwortlichen arbeitet. Jedes Quellsystem verfügt über eine P-Box. Die rechtliche Verantwortung für die Pseudonymisierung und die übermittlung ^" der vorpseudonymisierten Datensätze (PI) liegt bei der für das Quellsystem verantwortlichen Stelle.

Unter der Voraussetzung, dass in den Quelldatenbanken eine einheitliche Datenaufbereitung erfolgt, ist die Bildung eines einheitlichen Vorpseudonyms PI möglich. Die Vorpseudonymisierung in der P-Box erfolgt mit einem anspruchsvollen Verfahren, um eine Reidentifizierung innerhalb des T-IP oder durch Angriffe auf der übermittlungsstrecke vom T-IP Client an den T-IP Master zu verhindern. Die Weitergabe der vorpseudonymisierten Datensätze an den T-IP Master sollte bevorzugt verschlüsselt erfolgen. Sichergestellt soll sein, dass die Datensätze tatsächlich von dem adressierten T-IP

Master und keinem Dritten empfangen werden (Authentifizierung mit Zertifikat) .

Als Vorpseudonym werden der Name in Verbindung mit weiteren Identifikationsmerkmalen wie das Geburtsdatum, der Geburtsort und weitere eindeutige Identifikatoren (Personalnummer, Kundennummer u. ä.) zugrunde gelegt. Diese Identifikatoren werden in der Pl Box des T-IP Clients durch einen Algorithmus so verändert, dass die entstandene Zeichenkette für einen Angreifer (ohne Kenntnisse eines Datensatzes) keinen Sinn ergibt. Die Zeichenkette wird anschließend durch eine Hash- Funktion in das Vorpseudonym PI überführt.

Im Rahmen der Vorpseudonymisierung sollen personenbezogene Daten bereits in Datenklassen übertragen werden (z. B. Geburtsdatum -> Geburtsjahr, PLZ -> PLZ-Bereich usw. siehe Fig. 2) . Die übertragung in Datenklassen erfolgt bei der Installation des Systems (Customizing) unter Berücksichtigung der Anforderungen an die Auswertung. Auf diese Weise soll eine Reidentifizierung der vorpseudonymisierten Datensätze erschwert werden. Das Verfahren dient nur zur (Vor- ) Pseudonymisierung der Datensätze aus den Quellsystemen, bevor sie an den T-IP Master übermittelt werden (siehe Fig. 1 und Fig. 6) . Die damit erreichte Qualität der Pseudonymisierung ist aber ggfs. noch nicht ausreichend, um die Datensätze an das Zielsystem übergeben zu können.

Vor der übertragung an den T-IP Master wird der vorpseudonymisierte Datensatz mit einer Quell-ID und einem Prüfwert versehen. Die Quell-ID liefert der T-DB die Information, aus welchem Quellsystem ein zur Reidentifizierung angeforderter Datensatz stammt. Der Prüfwert garantiert dem T- IP Master die Integrität des übermittelten Datensatzes.

7 000452

12

Damit die Daten eine hohe Aussagekraft haben, sollten die einbezogenen Quellsysteme einen einheitlich gepflegten Datenbestand haben. Probleme treten z.B. auf, wenn die Quellsysteme bspw. Datumsangaben oder Personalnummern unterschiedlich darstellen. Nur wenn derartige formatierungsbedingte Ungleichheiten ausgeräumt werden, kann ein Doppelabgleich über die Vorpseudonyme (PI) aus den Quellsystemen durchgeführt werden. Ziel dieser Maßnahme ist es, Datensätze einer Person auch dieser als Merkmalsträger zuordnen zu können. Allerdings müssen für einen solchen Doppelabgleich die betreffenden Datensätze im vorpseudonymisierten Zustand im T-IP Master zwischengespeichert werden. Da im T-IP Master die Quell-ID zur Bildung des Pseudonyms (PPI) herangezogen wird, werden aus identischen PI unterschiedliche Pseudonyme PPI erzeugt.

Standardmäßig werden Daten aus dem T-IP Master an ein Zielsystem ohne die zugehörigen Pseudonyme ausgeliefert. Das Zielsystem erhält also im Regelfall nur anonymisierte Daten. Diese Daten können auch im T-IP Master nicht mehr reidentifizieren werden, weil dieser Pseudonyme nicht auf Vorrat aufbewahrt.

Etwas anderes gilt, wenn ein Zielsystem Datensätze „mit der Möglichkeit zur späteren Reidentifizierung" anfordert.- Nur in diesem Fall werden im T-IP Master zu jedem Datensatz Pseudonyme (PPI) gebildet. Hierzu wird aus dem Vorpseudonym

(PI) in Permutation mit einem Zeitstempel, einem Streuwert und der Quell-ID sowie durch eine Hash-Funktion der PPI erzeugt

(siehe Fig. 4) . Für eine spätere Reidentifizierung wird die Zuordnung des PPI zu der entsprechenden Quell-ID und der PI in der Trusted Database (T-DB) abgelegt (Siehe Fig. 3, 5 und 6) .

Es ist nicht erforderlich, zusätzlich den Zeitwert zur Bildung des PPI aus den PI in der T-DB abzulegen, da er keine Funktion erfüllt. Es reicht, einen einfachen Datumseintrag abzulegen,

um sicherzustellen, dass die Zuordnungsdatensätze nach einer vorgegebenen Frist gelöscht werden. Es können einem PI mehrere PPI zugewiesen sein, da bei jeder Anforderung einer Auswertung mit der Möglichkeit zur Reidentifizierung aus jedem PI ein neues PPI gebildet wird.

Je nach Auswertungsart und Anzahl der zugrunde liegenden Datensätze werden im T-IP Master statistische Klassen (SD) gebildet. Auf diese Weise können z. B. Altersgruppen oder Postleitzahlbereiche zusammengefasst werden. Allerdings sollten die statistischen Datenklassen nicht zu fein gewählt sein, weil andernfalls eine Reidentifizierung möglich wäre. So lässt eine" Datenklasse der Form „Firmenzugehörigkeit in Monaten" sowie einer Aufteilung nach Altersstufen in einzelne Jahre bereits eindeutige Rückschlüsse auf die Person zu. Auch die Bildung einer statistischen Klasse bspw. nach der Gruppe „der Anfangsbuchstaben des Nachnamens (A-C)" ergibt für Auswertungen wenig Sinn und würde die Bemühungen um eine Pseudonymisierung unterlaufen. Nur die Datenfelder, die praktisch keinen Personenbezug besitzen und bei denen zu jeder Ausprägung genügend Datensätze zusammengefasst werden, können als unkritische Daten (UD) unverändert bleiben. Besitzen Ausprägungen eines Datenfeldes nur wenige Einträge, so wird dieses Datenfeld als nicht auswertbar gekennzeichnet.

Dem Zielsystem darf es nicht möglich sein, die PPI auf eine Person zurückzuführen und auf diese Weise eine Reidentifizierung durchzuführen. Um eine Reidentifizierung von statistischen Daten (SD) im Data-Warehouse-System des Zielsystems zu verhindern, darf die Anzahl der übermittelten Daten nicht zu groß werden. Die Kontrolle über die Art und Anzahl der übermittelten Datensätze übernimmt in einer bevorzugten Ausführungsform eine Datenschutzkonsole. Die Daten auf dem Zielsystem sind nach Ablauf einer definierten Frist zu löschen.

Alle Datenübertragungen zwischen den Rollen bzw. Systemen finden vorzugsweise verschlüsselt statt. Die miteinander kommunizierenden Systeme haben sich vorzugsweise über ein Zertifikat zu authentifizieren.

Der T-IP Master fordert auf Anforderung eines Zielsystems zum Zwecke einer Auswertung von den T-IP Clients der betreffenden Quellsysteme Daten an. Der T-IP Client muss sich vergewissern, dass die Anforderung vom T-IP Master kommt. Der T-IP Client darf nur vorpseudonymisierte Daten und diese auch nur an den T-IP Master übermitteln.

Ein Zielsystem fordert für eine Auswertung von dem T-IP Master Daten an. Der T-IP Master soll auf diese Anforderung nur reagieren, falls sie von einem berechtigten Zielsystem kommt ^' . Der T-IP Master übermittelt nur anonymisierte bzw. pseudonymisierte Daten und diese auch nur an das anfordernde Zielsystem.

Ein weiterer Export der Daten durch das Zielsystem an Dritte ist zu unterbinden.

Ein Verantwortlicher eines Zielsystems fordert unter Angaben von Gründen von der Trusted-Database (T-DB) die Reidentifizierung von ausgewählten PPI einer bestimmten Auswertung an (Fig. 6) . Die T-DB selbst ist nicht in der Lage, die PPI zu reidentifizieren. Sie verfügt nur über verschlüsselte Informationen (Fig. 5) , in welchem Quellsystem die jeweiligen Datensätze zu reidentifizieren sind. Eine Reidentifizierung ist vorzugsweise nur mit Hilfe der Vertrauensstelle möglich. Es ist also Aufgabe der Vertrauensstelle, die Zulässigkeit der Reidentifizierung zu prüfen und sie freizugeben.

Erst nachdem drei Vertrauensinstanzen der Vertrauensstelle ihre Schlüsselfragmente (siehe Fig. 5) zur Verfügung gestellt haben, kann in der T-DB der private Schlüssel der

Vertrauensstelle gebildet werden, um den Session Key zu entschlüsseln. Erst dieser Session Key erlaubt die Entschlüsselung der Zuordnungsdaten (PPI - PI - Quell-ID) .

Die T-DB kann erst nach dieser Prozedur die zu den PPI zugehörenden PI an das mit Hilfe der Quell-ID identifizierte Quellsystem, senden. Nur das Quellsystem ist in der Lage, die zu PI gehörende Person zu identifizieren, weil es entweder den PI gespeichert hat oder aber die PI der betreffenden Datensätze über den T-IP Client neu errechnet und mit dem nachgefragten PI abgleicht. Das Quellsystem prüft und entscheidet, ob es die Identität der Person zu dem betreffenden PI gegenüber dem Zielsystem aufdecken darf.

Der T-IP Master sollte einen überblick darüber haben, welches Zielsystem welche Auswertungen anfordert und wie viele Datensätze an das betreffende Zielsystem bereits ausgeliefert worden sind. Es sollte eine grafische Darstellung der Kontrollzahlen erfolgen, so dass auch ein technischer Laie die Quantität und Qualität der Datenflüsse erkennen und bewerten kann. Sämtliche Anforderungen zu einer Reidentifizierung werden protokolliert.

Eine periodisch wiederkehrende, d.h. tägliche, wöchentliche und auch monatliche Benachrichtigung per Email über Art und' Zahl der Anforderungen und übermittlungen ist vorteilhaft. Zusätzlich sollte eine Anwendung vorhanden sein, die die übermittlungszahlen von einzelnen Zielsystemen auflistet und darstellt. Zur Kontrolle der T-IP Clients erfolgt eine Auswertung der Protokolle der von dort übersandten Daten (Quelle, Ziel, Zeit, Aktion) , um eine fehlerfreie Funktion der T-IP-Clients nachvollziehen zu können.

Die T-DB speichert die ihm vom T-IP Master übermittelten Zuordnungsdaten (PPI, Quell-ID, Zeitwert, PI) ab, wobei die drei zuletzt genannten Felder symmetrisch (mit einem Session Key) verschlüsselt werden. Die T-DB verschlüsselt den Session

Key asymmetrisch mit dem öffentlichen Schlüssel der Vertrauensstelle und legt ihn anschließend in der Datenbank ab. Sie teilt den privaten Schlüssel der Vertrauensstelle bei seiner Erzeugung in mehrere Teile (Mehr-Augen-Prinzip) , liefert die Teilschlüssel an die entsprechende Zahl von Vertrauensinstanzen aus und löscht sie im eigenen System.

Sie ermöglicht somit eine spätere Zuordnung von PPI zu PI und Quell-ID, wenn die drei Vertrauensinstanzen ihre Schlüsselteile zur Verfügung stellen, und löscht die Zuordnungsdatensätze (PPI, Quell-ID, Zeitwert, PI) nach einem definierten Zeitraum.

Möchte das Zielsystem einen mit einem PPI versehenen Datensatz reidentifizieren lassen, dann kann die T-DB den PPI lediglich dem entsprechenden PI und seiner Quell-ID zuordnen. Anschließend hat die T-DB die Anfrage nach einer Reidentifizierung des PI an das Quellsystem zu richten, das für die Zuordnung des PPI zum PI den T-IP Client benötigt. Die Reidentifizierung kann aber nur veranlasst werden, wenn die Vertrauensstelle alle Teile des Schlüssels zur Verfügung stellt, um die Zuordnung des PPI zum PI im T-DB zu entschlüsseln. Eine Zuordnung des PPI zum PI ist nur über das Quellsystem möglich. Das Zielsystem kann eine Reidentifizierung also nur veranlassen, wenn die T-DB, die Vertrauensstelle sowie das Quellsystem zusammenwirken. Aus der Sicht des Betroffenen ist eine Reidentifizierung seiner pseudonymisierten Daten nur möglich, wenn das Quellsystem diese dadurch ermöglicht, dass es die Identität des Pseudonyms gegenüber der Vertrauensstelle bzw. dem Zielsystem aufdeckt. Dieser Fall entspricht dem einer übermittlung der personenbezogenen Daten an einen Dritten.

Die Vertrauensstelle (Fig. 6) sichert die Zuordnung von PPI zu PI und Quell-ID, weil nur mit ihrem privaten Schlüssel der

Datensatz mit der Zuordnung entschlüsselt werden kann. Die Vertrauensstelle schützt vor einem unbefugten Zusammenwirken, indem der private Schlüssel von der T-DB auf typischerweise drei Vertrauensinstanzen verteilt wird (Bspw. Betriebsrat, Geschäftsführung und Datenschutzbeauftragter) , so dass eine Entschlüsselung der Zuordnung von PPI zu PI und Quell-ID nur möglich ist, wenn diese Vertrauensinstanzen ihre Teilschlüssel zusammenfügen .

Die Vertrauensstelle gibt die Zuordnung von PPI zu PI und Quell-ID aus der T-DB frei, indem sie den Zuordnungsdatensatz entschlüsselt .

Die Beschreibung der bevorzugten Ausführungsform stellt lediglich eine mögliche Ausführungsform bereit, die nicht beabsichtigt, die folgenden Ansprüche zu beschränken.