DE10156877A1

DE10156877A1 - Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten

Info

Publication number: DE10156877A1
Application number: DE2001156877
Authority: DE
Original assignee: M Net Medizinisches Daten GmbH
Current assignee: M Net Medizinisches Daten GmbH
Priority date: 2001-11-20
Filing date: 2001-11-20
Publication date: 2003-05-28
Anticipated expiration: 2021-11-21
Also published as: AU2002366114A1; DE10156877B4; WO2003044637A1

Abstract

Vorgeschlagen wird ein Verfahren und ein System zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten in einem elektronischen Datenbanksystem, insbesondere zum Abspeichern, Bereithalten und Bereitstellen von medizinischen Patientendaten. Das erfindungsgemäße Verfahren zeichnet sich durch die Schritte auf: Bereitstellen wenigstens eines Datenträgers, der einen privaten Schlüssel trägt, welcher zumindest einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet ist; Prüfen einer Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten; bei gegebener Eingabe-Zugangsberechtigung: Verschlüsseln von Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels; Abspeichern der verschlüsselten Nutzdaten in einer Datenbank; Prüfen der Zugriffs-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten; bei gegebener Zugriffs-Zugangsberechtigung: Auslesen der verschlüsselten Nutzdaten aus der Datenbank; Entschlüsseln der verschlüsselten Nutzdaten mittels des vom Datenträger getragenen Schlüssels. Das erfindungsgemäße System weist entsprechende Software- und Hardware-Funktionalitäten auf.

Description

Die vorliegende Erfindung betrifft ein Verfahren sowie ein System zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens, welches auf wenigstens einem Paar von öffentlichen und privaten Schlüsseln beruht.
Um persönliche Daten, wie beispielsweise Konteninformationen von Bankkunden oder so genannten Patientenakten, d. h. Informationen über diagnostische und therapeutische Behandlungen eines Patienten, in einer EDV- gestützten Datenbankeinrichtung zu speichern und zu verwalten, sind besondere Maßnahmen nötig, die den Schutz der gespeicherten Daten vor Zugriffen Unberechtigter gewährleisten. Insbesondere muss gerade im letztgenannten Fall als Voraussetzung für die digitale Erfassung und Verarbeitung von Patientendaten in einer EDV-gestützten medizinischen Datenplattform sichergestellt werden, dass die betreffenden Patienten nicht nur in die digitale Erfassung und Verarbeitung ihrer Daten einwilligen, sondern auch zu jeder Zeit einem Zugriff auf die gespeicherten Daten zu ihrer Person zustimmen oder diesen verweigern können.

Verfahren und Systeme zum sicheren Speichern und Zugreifen auf in einer elektronischen Datenbank gespeicherte Daten sind bekannt. Während die im medizinischen Bereich seit Jahren in Deutschland eingeführte Krankenversicherungskarte lediglich als Ausweis für den Patienten dient, der keinerlei Informationen über medizinische Behandlungen enthält, gibt es Bemühungen, auf einer solchen Karte zusätzlich weitere Informationen über erfolgte Behandlungen eines Patienten zu speichern. Aufgrund des beschränkten Speicherplatzes, der auf heute gängigen Speicher- bzw. Chipkarten zur Verfügung steht, konzentrieren sich die Bemühungen darauf, solche Karten zur Speicherung der einem Patienten verschriebenen Medikamente nebst einer entsprechenden Dokumentation der Wirkungen dieser Medikamente zu nutzen. Problematisch ist bei diesem Verfahren neben der bereits erwähnten notwendigen Beschränkung der Datenmenge aufgrund des zur Verfügung stehenden Speicherplatzes jedoch auch, dass aus Datenschutzgründen jede dieser Karten so gesichert sein muss, dass die darauf enthaltenen Daten bei Verlust der Karte nicht von Unbefugten ausgelesen oder gar verändert werden können. Aus diesem Grunde lassen sich auf den heute verwendeten Krankenversicherungskarten nur ein einziges Mal bei der Herstellung der Karte Daten speichern, was diese Karten für die beschriebenen Anwendungen gänzlich ungeeignet macht. Weiterhin besteht bei Speicherung von Patientendaten auf einer Speicherkarte, die der Patient mit sich führt, das Problem, dass alle Daten verloren gehen, wenn der Patient die Karte verliert.

Weiterhin existieren zahlreiche Datenbanksysteme, bei denen Daten in einer zentralisierten Organisationsform auf entsprechenden Datenbankservern gespeichert werden und von dort abrufbar sind. Üblicherweise sind die auf dem jeweiligen Datenbankserver liegenden Daten dadurch gesichert, dass zum Zugriff auf die diesen Daten entsprechenden Dateistrukturen eine Zugriffsberechtigung abgefragt wird. Dies kann z. B. in der Form von zum Zugang zu dem entsprechenden Datenbanksystem erforderlichen Passwörtern geschehen oder dadurch, dass beim Zugang eine Chipkarte bereitgestellt werden muss, die eine Zugangsberechtigung enthält.

Eine weitere Möglichkeit der Sicherung von auf elektronischen Datenbanksystemen gespeicherten Daten besteht darin, dass die gespeicherten Daten verschlüsselt werden. Damit können sie nur von solchen Personen, die den zugehörigen Schlüssel und Verschlüsselungsalgorithmus kennen, gelesen werden. Standardmäßig werden hierzu symmetrische Verschlüsselungsverfahren benutzt, bei denen der Algorithmus und Schlüssel zum Verschlüsseln der Daten derselbe ist, wie derjenige zum Entschlüsseln von Daten. Damit hat eine Person, die dazu berechtigt ist, Daten in die Datenbank zu schreiben, automatisch auch die Möglichkeit, Daten von der Datenbank zu lesen.

Insbesondere im Zusammenhang mit Internet-Anwendungen, wie etwa dem so genannten "Online-Banking", werden zunehmend asymmetrische Schlüsselverfahren eingesetzt. Bei diesen Verfahren wird zum Verschlüsseln von Daten ein anderer Schlüssel, der so genannte öffentliche Schlüssel, benutzt, als der zum Lesen der verschlüsselten Daten erforderliche Schlüssel, der so genannte private Schlüssel. Der Vorteil dieser Verfahren liegt darin, dass nur der private Schlüssel geheim gehalten werden muss, und somit Personen mit Hilfe des öffentlichen Schlüssels Daten verschlüsseln können, ohne dass sie in der Lage wären, diese wieder zu entschlüsseln.

Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten in einem elektronischen Datenbanksystem der vorangehend erläuterten Art, insbesondere zum Abspeichern, Bereithalten und Bereitstellen von medizinischen Patientendaten, bereitzustellen, welches hohen Datenschutz-Anforderungen genügt. Zur Lösung dieser Aufgabe wird ein Verfahren vorgeschlagen, welches sich durch die Schritte auszeichnet: Bereitstellen wenigstens eines Datenträgers, der einen privaten Schlüssel trägt, welcher zumindest einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet ist; Prüfen einer Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten; bei gegebener Eingabe-Zugangsberechtigung: Verschlüsseln von Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels; Abspeichern der verschlüsselten Nutzdaten in einer Datenbank; Prüfen einer Zugriffs-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten; bei gegebener Zugriffs-Zugangsberechtigung: Auslesen der verschlüsselten Nutzdaten aus der Datenbank; Entschlüsseln der verschlüsselten Nutzdaten mittels des vom Datenträger getragenen Schlüssels.

Zur Ausführung des erfindungsgemäßen Verfahrens wird ferner ein System zu gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten vorgeschlagen, umfassend: wenigstens eine computergestützte Datenbank; wenigstens einen Datenträger, der einen zumindest einem Nutzdatensatz der Datenbank zugeordneten privaten Schlüssel trägt; wenigstens eine Eingabe-Datenstation, von der Nutzdaten in die Datenbank eingebbar sind, wobei der Eingabe-Datenstation eine Eingabe-Zugangsberechtigungsüberprüfungseinheit zugeordnet ist, unter deren Vermittlung eine Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten überprüfbar ist, wobei der Eingabe-Datenstation ferner eine Verschlüsselungs- und Abspeichereinheit zugeordnet ist, unter deren Vermittlung bei gegebener Eingabe-Zugangsberechtigung Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels verschlüsselbar und in der Datenbank abspeicherbar sind; wenigstens eine, ggf. mit einer Eingabe-Datenstation identische Zugriffs-Datenstation, von der auf verschlüsselte Nutzdaten in der Datenbank zugegriffen werden kann, wobei der Zugriffs-Datenstation eine Zugriffs-Zugangsberechtigungsüberprüfungseinheit zugeordnet oder zuordenbar ist, unter deren Vermittlung eine Zugriffs-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten überprüfbar ist, wobei der Zugriffs-Datenstation ferner eine Entschlüsselungs- und Ausleseeinheit zugeordnet ist, unter deren Vermittlung bei gegebener Zugriffs- Zugangsberechtigung Nutzdaten aus der Datenbank auslesbar und mittels des vom Datenträger getragenen privaten Schlüssels entschlüsselbar sind.

Erfindungsgemäß ist vorgesehen, dass der private Schlüssel, der zum Entschlüsseln von aus dem Datenbanksystem ausgelesenen Nutzdaten erforderlich ist, auf einem Datenträger gespeichert wird, von dem aus er einer entsprechenden Entschlüsselungseinheit zur Verfügung gestellt wird. Bevorzugt ist vorgesehen, dass der private Schlüssel, nachdem er erzeugt worden ist, auf dem Datenträger gespeichert wird, ohne dass eine weitere Kopie davon an einer anderen Stelle des Systems abgespeichert werden muss. Auf diese Weise wird gewährleistet, dass eine Freigabe des privaten Schlüssels zur Benutzung nur durch Bereitstellen des Datenträgers erfolgen kann. Der private Schlüssel ist einem entsprechenden öffentlichen Schlüssel zugeordnet, der gemeinsam mit diesem erzeugt wird und öffentlich zugänglich im System gespeichert wird. Bei der Einrichtung einer Nutzdatenstruktur bzw. von Nutzdatenstrukturen, die zusammengehörige Nutzdaten oder Nutzdatensätze aufnehmen sollen, in dem Datenbanksystem oder/und bei der Einrichtung eines einen Zugriff auf Nutzdaten bzw. Nutzdatenstrukturen ermöglichenden Datenbankschlüssels wird jeweils ein der wenigstens einen Nutzdatenstruktur bzw. dem Datenbankschlüssel zugeordnetes Paar von öffentlichen und privaten Schlüsseln erzeugt, durch die ein Verschlüsseln von der Nutzdatenstruktur zuzuordnenden bzw. über den Datenbankschlüssel in der Datenbank abzuspeichernden Nutzdaten (die dann wenigstens einen Nutzdatensatz bilden) bzw. ein Entschlüsseln von bereits gespeicherten, diesem Nutzdatensatz zugehörigen Nutzdaten möglich ist. Da sich der private Schlüssel nur auf dem Datenträger befindet, der wiederum im Besitz einer bestimmten Person ist, ist sichergestellt, dass nur durch Einwilligung dieser Person ein Lesen der in dem Datenbanksystem gespeicherten Nutzdaten möglich ist. Beispielsweise kann die Verfügungsmacht über den Datenträger bei einer Person liegen, deren persönliche Daten als Nutzdaten in dem Datenbanksystem gespeichert werden sollen.

Zur Identifizierung von in dem Datenbanksystem gespeicherten bzw. zu speichernden Nutzdatensätzen bzw. zur dementsprechenden Zuordnung der jeweiligen öffentlichen und privaten Schlüssel können diese, wie schon angedeutet, jeweils entsprechenden Datenbankschlüsseln zugeordnet sein bzw. werden. Eine solche Art der Datenbankverwaltung kann nach im Stand der Technik gängigen Verfahren durchgeführt werden.

Als ein weiteres Merkmal zur Erhöhung der Sicherheit der im erfindungsgemäßen Datenbanksystem gespeicherten Daten ist vorgesehen, dass eine Eingabe von Nutzdaten in das Datenbanksystem nur möglich ist nach Prüfung einer Eingabe-Zugangsberechtigung. Diese Überprüfung geschieht auf elektronischem Wege, indem bestimmte Daten, z. B. eindeutige Identifizierungsmerkmale oder Passwörter, über entsprechende elektronische Vorrichtungen erfasst werden, und mit entsprechenden Daten verglichen werden, die zur Gewährung einer Eingabe-Zugangsberechtigung beispielsweise in dem Datenbanksystem gespeichert sind bzw. werden. Wenn eine Prüfung einer Eingabe-Zugangsberechtigung erfolgreich verlaufen ist, können zu speichernde Nutzdaten über eine Eingabe-Einheit eingegeben bzw. eingelesen werden. Die eingegebenen Nutzdaten werden dann unter Benutzung des dem privaten Schlüssel zugeordneten öffentlichen Schlüssels verschlüsselt und im Datenbanksystem abgespeichert, wie erwähnt, in der Regel in Bezug zu wenigstens einem zugeordneten Datenbankschlüssel. Ein Entschlüsseln dieser Nutzdaten ist ab diesem Zeitpunkt nur noch mit Hilfe des entsprechenden privaten Schlüssels, der erfindungsgemäß nur auf dem zugehörigen Datenträger gespeichert ist, möglich. Zur Eingabe von Nutzdaten entsprechend dem genannten Verfahren steht erfindungsgemäß eine Eingabe-Datenstation zur Verfügung, der eine Zugangsberechtigungsüberprüfungseinheit sowie eine Verschlüsselungs- und Abspeichereinheit zugeordnet ist.

Zum Ermöglichen eines Zugriffs auf in dem Datenbanksystem gespeicherte Nutzdaten wird wiederum auf elektronischem Wege eine entsprechende Zugriffs-Zugangsberechtigung geprüft, indem auf elektronischem Wege Daten eingeholt werden, auf Grund derer durch Vergleich mit beispielsweise im System gespeicherten Daten entscheidbar ist, ob ein Zugriff erlaubt wird oder nicht. Entsprechend den obigen Ausführungen zur Prüfung der Eingabe-Zugangsberechtigung können die in diesem Zusammenhang abgefragten bzw. erfassten Daten insbesondere Passwörter oder eindeutige Erkennungsmerkmale einer Person sein.

Aus den vorstehenden Erläuterungen wird deutlich, dass sowohl eine Eingabe von Nutzdaten als auch ein Zugriff auf bereits gespeicherte Nutzdaten eine entsprechende Berechtigung voraussetzt, die auf einer entsprechenden vordefinierten Rechtestruktur basieren kann. Im Falle einer positiven Prüfung der Zugriffs-Zugangsberechtigung können verschlüsselte Nutzdaten aus der Datenbank ausgelesen werden. Um die ausgelesenen Nutzdaten lesen zu können, ist es dann erforderlich, die verschlüsselten Nutzdaten mit Hilfe des privaten Schlüssels zu decodieren. Dazu muss der Datenträger mit dem den ausgelesenen Nutzdaten zugeordneten privaten Schlüssel bereitgestellt werden. Im Allgemeinen ist der Besitz einer Zugriffs-Zugangsberechtigung zum Auslesen eines spezifischen Nutzdatensatzes aus der Datenbank nicht mit dem Besitz des Datenträgers mit dem darauf gespeicherten, dem Nutzdatensatz zugeordneten privaten Schlüssel gleichzusetzen. Aus diesem Grunde müssen im Allgemeinen zwei voneinander unabhängige Bedingungen zutreffen, damit Nutzdaten aus dem Datenbanksystem ausgelesen und entschlüsselt werden können.

Zur Durchführung von Zugriffen auf in dem Datenbanksystem gespeicherte Nutzdaten dient eine Zugriffs-Datenstation, der eine Zugangsberechtigungs- Überprüfungseinheit sowie eine Entschlüsselungs- und Ausleseeinheit zugeordnet ist.

Es ist insbesondere zu beachten, dass ein Zugriff auf in der Datenbank gespeicherte Daten nicht immer auch ein Auslesen bzw. insbesondere ein Ausgeben der Nutzdaten auf einem Ausgabegerät bedeuten muss, obwohl dieses in der Praxis sehr häufig der Fall sein wird. Es ist aber auch vorstellbar, dass in dem Datenbanksystem gespeicherte Nutzdaten als Eingabedaten für bestimmte Prozeduren dienen sollen, beispielsweise zur Weiterverarbeitung der Daten. Hierzu muss auf diese Daten zugegriffen werden und die Daten müssen entschlüsselt werden.

Der Datenträger, der den privaten Schlüssel für einen Nutzdatensatz trägt, ist bevorzugt als Chipkarte oder Speicherkarte ausgebildet. Je nach Art des dem privaten Schlüssel zugeordneten Nutzdatensatzes, wird dieser Datenträger im Folgenden je nach Zusammenhang als Schlüsselkarte, Studienkarte oder als Patientenkarte bezeichnet werden.

Wie erläutert, ist nach der Erfindung vorgesehen, dass ein Zugang, etwa die Eröffnung einer Eingabe- oder/und Zugriffs-Datensitzung, zu den Nutzdaten bzw. dem Datenbanksystem, etwa über eine der Eingabe- oder/und Ausgabe-Datenstationen, nur nach einer erfolgreichen Überprüfung einer Zugangsberechtigung erfolgen kann. Bevorzugt ist vorgesehen, dass zur Prüfung einer solchen Zugangsberechtigung wenigstens ein weiterer Datenträger bereitgestellt wird, der Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, auf deren Grundlage die Eingabe-Zugangsberechtigung oder/und die Zugriffs-Zugangsberechtigung geprüft wird, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als erste bzw. dritte Daten oder als zu den ersten bzw. dritten Daten zugehörige Daten auf elektronischem Wege ausgelesen und der Prüfung zugeführt werden. Dieser weitere Datenträger, der im Folgenden je nach Zusammenhang auch als Zugangsberechtigungskarte, ID-Karte oder Arztkarte bezeichnet wird, dient in der einfachsten Variante des Verfahrens als ein "Schlüssel", mit dessen Hilfe eine Eingabe- oder/und eine Zugriffs-Datensitzung, etwa auf einer der Eingabe- oder/und Zugriffs-Datenstationen, eröffnet werden kann. Der weitere Datenträger, der bevorzugt als Chipkarte oder Speicherkarte ausgebildet ist, ist dabei insbesondere einer Person, der Zugang zu dem Datenbanksystem gewährt werden soll, zugeordnet. Es ist besonders vorteilhaft, wenn die auf dem weiteren Datenträger enthaltenen Zugangsberechtigungsdaten darüber hinaus auch eine Identifizierung dieser Person erlauben. Zum Auslesen bzw. Erfassen der Identifizierungs- oder/und Zugangsberechtigungsdaten kann die jeweilige Eingabe- oder/und Zugriffsdatenstation mit einer entsprechenden Leseeinrichtung, z. B. einem Chipkarten- Lesegerät, ausgestattet sein. Über die Leseeinrichtung können dann die Identifizierungs- oder/und Zugangsberechtigungsdaten von dem weiteren Datenträger einer Vergleichseinheit der Eingabe-Zugangsberechtigungs- Überprüfungseinheit der Eingabe-Datenstation bzw. einer Vergleichseinheit der Zugriffs-Zugangsberechtigungsüberprüfungseinheit der Zugriffs-Datenstation zugeführt werden, und von dieser mit entsprechenden gespeicherten Daten verglichen werden. Dabei kann die Überprüfung der Zugangsberechtigung allein aufgrund der Identifizierungs- oder/und Zugangsberechtigungsdaten erfolgen, die auf dem weiteren Datenträger gespeichert sind. Es ist aber auch denkbar, dass hierzu weitere Daten eingeholt werden, z. B. Passwörter, die manuell in die Eingabe- oder/und Zugriffsdatenstation einzugeben sind.

Weiterhin ist es bei dem erfindungsgemäßen Verfahren vorteilhaft, wenn auch der Datenträger, der den privaten Schlüssel trägt, zusätzlich noch Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, auf deren Grundlage die Zugriffs-Zugangsberechtigung, ggf. bezogen auf den auf dem Datenträger gespeicherten privaten Schlüssel, geprüft wird, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als vierte Daten oder als zu den vierten Daten zugehörige Daten auf elektronischem Wege ausgelesen und der Prüfung zugeführt werden. Auf diese Weise kann ein Datenmissbrauch zuverlässig verhindert werden, selbst wenn der Datenträger in falsche Hände geraten sollte. Weiterhin kann mit Hilfe der von dem Datenträgerausgelesenen Identifizierungs- oder/und Zugangsberechtigungsdaten generell die Gültigkeit eines privaten Schlüssels überprüft werden. Insbesondere kann auf diesem Wege die Gültigkeit eines privaten Schlüssels zeitlich begrenzt werden.

Es ist auch möglich, die Überprüfung einer Zugangsberechtigung zu einer Eingabe- und/oder Zugriffsdatenstation dadurch zu überprüfen, dass die ersten oder/und dritten Daten manuell in eine Eingabevorrichtung einzugebende Identifizierungs- oder/und Zugangsberechtigungsdaten umfassen, die auf elektronischem Wege abgefragt oder/und der Prüfung zugeführt werden. Zu diesem Zweck ist einer jeweiligen Eingabe- oder/und einer Zugriffsdatenstation eine Eingabe-Vorrichtung zugeordnet zum manuellen Eingeben von Identifizierungs- oder/und Zugangsberechtigungsdaten als erste bzw. dritte Daten oder zu den ersten bzw. dritten Daten zugehörige Daten, die einer/der Vergleichseinheit der betreffenden Zugangsberechtigungsüberprüfungseinheit zuführbar sind. In der einfachsten Ausgestaltung umfasst damit die Prüfung einer Zugangsberechtigung die Abfrage eines Passwortes. Dabei kann sogar auf den weiteren Datenträger verzichtet werden, wobei in diesem Fall die Überprüfung der Zugangsberechtigung nur über die Abfage eines Passwortes erfolgt. Eine höhere Sicherheit des Datenbanksystems kann man aber dadurch erreichen, dass bei der Überprüfung einer Zugangsberechtigung sowohl das Bereitstellen von Identifizierungs- oder/und Zugangsberechtigungsdaten, die auf dem weiteren Datenträger gespeichert sind, als auch das manuelle Eingeben von Daten, z. B. eines Passwortes, erforderlich sind. Das in diesem Fall praktizierte Verfahren kann im Wesentlichen einer Kombination von Datenträgerkarten mit der Abfrage einer so genannten PIN-Nummer entsprechen. Solche Verfahren sind wohlbekannt. Im Allgemeinen wird bei der Abfrage einer PIN-Nummer diese Nummer über eine dafür geeignete Eingabevorrichtung, z. B. eine dafür besonders vorgesehene Tastatur (oftmals PIN-Pad genannt), eingegeben und dann mit der entsprechenden Nummer, die auf dem Datenträger oder dem weiteren Datenträger gespeichert ist, verglichen. In diesem Fall sind also die zweiten bzw. vierten Daten, mit denen die manuell einzugebenden Identifizierungs- oder/und Zugangsberechtigungsdaten verglichen werden, auf dem Datenträger bzw. dem weiteren Datenträger gespeichert. Darüber hinaus ist es jedoch auch denkbar, diese zweiten bzw. vierten Daten zentral im Datenbanksystem, etwa in der jeweiligen Eingabe- bzw. Zugriffsdatenstation, bzw. in einem Speicher, auf den die jeweilige Eingabe- oder/und Zugriffsdatenstation, z. B. über ein Computernetzwerk, Zugriff hat, zu speichern.

Eine besonders elegante Methode, Identifizierungs- oder/und Zugangsberechtigungsdaten zur Überprüfung einer Zugangsberechtigung bereitzustellen, besteht darin, dass die ersten oder/und dritten Daten Identifizierungsdaten umfassen, die vermittels einer Erfassung wenigstens eines biometrischen Merkmals mittels einer Erfassungsvorrichtung auf elektronischem Wege generiert und der Prüfung zugeführt werden. Der Vorteil der Erfassung eines biometrischen Merkmals gegenüber einem Einsatz von Passwörtern oder/und PINs besteht darin, dass ein Anwender sich nicht mehr ein Passwort bzw. eine PIN-Nummer merken muss. Damit besteht aber die Möglichkeit, dass der Anwender seine Nummer vergisst bzw. falsch eingibt. Ein weiteres Problem ist, dass ein Anwender sich z. T. mehrere PIN- Nummern merken muss, wodurch die Akzeptanz eines solchen Verfahrens bei den jeweiligen Anwendern stark zurückgeht. Auch könnten nicht berechtigte Dritte Kenntnis von der PIN-Nummer bzw. dem Passwort erhalten. Diese Probleme existieren nicht, wenn man ein biometrisches Merkmal abfragt, das auf der Grundlage von einzigartigen, individuellen und biologischen Merkmalen eine Person eindeutig identifizieren kann. Solche Merkmale können physiologischer und verhaltensbasierter Art sein. Insbesondere sind als Merkmale, die für eine biometrische Identifizierung in Frage kommen, zu nennen: eine auf elektronischem Wege zu erfolgende Erfassung des Gesichtes, der Iris (Auge), der Netzhaut (Auge), der Handgeometrie, sowie des Fingerabdrucks einer Person. Weiterhin können auf elektronischem Wege der Schreibrhythmus einer Person, ihre Stimme sowie eine dynamische Unterschrift erfasst werden, die verhaltensbasierte biometrische Merkmale darstellen. Zur Erfassung eines dieser Merkmale ist es nötig, dass die Eingabe- oder/und Zugriffsdatenstation eine entsprechende Erfassungsvorrichtung für Biometriedaten als erste oder/und dritte Daten oder zu den ersten oder/und den dritten Daten zugehörige Daten umfasst, oder dass dieser zumindest eine solche Erfassungsvorrichtung zugeordnet ist, so dass die von dieser erfassten biometrischen Daten einer Vergleichseinheit der Eingabe-Zugangsberechtigungs-Überprüfungseinheit oder/und Zugriffs-Zugangsberechtigungs-Überprüfungseinheit zuführbar sind. Grundsätzlich können die so erfassten biometrischen Daten entweder mit zweiten bzw. vierten Daten, die auf dem Datenträger bzw. dem weiteren Datenträger gespeichert sind verglichen werden oder mit zweiten bzw. vierten Daten, die im System abgespeichert sind, verglichen werden.

Bei dem erfindungsgemäßen Verfahren kann eine Zugriffsberechtigung auf einen jeweiligen in der Datenbank gespeicherten Nutzdatensatz jeweils nur einer Person oder auch mehreren Personen gleichzeitig erteilt werden. Im letzteren Fall ist es zweckmäßig, dass eine Mehrzahl von jeweils den privaten Schlüssel tragenden Datenträgern bereitgestellt und an einen Personenkreis ausgegeben wird, im Hinblick auf eine den Personen des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Auslesen und Entschlüsseln von Nutzdaten. In diesem Fall werden also für einen bestimmten Nutzdatensatz mehrere Datenträger mit dem privaten Schlüssel erzeugt und an entsprechende Personen ausgegeben. Dieses Verfahren wird insbesondere dann eingesetzt werden, wenn z. B. zur Auswertung von Patientendaten im Rahmen einer medizinischen Studie eine Mehrzahl von an der Studie beteiligten Assistenten mit der Auswertung desselben Nutzdatensatzes betraut ist. Hierbei ist es sinnvoll, den jeweils zu einem Zugriff auf die Nutzdaten benutzten Datenträger mit dem privaten Schlüssel bei einem Zugriff zu identifizieren, um jeden Zugriff auf die Nutzdaten eindeutig protokollieren zu können. Dabei ist vorgesehen, dass die Identifizierung des jeweils benutzten Datenträgers bevorzugt direkt über eine entsprechende Kennung, die der Datenträger trägt, z. B. eine entsprechende Kennungsnummer, erfolgt. Alternativ oder zusätzlich kann eine solche Identifizierung auch über eine Identifizierung derjenigen Person erfolgen, die mit Hilfe des entsprechenden privaten Schlüssels auf die Nutzdaten zugreift. Eine solche Identifizierung sollte dann zweckmäßigerweise bei der Überprüfung der Zugangsberechtigung dieser Person erfolgen.

In einer weiteren Variante des erfindunsgemäßen Verfahrens ist vorgesehen, dass wenigstens ein den privaten Schlüssel tragender Datenträger zwischen Personen eines Personenkreises übergeben wird, im Hinblick auf eine der jeweiligen, den Datenträger erhaltenden Person des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Auslesen und Entschlüsseln von Nutzdaten. Es wird vor allem daran gedacht, dass genau ein derartiger Datenträger in Verwendung ist und zwischen den Personen des Personenkreises übergeben wird. In diesem Fall ist also jedem in der Datenbank gespeicherten Nutzdatensatz nur ein den privaten Schlüssel tragender Datenträger zugeordnet. Dieser Fall ist beispielsweise zweckmäßig, um für einzelne Patienten eine "elektronische Patientenakte" in der Datenbank anzulegen. Der Patient selbst ist dann im Besitz des den jeweiligen privaten Schlüssel tragenden Datenträgers und übergibt diesen einem jeweiligen Arzt, der im Zusammenhang mit einer Behandlung des Patienten auf die Patientenakte zugreifen muss. Da auf die in der "elektronischen Patientenakte" verschlüsselt abgespeicherten Daten nur vermittels des den privaten Schlüssel tragenden Datenträgers zugegriffen werden kann, ist der Patient "Herr" seiner Daten, ohne dass diese Daten physikalisch auf dem Datenträger gespeichert sind. Speicherplatzprobleme und Datenverlustprobleme bei Verlust des Datenträgers sind damit vermieden bzw. auf einfache Weise vermeidbar.

Bei dem vorangehend beschriebenen erfindungsgemäßen Verfahren kann eine Mehrzahl von jeweils Identifizierungs- oder/und Zugangsberechtigungsdaten tragenden, weiteren Datenträgern bereitgestellt und an einen Personenkreis ausgegeben werden im Hinblick auf eine dem Personenkreis verliehene oder zu verleihende Zugangsberechtigung für das Verschlüsseln und Abspeichern von Nutzdaten oder/und für das Auslesen und Entschlüsseln von Nutzdaten. Dabei ist es denkbar, dass die Identifizierungsdaten lediglich den Personenkreis kennzeichnen, dem eine Zugangsberechtigung verliehen wird oder zu verleihen ist, dass also die einzelnen Personen dieses Personenkreises nicht voneinander zu unterscheiden sind. Je nach Anwendung kann es aber auch sinnvoll sein, eine Zugangsberechtigung an einen bestimmten, vordefinierten Personenkreis zu vergeben, wobei aber jede einzelne Person dieses Personenkreises durch ein individuelles Identifizierungsmerkmal, das bei der Zugangs-Berechtigungsüberprüfung abgefragt wird, identifiziert wird. Bei beiden Verfahren wird sichergestellt, dass sowohl eine Eingabe von Nutzdaten in das Datenbanksystem als auch ein Zugriff auf in dem Datenbanksystem gespeicherte Nutzdaten nur einem vorbestimmten Personenkreis möglich ist.

Eine weitere Ausgestaltung dieses Verfahrens kann darin bestehen, dass wenigstens ein die jeweiligen Identifizierungs- oder/und Zugangsberechtigungsdaten tragender weiterer Datenträger zwischen Personen eines Personenkreises übergeben wird, im Hinblick auf eine der jeweiligen den weiteren Datenträger erhaltenden Person des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Verschlüsseln und Abspeichern von Nutzdaten oder/und für das Auslesen und Entschlüsseln von Nutzdaten.

Im Falle der Speicherung von medizinischen Nutzdaten ist es generell sinnvoll, eine Zugangsberechtigung nur an Ärzte mit einer gültigen Approbation zu vergeben, etwa durch Angabe eines weiteren Datenträgers der beschriebenen Art an einen jeweiligen Arzt. Damit wird sichergestellt, dass die in dem Datenbanksystem gespeicherten Nutzdaten nur im Sinne einer auf eine medizinische Anwendung hin gerichteten Weise abgespeichert oder genutzt werden können.

Vorangehend wurde bereits beschrieben, dass die Prüfung der Eingabe- Zugangsberchtigung oder/und der Zugriffs-Zugangsberechtigung grundsätzlich auf eine Art und Weise erfolgen kann, bei der die Identität der Person, deren Zugangsberechtigung überprüft wird, nicht bekannt ist oder bekannt wird. Dies trifft z. B. zu, wenn lediglich eine manuell eingegebene PIN-Nummer mit einer auf dem weiteren Datenträger gespeicherten Vergleichs- Nummer verglichen wird.

Eine besonders vorteilhafte Ausführung des erfindungsgemäßen Verfahrens sieht aber vor, dass die Prüfung der Eingabe-Zugangsberechtigung oder/und Zugriffs-Zugangsberechtigung eine Identitätsprüfung basierend auf dem Vergleich der ersten Daten mit den zweiten Daten bzw. auf dem Vergleich der dritten Daten mit den vierten Daten umfasst. In diesem Falle ist es beispielsweise möglich, innerhalb eines Personenkreises, dem allgemein eine Eingabe- und Zugriffs-Zugangsberechtigung auf Nutzdaten in der Datenbank eingeräumt worden ist, weitere, genauer spezifizierte Einschränkungen hinsichtlich der möglichen Nutzung dieser Nutzdaten durch eine jeweilige Person des Personenkreises vorzusehen. Es ist auf diese Weise im Falle der Speicherung und Bereitstellung von medizinischen Daten auf diese Weise beispielsweise sehr einfach möglich, zwar allen Ärzten mit gültiger Approbation allgemein einen Zugang zu solch einem Datenbanksystem zu ermöglichen, diesen Zugang aber dahingehend einzuschränken, dass Fachärzten nur Daten, die ihren Fachbereich betreffen, zugänglich gemacht werden. Weiterhin erlaubt die Erfassung der Identität bei der Zugangs-Berechtigungs-Überprüfung eine genaue Protokollierung, von wem eine Eingabe von bzw. ein Zugriff auf in der Datenbank gespeicherte Nutzdaten erfolgt ist, was die Gefahr einer unzulässigen Änderung von gespeicherten Nutzdaten vermindert. Ferner ist es bei bekannter Identität einer Person, die zum Datenbanksystem Zugang hat, möglich, durch eine unabhängige Rechteverwaltung die Zugriffs- und Eingabemöglichkeiten dieser Person zu reglementieren. Beispielsweise kann auf diese Weise eine einmal erteilte Zugangsberechtigung jederzeit geändert oder gelöscht werden, ohne dass der bereits ausgegebene weitere Datenträger verändert bzw. eingezogen werden muss.

Ein besonderer Vorteil einer solchen Identitätsprüfung ergibt sich, wenn die Prüfung der Eingabe-Zugangsberechtigung oder/und Zugriffs-Zugangsberechtigung ferner eine Abspeicherberechtigungs-Überprüfung bzw. eine Ausleseberechtigungs-Überprüfung umfasst, bei der auf elektronischem Wege bei einer erfolgreichen Identifizierung gewonnene Identifizierungsdaten mit bereitgehaltenen Zugangsdaten verglichen werden, die wenigstens einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet sind. In diesem Falle kann sogar berücksichtigt werden, dass eine bestimmte Person zwar auf einen bestimmten Nutzdatensatz einen schreibenden Zugang haben soll, nicht aber automatisch gleichzeitig einen Zugang zum Zugriff auf diesen Nutzdatensatz, oder umgekehrt. Bei dieser Ausführung des erfindungsgemäßen Verfahrens wird also nach einer erfolgreichen Zugangsberechtigungs-Überprüfung noch zusätzlich eine weitere Überprüfung durchgeführt, ob die jeweilige Person zu der ausgewählten Eingabe bzw. dem ausgewählten Zugriff auf einen ausgewählten Nutzdatensatz berechtigt ist. Diese zweite Prüfung kann entweder gleichzeitig mit der Zugangsberechtigungsüberprüfung durchgeführt werden oder aber nachdem die Auswahl von Seiten der Person getroffen worden ist. Grundsätzlich kann diese Überprüfung durch ein weiteres Bereitstellen von Daten von Seiten der Person, etwa durch eine manuelle Eingabe, ein Bereitstellen eines entsprechenden Datenträgers oder ähnliches durchgeführt werden. Wenn aber bei der ersten Zugangsberechtigungs-Überprüfung bereits eine Identifizierung der jeweiligen Person stattgefunden hat, ist es sehr viel einfacher, diese zweite Überprüfung anhand von dieser Person zugewiesenen Eingabe- bzw. Zugriffsrechten durchzuführen.

Um eine nachträgliche Überprüfung von Eingaben von bzw. Zugriffen auf Nutzdatensätze in dem Datenbanksystem zu gewährleisten bzw. mögliche Versuche einer Erlangung eines unberechtigten Eingabe- bzw. Zugriffszugangs nachzuweisen, ist es zweckmäßig, dass sicherheitsrelevante Schritte während der Durchführung des Verfahrens einschließlich der bei Prüfung der Eingabe-Zugangsberechtigung oder/und der Zugriffs-Zugangsberechtigung gewonnenen Identifizierungs- oder/und Zugangsberechtigungsdaten protokolliert werden. Zu diesem Zweck ist das Datenbanksystem mit wenigstens einer entsprechenden Protokolliereinheit ausgestattet.

Der Datenträger, der zur Speicherung des für die Entschlüsselung der verschlüsselten Nutzdaten nötigen privaten Schlüssels verwendet wird, ist bevorzugt als Chipkarte ausgebildet. Eine solche Chipkarte muss über wenigstens eine Speichereinrichtung verfügen, in der wenigstens der private Schlüssel speicherbar ist. Zweckmäßigerweise kann auf einer solchen Chipkarte zusätzlich noch ein Datenbankschlüssel gespeichert sein, über den der private Schlüssel dem entsprechenden öffentlichen Schlüssel und einem entsprechenden Nutzdatensatz zuzuordnen ist. Wenn die als Datenträger verwendete Chipkarte eine reine Speicherkarte ist, muss der in der Chipkarte gespeicherte private Schlüssel durch ein einer Eingabe- bzw. Zugriffsdatenstation zugeordnetes Chipkartenlesegerät auslesbar sein. Im Falle, dass ein weiterer Datenträger benutzt wird, der zur Überprüfung einer Zugangsberechtigung dienende Identifizierungs- oder/und Zugangsberechtigungsdaten enthält, ist es weiterhin vorteilhaft, auch diesen weiteren Datenträger als Chipkarte auszubilden.

Die Sicherheit beim Entschlüsseln von Nutzdatensätzen kann weiterhin dadurch erhöht werden, dass die als Datenträger eingesetzte Chipkarte einen Prozessor, ggf. einen speziellen Kryptoprozessor, aufweist. Der Prozessor kann vorteilhaft zur Entschlüsselung der verschlüsselten Nutzdaten verwendet werden. In diesem Fall ist es nicht notwendig, den privaten Schlüssel von der Chipkarte auszulesen, um eine Entschlüsselungsprozedur durchzuführen, sondern die Entschlüsselung von Nutzdaten erfolgt direkt auf der Chipkarte. Hierzu werden die verschlüsselten Nutzdaten in die Chipkarte eingelesen, danach mittels des Kryptoprozessors und des privaten Schlüssels entschlüsselt und die entschlüsselten Daten wieder von der Chipkarte ausgelesen. Durch dieses Verfahren wird sichergestellt, dass unter allen Umständen eine Entschlüsselung von Nutzdaten nur dann möglich ist, wenn die Chipkarte sich in einem entsprechenden Lesegerät befindet. Ein weiterer Vorteil dieser Variante des Verfahrens besteht darin, dass der private Schlüssel nicht zu der Zugriffs-Datenstation übertragen werden und dort temporär zwischengespeichert werden muss.

Als weitere Sicherheitsvorkehrung bei einem Verlust der als Datenträger für den privaten Schlüssel eingesetzten Chipkarte kann ferner vorgesehen sein, dass ein/der Prozessor der Chipkarte auf Grundlage der Identifizierungs- oder/und Zugangsberechtigungsdaten und wenigstens eines Teils der eingeholten dritten Daten eine Berechtigung zum Zugriff auf den privaten Schlüssel überprüft und in Abhängigkeit von dem Prüfungsergebnis den Zugriff und ggf. die Entschlüsselung freigibt oder sperrt. Grundsätzlich ist vorgesehen, dass die zum Vergleich herangezogenen Identifizierungs- oder/und Zugangsberechtigungsdaten auf der Chipkarte abgespeichert sind. Es ist jedoch auch vorstellbar, diese im System abzuspeichern und über eine Kennung des Datenträgers dem Datenträger zuzuordnen. Weiterhin bleibt zu bemerken, dass auch ohne den Einsatz eines Prozessors auf der Chipkarte eine solche Überprüfung möglich ist. Die Identifizierungs- bzw. Zugangsberechtigungsdaten werden dann durch einen Prozessor der jeweiligen Zugriffs-Datenstation überprüft. Durch diese Sicherheitsvorkehrung wird gewährleistet, dass ein auf einem Datenträger befindlicher privater Schlüssel nicht bereits dann schon ausgelesen werden kann, wenn die Chipkarte in eine entsprechende Leseeinrichtung eingelegt wird, so dass bei Verlust dieser Karte der private Schlüssel weiterhin gesichert bleibt.

Die als Datenträger eingesetzte Chipkarte kann einen nicht auslesbaren Speicher aufweisen zur Speicherung des privaten Schlüssels oder/und der Identifizierungs- oder/und Zugangs-Berechtigungsdaten zur Prüfung der Zugangsberechtigung auf den privaten Schlüssel. In diesem Fall ist es also praktisch unmöglich, den privaten Schlüssel auszulesen und unabhängig von der Chipkarte zu verwenden. Voraussetzung für diese Ausführung ist jedoch, dass die Entschlüsselung von Nutzdaten oder/und die Zugangsberechtigungsüberprüfung auf der Chipkarte erfolgen kann, wozu ein entsprechend ausgestatteter Prozessor nötig ist.

Um zu verhindern, dass Nutzdaten, die in die Datenbank einzugeben sind, bzw. Nutzdaten, die aus der Datenbank ausgelesen worden sind, und die deswegen temporär in einer der Eingabe- bzw. Zugriffs-Datenstationen gespeichert sind, von Unbefugten gelesen werden können, nachdem eine entsprechende Eingabe- bzw. Zugriffsdatensitzung beendet worden ist, kann vorgesehen sein, dass nach Beendigung einer Eingabesitzung vermittels der Eingabe-Datenstation oder/und einer Zugriffssitzung vermittels einer Zugriffs-Datenstation lokal in der betreffenden Station vorliegende Nutzdaten vermittels einer Automatik-Löschfunktionalität derselben löschbar sind.

Im Rahmen der vorliegenden Erfindung kann vorgesehen sein, dass das System eine der wenigstens einen Datenbank zugeordnete Computereinheit und wenigstens ein die Computereinheit, die wenigstens eine Eingabe- Datenstation und die wenigstens eine Ausgabe-Datenstation verbindendes Computernetz umfasst. Dabei ist insbesondere vorgesehen, dass das Computernetz das Internet oder/und Intranet oder/und ein WAN oder/und ein LAN umfasst. Für die Speicherung und Bereitstellung von Daten, die auf besondere Weise gegen unerlaubte Zugriffe geschützt werden sollen, wird man bevorzugt ein abgeschlossenes Computernetzwerk wählen und nicht etwa das Internet selbst. Aber auch ein solches Netzwerk kann auf entsprechenden Technologien wie das Internet beruhen. Die Verbindung der wenigstens einen der Datenbank zugeordneten Computereinheit mit den Eingabe- bzw. Ausgabe-Datenstationen kann über ein beliebiges etabliertes Computernetz erfolgen. Es sind dafür bereits verschiedene Lösungen entwickelt worden, z. B. stellt die Deutsche Telekom im Rahmen des Projektes CHIN (Community Health Integrated Network) ein entsprechendes Netzwerk zur Verfügung, das als Datenplattform für medizinische Daten konzipert ist und auf Internet-Technologien basiert. Dieses Netz stellt ein komplett separates Netz ohne explizite Verbindung zum Internet dar. Der Datenfluss und die Datenspeicherung in diesem CHIN-Netz erfolgt grundsätzlich verschlüsselt.

Über ein Computernetz wie etwa das CHIN-Netz ist es beispielsweise auch möglich, mehrere Computereinheiten, auf deren Grundlage gemeinsam eine Datenbank oder mehrere einzelne, jeweils einer Computereinheit zugeordnete Datenbanken für die Nutzdaten zusammenzufassen. Die Nutzdaten der wenigstens einen Datenbank können damit über mehrere, ggf. jeweils gesonderten Computereinheiten zugeordnete Speichereinheiten verteilt abgespeichert bzw. abspeicherbar sein.

Im Rahmen der vorliegenden Erfindung können die wenigstens eine Eingabe-Datenstation oder/und die wenigstens eine Ausgabe-Datenstation sowohl jeweils getrennte Einheiten sein, also auch in einer einzigen Computereinheit zusammengefasst sein (in diesem Fall wird die Einheit der Einfachheit halber als Datenstation bezeichnet). Dabei kann diese Computereinheit beispielsweise von einer Workstation oder einem Personal Computer gebildet sein, der die wenigstens eine Eingabe-Datenstation oder/und die wenigstens eine Ausgabe-Datenstation, sowie ggf. die eine zugeordnete Verschlüsselungs- bzw. Entschlüsselungseinheit umfasst.

Das System gemäß der vorliegenden Erfindung soll besonders bevorzugt derartig ausgelegt sein, dass die Nutzdaten ausschließlich über die wenigstens eine Eingabe-Datenstation in das Datenbanksystem eingebbar sind, und dass auf die Nutzdaten ausschließlich über die wenigstens eine Zugriffs-Datenstation zugegriffen werden kann. Dadurch wird erreicht, dass die in dem Datenbanksystem gespeicherten Nutzdaten nur nach einer vorherigen erfolgreichen Zugangsberechtigungsüberprüfung manipulierbar oder einem Zugriff zugänglich sind. Dies stellt eine weitere Sicherheitsmaßnahme neben der ohnehin erfolgten Verschlüsselung der Nutzdaten dar. Eine Realisierung eines solchen Datenbanksystems kann beispielweise dadurch erfolgen, dass den einzelnen Datenbankcomputereinheiten, in denen die Nutzdaten gespeichert werden, außer den entsprechenden Netzwerkverbindungen zu den ihnen zugeordneten Eingabe- bzw. Zugriffs- Datenstationen keinerlei Ein- oder Ausgabegeräte zugeordnet sind.

Es ist weiterhin in einer bevorzugten Ausführung der vorliegenden Erfindung vorgesehen, dass eine computergestützte Administrationseinheit zur Verwaltung von Nutzdatensätzen der wenigstens einen Datenbank vorgesehen ist, sowie zur Verwaltung von Eingabe- oder/und Zugriffsrechten auf diese, wobei die Administrationseinheit vorzugsweise weder eine Eingabe-Datenstation noch eine Zugriffs-Datenstation aufweist. Die einzelnen Verwaltungsfunktionen, die von einer solchen Administrationseinheit auszuführen sind, betreffen hauptsächlich die Freigabe bzw. das Sperren von Eingabe- bzw. Zugriffs-Zugangsberechtigungen, die Erzeugung der einander zugeordneten Paare öffentlicher und privater Schlüssel sowie die Bereitstellung der öffentlichen Schlüssel, die Einrichtung und Verwaltung der Nutzdatensatzstrukturen für verschlüsselte Nutzdaten, sowie ggf. die Protokollierung der erfolgten Zugriffe auf gespeicherte Nutzdatensätze, bzw. der erfolgten Eingabevorgänge von verschlüsselten Nutzdaten.

Insbesondere ist bevorzugt vorgesehen, dass ein so genanntes Trust Center mit dem Datenbanksystem verbunden ist, um die einem Nutzdatensatz zugeordneten öffentlichen und privaten Schlüssel zu erzeugen, den privaten Schlüssel auf einem Datenträger bereitzustellen, sowie den öffentlichen Schlüssel in einer öffentlich zugänglichen Weise, bevorzugt einer öffentlich zugänglichen Datenbank, zu hinterlegen. Ein solches Trust Center kann ggf. auch eine elektronische Signatur für den öffentlichen Schlüssel bereitstellen, mit der die Echtheit eines solchen öffentlichen Schlüssels überprüft werden kann.

Die Erfindung wird im Folgenden anhand von in den Figuren dargestellten bzw. veranschaulichten Ausführungsbeispielen erläutert, die beispielhaft Anwendungsmöglichkeiten und Ausführungsmöglichkeiten der Erfindung aufzeigen, die aber keineswegs den Bereich der Erfindung einschränken sollen.
Fig. 1 zeigt in einer schematischen Darstellung ein Beispiel der Realisierung eines erfindungsgemäßen Gesamtsystems zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens.
Fig. 2 zeigt beispielhaft eine schematische Darstellung einer stark vereinfachten Ausführung des erfindungsgemäßen Systems zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten auf Grundlage einer Verschlüsselung und Entschlüsselung der Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens, bei dem jeweils nur ein einziges Exemplar jeder Komponente des Systems gezeigt ist, und bei dem die Eingabe-Datenstation identisch mit der Zugriffs-Datenstation ist.
Fig. 3 zeigt ein Flussdiagramm, das einen möglichen Ablauf einer Prozedur zur Nutzdateneingabe in das erfindungsgemäße System darstellt.
Fig. 4 zeigt ein Flussdiagramm, das einen möglichen Ablauf einer Prozedur zum Zugriff auf Nutzdaten, die in der Datenbank gespeichert sind, nach dem erfindungsgemäßen Verfahren darstellt.
Fig. 5 zeigt ein schematisches Blockdiagramm, das beispielhaft eine Ausführung einer Datenstation, sowie je ein Beispiel für einen Datenträger, der eine Zugangsberechtigung zu dem erfindungsgemäßen Datenbanksystem trägt (Zugangsberechtigungskarte), und einen Datenträger, der einen einem in der Datenbank gespeicherten Nutzdatensatz zugeordneten privaten Schlüssel trägt (Schlüsselkarte), darstellt.
Fig. 6 zeigt ein schematisches Blockdiagramm ähnlich zu Fig. 5, das eine weitere Ausführung einer erfindungsgemäßen Datenstation zeigt sowie je eines Datenträgers, der eine Zugangsberechtigung trägt (Zugangsberechtigung) und eines Datenträgers, der einen privaten Schlüssel trägt (Schlüsselkarte), darstellt, wobei die Schlüsselkarte zusätzlich einen Kryptoprozessor zur Entschlüsselung von Nutzdaten aufweist.
Fig. 7 zeigt ein Schemabild, das die Einrichtung einer klinisch-medizinischen Studie in einer integrierten medizinischen Datenplattform als ein erstes Anwendungsbeispiel des erfindungsgemäßen Verfahrens und Systems veranschaulicht.
Fig. 8 zeigt ein Schemabild, das die wesentlichen Vorgänge beim Eingeben von Nutzdaten in die integrierte medizinische Datenplattform nach dem ersten Anwendungsbeispiel der vorliegenden Erfindung zeigt.
Fig. 9 zeigt ein Schemabild, das die wesentlichen Vorgänge beim Zugriff auf in einer medizinischen Datenplattform gespeicherte Nutzdaten nach dem ersten Anwendungsbeispiel der vorliegenden Erfindung zeigt.
Fig. 10 zeigt ein Schemabild, das die Einrichtung einer elektronischen Patientenakte in der integrierten medizinischen Datenplattform nach einem zweiten Anwendungsbeispiel der vorliegenden Erfindung veranschaulicht.
Fig. 11 zeigt ein Schemabild, das die wesentlichen Vorgänge beim Eingeben von Nutzdaten in die integrierte medizinische Datenplattform nach dem zweiten Anwendungsbeispiel der vorliegenden Erfindung zeigt.
Fig. 12 zeigt ein Schemabild, das die wesentlichen Vorgänge beim Zugriff auf in der integrierten medizinischen Datenplattform gespeicherte Nutzdaten nach dem zweiten Anwendungsbeispiel der vorliegenden Erfindung zeigt.
Fig. 1 zeigt ein Beispiel für ein erfindungsgemäßes System 10 zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten auf Grundlage einer Verschlüsselung und Entschlüsselung der Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens, bei dem eine Datenbank in vier verschiedenen Datenbankcomputern 12a-12d gespeichert ist. Die in den Datenbankcomputern 12a-12d gespeicherten Nutzdaten sind dabei verschlüsselte Daten, die mit Hilfe eines einem jeweiligen Nutzdatensatz zugeordneten öffentlichen Schlüssels 14a-14c, der in der Fig. 1 beispielhaft für drei Nutzdatensätze gezeigt ist, verschlüsselt worden sind. Den einzelnen Datenbankrechnern sind jeweils eine oder mehrere Eingabe- bzw. Zugriffs-Datenstationen 16a-16g zugeordnet, von denen in der Fig. 1 sieben Exemplare beispielhaft dargestellt sind. Dabei kann jedem einzelnen der Datenbankcomputer 12-12d eine, keine oder mehrere dieser Eingabe- und Zugriffs-Datenstationen unmittelbar zugeordnet sein. Im Rahmen der Erfindung können die Eingabe-Datenstationen und die Zugriffs-Datenstationen voneinander getrennte Einheiten sein; in der Fig. 1 ist jedoch eine Ausführung des erfindungsgemäßen Systems dargestellt, bei dem eine Eingabe-Datenstation gleichzeitig auch als Ausgabe- Datenstation dient (eine solche Station wird im Folgenden vereinfacht als Datenstation bezeichnet). Jede der Datenstationen 16a-16g ist mit wenigstens einem der Datenbankcomputer über eine Netzwerkleitung oder/und über ein zwischengeschaltetes Computernetz (etwa das Internet, ein Intranet oder ein sonstiges, ggf. abgeschlossenes Computernetz [etwa das CHIN-Netz]), verbunden, über die Nutzdaten in die Datenbank eingebbar, bzw. aus der Datenbank abrufbar sind. Die Datenstationen 16a-16g dienen dem Zugang zu dem Datenbanksystem in dem Sinne, dass in den Datenstationen 16a-16g Nutzdaten eingebbar und verschlüsselbar sind, die in den Datenbankcomputern 12a-12d bzw. in diesen zugeordneten Speichereinheiten verschlüsselt abgespeichert werden sollen und umgekehrt Nutzdaten, die in den Datenbankcomputern 12a-12d bzw. den Speichereinheiten verschlüsselt abgespeichert sind, in die Datenstationen 16a-16g ausgelesen und dort zur Ausgabe oder/und weiteren Verarbeitung entschlüsselt werden können.
Die einzelnen Datenstationen 16a-16g können jeweils einzelne Computer, z. B. Personal Computer, sein, sie können aber auch in weitere Netzwerke eingebunden sein, über die die einzugebenden Nutzdaten bereitgestellt werden (im Falle einer medizinischen Anwendung, beispielsweise von diagnostischen Subsystemen), bzw. über die ausgelesene Nutzdaten nach ihrer Entschlüsselung weiteren Verarbeitungseinheiten zugeführt werden können. Generell können die Datenbankstationen 16a-16g durch Computer der verschiedensten Art realisiert werden. So können beispielsweise Personal Computer, Workstations, oder auch tragbare Computer eingesetzt werden.
Bei dem in Fig. 1 gezeigten Ausführungsbeispiel sind vier verschiedene Datenbankcomputer 12a-12d vorhanden, die über ein Netzwerk miteinander verbunden sind. Es ist selbstverständlich auch denkbar, die gesamte Datenbank auf nur einem Datenbankcomputer unterzubringen, oder eine beliebige andere Anzahl von Datenbankcomputern zu verwenden. Die Netzwerkverbindung dieser Datenbankcomputer 12a-12d untereinander kann in verschiedenster Weise ausgeführt werden, solange nur sichergestellt ist, dass die in den verschiedenen Datenbankcomputern 12a-12d gespeicherten Nutzdaten über ein netzwerkweites Dateisystem konsistent angesprochen werden können. Für normale Anwendungen kann es z. B. sinnvoll sein, diese Netzwerkverbindungen unter Benutzung von öffentlich zugänglichen Netzen wie z. B. dem Internet, auszubilden. Wenn Nutzdaten gespeichert werden sollen, die aus datenschutzrechtlichen Gründen nicht über das Internet ausgetauscht werden sollen, so ist denkbar, dass vom Internet abgetrennte Netzwerke benutzt werden, die aber auf entsprechenden Technologien beruhen können. Ein Beispiel hierfür ist das von der Deutschen Telekom initiierte und betriebene CHIN-Netz (Community Health Integrated Network), das im Wesentlichen zum Aufbau von medizinischen Datennetzen dient. In diesem Netz erfolgt der Datenfluss und die Datenspeicherung grundsätzlich verschlüsselt.
Die Verbindung zwischen den Datenstationen 16a-16g und den Datenbankcomputern 12a-12d, über die ebenfalls verschlüsselte Daten ausgetauscht werden, kann grundsätzlich unter Verwendung von gleichartigen Technologien, wie die Verbindung zwischen den einzelnen Datenbankcomputern 12a-12d realisiert werden. Es ist nicht zwingend erforderlich, dass diese Verbindungen permanent aufrecht erhalten werden, vielmehr können sie bei Eröffnung einer Eingabe- bzw. Zugriffs-Datensitzung auf der jeweiligen Datenstation aufgebaut und bei Beendigung dieser Sitzung wieder abgebaut werden. Die Datenstationen 16a-16g und die Datenbankcomputer 12a-12d sind weiterhin mit einem Administrationscomputer 18 verbunden, ggf. ebenfalls über das zwischen die Datenstationen und die Datenbank- Computer zwischengeschaltete Computernetz. Dieser Administrationscomputer 18 übernimmt eine Reihe von Funktionen in dem hier beschriebenen Ausführungsbeispiel des erfindungsgemäßen Systems. Er dient zum einen zur Einrichtung und Verwaltung von Datei- und Datenstrukturen auf den Datenbankomputern 12a-12d. Zum anderen erfolgt über den Administrationscomputer 18 grundsätzlich die Einrichtung und Verwaltung von Zugangsberechtigungen 20a-20c zu dem erfindungsgemäßen System über die Datenstationen 16a-16g. Um auf einer der Datenstationen 16a-16g eine Eingabe- und/oder Zugriffs-Datensitzung eröffnen zu können, ist zuvor die Einrichtung einer entsprechenden Zugangsberechtigung 20a-20c durch den Administrationscomputer 18 nötig. Dabei wird bevorzugt bei Einrichtung einer Zugangsberechtigung 20a-20c bereits festgelegt, auf welche Nutzdatensätze in dem Datenbanksystem ein Zugriff erfolgen kann, bzw. welche Nutzdatensätze in das Datenbanksystem geschrieben werden können. Eine Veränderung dieser Rechtestruktur ist durch den Administrationscomputer 18 jederzeit möglich. Im Rahmen einer Zugangsberechtigungsprüfung wird bei Eröffnung einer Eingabe- oder/und Zugriffs-Datensitzung auf einer der Datenstationen 16a-16g diese Zugangsberechtigung 20a-20c überprüft.
Zur Überprüfung der Zugangsberechtigung 20a-20c sind mehrere verschiedene Varianten denkbar. Zum einen kann diese Überprüfung in der Abfrage eines manuell einzugebenden Passwortes oder einer PIN-Nummer bestehen. Eine weitere Möglichkeit der Überprüfung der Zugangsberechtigung 20a-20c besteht darin, ein biometrisches Merkmal der jeweiligen Person, die eine Eingabe- oder/und Zugriffs-Datensitzung eröffnen will, auf elektronischem Wege abzufragen und mit einem entsprechenden, bei Erteilung der Zugangsberechtigung 20a-20c gespeichertem Merkmal zu vergleichen. Es ist natürlich auch möglich, eine Kombination aus beiden Verfahren einzusetzen. Bei der in Fig. 1 gezeigten Ausführung des erfindungsgemäßen Systems bzw. Verfahrens wird bei Erteilung einer Zugangsberechtigung eine entsprechende Zugangsberechtigungs-Chipkarte 28a-28c ausgestellt, die zur Eröffnung einer Eingabe- oder/und Zugriffsdatensitzung in ein einer entsprechenden Datenstation 16a-16g zugeordnetes Lesegerät einzuführen ist. In Fig. 1 sind beispielhaft drei Exemplare für solche Zugangsberechtigungs-Chipkarten 28a-28c dargestellt. Mit Hilfe der Zugangsberechtigungs- Chipkarten 28a-28c kann die Zugangsberechtigungsüberprüfung auf verschiedene Weise erfolgen. Zum einen ist denkbar, dass die jeweilige Zugangsberechtigungs-Chipkarte 28a-28c, beispielsweise die Karte 28a, direkt als "Schlüssel" verwendet werden kann, so dass nach Einführen der Karte in das Lesegerät einer Datenstation 16a-16g sofort eine Eingabe- bzw. Zugriffsdatensitzung eröffnet werden kann. Weiterhin kann mit Hilfe der Zugangsberechtigungskarte 28a-28c auf einfache Weise eine Zugangsberechtigungsüberprüfung durchgeführt werden, indem entsprechende Daten, z. B. ein Passwort, eine PIN-Nummer oder ein biometrisches Merkmal zur Eröffnung einer Eingabe- oder/und Zugriffsdatensitzung der entsprechenden Datenstation 16a-16g auf elektronische Weise zur Verfügung gestellt werden müssen, d. h. entweder manuell eingegeben oder durch eine entsprechende Erfassungsvorrichtung erfasst werden müssen, die dann mit entsprechenden Vergleichsdaten verglichen werden, die auf der Karte abgespeichert sind.
Im Rahmen des erfindungsgemäßen Verfahrens ist es auch vorteilhaft, die Zugangs-Berechtigungsüberprüfung mit einer Identitätsüberprüfung zu verbinden, bei der die Identität einer Person, die eine Eingabe- oder/und Zugriffs-Datensitzung eröffnet, jeweils festgestellt werden kann. Durch eine solche Identitätsprüfung ist es auf einfache Weise möglich, bereits bei Eröffnung einer Eingabe- oder/und Zugriffs-Datensitzung eine Überprüfung der jeweils zugelassenen Eingabe- oder/und Zugriffsrechte auf oder/und von Nutzdatensätzen durchzuführen.
Eine weitere Aufgabe des Administrationscomputers 18 ist es, bei Erstellung eines Nutzdatensatzes bzw. zur Aufnahme von Nutzdaten dienenden Datei- oder/und Datenstrukturen in dem Datenbanksystem diesem Nutzdatensatz bzw. diesen Strukturen ein Paar von asymmetrischen Verschlüsselungs-und Entschlüsselungsschlüsseln zuzuweisen. Das ZurVerschlüsselung bzw. Entschlüsselung von Nutzdaten, die in der Datenbank gespeichert werden, verwendete Codierverfahren ist erfindungsgemäß ein so genanntes asymmetrisches Codierverfahren, bei dem die Nutzdaten mit Hilfe eines öffentlichen Schlüssels 14a-14c verschlüsselt werden und bei dem die verschlüsselten Daten nur mit Hilfe eines von dem öffentlichen Schlüssel 14a-14c verschiedenen privaten Schlüssels 22a-22c wieder entschlüsselt werden können. Bei diesem Verfahren ist es wichtig, dass der private Schlüssel 22a-22c unter allen Umständen geheim gehalten werden muss, während der entsprechende öffentliche Schlüssel 14a-14c im Prinzip keinerlei Geheimhaltung bedarf. Deshalb ist vorgesehen, dass der private Schlüssel 22a-22c, nachdem er erzeugt worden ist, auf einer Chipkarte, der so genannten Schlüsselkarte, 24a-24c gespeichert wird, wobei sonst im System vorzugsweise keine Kopie dieses Schlüssels abgespeichert wird. Zwar wird eine größtmögliche Sicherheit des privaten Schlüssels sichergestellt, wenn dieser nur auf der Chipkarte abgespeichert ist, aber es sind dann bei Verlust der Chipkarte alle dem entsprechenden privaten Schlüssel zugeordneten Nutzdaten verloren. Um dieses zu vermeiden, kann beispielsweise vorgesehen sein, dass eine weitere Kopie eines privaten Schlüssels in einer Weise gespeichert ist, dass sie sowohl von der Chipkarte als auch von dem System getrennt ist, insbesondere so, dass auf diese Kopie eines privaten Schlüssels nicht über das Netzwerk zugegriffen werden kann. Dies kann beispielsweise dadurch geschehen, dass die Kopie eines privaten Schlüssels auf einem besonders gesicherten, vom Netzwerk getrennten "Tresor-Server" in verschlüsselter Form und ggf. in Teile zerlegt abgespeichert wird. Ein solcher "Tresor-Server" kann in eleganter Weise von einem der unten beschriebenen Trust Center verwaltet werden.
Im Gegensatz dazu wird der öffentliche Schlüssel 14a-14c durch den Administrationscomputer 18 in einer allgemein zugänglichen Datenbankstruktur 26 abgespeichert, so dass er jederzeit, insbesondere durch die Datenstationen 16a-16g, abgerufen werden kann. Zu bemerken ist noch, dass jedem Nutzdatensatz, der in der Datenbank erzeugt worden ist, ein entsprechendes Paar öffentlicher (14a-14c) und privater (22a-22c) Schlüssel zugeordnet ist, von denen in der Fig. 1 beispielhaft nur drei gezeigt sind.
In Fig. 2 ist von dem Datenbanksystem 10 lediglich ein Administrationscomputer 18, ein Datenbankcomputer 12, eine Datenstation 16, die sowohl als Eingabe-Datenstation als auch als Zugriffs-Datenstation dient, eine eine Zugangsberechtigung 20 tragende Zugangsberechtigungskarte 28, sowie eine einen privaten Schlüssel 22 tragende Schlüsselkarte 24 dargestellt. Anhand von Fig. 2 soll im Folgenden eine Übersicht gegeben werden, in welcher Weise Daten bei einer Eingabe- bzw. Zugriffs-Datensitzung zwischen den einzelnen Komponenten des Datenbanksystems 10 ausgetauscht werden. Es ist zu berücksichtigen, dass bei einer Ausführung dieses erfindungsgemäßen Datenbanksystems in der Praxis im Allgemeinen eine Vielzahl von Datenstationen 16 sowie Zugangsberechtigungskarten 28 und Schlüsselkarten 24 parallel benutzt werden. Im Unterschied zu dem in Fig. 1 dargestellten Datenbanksystem 10 ist bei dem in Fig. 2 dargestellten Blockdiagramm die Erzeugung sowie die Verwaltung der einem bestimmten Nutzdatensatz zugeordneten öffentlichen 14 und privaten 22 Codierschlüssel einem so genannten Trust Center 30 anvertraut, wie es z. B. von der Deutschen Telekom betrieben wird. Solche Trust Center dienen allgemein der Bereitstellung und Verwaltung von öffentlichen und privaten Schlüsseln, die z. B. auch häufig zur Erzeugung von digitalen Signaturen verwendet werden. Durch die Einschaltung solcher Trust Center, die nach dem deutschen Signaturgesetz gewissen Auflagen unterliegen und überwacht werden, kann die Integrität der verwendeten öffentlichen und privaten Schlüssel allgemein sichergestellt werden.
Bei dem in Fig. 2 dargestellten Datenbanksystem werden zum Verleihen einer Zugangsberechtigung, die ein Eröffnen einer Eingabe- oder/und Zugriffs-Datensitzung auf der Datenstation 16 ermöglicht, von dem Trust Center 30 entsprechende Berechtigungsdaten erzeugt und eine die Zugangsberechtigung repräsentierende, die Berechtigungsdaten tragende Zugangsberechtigungskarte 28 bereitgestellt. Auch diese Maßnahme soll dazu dienen, die Integrität der ausgestellten Zugangsberechtigungskarten 28 sicherzustellen. Alle Maßnahmen, die von dem Trust Center 30 getätigt werden, geschehen bevorzugt allein auf Veranlassung von entsprechenden Anforderungen seitens des Administrationscomputers 18 und werden von diesem Administrationscomputer 18 registriert. Insbesondere wird nach erfolgter Ausstellung der Zugangsberechtigungskarte 28, die eine Kennung zur Identifikation der auf ihr gespeicherten Zugangsberechtigung 20 umfasst, seitens des Administrationscomputers 18 eine Rechtestruktur festgelegt, die bestimmt, auf welche Nutzdatensätze mittels dieser Zugangsberechtigung 20 zugegriffen werden kann, bzw. welche Nutzdatensätze mittels der jeweiligen Zugangsberechtigung 20 in das Datenbanksystem eingebbar sind.
Zur Eröffnung einer Eingabe- oder/und Zugriffs-Datensitzung auf einer Datenstation wird die Zugangsberechtigungskarte 28 in einer Weise bereitgestellt, dass die ihr zugeordnete Zugangsberechtigung 20 im Rahmen einer Zugangsberechtigungsüberprüfung geprüft werden kann. Diese Zugangsberechtigungs-Überprüfung kann beispielsweise durch direktes Auslesen eines auf der Zugangsberechtigungskarte 28 gespeicherten Merkmals erfolgen. Sie kann aber bevorzugt auch dadurch erfolgen, dass auf der Zugangsberechtigungskarte ein Passwort oder eine PIN-Nummer oder entsprechende Vergleichsdaten gespeichert sind, und dass bei Eröffnen einer Eingabe- bzw. Zugriffs-Datensitzung das Passwort oder die PIN-Nummer eingegeben werden muss. Eine weitere denkbare Möglichkeit der Zugangsberechtigungsüberprüfung ist, dass auf der Zugangsberechtigungskarte 28 ein biometrisches Merkmal einer Person gespeichert ist, das bei der Zugangsberechtigungsüberprüfung mit einem auf elektronischem Wege von Seiten der Datenstation 16 mittels eines entsprechenden Biometriedaten-Erfassungsgerätes erfassten biometrischen Merkmal verglichen wird.
Nach dem erfolgreichen Eröffnen einer Eingabe- bzw. Zugriffs-Datensitzung muss spezifiziert werden, ob eine Eingabe von Nutzdaten in die Datenbank 12 oder ein Zugriff auf in der Datenbank 12 gespeicherte Nutzdaten gewünscht wird. Wenn eine Eingabe von Nutzdaten in die Datenbank 12 gewählt wird, so können diese Nutzdaten zunächst lokal in die jeweilige Datenstation 16 eingegeben werden, dort in einer gewünschten Weise strukturiert werden und zum Abspeichern in der Datenbank 12 vorbereitet werden. Weiterhin wird, nachdem angegeben worden ist, für welchen Nutzdatensatz Nutzdaten abzuspeichern sind, geprüft, ob eine entsprechende Berechtigung dafür vorliegt. Dies lässt sich in besonders eleganter Weise dadurch realisieren, dass durch den Administrationscomputer 18 jedem Zugangsberechtigungsdatenträger 28 eine bestimmte Rechtestruktur zugeordnet wird, und somit durch eine einfache Abfrage bei dem Administrationscomputer 18 die entsprechende Berechtigung zum Eingeben eines bestimmten Nutzdatensatzes abgefragt werden kann. Hierzu kann bei der Zugangsberechtigungsüberprüfung gleichzeitig eine Identifizierung der entsprechenden Zugangsberechtigungskarte 28 erfolgen. Wenn die entsprechende Berechtigung vorliegt, werden die in der Datenbank 12 abzuspeichernden Nutzdaten mit Hilfe des dem Nutzdatensatz zugeordneten öffentlichen Schlüssels 14 verschlüsselt. Bei der in Fig. 2 dargestellten Ausführung wird dieser öffentliche Schlüssel 14 von dem Trust Center 30 bereitgestellt und im System bereitgehalten. Nach dem Verschlüsseln können die Nutzdaten dann in die Datenbank 12 eingestellt werden.
Wenn nach erfolgter Zugangsberechtigungsüberprüfung ein Zugriff auf in der Datenbank 12 gespeicherte Nutzdaten gewünscht wird, findet zunächst ebenso eine Überprüfung dahingehend statt, für welche Nutzdaten die erteilte Zugangsberechtigung eine Berechtigung zum Zugriff auf Nutzdaten enthält. Die Datei- und ggf. Datenstruktur dieser Nutzdaten kann sodann von der Datenstation 16 aus gelesen werden, daraus ein Nutzdatensatz oder ein bestimmter Teil eines Nutzdatensatzes ausgewählt werden und von der Datenbank 12 zu der Datenstation 16 transferiert werden. Danach ist ein Entschlüsseln der ausgelesenen Nutzdaten nötig, wozu der den jeweiligen Nutzdaten entsprechende private Schlüssel 22 bereitgestellt werden muss. Diesbezüglich ist beim Ausführungsbeispiel vorgesehen, dass dieser private Schlüssel 22 auf einer Schlüsselkarte 24 gespeichert ist, die zum Bereitstellen des privaten Schlüssels 22 in eine entsprechende Lesevorrichtung, die der Datenstation 16 zugeordnet ist, bereitgestellt werden muss.
Zur Entschlüsselung von Nutzdaten mittels der Schlüsselkarte 24 kommen vor allem zwei unterschiedliche Varianten in Betracht. Nach einer ersten Variante ist der private Schlüssel 22 auf der Schlüsselkarte 24 gespeichert und wird von dort über das Lesegerät in die Datenstation 16 ausgelesen. In der Datenstation 16 wird durch einen entsprechenden Algorithmus mit Hilfe des privaten Schlüssels 22 eine Entschlüsselung der Nutzdaten durchgeführt. Nach einer zweiten, bevorzugten Variante des Entschlüsselungsverfahrens ist vorgesehen, dass auf der Schlüsselkarte 24 neben dem in einem Speicher enthaltenen privaten Schlüssel 22 auch ein zur Entschlüsselung von Daten geeigneter Prozessor nebst einem dort gespeicherten Algorithmus zur Durchführung der Entschlüsselungsprozedur enthalten ist. In diesem Fall kann (vorzugsweise muss) die Entschlüsselung der Nutzdaten direkt auf der Schlüsselkarte 24 durchgeführt werden, was den Nachteil vermeidet, dass der private Schlüssel 22 von der Chipkarte in die Datenstation 16 übertragen wird. Zur Entschlüsselung werden somit die verschlüsselten Nutzdaten von der Datenstation 16 zu dem Chipkartenlesegerät übertragen, vermittels des Prozessors entschlüsselt und als entschlüsselte Daten wieder zu der Datenstation 16 zurück übertragen. Schließlich werden die entschlüsselten Daten von der Datenstation 16 ausgegeben oder einer anderweitigen Verwertung zugeführt.
Fig. 3 zeigt in Form eines Flussdiagramms die einzelnen Schritte einer Prozedur, die beim Eingeben vom Nutzdaten in ein erfindungsgemäßes Datenbanksystem 10 abgearbeitet wird. Nach dem Start der Prozedur 50 wird zunächst in dem Schritt 52 eine Zugangsberechtigungsprüfung nach einem der vorangehend beschriebenen Verfahren durchgeführt. In der bevorzugten Ausführung des erfindungsgemäßen Verfahrens muss dazu eine entsprechende Zugangsberechtigungskarte 28 bereitgestellt werden, so dass entweder von dieser Karte Zugangsberechtigungs- oder/und Identifizierungsdaten in eine Datenstation 16 eingelesen werden können und dort mit im System 10 gespeicherten Daten verglichen werden können. Auf Grund dieses Vergleichs wird entschieden, ob eine Eingabe-Datensitzung auf der entsprechenden Eingabe-Datenstation 16 eröffnet werden kann. Eine weitere Möglichkeit der Überprüfung einer Zugangsberechtigung 20 mit Hilfe einer Zugangsberechtigungskarte 28 besteht darin, dass auf der Zugangsberechtigungskarte 28 gespeicherte Zugangsberechtigungs- bzw. Identifizierungsdaten mit entsprechenden Daten verglichen werden, die beim Eröffnen einer Eingabe-Datensitzung in die Datenstation 16 eingegeben werden müssen, bzw. mittels entsprechender Erfassungsvorrichtungen erfasst werden.
Falls die Zugangsberechtigungsüberprüfung negativ verläuft, wird die Eingabe-Datensitzung in Schritt 82 abgebrochen und nach dem Löschen aller bis dahin in die Datenstation 16 eingegebenen Daten in Schritt 84 beendet. An dieser Stelle soll noch bemerkt werden, dass zwar die Daten lokal in der Datenstation 16 gelöscht werden, dass aber bevorzugt vorgesehen ist, dass durch den Administrationscomputer 18 alle Versuche einer Eröffnung einer Eingabe- und/oder Zugriffs-Datensitzung protokolliert werden.
Wenn die Zugangsberechtigungsprüfung erfolgreich verläuft, geht die Prozedur weiter bis zu Schritt 56, wo durch eine manuelle Eingabe spezifiziert werden muss, dass eine Eingabe von Nutzdaten in das Datenbanksystem erfolgen soll. Danach können die zu speichernden Nutzdaten lokal in die Datenstation 16 eingegeben werden oder von anderen Vorrichtungen aus in die Datenstation 16 eingelesen werden und dort zur Speicherung in dem Datenbanksystem 10 entsprechend vorbereitet werden. Angemerkt sei, dass es sich bei den Nutzdaten im Prinzip um beliebige Daten handeln kann, beispielsweise auch um digitale Bilddaten (im Falle einer medizinischen Anwendung z. B. digitale Röntgen- oder NMR-Bilddaten). Danach wird bei dem in Fig. 3 gezeigten Verfahren in Schritt 60 ein Nutzdatensatz oder eine entsprechende Daten- oder Dateistruktur in der Datenbank 12 ausgewählt, dem die zu speichernden Nutzdaten zugeordnet werden sollen. Falls zu diesem Nutzdatensatz bzw. zu dieser Daten- oder Dateistruktur noch keine Daten in der Datenbank 12 existieren, so erfolgt die Zuordnung entsprechend einem dem Nutzdatensatz bei Erzeugung des ihm zugeordneten öffentlichen 14 und privaten 22 Schlüssels ebenfalls zugeordneten Datenbankschlüssel. Anschließend wird in Schritt 62 überprüft, ob auf Grundlage der vorliegenden Zugangsberechtigung eine Eingabe von Daten in Bezug auf den ausgewählten Nutzdatensatz erlaubt ist. Ist dies nicht der Fall, so wird die Prozedur, wie oben beschrieben, in Schritt 82 abgebrochen. Ansonsten können danach die bereitgestellten Nutzdaten verschlüsselt werden.
Es soll an dieser Stelle noch bemerkt werden, dass bevorzugt vorgesehen ist, in Schritt 60 nur solche Nutzdatensätze als Auswahlmöglichkeiten zur Verfügung zu stellen, bei denen auf Grundlage von Identifizierungsdaten, die bei der Zugangsberechtigungsüberprüfung festgestellt worden sind, und von den Nutzdatensätzen zugeordneten Rechten sichergestellt ist, dass tatsächlich eine Eingabe-Berechtigung für den jeweiligen Nutzdatensatz vorliegt. In diesem Fall fallen also die Schritte 60 und 62 zu einem gemeinsamen Schritt zusammen. Es ist weiterhin eine Variante des Verfahrens denkbar, bei der direkt nach der Bestätigung, dass Nutzdaten in das Datenbanksystem 10 eingegeben werden sollen (also nach Schritt 56 in Fig. 3) einzugeben ist, für welchen Nutzdatensatz Nutzdaten einzugeben sind. Daraufhin erfolgt sofort eine Überprüfung der Eingabe-Berechtigung für den jeweiligen Nutzdatensatz, noch bevor die zu speichernden Nutzdaten lokal in die Datenstation 16 eingegeben werden können.
Zur Verschlüsselung der Nutzdaten muss der öffentliche Schlüssel 14 in Schritt 64 in die Datenstation 16 eingelesen werden. Dieser öffentliche Schlüssel wird bevorzugt entweder von dem Administrationscomputer 18 oder einem Trust Center 30 in einer allgemein, beispielsweise über öffentliche Netze, zugänglichen Datenbank bereitgestellt. In Schritt 66 werden die Nutzdaten dann mit Hilfe des öffentlichen Schlüssels 14 verschlüsselt und schließlich in Schritt 68 als verschlüsselte Nutzdaten zu der Datenbank 12 transferiert. Nach einer Bestätigung, dass die Speicherung der Daten beendet worden ist (Schritt 70) werden alle lokal in die Datenstation 16 eingelesenen Daten gelöscht und danach die Nutzdateneingabesitzung beendet.
Fig. 4 zeigt ein Flussdiagramm, in dem die einzelnen Schritte zur Durchführung einer Nutzdatenzugriffssitzung dargestellt sind. In diesem Fall wird entsprechend zu den bei einer Nutzdateneingabesitzung gemachten Schritten zunächst die Zugangsberechtigung 20 in Schritt 92 geprüft und bei erfolgreicher Zugangsberechtigungsprüfung ein Zugang zu dem Datenbanksystem 10 gewährt. In Schritt 96 wird in die Datenstation 16 eingegeben, dass ein Zugriff auf Nutzdaten erfolgen soll, wonach in Schritt 98 ein in der Datenbank gespeicherter Nutzdatensatz, auf den zugegriffen werden soll, ausgewählt wird. Danach wird in Schritt 100 wiederum überprüft, ob auf Grund der in Schritt 92 erfolgten Zugangsberechtigungssitzung bzw. auf Grund von bei dieser Zugangsberechtigungsüberprüfung ebenfalls festgestellten Identifikationsdaten ein Zugriff auf den ausgewählten Nutzdatensatz erfolgen kann. Ist diese Überprüfung negativ, so wird entsprechend zu Fig. 3 die Datenzugriffssitzung in Schritt 114 abgebrochen und danach in Schritt 112 alle in die Datenstation eingebenene Daten lokal gelöscht und die Datenzugriffssitzung in Schritt 116 beendet. Auch hier ist zu bemerken, dass durch den Administrationscomputer 18 vorzugsweise alle erfolgten Zugriffsversuche protokolliert werden.
Betreffend den Nutzdatenzugriff kommen verschiedene Varianten in Betracht. Es wird vor allem an zwei weitere Varianten gedacht, die mit den für die Nutzdateneingabe genannten Varianten korrespondieren. Zum einen kann vorgesehen sein, dass auf Grundlage von bei der Zugangsberechtigungsüberprüfung in Schritt 92 festgestellten Identifizierungsdaten sowie von den in dem Datenbanksystem 10 gespeicherten Nutzdatensätzen zugeordneten Rechtestrukturen bereits in Schritt 98 eine solche Auswahl aus den in dem Datenbanksystem 10 gespeicherten Nutzdatensätzen getroffen wird, dass in Schritt 98 nur solche Nutzdatensätze zur Auswahl angeboten werden, für die eine Berechtigung zum Zugriff vorliegt. In diesem Fall finden also wieder die Schritte 98 und 100 gleichzeitig statt. Zum anderen ist auch bei einem Nutzdatenzugriff eine Variante denkbar, bei der gleich nach der Eingabe, dass ein Zugriff auf Nutzdaten erfolgen soll (Schritt 96) eingegeben werden muss, auf welchen Nutzdatensatz zugegriffen werden soll. Diese Eingabe kann insbesondere auch dadurch erfolgen, dass bereits nach Schritt 96 kurzzeitig die dem Nutzdatensatz, auf den zugegriffen werden soll, entsprechende Schlüsselkarte 24, die den entsprechenden privaten Schlüssel 22 trägt, in einer entsprechenden Lesevorrichtung der Datenstation 16 bereitzustellen ist. Auf Grund einer auf der Schlüsselkarte 24 gespeicherten Kennung kann dann sofort entschieden werden, ob eine Zugriffs-Berechtigung auf den ausgewählten Nutzdatensatz vorliegt.
Falls die Überprüfung der Zugangsberechtigung in Schritt 100 positiv verläuft, können die ausgewählten Nutzdaten von der Datenbank 12 zu der Datenstation 16 transferiert werden. Danach müssen diese mit Hilfe des dem Nutzdatensatz zugeordneten privaten Schlüssels 22 entschlüsselt werden. Dazu ist es erforderlich, die den entsprechenden privaten Schlüssel 22 tragende Schlüsselkarte 24 in einer entsprechenden Lesevorrichtung der Zugriffs-Datenstation bereitzustellen. Wie vorangehend besprochen, kann dann je nach Ausführung der Schlüsselkarte 24 mit oder ohne einen (Krypto-) Prozessor die Entschlüsselung der Nutzdaten entweder in der Datenstation 16 oder in der Schlüsselkarte 24 erfolgen. Nachdem die Nutzdaten entschlüsselt sind, können sie auf der Datenstation 16 lokal ausgegeben werden bzw. von der Datenstation 16 zur weiteren Verarbeitungen entsprechenden Verarbeitungseinheiten oder Verarbeitungsfunktionalitäten (etwa einem ausgewählten, ggf. auf der Datenstation laufenden Auswerteprogramm) zugeführt werden.
Nachdem in Schritt 110 spezifiziert worden ist, dass die Ausgabesitzung beendet werden soll, werden in Schritt 112 alle in die Datenstation 16 eingelesenen Daten lokal gelöscht, so dass bei späteren Sitzungen kein Zugriff auf diese Daten mehr möglich ist, und in Schritt 116 die Nutzdatenzugriffssitzung beendet.
In Fig. 5 ist ein schematisches Blockdiagramm gezeigt, dass beispielhaft eine Realisierungsmöglichkeit einer Datenstation 116 sowie einer dieser Datenstation zugeordneten Zugangsberechtigungskarte 128 und Schlüsselkarte 124 zeigt. Die in Fig. 5 gezeigte Datenstation 116, die auf Grundlage eines Mehrzweckcomputers, beispielsweise in Form eines Personal Computers oder einer Workstation, aufgebaut sein kann, umfasst eine Reihe von Komponenten, die sich in Hardware, betriebssystemartige Komponenten und Anwendungssoftware unterteilen lassen. Die Hardware kann dabei beispielsweise weitgehend dem so genannten "Industriestandard" mit Intel-Prozessoren entsprechen, um nur ein Beispiel zu nennen. Für höhere Anforderungen sind auch andere Hardware-Ausstattungen denkbar, etwa in Form eines Server-Computers oder einer Workstation. Die Hardware umfasst dabei wenigstens einen Prozessor 144, Schreib/Lesespeicher 142, Nur-Lesespeicher 140, eine Datenausgabeeinrichtung 146, eine Dateneingabeeinrichtung 148, Massenspeicher zur Speicherung von Betriebssystem und Anwendungsprogrammen 156, Netzwerkhardware zur Verbindung mit wenigstens einem Datenbankcomputer 150, Netzwerkhardware zur Verbindung mit einer Adminstrationseinheit 152, eine Chipkartenlesevorrichtung 160 sowie eine Verschlüsselungseinrichtung 162 und eine Entschlüsselungseinrichtung 158. Letztgenannte Komponenten können ggf. auch von dem Prozessor selbst übernommen werden, wenn entsprechende Verschlüsselungs- bzw. Entschlüsselungs-Software auf der Datenstation 116 installiert ist. Außerdem gehört zur Hardware-Ausstattung der Datenstation 116 eine Einrichtung zur Erfassung biometrischer Daten. Als Betriebssystem für eine solche Datenstation 116 kommt ein beliebiges Betriebssystem in Frage, beispielsweise ein Standard-Betriebssystem wie Windows NT, Unix, Linux, SunOS usw. Das Betriebssystem ist in Fig. 5 durch den Block 164 repräsentiert. Zur Verbindung der Datenstation 116 mit einem Datenbank-Computer 112 sowie zur Verbindung der Datenstation 116 mit einem Administrationscomputer 118 ist eine entsprechende Netzwerksoftware 166 bzw. 168 erforderlich, beispielsweise auf Grundlage des TCP/IP-Protokolls oder eines WAN- bzw. LAN-Protokolls realisiert werden.
Weiterhin ist zum Betrieb einer Datenstation 116 entsprechende Anwendungssoftware nötig. Diese umfasst im einzelnen Software 172 für Datenbankzugriffe, Software 170 zur Eingabe, Darstellung und Bearbeitung von Daten, insbesondere Nutzdaten, Software 174 zur Überprüfung von Zugangsberechtigungen, Software 176 zur Erfassung von biometrischen Daten sowie Verschlüsselungssoftware 180 sowie Entschlüsselungssoftware 187 zur Verschlüsselung bzw. Entschlüsselung von Nutzdaten.
In Fig. 6 ist eine weitere Ausführung einer Datenstation 216 zur Verwendung in dem erfindungsgemäßen Datenbanksystem nebst einer entsprechenden Zugangsberechtigungskarte 228 und einer entsprechenden Schlüsselkarte 224, die einen privaten Schlüssel 220 trägt, in einem beispielhaften Blockdiagramm ähnlich zu Fig. 5 dargestellt. Bezugszeichen von solchen Komponenten, die in Fig. 5 gezeigten Komponenten entsprechen, sind dieselben in Fig. 6, jedoch um 100 erhöht. Im Folgenden sollen nur solche Komponenten besprochen werden, deren Funktion sich gegenüber den in Fig. 5 gezeigten Komponenten unterscheidet. Die in Fig. 6 gezeigte Schlüsselkarte 224 unterscheidet sich von der in Fig. 5 gezeigten Schlüsselkarte 124 dadurch, dass die Schlüsselkarte zusätzlich zu dem privaten Schlüssel 220 einen (Krypto-) Prozessor enthält, der zur Entschlüsselung von Nutzdaten eingesetzt werden kann. Aus diesem Grund kann bei der hardwaremäßigen Ausstattung der Datenstation 216 die Bereitstellung einer Entschlüsselungsvorrichtung entfallen. Weiterhin kann auf die Bereitstellung von entsprechender Entschlüsselungssoftware in der Datenstation 216 verzichtet werden, wenn ein entsprechendes, auf dem Prozessor der Chipkarte laufendes Softwareprogramm auf der Schlüsselkarte 224 selbst bereitgehalten wird.
Im Folgenden soll die Erfindung anhand von detaillierten Anwendungsbeispielen beispielhaft weiter erläutert werden. Dabei zeigen die Fig. 7 bis 9 ein erstes Anwendungsbeispiel, bei dem das erfindungsgemäße Verfahren zur Speicherung und Bereitstellung von medizinischen Daten, die im Rahmen einer klinisch-wissenschaftlichen Studie ausgewertet werden sollen, dient. Dieses Anwendungsbeispiel betrifft also gewissermaßen die Einrichtung und Bereitstellung einer elektronischen Studienakte. Die Fig. 10 bis 12 zeigen ein zweites Anwendungsbeispiel, bei dem das erfindungsgemäße Verfahren dazu dient, medizinische Daten von therapeutischen Behandlungen einzelner Patienten in elektronischer Form abzuspeichern und bereitzustellen, so dass diese zum Zugriff für bestimmte Ärzte bereitstehen. Dieses Anwendungsbeispiel betrifft also gewissermaßen die Einrichtung und Bereitstellung einer elektronischen Patientenakte.
Zur Einrichtung einer klinisch-wissenschaftlichen Studie in einer integrierten medizinischen Datenplattform für medizinische Studiendaten (IDM) wird auf dem Administrationscomputer 318 eine Aufstellung aller Personen angelegt, die berechtigt sein sollen, Nutzdaten in das System einzuspeichern bzw. abzurufen. Dazu sollte die genaue Funktion der einzelnen Personen angegeben sein bzw. definiert sein, so dass auf dieser Grundlage eine hierarchische Rechteverwaltung eingerichtet werden kann. Die einzelnen, als Berechtigte benannten Personen erhalten so genannte Arzt-ID-Karten 328, die einen definierten ID-Code und eine PIN-Nummer enthalten. Über diese Karten können die an der Studie beteiligten Personen Zugang zu IDM- Terminals 316, die als Datenstationen für das IDM-Netzwerk dienen, erhalten. Weiterhin wird für jede Studie eine oder mehrere Studienkarten 324 angelegt, die einen ID-Code, eine PIN-Nummer und den privaten Schlüssel zur Entschlüsselung der im Rahmen der Studie gespeicherten Nutzdaten enthalten. Sowohl die Studienkarten als auch die Arzt-ID-Karten werden von einem beispielsweise von der Deutschen Telekom betriebenen Trust- Center 330 hergestellt und ausgegeben. Die komplette Rechteverwaltung für den Datenzugriff liegt bei dem Administrationscomputer 318. Die Verbindung der IDM-Terminals 316 mit dem Administrationscomputer 318 sowie mit den Datenbankcomputern 312 erfolgt dabei über ein (vorzugsweise abgeschlossenes) Computernetz, beispielsweise das von der Deutschen Telekom bereitgestellte CHIN-Netzwerk.
In den an der Studie beteiligten Kliniken existiert ein digitales Informationssystem, über das Nutzdaten, die im Rahmen der Studie abgespeichert werden sollen, strukturiert und selektioniert werden können. Nach Vorlage einer entsprechenden Einwilligungserklärung seitens der beteiligten Patienten können diese Nutzdaten in den beteiligten Kliniken als Eingangs-Daten für die integrierte medizinische Datenplattform für medizinische Studien in ein IDM-Terminal 316 eingelesen werden. Zur Eingabe von Nutzdaten in das IDM-System kann ein an einer Studie beteiligter Studienassistent mit Hilfe seiner ID-Karte 328 an einem entsprechend ausgerüsteten IDM-Terminal eine Eingabe-Datensitzung eröffnen. Aufgrund von bei der Zugangsberechtigungsüberprüfung mittels der ID-Karte festgestellten Identifikationsdaten wird dann überprüft, ob der Assistent im Rahmen einer Studie Nutzdaten eingeben darf. Wenn dies der Fall ist, können die strukturierten Nutzdaten in das CHIN-System abgeschickt werden. Bevor die Daten von dem IDM-Terminal 316 über das IDM-CHIN-Netz zur Datenspeicherung 312 geschickt werden, erfolgt die Verschlüsselung der Daten im Rahmen des asymmetrischen Verschlüsselungssystems mit Hilfe eines der jeweiligen Studie zugeordneten öffentlichen Schlüssels. Auf diese Weise wird sichergestellt, dass nur bereits verschlüsselte Nutzdaten in das IDM-CHIN-Netz gelangen. Nach dem Abschicken der Nutzdaten kann der Studienassistent nicht mehr auf die gespeicherten Nutzdaten zugreifen. Die persönliche Arzt- ID-Karte berechtigt allein nur dazu, Nutzdaten in das CHIN-Netz einzugeben. Jede Eingabe von Nutzdaten wird dabei über eine Verwaltungsfunktion des CHIN-Netzes protokolliert.
Innerhalb des CHIN-Netzes erfolgt die Nutzdatenspeicherung 312 obligatorisch in verschlüsselter Form in digitalen Archiven, die in der Regel ortsunabhängig sind. Das bedeutet, dass die Nutzdaten nicht zwangsläufig in einem zentralen Computer 312 gespeichert sein müssen, sondern auf mehrere, über ein Netzwerk verbundene Computer (vgl. das allgemeine System gemäß Fig. 1) verteilt sein können. Da innerhalb des CHIN-Netzes eine genaue Routingverwaltung existiert, ist sichergestellt, dass von jedem IDM-Terminal aus auf alle abgespeicherten Nutzdaten zugegriffen werden kann.
Zum Zugriff auf in der IDM gespeicherte Nutzdaten muss eine Nutzdaten abrufende Person an einem IDM-Terminal über die persönliche ID-Karte 328 eine Zugriffs-Datensitzung eröffnen und wird dabei identifiziert. Auf diese Weise erhält die Person Zugang zum IDM-CHIN-Netz. Nachdem die Person nach erfolgreicher Zugangsberechtigungsüberprüfung angegeben hat, auf Nutzdaten zugreifen zu wollen, wird vom Programm die Eingabe der Studienkarte 324 verlangt, auf der neben dem privaten Schlüssel zum Entschlüsseln von Nutzdaten auch eine Bezeichnung der Studie gespeichert ist. Daraufhin wird anhand den bei der Einrichtung der Studie in der IDM gemachten Angaben überprüft, ob die abfragende Person berechtigt ist, auf die Studiendaten zuzugreifen. Wenn dies nicht zutrifft, so wird der Zugriff trotz Vorhandensein der Studienkarte 324 verweigert und die Verbindung zum CHIN-Netz abgebrochen. Falls die Person berechtigt ist, kann sie auf die Nutzdaten zugreifen und die Nutzdaten, die ausgelesen werden sollen, auswählen. Der Nutzdatentransfer der Nutzdaten zu dem IDM-Terminal 316 erfolgt immer noch verschlüsselt. Die Entschlüsselung der Nutzdaten erfolgt erst im IDM-Terminal 316 über den auf der Studienkarte 324 gespeicherten privaten Schlüssel. Zur Entschlüsselung der Nutzdaten ist es dabei erforderlich, dass die Studienkarte 324 in einem entsprechenden Chipkartenlesegerät des IDM-Terminals 316 steckt.
Die entschlüsselten Nutzdaten werden höchstens für die Dauer einer Zugriffs-Datensitzung in dem IDM-Terminal 316 gespeichert und bei Beenden der Zugriffs-Datensitzung bzw. Entfernen der Studienkarte 324 aus dem Kartenlesegerät des IDM-Terminals gelöscht. Damit ist es nicht möglich, zeitverzögert, ohne gleichzeitiges Vorhandensein der Studienkarte 324, auf gespeicherte Nutzdaten zuzugreifen. Die Nutzung der IDM kann zeitlich limitiert werden. Durch Einzug bzw. die physikalische Zerstörung der Studienkarte 324, an die ein Nutzdatenzugriff obligatorisch gekoppelt ist, kann die Nutzung der IDM für einen bestimmten Nutzdatensatz beendet werden. Alternativ kann der Zugang zu einem bestimmten, in der IDM gespeicherten Nutzdatensatz unterbunden werden, indem die zu einer Studienkarte 324 gehörende Kennung aus der Datenbank des Trust-Centers 330 gelöscht wird. Weiterhin bietet die auf dem Administrationscomputer 318 vorgehaltene Verwaltungssoftware vorzugsweise die Möglichkeit, entsprechende Daten oder Dateien eines in der IDM gespeicherten Nutzdatensatzes zu sperren bzw. zu löschen, ohne dass hierzu über den Administrationscomputer 318 die entsprechenden Nutzdaten entschlüsselt werden müssen. Dies ist über das Routingsystem der IDM möglich und stellt eine Möglichkeit dar, einzelne Nutzdaten aus der IDM zu entfernen, wenn beispielsweise ein Patient seine Einwilligung zur Speicherung seiner Nutzdaten während des Ablaufs einer Studie zurückzieht.
Ein weiteres Anwendungsbeispiel des erfindungsgemäßen Verfahrens und Systems ist in den Fig. 10-12 dargestellt. Hierbei handelt es sich um das Einrichten einer elektronischen Patientenakte mittels derer Informationen über therapeutische Behandlungen und ärztliche Befunde ggf. einschließlich diesen zugrundeliegenden diagnostischen Daten (ggf. auch digitale Bilddaten) einzelner Patienten in elektronischer Form abgespeichert und zum Zugriff für entsprechende Ärzte bereitgestellt werden können. Zur Einrichtung einer elektronischen Patientenakte gemäß der vorliegenden Erfindung, die in Fig. 10 dargestellt ist, wird für die jeweilige Patientenakte eine spezifische Rechtestruktur eingerichtet, in der genau die einzelnen Ärzte angegeben sind, die Nutzdaten in die zur Speicherung und Bereitstellung der elektronischen Patientenakte verwendete IDM eingeben dürfen bzw. auf in dieser gespeicherte Nutzdaten zugreifen dürfen. Man könnte aber auch vorsehen, dass grundsätzlich alle Ärzte oder alle Ärzte einer bestimmten Fachrichtung eine solche Zugangsberechtigung besitzen. Man könnte auch daran denken, spezielle weitere Personen oder Personengruppen, etwa Apotheker und Therapeuten einzubeziehen, wobei diesen anderen Personen bzw. Personengruppen vorzugsweise weniger weitreichende Zugriffsberechtigungen verliehen werden. Zusätzlich wird für den Patienten eine Patientenkarte 424 hergestellt, auf der die Identität des Patienten sowie ein persönlicher privater Schlüssel, der zur Entschlüsselung der in der jeweiligen elektronischen Patientenakte gespeicherten Nutzdaten benötigt wird, gespeichert sind. Diese Patientenkarte 424 wird bevorzugt von einem Trust-Center 430, wie es beispielsweise von der Deutschen Telekom betrieben wird, hergestellt und ausgegeben. Durch dieses Trust-Center 430 wird ebenso ein öffentlicher Schlüssel, der der jeweiligen elektronischen Patientenakte zugeordnet ist, erzeugt und öffentlich zugänglich hinterlegt.
Weiterhin wird für Ärzte (und ggf. die genannten weiteren Personen bzw. Personengruppen) eine Zugangsberechtigung zu der IDM bereitgestellt. Dies geschieht ebenfalls dadurch, dass von einem Trust-Center 430 eine entsprechende Chipkarte 428, über die die Identität eines jeweiligen Arztes bzw. der jeweiligen Personen feststellbar ist, an entsprechende Ärzte bzw. Personen ausgegeben wird. Im Folgenden wird davon ausgegangen, dass nur an approbierte Ärzte eine entsprechende Chip-Karte ausgegeben wird. Diese so genannten Arzt-ID-Karten 428 enthalten somit persönliche Daten des Arztes und eine PIN-Nummer.
Zur Rechteverwaltung zum Zugriff auf jeweilige elektronische Patientenakten eines bestimmten Patienten ist noch zu sagen, dass nach Einrichtung der jeweiligen Akte die Rechtestruktur jederzeit verändert bzw. erweitert werden kann, wobei dazu der Patient als Herr seiner Akte entsprechende Angaben machen muss. Grundsätzlich ist es auch denkbar, dass ein Patient im Besitz mehrerer Patientenakten und damit auch im Besitz mehrerer Patientenkarten 424 ist, die sich beispielsweise auf verschiedene medizinische "Fachgebiete" beziehen können.
Zur in Fig. 4 dargestellten Eingabe von medizinischen Nutzdaten eines Patienten muss ein Arzt mit Hilfe seiner Arzt-ID-Karte 428 eine Eingabe- Datensitzung an einem IDM-Terminal 416 eröffnen. Dadurch erhält er Zugang in das CHIN-Netzwerk der IDM. Nach Auswählen der Funktion einer Nutzdateneingabe gibt der Arzt die Patientenkennung des Patienten ein, für den Nutzdaten in die IDM einzugeben sind. Daraufhin wird über die Rechteverwaltung in der IDM überprüft, ob der Arzt berechtigt ist, Nutzdaten für die jeweilige elektronische Patientenakte einzugeben. Falls er nicht berechtigt ist, wird die Verbindung zur IDM beendet, ohne dass der Arzt irgendeine Funktion ausüben konnte. Falls der Arzt berechtigt ist, erfolgt noch im IDM-Terminal 416 die Verschlüsselung der Nutzdaten mittels des öffentlichen Schlüssels, der beispielsweise von einem Server des an der IDM teilnehmenden Trust-Centers 430 angefordert wird. Nach der Verschlüsselung der Nutzdaten mit dem öffentlichen Schlüssel sind diese Nutzdaten nur noch mittels des entsprechenden privaten Schlüssels zu entschlüsseln. Damit kann der Arzt, der die Nutzdaten in die IDM eingegeben hat, selbst diese Nutzdaten nicht mehr lesen, nachdem sie verschlüsseit worden sind, es sei denn, der Patient händigt dem Arzt seine Patientenkarte aus. Entsprechendes gilt für andere Ärzte, die in Folge vom Patienten konsultiert werden.
Die Authentizität des verwendeten öffentlichen Schlüssels wird bei diesem Verfahren durch zwei Faktoren sichergestellt:

1. das sichere, verschlüsselte Kommunikationssignal über das CHIN- Netzwerk, und
2. eine digitale Signatur, die von dem Trust-Center 430 für den öffentlichen Schlüssel ausgestellt wird und die es jedem IDM-Nutzer erlaubt, den benutzten öffentlichen Schlüssel zu verifizieren.

In einer entsprechend ausgerüsteten Klinik/Praxis kann ein Patient auf seine digitale Patientenakte zugreifen lassen. Dieses Verfahren ist in Fig. 12 dargestellt. Zum Zugriff muss der behandelnde Arzt mittels seiner Arzt-ID- Karte 428 in einem IDM-Terminal 416 eine Zugriffs-Datensitzung eröffnen und danach den Menupunkt "Nutzdatenzugriff" auswählen. Daraufhin muss der Arzt angeben, aus welcher elektronisch gespeicherten Patientenakte er Nutzdaten auslesen will. In bevorzugter Weise ist dafür vorgesehen, dass der Patient dem Arzt seine Patientenkarte 424 aushändigt, die den privaten Schlüssel und außerdem eine Kennung der Karte enthält. Über diese Kennung wird dann dem Arzt Zugriff auf die Dateistruktur der zugehörigen elektronischen Patientenakte gewährt. Aus diesem Dateisystem kann der Arzt dann entsprechende Nutzdaten auswählen und auf das IDM-Terminal 416 laden. Zur Entschlüsselung dieser Nutzdaten muss dann die Patientenkarte 424 in einem zu dem IDM-Terminal 416 gehörenden Chipkartenleser bereitgestellt werden. Während der Entschlüsselung bzw. der Ausgabe der Nutzdaten, muss die Patientenkarte 424 permanent in dem Chipkartenleser bleiben. Nach Entfernen der Karte wird der private Schlüssel in dem IDM- Terminal 416 mit Beendigung der IDM-Sitzung gelöscht. Somit ist die Möglichkeit des Nutzdatenzugriffs zeitlich auf den Besitz der Patientenkarte 424 limitiert.
Die Anwendung des erfindungsgemäßen Verfahrens im Sinne einer elektronischen Patientenakte kann auch dazu dienen, ein System zur Dokumentation und ggf. Verordnung aller medizinischen Präparate bzw. Medikamente, die einem Patienten verabreicht werden bzw. werden sollen, zu realisieren. In diesem Fall kann beispielsweise ein Arzt zum Ausstellen eines Rezeptes an einem IDM-Terminal mit Hilfe seiner Arzt-ID-Karte eine Eingabedatensitzung eröffnen, bei der ihm durch das System ein entsprechend vorbereitetes Rezeptformular zur Verfügung gestellt wird, in das er die zu verordnenden Medikamente einträgt. Das ausgefüllte Rezept wird sodann verschlüsselt und in dem Datenbanksystem abgelegt. Zur Besorgung des Medikamentes übergibt der Patient in einer Apotheke seine Patientenkarte einem Apotheker, der mit Hilfe seiner ID-Karte an einem IDM-Terminal eine Zugriffsdatensitzung eröffnen kann und dann mit Hilfe der Patientenkarte das Rezept lesen und das entsprechende Medikament ausgeben kann. Mit Hilfe eines solchen Systems könnte insbesondere auch vermieden werden, dass einem Patienten mehrere miteinander unverträgliche Medikamente gleichzeitig verschrieben werden. Ein solches System hätte im Wesentlichen die gleiche Struktur wie das Anwendungsbeispiel der elektronischen Patientenakte. Unterschiede bestehen lediglich im wesentlich geringeren Umfang der zu speichernden Daten, sowie der Tatsache, dass es in diesem Fall sinnvoll wäre, neben Ärzten auch Apothekern eine Zugangsberechtigung zu dem Datenbanksystem zu gewähren. Auf die Ausstellung schriftlicher Rezepte könnte unter Umständen verzichtet werden, wenn die Verordnung vermittels im System abgespeicherten, vom Apotheker unter Vermittlung der Patientenkarte lesbaren Nutzdaten erfolgt.
Vorgeschlagen wird ein Verfahren und ein System zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten in einem elektronischen Datenbanksystem der vorangehend erläuterten Art, insbesondere zum Abspeichern, Bereithalten und Bereitstellen von medizinischen Patientendaten. Das erfindungsgemäße Verfahren zeichnet sich durch die Schritte aus: Bereitstellen wenigstens eines Datenträgers, der einen privaten Schlüssel trägt, welcher zumindest einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet ist; Prüfen einer Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten; bei gegebener Eingabe-Zugangsberechtigung: Verschlüsseln von Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels; Abspeichern der verschlüsselten Nutzdaten in einer Datenbank; Prüfen einer Zugriffs- Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten; bei gegebener Zugriffs-Zugangsberechtigung: Auslesen der verschlüsselten Nutzdaten aus der Datenbank; Entschlüsseln der verschlüsselten Nutzdaten mittels des vom Datenträger getragenen Schlüssels. Das erfindungsgemäße System weist entsprechende Software- und Hardware-Funktionalitäten auf.

Claims

1. Verfahren zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten auf Grundlage einer Verschlüsselung und Entschlüsselung der Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens, welches auf wenigstens einem Paar von öffentlichen und privaten Schlüsseln beruht, gekennzeichnet durch die Schritte:

- Bereitstellen wenigstens eines Datenträgers, der einen privaten Schlüssel trägt, welcher zumindest einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet ist,

- Prüfen einer Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten,

- bei gegebener Eingabe-Zugangsberechtigung:

- Verschlüsseln von Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels,

- Abspeichern der verschlüsselten Nutzdaten in einer Datenbank,

- Prüfen einer Zugriffs-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten,

- bei gegebener Zugriffs-Zugangsberechtigung:

- Auslesen der verschlüsselten Nutzdaten aus der Datenbank,

- Entschlüsseln der verschlüsselten Nutzdaten mittels des vom Datenträger getragenen Schlüssels.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Verfahren den Schritt des Bereitstellens wenigstens eines weiteren Datenträgers umfasst, der Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, auf deren Grundlage die Eingabe-Zugangsberechtigung oder/und die Zugriffs-Zugangsberechtigung geprüft wird, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als erste bzw. dritte Daten oder als zu den ersten bzw. dritten Daten zugehörige Daten auf elektronischem Wege ausgelesen und der Prüfung zugeführt werden.

3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass der wenigstens eine Datenträger ferner Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, auf deren Grundlage die Zugriffs-Zugangsberechtigung geprüft wird, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als vierte Daten oder als zu den vierten Daten zugehörige Daten auf elektronischem Wege ausgelesen und der Prüfung zugeführt werden.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die ersten oder/und die dritten Daten manuell in eine Eingabevorrichtung einzugebende Identifizierungs- oder/und Zugangsberechtigungsdaten umfassen, die auf elektronischem Wege abgefragt oder/und der Prüfung zugeführt werden.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die ersten oder/und die dritten Daten Identifizierungsdaten umfassen, die vermittels einer Erfassung wenigstens eines biometrischen Merkmals mittels einer Erfassungsvorrichtung auf elektronischem Wege generiert und der Prüfung zugeführt werden.

6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass eine Mehrzahl von jeweils den privaten Schlüssel tragenden Datenträgern bereitgestellt und an einen Personenkreis ausgegeben wird, im Hinblick auf eine den Personen des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Auslesen und Entschlüsseln von Nutzdaten.

7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass wenigstens ein den privaten Schlüssel tragender Datenträger zwischen Personen eines Personenkreises übergeben wird, im Hinblick auf eine der jeweiligen, den Datenträger erhaltenden Person des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Auslesen und Entschlüsseln von Nutzdaten.

8. Verfahren nach einem der Ansprüche 2 bis 7, dadurch gekennzeichnet, dass eine Mehrzahl von jeweils Identifizierungs- oder/und Zugangsberechtigungsdaten tragenden weiteren Datenträgern bereitgestellt und an einen Personenkreis ausgegeben wird im Hinblick auf eine den Personen des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Verschlüsseln und Abspeichern von Nutzdaten oder/und für das Auslesen und Entschlüsseln von Nutzdaten.

9. Verfahren nach einem der Ansprüche 2 bis 8, dadurch gekennzeichnet, dass wenigstens ein die jeweiligen Identifizierungs- oder/und Zugangsberechtigungsdaten tragender weiterer Datenträger zwischen Personen eines Personenkreises übergeben wird, im Hinblick auf eine der jeweiligen, den weiteren Datenträger erhaltenden Person des Personenkreises verliehene oder zu verleihende Zugangsberechtigung für das Verschlüsseln und Abspeichern von Nutzdaten oder/- und für das Auslesen und Entschlüsseln von Nutzdaten.

10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die Prüfung der Eingabe-Zugangsberechtigung oder/und Zugriffs-Zugangsberechtigung eine Identitätsprüfung basierend auf dem Vergleich der ersten Daten mit den zweiten Daten bzw. auf dem Vergleich der dritten mit den vierten Daten umfasst.

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Prüfung der Eingabe-Zugangsberechtigung oder/und Zugriffs-Zugangsberechtigung ferner eine Abspeicherberechtigungsüberprüfung bzw. eine Ausleseberechtigungsüberprüfung umfasst, bei der auf elektronischem Wege bei einer erfolgreichen Identifizierung gewonnene Identifizierungsdaten mit bereitgehaltenen Zugangsdaten verglichen werden, die wenigstens einem Nutzdatensatz oder/und wenigstens einem zur Identifizierung eines/des Nutzdatensatzes beim abspeichernden oder/und auslesenden Zugriff auf die Datenbank dienenden Datenbankschlüssel zugeordnet sind.

12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass sicherheitsrelevante Schritte während der Durchführung des Verfahrens einschließlich bei der Prüfung der Eingabe-Zugangsberechtigung oder/und der Zugriffs-Zugangsberechtigung gewonnenen Identifizierungs- oder/und Zugangsberechtigungsdaten protokolliert werden.

13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass als Datenträger oder/und als weiterer Datenträger eine Chipkarte verwendet wird.

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass die als Datenträger eingesetzte Chipkarte einen Prozessor, ggf. Kryptoprozessor, aufweist, der zur Entschlüsselung der verschlüsselten Nutzdaten verwendet wird.

15. Verfahren nach Anspruch 3 sowie nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die als Datenträger eingesetzte Chipkarte einen Prozessor aufweist, der auf Grundlage der Identifizierungs- oder/und Zugangsberechtigungsdaten und wenigstens eines Teils der eingeholten dritten Daten eine Berechtigung zum Zugriff auf den privaten Schlüssel überprüft und in Abhängigkeit von dem Prüfungsergebnis den Zugriff und ggf. die Entschlüsselung freigibt oder sperrt.

16. System zum gesicherten Abspeichern, Bereithalten und Bereitstellen von Nutzdaten auf Grundlage einer Verschlüsselung und Entschlüsselung der Nutzdaten unter Verwendung eines asymmetrischen Verschlüsselungsverfahrens, welches auf wenigstens einem Paar von öffentlichen und privaten Schlüsseln beruht, umfassend:
wenigstens eine computergestützte Datenbank,
wenigstens einen Datenträger, der einen zumindest einem Nutzdatensatz der Datenbank zugeordneten privaten Schlüssel trägt,
wenigstens eine Eingabe-Datenstation, von der Nutzdaten in die Datenbank eingebbar sind,
wobei der Eingabe-Datenstation eine Eingabe-Zugangsberechtigungsüberprüfungseinheit zugeordnet ist, unter deren Vermittlung eine Eingabe-Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten Daten mit abgespeicherten zweiten Daten überprüfbar ist,
wobei der Eingabe-Datenstation ferner eine Verschlüsselungs- und Abspeichereinheit zugeordnet ist, unter deren Vermittlung bei gegebener Eingabe-Zugangsberechtigung Nutzdaten mittels eines dem privaten Schlüssel zugeordneten öffentlichen Schlüssels verschlüsselbar und in der Datenbank abspeicherbar sind,
wenigstens eine, ggf. mit einer Eingabe-Datenstation identische Zugriffs-Datenstation, von der auf verschlüsselte Nutzdaten in der Datenbank zugegriffen werden kann,
wobei der Zugriffs-Datenstation eine Zugriffs-Zugangsberechtigungsüberprüfungseinheit zugeordnet oder zuordenbar ist, unter deren Vermittlung eine Zugriffs- Zugangsberechtigung auf elektronischem Wege durch Vergleich von auf elektronischem Wege eingeholten ersten oder dritten Daten mit abgespeicherten zweiten oder vierten Daten überprüfbar ist,
wobei der Zugriffs-Datenstation ferner eine Entschlüsselungs- und Ausleseeinheit zugeordnet ist, unter deren Vermittlung bei gegebener Zugriffs-Zugangsberechtigung Nutzdaten aus der Datenbank auslesbar und mittels des vom Datenträger getragenen privaten Schlüssels entschlüsselbar sind.

17. System nach Anspruch 16, gekennzeichnet durch wenigstens einen weiteren Datenträger, der Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als erste oder/und dritte Daten oder als zu den ersten oder/und dritten Daten zugehörige Daten auf elektronischem Wege auslesbar sind und einer Vergleichseinheit der Eingabe-Zugangsberechtigungsüberprüfungseinheit oder/und der Zugriffs-Zugangsberechtigungsüberprüfungseinheit zuführbar sind.

18. System nach einem der Ansprüche 16 oder 17, dadurch gekennzeichnet, dass der wenigstens eine Datenträger ferner Identifizierungs- oder/und Zugangsberechtigungsdaten trägt, wobei die Identifizierungs- oder/und Zugangsberechtigungsdaten als vierte Daten oder als zu den vierten Daten zugehörige Daten auf elektronischem Wege auslesbar sind und einer/der Vergleichseinheit der Zugriffs-Zugangsberechtigungsüberprüfungseinheit zuführbar sind.

19. System nach einem der Ansprüche 16 bis 18, gekennzeichnet durch wenigstens eine einer Eingabe-Datenstation oder/und einer Zugriffs- Datenstation zugeordnete Eingabevorrichtung zum manuellen Eingeben von Identifizierungs- oder/und Zugangsberechtigungsdaten, die als erste bzw. dritte Daten oder zu den ersten bzw. dritten Daten zugehörige Daten einer/der Vergleichseinheit der betreffenden Zugangsberechtigungsüberprüfungseinheit zuführbar sind.

20. System nach einem der Ansprüche 16 bis 19, gekennzeichnet durch wenigstens eine Erfassungsvorrichtung zur Erfassung wenigstens eines biometrischen Merkmals, wobei von der Erfassungsvorrichtung Biometriedaten als erste oder/und dritte Daten oder zu den ersten oder/und dritten zugehörige Daten einer/der Vergleichseinheit der Eingabe-Zugangsberechtigungsüberprüfungseinheit oder/und Zugriffs-Zugangsberechtigungsüberprüfungseinheit zuführbar sind.

21. System nach einem der Ansprüche 16 bis 20, dadurch gekennzeichnet, dass eine Mehrzahl von jeweils den privaten Schlüssel tragenden Datenträgern vorgesehen ist.

22. System nach einem der Ansprüche 17 bis 21, dadurch gekennzeichnet, dass eine Mehrzahl von jeweils Identifizierungs- oder/und Zugangsberechtigungsdaten tragenden weiteren Datenträgern vorgesehen ist.

23. System nach einem der Ansprüche 16 bis 22, gekennzeichnet durch wenigstens eine Protokolliereinheit zum Protokollieren von sicherheitsrelevanten Ereignissen während des Betriebs des Systems einschließlich bei der Prüfung der Eingabe-Zugangsberechtigung oder/und der Zugriffs-Zugangsberechtigung gewonnen Identifizierungs- oder/und Zugangsberechtigungsdaten.

24. System nach einem der Ansprüche 16 bis 23, dadurch gekennzeichnet, dass der Datenträger oder/und der weitere Datenträger als Chipkarte ausgebildet ist.

25. System nach Anspruch 24, dadurch gekennzeichnet, dass die als Datenträger eingesetzte Chipkarte einen Prozessor, ggf. Kryptoprozessor, für die Entschlüsselung der verschlüsselten Nutzdaten aufweist.

26. System nach Anspruch 18 oder 19 sowie nach Anspruch 24 oder 25, dadurch gekennzeichnet, dass die als Datenträger eingesetzte Chipkarte einen Prozessor aufweist, der dazu ausgebildet oder/und programmiert ist, auf Grundlage der Identifizierungs- oder/und Zugangsberechtigungsdaten und wenigstens eines Teils der eingeholten dritten Daten eine Berechtigung zum Zugriff auf den privaten Schlüssel zu überprüfen und in Abhängigkeit von dem Prüfungsergebnis den Zugriff und ggf. die Entschlüsselung freizugeben oder zu sperren.

27. System nach Anspruch 24, 25 oder 26, dadurch gekennzeichnet, dass die als Datenträger eingesetzte Chipkarte einen nicht auslesbaren Speicher aufweist zur Speicherung des privaten Schlüssels oder/und der Identifizierungs- und/oder Zugangsberechtigungsdaten zur Prüfung der Zugriffsberechtigung auf den privaten Schlüssel.

28. System nach einem der Ansprüche 16 bis 27, dadurch gekennzeichnet, dass nach Beendigung einer Zugriffs-Sitzung vermittels der Eingabe-Datenstation oder/und einer Ausgabe-Sitzung vermittels der Zugriffs-Datenstation lokal in der betreffenden Station vorliegende Nutzdaten vermittels einer Automatik-Löschfunktionalität derselben löschbar sind.

29. System nach einem der Ansprüche 16 bis 28, dadurch gekennzeichnet, dass das System wenigstens eine der wenigstens einen Datenbank zugeordnete Computereinheit und wenigstens ein die Computereinheit, die wenigstens eine Eingabe-Datenstation und die wenigstens eine Ausgabe-Datenstation verbindendes Computernetz umfasst.

30. System nach Anspruch 29, dadurch gekennzeichnet, dass das Computernetz das Internet oder/und ein Intranet oder/und ein WAN oder/und ein LAN umfasst.

31. System nach einem der Ansprüche 16 bis 30, dadurch gekennzeichnet, dass die Nutzdaten der wenigstens einen Datenbank über mehrere, ggf. jeweils gesonderte Computereinheiten zugeordnete Speichereinheiten verteilt abgespeichert bzw. abspeicherbar sind.

32. System nach einem der Ansprüche 16 bis 31, dadurch gekennzeichnet, dass eine beispielsweise von einer Workstation oder einem Personalcomputer gebildete Computereinheit die wenigstens eine Eingabe-Datenstation oder/und die wenigstens eine Ausgabe-Datenstation umfasst, sowie ggf. die jeweils zugeordnete Verschlüsselungs- bzw. Entschlüssselungseinheit.

33. System nach einem der Ansprüche 16 bis 32, gekennzeichnet durch eine derartige Auslegung, dass die Nutzdaten ausschließlich über die wenigstens eine Eingabe-Datenstation in die Datenbank eingebbar sind und dass auf die Nutzdaten ausschließlich über die wenigstens eine Zugriffs-Datenstation zugegriffen werden kann.

34. System nach einem der Ansprüche 16 bis 33, gekennzeichnet durch eine computergestützte Administrationseinheit zur Verwaltung von Nutzdatensätzen der wenigstens einen Datenbank, sowie von Zugriffsrechten auf diese, wobei die Administrationseinheit vorzugsweise weder eine Eingabe-Datenstation noch eine Zugriffs-Datenstation aufweist.