Anonymisierung mit kontrollierter Reidentifikation

Für das Krebsregister Rheinland-Pfalz wird ein Registrierungsverfahren vorgeschlagen, das neben dem Melderecht des Arztes zwei wesentliche Schutzvorkehrungen enthält: Das Verfahren (auch als "Michaelis-Modell" bezeichnet) ist im folgenden vereinfacht dargestellt.

Die Vertrauensstelle soll (und deswegen wurde der Name gewählt) als verlängerter Arm des Arztes die Kommunikation mit dem Register übernehmen. Sie nimmt die Meldungen der Ärzte entgegen und zwar mit den vollen Identitätsdaten. Sie wird von einer Ärztin geleitet, ihre Mitarbeiter sind an die ärztliche Schweigepflicht gebunden. Die Vertrauensstelle anonymisiert den Datensatz und leitet ihn dann an die Registerstelle weiter. Sie speichert selbst keine Daten und vernichtet die Identitätsdaten. Die Anonymisierung wird durch Verschlüsselung erreicht; die kontrollierte Reidentifikation ist dadurch möglich, daß ein asymmetrisches Verfahren verwendet wird. Ein asymmetrisches Verschlüsselungsverfahren benützt für Verschlüsselung und Entschlüsselung verschiedene Schlüssel, hier "Hauptschlüssel" und "Rückschlüssel" genannt. Es ist unmöglich, aus der Kenntnis des Hauptschlüssels den Rückschlüssel zu bestimmen.

Die Registerstelle speichert von jedem Datensatz die verschlüsselten Identitätsdaten (einschließlich Kontrollnummern) und die epidemiologischen Daten. Die verschlüsselten Identitätsdaten erlauben im Normalfall, Mehrfachmeldungen zu erkennen, ohne die Identität der gemeldeten Person offen legen zu müssen. Die Registerstelle hat nicht die Möglichkeit, durch Probeverschlüsselung zu prüfen, ob zu einer bestimmten Person Daten gespeichert sind. Somit kann sie auch Betroffenen keine Auskunft über gespeicherte Daten geben.

Die externe Stelle verwahrt den Rückschlüssel und tritt nur in Erscheinung, wenn Daten reidentifiziert werden müssen. Die Entschlüsselung der Identitätsdaten (in erlaubten Fällen) ist nur mit Hilfe des Rückschlüssels möglich. Vorgeschlagen ist das Statistische Landesamt; ob dies aus dem Gesichtspunkt des Datenschutzes die optimale Lösung ist, sei dahingestellt.

Was sollen nun noch die Kontrollnummern? Synonyme, d. h. Meldungen der gleichen Person mit fehlerhaften Daten, sollen mit möglichst hoher Wahrscheinlichkeit erkannt werden. Dazu reichen die verschlüsselten Identitätsdaten nicht, denn jede noch so kleine Abweichung in den Originaldaten bewirkt eine völlige Änderung der verschlüsselten Daten. Und leider sind Fehlmeldungen dieser Art so häufig, daß die von den Epidemiologen gewünschte Datenqualität nicht gewährleistet ist. Die Kontrollnummern werden aus den Identitätsdaten durch Einweg-Verschlüsselung gewonnen, d. h., eine Entschlüsselung ist völlig unmöglich, auch nicht mit einem speziellen Schlüssel. Sie werden in der Vertrauensstelle gebildet und bei der Registerstelle zusammen mit dem zugehörigen Datensatz gespeichert. Es werden verschiedene Kontrollnummern gebildet, wobei nur der Familienname durch frühere Namen oder eine phonetischen Version ersetzt wird. Auf diese Weise sollten, wenn auch nicht alle, so doch genügend viele fehlerbehaftete Mehrfachmeldungen erkannt werden, ohne daß im Normalfall eine Entschlüsselung notwendig wird.

Ob das System der Kontrollnummern nicht eine Schwächung der faktischen Anonymisierung bewirkt, muß aber noch gründlich überprüft werden, bevor es in die Routineanwendung übernommen wird.


Zurück zum Artikel über Krebsregister