Verteilte Anonymisierung von vertikal partitionierten Daten

Das Erheben und Verarbeiten von sensiblen, personenbezogenen Informationen zur statistischen Auswertung ist im medizinischen Umfeld unerlasslich. Aufgrund der Vertraulichkeit der Daten kann eine Veroffentlichung ausschlieslich anonymisiert erfolgen. Die De-Identifikation der Daten durch das Entfernen direkt identifizierender Attribute wie dem Namen reicht jedoch nicht aus um die Privatsphare eines Individuums zu schutzen. Moderne Konzepte zum Schutz der Privatsphare schaffen die Voraussetzung zur Veroffentlichung der Daten unter Einhaltung strenger Datenschutzrichtlinien. Das Konzept der k-Anonymisierung ermoglicht eine Veroffentlichung der Daten ohne deren Semantik zu verandern. Zu diesem Zweck folgt das Prinzip der k-Anonymisierung syntaktischen Vorgaben bezuglich der Form der Veroffentlichung. Die t-Closeness stellt eine vielbeachtete Weiterentwicklung der k-Anonymisierung dar. Sie bezieht die Semantik der Daten in die Anonymisierung ein. Diese Konzepte wurden jedoch nicht fur die Anonymisierung raumlich getrennter Daten entwickelt. Dieses Problem entsteht durch die zunehmende Dezentralisierung von Daten. Vielfach erheben verschiedene Institutionen Daten unterschiedlicher Semantik uber die gleiche Person. Diese vertikale Partitionierung der Daten stellt neue Anforderungen an Verfahren zum Schutz der Privatsphare. Wahrend Methoden der dezentralen Anonymisierung mithilfe der k-Anonymisierung existieren, ist dies fur das Konzept der t-Closeness nicht der Fall. Die vorliegende Arbeit wird diese Lucke schliesen und Anforderungen analysieren, unter denen eine verteilte Datenanonymisierung uber vertikal partitionierten Daten mittels des Konzepts der t-Closeness moglich ist. Auf dieser Grundlage wird ein kryptografisches Protokoll zur verteilten Datenanonymisierung mithilfe der t-Closeness konzeptionell entwickelt.%%%%The collection of personally identifying information for statistical analysis is inevitable in the context of medical environments. Due to the sensitive nature of the data collected the data has to be anonymized prior to publication. Privacy mechanism like de-identification seek to protect sensitive data by removing directly identifying information like the name of a person. However, it has been shown that de-identification is not sufficient to protect sensitive information. Advanced privacy mechanisms are making the publication of data possible while meeting the demands of strict privacy laws. The concept of k-anonymity allows for the publication of data without loosing its semantics. To achieve this goal k-anonymity follows syntactical rules which operate on the structure of the data. The concept of t-closeness is a well-respected enhancement of k-anonymity. Its notion of privacy incorporates the semantics of data. However, these concepts were not designed to work on distributed data. Due to the increasing de-centralized organization of data this scenario becomes more and more relevant. Often different types of data about the same individual is being collected by more than one…