gms | German Medical Science

Einleitung und Fragestellung: In verschiedenen Anwendungsfällen der medizinischen (Verbund)Forschung besteht die Anforderung, medizinische Daten aus einem Quellsystem A in ein Zielsystem B zu exportieren. Beispiele dafür sind der Export aus einem klinischen System in ein Clinical Data Warehouse oder aus einem Krankheitsregister in eine externe Forschungsdatenbank. Aus Datenschutzgründen findet dabei oft eine Pseudonymisierung zweiter Stufe statt, d.h. es gelten folgende Bedingungen:

• Mehrere Datensätze eines Patienten sollen in beiden Systemen einander zuordenbar sein.
• Ein Patient ist in A und B jeweils nur unter dem lokalen Pseudonym PID_A bzw. PID_B bekannt.
• Die Zuordnung zwischen PID_A und PID_B kann nur ein zentraler, unabhängiger Pseudonymisierungsdienst (PSD) herstellen.
• Dem Pseudonymisierungsdienst dürfen wiederum die übermittelten medizinischen Daten nicht zugänglich sein.

Material und Methoden: Für den Datenschutz in deutschen medizinischen Forschungsnetzen haben sich die generischen Datenschutzkonzepte der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. (TMF) [1] als de-facto-Standard etabliert. Diese sehen für die Umsetzung des genannten Anwendungsfalls die folgenden zwei Lösungen vor:

1. Übermittlung über den Pseudonymisierungsdienst: Bei diesem Verfahren werden die zu exportierenden Daten über den PSD an das Zielsystem geschickt und dabei umpseudonymisiert. Die Vertraulichkeit der medizinischen Daten ist durch die Verwendung asymmetrischer Verschlüsselung gewährleistet:
a. A verschlüsselt die MDAT asymmetrisch mit dem öffentlichen Schlüssel von B.
b. A übermittelt PID_A sowie das resultierende Chiffrat MDAT*an den PSD.
c. Der PSD ersetzt PID_A durch PID_B und leitet das Datenpaket an B weiter.
d. B entschlüsselt MDAT* mit seinem privaten Schlüssel und kann mittels PID_B die Daten richtig zuordnen.

2. Übermittlung per Ticketverfahren: Die medizinischen Daten werden zusammen mit einem temporären Zugriffsticket verschickt, mit dessen Hilfe das Zielsystem das für es gedachte Pseudonym erkennt:
a. A übermittelt PID_A an den PSD.
b. Der PSD erstellt ein temporäres Zugriffsticket TKT und übermittelt TKT und PID_B an System B, welches diese Zuordnung speichert.
c. Der PSD gibt TKT an System A zurück.
d. A übermittelt MDAT und TKT an System B.
e. B kennt den zu TKT gehörigen PID_B und kann die Daten richtig zuordnen.

Beide Lösungen haben den Nachteil, dass sie bestimmte Eigenschaften der Schnittstellen der beteiligten Systeme voraussetzen:

• In Lösung 1 ist die Schnittstelle, mit der Daten von A nach B transferiert werden, durch den PSD vorgegeben.
• In Lösung 2 muss B eine vorgegebene Eingangsschnittstelle implementieren, über die das Ticket mitgeteilt wird, und die Zuordnung Ticket-PID_B speichern.

Die alternative Lösung, die wir hiermit vorschlagen, nutzt wie Lösung 1 das Werkzeug der asymmetrischen Verschlüsselung, wendet diese aber auf das Zielpseudonym anstelle der MDAT an.

Ergebnisse: Das von uns vorgeschlagene alternative Verfahren zur Pseudonymisierung zweiter Stufe läuft wie folgt ab:

1.

A übermittelt PID_A an den PSD

2.

Der PSD bestimmt den zugehörigen PID_B und verschlüsselt diesen asymmetrisch mit dem öffentlichen Schlüssel von B. Das Chiffrat PID_B* wird an A zurückgegeben.

3.

A übermittelt PID_B* und MDAT an B.

4.

B kann PID_B* mit seinem privaten Schlüssel entschlüsseln und somit die Daten zuordnen.

Diskussion: Im Unterschied zur Übermittlung der Daten über den PSD können A und B die Schnittstelle zum Upload der Daten frei aushandeln. Beispielsweise können MDAT und das verschlüsselte Pseudonym in einer gemeinsamen Datenstruktur behandelt werden. Da B das Pseudonym PID_B selbst aus dem Chiffrat ermitteln kann, entfällt im Vergleich zum Ticketverfahren der Kommunikationsweg zwischen PSD und B (Mitteilen der Zuordnung TKT-PID_B), was zum einen die Zahl der Netzwerkzugriffe verkleinert und zum anderen eine Authentifizierung des PSD gegenüber B unnötig macht.

Voraussetzung für die Sicherheit des Verfahrens ist, neben der Absicherung der Kommunikationswege, die Verwendung eines sicheren kryptographischen Algorithmus zur Erzeugung der Chiffrate. Hierfür eignet sich das RSA-Verfahren, welches breite Unterstützung findet und für das bislang keine prinzipiellen Schwachstellen bekannt geworden sind [2], [3]. Neben einer hinreichenden Schlüssellänge ist sicherzustellen, dass die Versschlüsselung randomisiert arbeitet, also die wiederholte Verschlüsselung eines Klartextes verschiedene Chiffrate erzeugt. Dies verhindert Angriffe durch Probeverschlüsselung, die sonst wegen der üblicherweise begrenzten Länge von Pseudonymen erfolgreich möglich wären.

Die Autoren setzen das vorgestellte Verfahren bereits praktisch in der IT-Infrastruktur des Deutschen Konsortiums für Translationale Krebsforschung (DKTK) ein. Ein detaillierterer Vergleich von Verfahren zur Pseudonymisierung zweiter Stufe in Hinblick auf Datenschutz und -sicherheit ist im Rahmen einer zukünftigen Publikation geplant.