-
Gebiet der Erfindung
-
Die vorliegende Erfindung betrifft ein Verfahren, eine Vorrichtung und ein computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten. Die Erfindung betrifft insbesondere ein Verfahren, eine Vorrichtung und ein computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten, die eine Anonymisierung von Kundendaten gewährleisten.
-
Hintergrund der Erfindung
-
In modernen Kraftfahrzeugen werden vielfältige Daten gesammelt. Diese Daten lassen unter Umständen einen Rückschluss zu auf persönliche oder sachliche Verhältnisse einer bestimmten oder zumindest bestimmbaren natürlichen Person, beispielsweise über den Fahrer des Kraftfahrzeuges. Im Zuge der zunehmenden Fahrzeugvernetzung besteht ein Interesse daran, die vom Fahrzeug gesammelten Daten für eine weitergehende Auswertung zu nutzen, z.B. zur Erfassung von Verkehrsdaten oder Wetterdaten.
-
Eine derartige Erhebung und Nutzung der Daten ist gemäß den jeweils geltenden Datenschutzgesetzen in der Regel nur mit einer Einverständniserklärung des Fahrers möglich. Zwar sind Verbraucher in der heutigen Zeit insbesondere im Bereich der Software durchaus damit vertraut, Nutzungsbedingungen zu akzeptieren und Freigaben für die Datenauswertung zu erteilen, im Automobilbereich ist dies bisher jedoch nicht üblich. Eine Einverständniserklärung zur Nutzung der Daten zu erhalten ist daher nicht immer einfach. Zudem muss im Rahmen von Softwareaktualisierungen gegebenenfalls eine neue Einverständniserklärung vom Nutzer eingeholt werden, was für den Nutzer auf Dauer ein Ärgernis sein kann.
-
Vor diesem Hintergrund beschreibt die Druckschrift
US 2013/0117857 A1 ein Verfahren zum Verarbeiten von Daten in Steuergeräten eines Fahrzeugs. Im Rahmen der Kommunikation des Fahrzeugs mit einem Backend-System werden benutzerspezifische Daten ausgetauscht, welche Rückschlüsse auf die Person des Benutzers bzw. dessen Verhalten oder dessen Gewohnheiten ermöglichen. Zum Schutz vor Missbrauch werden diese Daten anonymisiert. Zusätzlich ist für die Steuergeräte durch einen Benutzer des Fahrzeugs ein Datenschutzmodus aktivierbar. Bei aktiviertem Datenschutzmodus wird eine Übermittlung von vorbestimmten Daten aus dem Fahrzeug heraus unterbunden oder ausschließlich nach Eingabe einer beim Benutzer des Fahrzeugs angeforderten Bestätigung zugelassen. Mit dem beschriebenen Verfahren wird dem Nutzer die Möglichkeit gegeben, die Weitergabe bestimmter Daten zu unterbinden. Dies ändert allerdings nichts daran, dass für die Erhebung der nicht von diesem Ausschluss betroffenen Daten eine Einverständniserklärung des Nutzers eingeholt werden muss.
-
Zusammenfassung der Erfindung
-
Es ist eine Aufgabe der Erfindung, Lösungen aufzuzeigen, die eine Verarbeitung von durch ein Kraftfahrzeug erfassten Daten erlauben, die keine Einwilligung des Nutzers erfordert.
-
Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1, durch eine Vorrichtung mit den Merkmalen des Anspruchs 12 und durch ein computerlesbares Speichermedium mit Instruktionen gemäß Anspruch 13 gelöst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
-
Gemäß einem ersten Aspekt der Erfindung umfasst ein Verfahren zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten die Schritte:
- - Empfangen eines von einem Kraftfahrzeug erfassten Datums;
- - Anwenden einer örtlichen oder zeitlichen Verschleierung auf das empfangene Datum oder Trennen des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten; und
- - Weitergabe des verschleierten oder abgetrennten Datums zur Auswertung.
-
Gemäß einem weiteren Aspekt der Erfindung weist eine Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten auf:
- - Einen Eingang zum Empfangen eines vom Kraftfahrzeug erfassten Datums;
- - Eine Datenverschleierungseinheit zum Anwenden einer örtlichen oder zeitlichen Verschleierung auf das empfangene Datum oder eine Datenabtrennungseinheit zum Trennen des empfangenen Datums von anderen vom Kraftfahrzeug empfangenen Daten; und
- - Einen Ausgang zur Weitergabe des verschleierten oder abgetrennten Datums zur Auswertung.
-
Gemäß einem weiteren Aspekt der Erfindung enthält ein computerlesbares Speichermedium Instruktionen, die bei Ausführung durch einen Computer den Computer zur Ausführung der folgende Schritte zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten veranlassen:
- - Empfangen eines von einem Kraftfahrzeug erfassten Datums;
- - Anwenden einer örtlichen oder zeitlichen Verschleierung auf das empfangene Datum oder Trennen des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten; und
- - Weitergabe des verschleierten oder abgetrennten Datums zur Auswertung.
-
Die erfindungsgemäße Lösung ermöglicht ein Anonymisieren der Kundendaten insoweit, dass kein Personenbezug mehr vorliegt und die Daten ohne Einwilligung des Kunden erhoben werden können. Dafür werden im Wesentlichen drei Ansätze genutzt, eine örtliche Verschleierung, eine zeitliche Verschleierung und eine inhaltlichen Fokussierung. Bei der örtlichen Verschleierung werden die Daten hinsichtlich des Ortes ihrer Erfassung verschleiert. Dementsprechend werden die Daten bei der zeitlichen Verschleierung hinsichtlich des Zeitpunktes der Erfassung verschleiert. Bei der inhaltlichen Fokussierung erfolgt ein Trennen des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten. Die örtliche oder zeitliche Verschleierung oder das Trennen des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten kann dabei innerhalb des Kraftfahrzeugs oder in einem mit dem Kraftfahrzeug in Verbindung stehenden Empfangssystem erfolgen. Durch die örtliche Verschleierung und die zeitliche Verschleierung wird eine Gruppenanonymität erreicht. Dies ist so zu verstehen, dass die erfassten Daten nur noch einer hinreichend großen Gruppe von Fahrzeugen zugeordnet werden können, nicht mehr einem einzigen oder einigen wenigen Fahrzeugen. Es ist somit nicht mehr oder nur mit unverhältnismäßig großem Aufwand möglich, auf Basis der Daten Rückschlüsse auf personenbezogene Daten zu ziehen. Bei der inhaltlichen Fokussierung gibt es die Möglichkeit, eine Information sehr punktuell abzugeben. Die Daten werden dabei zwar mit einer sehr hohen Präzision hinsichtlich Position und Zeit ausgegeben, allerdings werden diese Daten durch eine Kanaltrennung bewusst von allen anderen Daten getrennt. So wird erreicht, dass kein Personenbezug herstellbar ist.
-
Gemäß einem Aspekt der Erfindung ist die örtliche oder zeitliche Verschleierung umso größer, je größer ein Personenbezug des empfangenen Datums ist. Auf diese Weise wird sichergestellt, dass kritische Daten, d.h. Daten mit einem hohen Personenbezug, einer größeren Verschleierung unterliegen als weniger kritische Daten. Zur Bestimmung, ob Daten kritisch sind, kann beispielsweise berücksichtigt werden, wie viele Daten für einen Rückschluss auf die Person erforderlich sind. Daten, die auf dem Grundstück des Fahrers erfasst werden, lassen beispielsweise recht leicht einen Rückschluss auf den Fahrer zu, während dies bei Daten, die auf der Autobahn erfasst werden, nicht der Fall ist.
-
Gemäß einem Aspekt der Erfindung ist die örtliche oder zeitliche Verschleierung abhängig vom Verkehrsfluss bezogen auf Ort oder Zeitpunkt der Erfassung des Datums durch das Kraftfahrzeug. Beispielsweise ist die örtliche oder zeitliche Verschleierung umso geringer, je größer der Verkehrsfluss bezogen auf Ort oder Zeitpunkt der Erfassung des Datums durch das Kraftfahrzeug ist. Das Ziel der Verschleierung ist eine Gruppenanonymität. Dieses Ziel kann bei großem Verkehrsfluss bereits mit einer geringen Verschleierung erreicht werden. Bei geringem Verkehrsfluss ist hingegen eine große Verschleierung sinnvoll, um einen Personenbezug wirksam auszuschließen. Beispielsweise wird ein Messwert tagsüber auf einer Autobahn in der Regel von einer Vielzahl von Fahrzeugen in kurzer Zeit erfasst. Hier ist eine geringfügige Verschleierung ausreichend. Nachts auf einer wenig befahrenen Nebenstraße wird ein Messwert unter Umständen nur von einem einzigen Fahrzeug erfasst. In diesem Fall ist eine weitreichende Verschleierung angebracht. Der Verkehrsfluss kann mittels einer Onboard-Sensorik des Kraftfahrzeugs bestimmt werden. Alternativ oder zusätzlich können Daten zum Verkehrsfluss von einem Server bereitgestellt werden.
-
Gemäß einem Aspekt der Erfindung erfolgt die örtliche Verschleierung durch Zuordnen des empfangenen Datums zu einem Raster. Die Daten können beispielsweise in ein km-Raster integriert werden, ohne dass der Wert der Daten übermäßig reduziert wird. Dennoch ist es so nicht mehr möglich, auf Basis der Daten Rückschlüsse auf personenbezogene Daten zu ziehen.
-
Gemäß einem Aspekt der Erfindung erfolgt die zeitliche Verschleierung durch eine zufällige Verschiebung des Messzeitpunktes des empfangenen Datums. Im einfachsten Falle können die Messzeitpunkte über den Verschiebungszeitpunkt gleichverteilt werden. Besonders vorteilhaft ist aber der Einsatz einer unsymmetrischen Verteilungsfunktionen, beispielsweise einer Pareto-Verteilung. Sichere Rückschlüsse auf das Fahrzeug sind so nicht möglich, gleichzeitig ist aber die Verschiebung der Daten im Mittel nur recht klein. Dennoch ist grundsätzlich eine sehr große Verschiebung der Daten möglich, so dass keine Aussagen mit hoher Sicherheit zu einem bestimmten Fahrzeug getroffen werden können, d.h. Aussagen, dass es sich bei dem Urheber eines Datums mit hoher Wahrscheinlichkeit um ein bestimmtes Fahrzeug handelt.
-
Gemäß einem Aspekt der Erfindung werden nach dem Trennen des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten für einen Zeitraum keine weiteren erfassten Daten von diesem Kraftfahrzeug übermittelt. Auf diese Weise werden mögliche Kreuzkorrelationen zuverlässig ausgeschlossen.
-
Gemäß einem Aspekt der Erfindung wird eine Position eines Kraftfahrzeugs empfangen und mit Aufträgen in einem Auftragsspeicher verglichen. Falls die Position des Kraftfahrzeugs zu einem Auftrag im Auftragsspeicher passt, wird ein Datum vom Kraftfahrzeug angefordert. Auf diese Weise ist es möglich, gezielt Daten von Fahrzeugen anzufordern, die sich an Positionen befinden, für die noch Daten erforderlich sind. Gleichzeitig kann so die wiederholte Übertragung der gleichen Information eingeschränkt werden. Beispielsweise ist der Nutzen gering, wenn ein erkanntes Verkehrszeichen von einer Vielzahl von Fahrzeugen übermittelt wird. Durch die gezielte Anforderung von Daten kann deshalb das anfallende Datenvolumen in sinnvollen Grenzen gehalten werden.
-
Vorzugsweise werden ein erfindungsgemäßes Verfahren oder eine erfindungsgemäße Vorrichtung in einem autonom oder manuell gesteuerten Fahrzeug, insbesondere einem Kraftfahrzeug, eingesetzt.
-
Weitere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und den angehängten Ansprüchen in Verbindung mit den Figuren ersichtlich.
-
Figurenliste
-
- 1 zeigt schematisch ein Verfahren zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten;
- 2 zeigt eine erste Ausführungsform einer Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten;
- 3 zeigt eine zweite Ausführungsform einer Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten;
- 4 stellt schematisch ein Verfahren zur Anforderung eines Datums von einem Fahrzeug dar;
- 5 zeigt schematisch einen ersten Mechanismus zum Übertragen von Daten von einem Fahrzeug zu einem Backend, bei dem eine Anonymisierung im Backend erfolgt;
- 6 zeigt schematisch einen zweiten Mechanismus zum Übertragen von Daten von einem Fahrzeug zu einem Backend, bei dem eine Anonymisierung im Backend erfolgt;
- 7 zeigt ein System zum Übertragen von Daten von einem Fahrzeug zu einem Backend, bei dem eine Anonymisierung im Fahrzeug erfolgt; und
- 8 zeigt schematisch einen Ablauf der Anonymisierung der Daten im Fahrzeug.
-
Detaillierte Beschreibung der Ausführungsformen
-
Zum besseren Verständnis der Prinzipien der vorliegenden Erfindung werden nachfolgend Ausführungsformen der Erfindung anhand der Figuren detaillierter erläutert. Es versteht sich, dass sich die Erfindung nicht auf diese Ausführungsformen beschränkt und dass die beschriebenen Merkmale auch kombiniert oder modifiziert werden können, ohne den Schutzbereich der Erfindung zu verlassen, wie er in den angehängten Ansprüchen definiert ist.
-
1 zeigt schematisch ein Verfahren zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten. In einem ersten Schritt wird ein von einem Kraftfahrzeug erfasstes Datum empfangen 10. Anschließend wird eine örtliche oder zeitliche Verschleierung 11 auf das empfangene Datum angewendet. Alternativ oder zusätzlich wird das empfangene Datum von anderen vom Kraftfahrzeug erfassten Daten getrennt 12. Das verschleierte oder abgetrennte Datum wird schließlich zur Auswertung weitergegeben 13. Die örtliche oder zeitliche Verschleierung 11 oder das Trennen 12 des empfangenen Datums von anderen vom Kraftfahrzeug erfassten Daten kann dabei innerhalb des Kraftfahrzeugs oder in einem mit dem Kraftfahrzeug in Verbindung stehenden Empfangssystem erfolgen.
-
2 zeigt eine vereinfachte schematische Darstellung einer ersten Ausführungsform einer Vorrichtung 20 zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten. Die Vorrichtung 20 hat einen Eingang 21 zum Empfangen eines vom Kraftfahrzeug erfassten Datums. Eine Datenverschleierungseinheit 22 wendet eine örtliche oder zeitliche Verschleierung auf das empfangene Datum an. Alternativ oder zusätzlich weist die Vorrichtung 20 eine Datenabtrennungseinheit 23 zum Trennen des empfangenen Datums von anderen vom Kraftfahrzeug empfangenen Daten auf. Die für die örtliche oder zeitliche Verschleierung notwendigen Parameter werden von einer Datenverarbeitungseinheit 24 bestimmt und bereitgestellt. Das verschleierte oder abgetrennte Datum wird schließlich über einen Ausgang 25 zur Auswertung weitergegeben. Über eine Benutzerschnittstelle 27 können gegebenenfalls Einstellungen der Datenverschleierungseinheit 22, der Datenabtrennungseinheit 23 oder der Datenverarbeitungseinheit 24 geändert werden. Die in der Vorrichtung 20 anfallenden Daten können zudem in einem Speicher 26 der Vorrichtung 20 abgelegt werden, beispielsweise für eine spätere Auswertung. Der Eingang 21 und der Ausgang 25 können als getrennte Schnittstellen oder als eine kombinierte bidirektionale Schnittstelle implementiert sein. Die Datenverschleierungseinheit 22, die Datenabtrennungseinheit 23 sowie die Datenverarbeitungseinheit 24 können als dezidierte Hardware realisiert sein, beispielsweise als integrierte Schaltungen. Natürlich können sie aber auch teilweise oder vollständig kombiniert oder als Software implementiert werden, die auf einem geeigneten Prozessor läuft.
-
3 zeigt eine vereinfachte schematische Darstellung einer zweiten Ausführungsform einer Vorrichtung 30 zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten. Die Vorrichtung 30 weist einen Prozessor 32 und einen Speicher 31 auf. Beispielsweise handelt es sich bei der Vorrichtung 30 um einen Computer, eine Workstation oder ein Steuergerät. Im Speicher 31 sind Instruktionen abgelegt, die die Vorrichtung 30 bei Ausführung durch den Prozessor 32 veranlassen, die Schritte gemäß einem der beschriebenen Verfahren auszuführen. Die im Speicher 31 abgelegten Instruktionen verkörpern somit ein durch den Prozessor 32 ausführbares Programm, welches das erfindungsgemäße Verfahren realisiert. Die Vorrichtung hat einen Eingang 33 zum Empfangen von Informationen. Vom Prozessor 32 generierte Daten werden über einen Ausgang 34 bereitgestellt. Darüber hinaus können sie im Speicher 31 abgelegt werden. Der Eingang 33 und der Ausgang 34 können zu einer bidirektionalen Schnittstelle zusammengefasst sein.
-
Der Prozessor 32 kann eine oder mehrere Prozessoreinheiten umfassen, beispielsweise Mikroprozessoren, digitale Signalprozessoren oder Kombinationen daraus.
-
Die Speicher 26, 31 der beschriebenen Ausführungsformen können sowohl volatile als auch nichtvolatile Speicherbereiche aufweisen und unterschiedlichste Speichergeräte und Speichermedien umfassen, beispielsweise Festplatten, optische Speichermedien oder Halbleiterspeicher.
-
Die beiden Ausführungsformen der Vorrichtung können in das Kraftfahrzeug integriert sein oderBestandteil eines mit dem Kraftfahrzeug in Verbindung stehenden Empfangssystems sein.
-
4 stellt schematisch ein Verfahren zur Anforderung eines Datums von einem Fahrzeug dar. Nach dem Empfangen 14 einer Position eines Kraftfahrzeugs wird diese Position mit Aufträgen in einem Auftragsspeicher verglichen 15. Der Auftragsspeicher 44 beinhaltet alle aktiven beauftragten Messaufträge zu definierten Positionen. Falls die Position des Kraftfahrzeugs zu einem Auftrag im Auftragsspeicher passt, wird ein Datum vom Kraftfahrzeug angefordert 16.
-
Beschreibung einer bevorzugten Ausführungsform
-
Nachfolgend soll eine bevorzugte Ausführungsform der Erfindung anhand von 5 bis 8 beschrieben werden. Dabei erfolgt in 5 und 6 die Anonymisierung der Daten im Backend. In 7 und 8 werden die Daten bereits im Fahrzeug anonymisiert.
-
5 zeigt einen ersten Mechanismus zum Übertragen von Daten von einem Fahrzeug 40 zu einem Backend 45, beispielsweise für eine rechnergestützte Auswertung. Es handelt sich dabei um einen „Push-Mechanismus“, bei dem das Fahrzeug 40 aus eigener Initiative Daten an das Backend 45 übermittelt.
-
Ein zweiter Mechanismus zum Übertragen von Daten von einem Fahrzeug 40 zu einem Backend 45 ist in 5 dargestellt. Es handelt sich dabei um einen „Pull-Mechanismus“. Hier fordert das Backend 45 Daten aus dem Fahrzeug 40 an, welche erst dann von dem Fahrzeug 40 an das Backend 45 übermittelt werden.
-
Für beide Fälle gilt, dass das Fahrzeug 40 in der Lage ist, Daten zu erheben und diese an ein Empfangssystem 41 zu Versenden. Dies geschieht entweder selbstständig oder aufgrund einer Anforderung. Eine Pseudonymisierungseinheit 42 des Empfangssystems 41 führt eine Pseudonymisierung der empfangenen Daten durch. Pseudonymisieren bezeichnet dabei das Ersetzen von Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Beispielsweise wird eine vom Fahrzeug 40 übermittelte Identifikationsnummer durch eine pseudonymisierte Identifikationsnummer ersetzt, um eine Bestimmung des Fahrzeugs 40 auszuschließen.
-
Eine Anonymisierungseinheit 43 des Empfangssystems 41 anonymisiert die übermittelten Daten des Fahrzeugs 40. Anonymisieren bezeichnet dabei das Verändern der Daten derart, dass die einzelnen Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einem bestimmten oder bestimmbaren Fahrzeug und somit einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Zu diesem Zweck setzt die Anonymisierungseinheit 43 je nach Klasse der übermittelten Daten die weiter unten beschriebenen Mechanismen ein, die auch kombiniert werden können.
-
Das Backend 45 beschreibt die datennutzende Einheit. Hier werden die Daten verarbeitet. Jeglicher Empfang von Daten mit personenbezogenem Nutzinhalt innerhalb der Daten ist an dieser Stelle nicht mehr zulässig.
-
Das in 6 dargestellte System weist zusätzlich einen Auftragsspeicher 44 auf. Der Auftragsspeicher 44 beinhaltet alle aktiven, vom Backend beauftragten Messaufträge zu definierten Positionen. Das Fahrzeug 40 kann sich über die Pseudonymisierungseinheit 42 mit seiner Egoposition beim Auftragsspeicher 44 melden. Der Auftragsspeicher 44 prüft dann, ob die Egoposition zu einem offenen Messauftrag passt. Falls dies der Fall ist, fordert der Auftragsspeicher 44 die Messdaten über die Pseudonymisierungseinheit 42 vom Fahrzeug 40 an. Diese werden im Gegenzug dann vom Fahrzeug 40 an das Empfangssystem 41 übermittelt.
-
Zur Anonymisierung der Daten stellt die Anonymisierungseinheit 43 drei unterschiedliche Verfahren bereit, die je nach Klasse der übermittelten Daten eingesetzt werden und auch kombiniert werden können.
-
Ein erstes Verfahren besteht in einer örtlichen Verschleierung der Daten, d.h. die Daten werden hinsichtlich des Ortes ihrer Erfassung verschleiert. Beispiele für Daten, die auf diese Weise verschleiert werden, sind Regen- und Wetterdaten, die z.B. für einen Wetterdienst erfasst werden können. Derartige Daten können beispielsweise in ein km-Raster integriert werden, ohne dass der Wert der Daten übermäßig reduziert wird. Dennoch ist es so nicht mehr möglich, auf Basis der Daten Rückschlüsse auf personenbezogene Daten zu ziehen.
-
Ein zweites Verfahren besteht in einer zeitlichen Verschleierung der Daten, d.h. die Daten werden hinsichtlich des Zeitpunktes der Erfassung verschleiert. Beispiele für Daten, die auf diese Weise verschleiert werden, sind Daten von erkannten Schildern. Diese Daten sind zeitlich gesehen konstant, so dass eine Verschiebung des Zeitpunktes der Erfassung im Rahmen von beispielsweise 0-24 Stunden den Wert der Daten nur bedingt reduziert. Gleichzeitig wird es praktisch unmöglich, Rückschlüsse auf den Fahrer zu ziehen.
-
Vorzugsweise unterliegt die Verschiebung des Zeitpunktes einer zufälligen Verteilung. Im einfachsten Falle können die Messzeitpunkte über den Verschiebungszeitpunkt gleichverteilt werden. Besonders vorteilhaft ist aber der Einsatz einer unsymmetrischen Verteilungsfunktionen, beispielsweise einer Pareto-Verteilung. Sichere Rückschlüsse auf den Fahrer sind so nicht möglich, gleichzeitig ist aber die Verschiebung der Daten im Mittel nur recht klein. So lässt sich beispielsweise mit hoher Wahrscheinlichkeit bestimmen, dass ein Fahrzeug zu einer bestimmten Zeit an einem bestimmten Ort war, ein Unsicherheitsfaktor bleibt aber, da genau bei diesem Fahrzeug eine große Verschiebung erfolgt sein könnte.
-
Ziel der zeitlichen und örtlichen Verschleierung ist es, eine Gruppenanonymität zu erreichen. Dies ist so zu verstehen, dass die erfassten Daten nur noch einer hinreichend großen Gruppe von Fahrzeugen zugeordnet werden können, nicht mehr einem einzigen oder einigen wenigen Fahrzeugen. Dabei kann es relevant sein, wo und wann die Daten erfasst werden. Tagsüber auf einer Autobahn wird ein Messwert in der Regel von einer Vielzahl von Fahrzeugen in kurzer Zeit erfasst. Hier ist eine geringfügige Verschleierung ausreichend. Nachts auf einer wenig befahrenen Nebenstraße wird ein Messwert unter Umständen nur von einem einzigen Fahrzeug erfasst. In diesem Fall ist eine weitreichende Verschleierung erforderlich. Diesem Umstand kann durch die Anonymisierungseinheit 43 durch die Berücksichtigung von Daten zum Verkehrsfluss Rechnung getragen werden.
-
Ein drittes Verfahren besteht in einer inhaltlichen Fokussierung. Hier gibt es die Möglichkeit, eine Information sehr punktuell abzugeben. Die Daten werden dabei zwar mit einer sehr hohen Präzision hinsichtlich Position und Zeit ausgegeben, allerdings werden diese Daten durch eine Kanaltrennung bewusst von allen anderen Daten getrennt. So wird erreicht, dass kein Personenbezug herstellbar ist. Eine weitere Möglichkeit besteht darin, dass das Fahrzeug nach der „fokussierten Datenlieferung“ für eine gewisse Zeit jegliche Kommunikation unterbindet. Auf diese Weise werden mögliche Kreuzkorrelationen zuverlässig ausgeschlossen.
-
Beispiele für Daten, die einer inhaltlichen Fokussierung zugänglich sind, sind Gefahrenstellen, Wechselverkehrszeichen oder Ampelphasen. Derartige Daten sind ohne hinreichend genaue Orts- und Zeitinformationen praktisch nutzlos. Zudem kann es insbesondere bei Gefahrenstellen, beispielsweise Unfällen oder einem erkannten Geisterfahrer, sinnvoll sein, der Nutzung der Daten für die Verhinderung von Unfällen einen Vorrang gegenüber dem Datenschutz zu geben. Auch Daten zum Tankzustand können auf diese Weise behandelt werden. Derartige Daten sind beispielsweise nützlich, um praxisbezogene Verbrauchsinformation zu bestimmen. Dies erlaubt es z.B., die Auswirkungen von Änderungen der Motorsteuerung auszuwerten. Da ohne Orts- und Zeitinformationen keine sinnvollen Verbrauchsinformationen ermittelt werden können, kommt eine örtliche oder zeitliche Verschleierung der Daten nicht in Frage.
-
7 zeigt ein System zum Übertragen von Daten von einem Fahrzeug 40 zu einem Backend 45, bei dem eine Anonymisierung im Fahrzeug 40 erfolgt. Hierbei wird mittels einer Umfeldsensorik des Fahrzeugs 40 der Verkehrsfluss abgeschätzt. Daraus wird die erforderliche zeitliche oder räumliche Verschiebung ermittelt, um die Identität des Fahrzeugs 40 in einer definierten Anonymisierungsgruppe zu verschleiern. Unter einer Anonymisierungsgruppe ist die Gruppe zu verstehen, in der ein Individuum trotz seiner Handlungen anonym bleibt, d.h. nicht erkennbarer Teil der Gruppe ist. Nach einer Übermittlung der Daten an ein Empfangssystem 41 werden die IDs des Fahrzeugs auf allen Kommunikationsschichten durch eine Pseudonymisierungseinheit 42 im Empfangssystem 41 entfernt. Im Detail liegt diesem Ansatz der nachfolgend beschriebene Ablauf zugrunde. Alle Fahrzeugsensoren 46, wie z.B. Kamera, Radar-, Ultraschall-, Temperatur- oder Klimasensoren, melden die gemessenen Daten an eine Kommunikationseinheit 47. Hier werden die Daten, sofern dies nicht schon durch die Sensoren geschehen ist, mit einem Zeitstempel und einem Ortsstempel versehen. Eine Anonymisierungseinheit 43 nimmt diese Daten und verändert den Zeit- bzw. Ortsstempel soweit, dass die Identität des Fahrzeugs 40 in einer Gruppe von Fahrzeugen ausreichend versteckt wird. Die Funktion der Anonymisierungseinheit 43 wird weiter unten anhand der 8 beschrieben. Die anonymisierten Daten, welche noch fahrzeugspezifische mobilfunkbasierte Verbindungsdaten besitzen, werden mittels Mobilfunk an das Empfangssystem 41 gesendet, in dem eine Pseudonymisierungseinheit 42 die Daten von den fahrzeugspezifischen Verbindungsdaten isoliert und mit einer Pseudo-ID versieht. Die Anmeldung des Fahrzeugs 40 erfolgt hierbei über ein Gruppenzertifikat, welches in allen Fahrzeugen identisch ist. Ziel ist es dabei, Unbefugten den Upload zu erschweren, ohne die ID des Fahrzeugs 40 preiszugeben. Die Daten werden dann über eine Datenanpassungseinheit 48 an die Schnittstelle des Backends 45 angepasst und entsprechend versendet. Der Nutzer der Daten wertet dann die erfassten Kundendaten entsprechend seines Analyseziels aus. In 7 ist die Pseudonymisierungseinheit 42 Bestandteil eines vom Fahrzeughersteller bereitgestellten Empfangssystems 41. Die Pseudonymisierungseinheit 42 kann aber auch von einem externen Dienstleister gestellt werden. Entsprechend kann es sich beim Nutzer der Daten um den Fahrzeughersteller oder ein von diesem unabhängiges Unternehmen handeln.
-
8 zeigt schematisch einen Ablauf der Anonymisierung der Daten im Fahrzeug. Als Eingang für die Anonymisierungseinheit 43 werden die personalisierten Daten 50 verwendet. Zudem werden Anonymisierungsparameter 51 bereitgestellt, insbesondere die geforderte Größe der Anonymisierungsgruppe und die Freiheitsgrade der eingehenden Datensätze hinsichtlich Verschiebung des Zeit- und des Ortsstempels. Aus den Daten 52 zu erfassten Fahrzeugen im Umfeld wird eine Verkehrsflussprognose im Umfeld des Fahrzeugs errechnet. Bei Bedarf können zusätzliche Randparameter 53 für die Daten berücksichtigt werden. Beispielsweise kann festgelegt werden, dass keine Übertragung von Daten zu den letzten 100m der Fahrzeugbewegung erfolgt, um so die Position der Wohnung des Fahrers zu schützen. Basierend auf den Eingangsgrößen werden dann durch die Anonymisierungseinheit 43 die Daten entsprechend dem Zeit- oder dem Ortsstempel verschoben. Bei einer Verschiebung des Zeitstempels werden zuerst das benötigte Zeitintervall und die mögliche Verteilung anhand der Parameter berechnet. Danach wird die Verschiebung auf den Messzeitpunkt über einen Zufallsalgorithmus berechnet und auf die Messdaten addiert. Bei einer Verschiebung des Ortsstempels werden zuerst das benötigte Verschiebungsintervall und die mögliche Verteilung aus den Parametern bestimmt. Danach wird die Verschiebung auf dem Ortsstempel über einen Zufallsalgorithmus berechnet und auf die Messdaten addiert. Wichtig hierbei ist, dass die Verschiebung lediglich entlang der bereits gefahrenen Strecke umgesetzt werden kann. Hierzu werden vorzugsweise die letzten GPS-Messungen der z.B. letzten 5km gespeichert .Die Daten werden dann lediglich entlang dieser gespeicherten Positionen verschoben. Ohne diese Einschränkung kann bei einer freien Verschiebung durch „Map Matching“-Algorithmen die Verschiebung zumindest teilweise korrigiert werden. Die anonymisierten Daten 54 werden schließlich von der Anonymisierungseinheit 43 für die weitere Verarbeitung ausgegeben.
-
Auch bei der Anonymisierung im Fahrzeug kann eine optimierte Zufallsverteilung bei der Verschiebung der Daten genutzt werden, beispielsweise die bereits oben erwähnte Pareto-Verteilung. Hierbei können die Daten so verschoben werden, dass die Verschiebung im Mittel gering ist, allerdings im Maximum sehr hoch ist. Auf diese Weise wird einerseits die Qualität der meisten Daten nur gering verfälscht, während andererseits eine sichere Identifikation durch die große maximale Verschiebung nur innerhalb einer großen Anonymisierungsgruppe möglich ist.
-
Unabhängig davon, ob die Anonymisierung in Fahrzeug oder im Backend erfolgt, ist die Umsetzung der Anonymisierung von der Art der Daten selbst beziehungsweise deren Freiheitsgraden abhängig. Ziel muss dabei ist, die Daten nicht durch die Anonymisierung zu entwerten. Dazu können die Daten beispielsweise wie nachfolgend beschrieben klassifiziert werden.
-
Als erstes Kriterium sollte unterschieden werden, wie vergänglich die Information selbst ist. Hier lassen sich mehrere Gruppen bilden:
Vergänglichkeit | Nutzen für andere Verkehrsteilnehmer | Beispiele für Daten |
< 1sec | Nutzung für Fahrerassistenzsysteme, direkt eingreifende Systeme | Brems-, Beschleunigungsvorgänge, Fahrmanöver von Fahrzeugen, Verkehr |
< 1min | Nutzbar für unmittelbare Manöverplanung (nächste 10sec) | Ampelzustände, Wechselverkehrszeiten, Belegung von Parkplätzen |
< 10min | Nutzbar für mittelbare Manöverplanung (generelle Konditionierung für die Fahrt), Routenplanung | Verkehrsflusszustände, lokale Gefahrenstellen, Bewegungsspuren der Fahrzeuge, Wetter, Straßenzustand, Klima, Licht |
< 1h | Nutzbar für mittelbare Manöverplanung (generelle Konditionierung für die Fahrt), Routenplanung, Selbstlokalisierung des Fahrzeugs anhand von erkannten Kartenmerkmalen | Statische Schilder, Straßen markierungen, |
> 1h | Nutzbar für Routenplanung, Selbstlokalisierung des Fahrzeugs anhand von erkannten Kartenmerkmalen | Straßenverläufe, Straßennamen |
-
Als zweites Kriterium wird die Reaktionszeit im Empfangsfahrzeug, die für die Verarbeitung einer neuen Information zulässig ist, in der folgenden Tabelle definiert.
Reaktionszeit | Kundenfunktion | Nutzdaten der Funktion |
< 1sec | Fahrerassistenzsysteme, direkt eingreifende Systeme | Brems-, Beschleunigungsvorgänge, Fahrmanöver von Fahrzeugen, Verkehr, lokale Gefahrenstellen |
< 1min | Unmittelbare Manöverplanung (nächste 10sec) | Ampelzustände, Wechselverkehrszeiten, Belegung von Parkplätzen, lokale Gefahrenstellen, Straßenzustand, Bewegungsspuren der Fahrzeuge innerhalb der Spur |
< 10min | Mittelbare Manöverplanung (Generelle Konditionierung während der Fahrt) | Verkehrsflusszustände, Wetter, Klima, Licht, |
< 1h | Routenplanung | Straßenverläufe, Straßennamen, Verkehrsflusszustände |
> 1h | Selbstlokalisierung des Fahrzeugs anhand von erkannten Kartenmerkmalen | Statische Schilder, Straßenmarkierungen, Straßenverläufe |
-
Ausgegangen wird nun von einer Verschiebung des Messzeitpunktes der Daten, um die Identität des Fahrzeugs innerhalb einer Gruppe zu verstecken. Hierbei gilt es, die Identität der Fahrzeugposition zu verschleiern, ohne jedoch die Daten zu entwerten. Um dieses Ziel zu erreichen, kann beispielsweise eine exponentielle Verteilung mit folgenden Aufteilungsklassen verwendet werden. Hierbei bezeichnet K die Gruppengröße der Anonymisierungsgruppe für die 95%-Verteilung.
Gruppen Gx | Gruppengröße a(Gx, K) | Wahrscheinlichkeit P(GX) |
1 | K | 95% |
2 | K*10 | 2,5% |
3 | K*102 | 1,25% |
4 | K*103 | 0,625% |
5 | K*104 | 0,3125% |
6 | Unendlich (Unterdrückung der Meldung) | 0,3125% |
-
Die Zuordnung der Daten zu einer 95%-Gruppengröße wird in der folgenden Tabelle beschrieben.
Daten | Vergänglichkeit | Kritikalität | 95% Gruppengröße |
lokale Gefahrenstellen | < 10min | < 1sec | K=2 |
Ampelzustände, Wechselverkehrszeiten | < 1min | < 1min | K=2 |
Belegung von Parkplätzen | < 1min | < 1min | K=2 |
Bewegungsspuren der Fahrzeuge innerhalb der Spur | < 10min | < 1min | K=5 |
Verkehrsflusszustände, | < 10min | < 10min | K=10 |
Wetter, Klima, Licht | < 10min | < 10min | K=10 |
Straßenzustand, | < 10min | < 10min | K=10 |
Statische Schilder, Straßenmarkierungen | < 1h | < 1h | K=20 |
Straßenverläufe, Straßennamen | > 1h | > 1h | K=20 |
-
Nachfolgend sollen zwei konkrete Beispiele beschrieben werden. Beim ersten Beispiel handelt es sich um eine lokale Gefahrenstelle, beispielsweise einen Falschfahrer.
-
Zu einem Zeitpunkt t
0 erkennt die Onboard-Sensorik einen Falschfahrer, beispielsweise aus den von einem Frontradar oder einer Kamera erfasst Daten. Zudem werden aus den bereits beobachteten Fahrzeugen zum Zeitpunkt t
0 die durchschnittliche Flussgeschwindigkeit v
dF(t) und der Fahrzeugabstand d
dF(t) ermittelt. Die erforderliche zeitliche Verschiebung t
v(a) = a · d
dF(t)/v
dF(t) ergibt sich damit zu:
-
Beispiel: Bei einer durchschnittlichen Flussgeschwindigkeit vdF(t0) = 72km/h = 20m/s und einem durchschnittlichen Fahrzeugabstand ddF(t0) = 60m ergibt sich eine erforderliche zeitliche Verschiebung tv(a) = a · 3sec.
-
Mittels eines ersten Zufallsalgorithmus wird mit der Verteilung von P die Gruppe Gx bestimmt. Beispiel: Als Zufallszahl im Intervall 0..1 wird 0,96 generiert, wodurch die Gruppe G2 ausgewählt wird. Die Gruppengröße ist damit 20 Fahrzeuge.
-
Mittels eines zweiten Zufallsalgorithmus wird die Verschiebung innerhalb der Gruppengröße bestimmt. Beispiel: Als Zufallszahl im Intervall 0..1 wird 0,56 generiert, wodurch das Fahrzeug um 11 durchschnittliche Fahrzeugzeitintervalle verschoben wird. Die erkannte Gefahrenstelle wird daher um 33 Sekunden verspätet mit entsprechendem Zeitstempel versendet.
-
Das zweite Beispiel betrachtet die Erkennung von statischen Schildern und Spurmarkierungen.
-
Die Onboard-Sensorik, beispielsweise die Frontkamera, erkennt zwischen den Zeitpunkten t0 und t1 auf einer Strecke von 2km diverse Schilder und Spurmarkierungen.
-
Zudem werden aus den bereits beobachteten Fahrzeugen zum Zeitpunkt t
0 die durchschnittliche Flussgeschwindigkeit v
dF(t) und der Fahrzeugabstand d
dF(t) ermittelt. Die erforderliche zeitliche Verschiebung t
v(a) = a · d
dF(t)/v
dF(t) ergibt sich damit zu:
-
Beispiel: Bei einer durchschnittlichen Flussgeschwindigkeit vdF(t0) = 90km/h = 25m/s und einem durchschnittlichen Fahrzeugabstand ddF(t0) = 100m ergibt sich eine erforderliche zeitliche Verschiebung tv(a) = a · 4sec.
-
Mittels eines ersten Zufallsalgorithmus wird mit der Verteilung von P die Gruppe Gx bestimmt. Beispiel: Als Zufallszahl im Intervall 0..1 wird 0,52 generiert, wodurch die Gruppe G1 ausgewählt wird. Die Gruppengröße ist damit 20 Fahrzeuge.
-
Mittels eines zweiten Zufallsalgorithmus wird die Verschiebung innerhalb der Gruppengröße bestimmt. Beispiel: Als Zufallszahl im Intervall 0..1 wird 0,34 generiert, wodurch das Fahrzeug um 6 durchschnittliche Fahrzeugzeitintervalle verschoben wird. Die erkannten Daten werden daher um 30 Sekunden verspätet mit entsprechendem Zeitstempel versendet.
-
In den obigen Überlegungen wird davon ausgegangen, dass alle Fahrzeuge, welche im Verkehr erfasst werden, potentiell am Daten-Upload teilnehmen können und somit Mitglied der Anonymisierungsgruppe sind. Diese Annahme trifft jedoch erst dann zu, wenn sämtliche bereits zugelassene Fahrzeuge durch Fahrzeuge mit der Möglichkeit zum Daten-Upload ersetzt wurden. Um dennoch die richtige Größe der Anonymisierungsgruppe zu erreichen, ist es daher sinnvoll, die Gruppe entsprechend der Gruppengröße um einen Korrekturfaktor kA zur erweitern. Dieser Korrekturfaktor ergibt sich durch den Anteil der Fahrzeuge am Gesamtfahrzeugbestand, welche über das Empfangssystem Daten einbringen.
-
Bezugszeichenliste
-
- 10
- Empfangen eines Datums
- 11
- Anwenden einer Verschleierung
- 12
- Trennen von anderen empfangenen Daten
- 13
- Weitergabe zur Auswertung
- 14
- Empfangen einer Fahrzeugposition
- 15
- Vergleich der Position mit gespeicherten Aufträgen
- 16
- Anfordern eines Datums bei Übereinstimmung
- 20
- Vorrichtung
- 21
- Eingang
- 22
- Datenverschleierungseinheit
- 23
- Datenabtrennungseinheit
- 24
- Datenverarbeitungseinheit
- 25
- Ausgang
- 26
- Speicher
- 27
- Benutzerschnittstelle
- 30
- Vorrichtung
- 31
- Speicher
- 32
- Prozessor
- 33
- Eingang
- 34
- Ausgang
- 40
- Kraftfahrzeug
- 41
- Empfangssystem
- 42
- Pseudonymisierungseinheit
- 43
- Anonymisierungseinheit
- 44
- Auftragsspeicher
- 45
- Backend
- 46
- Fahrzeugsensoren
- 47
- Kommunikationseinheit
- 48
- Datenanpassungseinheit
- 50
- Personalisierte Daten
- 51
- Anonymisierungsparameter
- 52
- Daten zu erfassten Fahrzeugen
- 53
- Randparameter
- 54
- Anonymisierte Daten
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2013/0117857 A1 [0004]