-
Die Erfindung betrifft ein Verfahren zum Handhaben von elektronischen, nutzerspezifischen Informationen eines Nutzers eines Fahrzeugs. Des Weiteren betrifft die Erfindung ein Computerprogramm sowie ein elektronisches Verwaltungssystem.
-
Beispielsweise werden in Fahrzeugen zur Authentifizierung eines Nutzers des Fahrzeuges biometrische Erkennungssysteme verwendet. Hierzu sind in den Fahrzeugen Authentifizierungsmechanismen installiert, welche auf einer biometrischen Erkennung basieren. Dazu werden biometrische Merkmale des Nutzers erfasst und dem Nutzer zugeordnet. Beispielsweise können diese biometrischen Merkmale in einer Datenbank abgespeichert sein.
-
Beispielsweise können auf den verschiedensten Endgeräten biometrische Daten des Nutzers des Endgerätes lokal abgespeichert werden. Ein Beispiel hierfür ist das Einloggen in einem Smartphone mittels Fingerabdruck.
-
Die
US 9,778,831 B2 offenbart ein Fahrzeug und ein Fahrzeugsystem zum Freigeben von einer Fahrzeugkontrolle oder einer Fahrzeugfunktion oder einer Anwendung mithilfe von mobilen Endgeräten.
-
Die
US 9,275,208 B2 offenbart ein System und ein Verfahren zur Authentifizierung eines Nutzers, sowie ein Erzeugen eines Nutzerprofils anhand von Authentifizierungsdaten.
-
Ein Nachteil bei der Verwendung von biometrischen Daten ist der, dass diese biometrischen Daten in einer Cloud angelegt sind und bei einem Löschvorgang lediglich die lokalen Daten im Fahrzeug oder auf einem Endgerät gelöscht werden. Diese Daten sind aber trotzdem noch in der Cloud enthalten. Dies führt zu sicherheits- und datenschutzkritischen Problemen.
-
Es ist Aufgabe der vorliegenden Erfindung, die Verwendung von personenbezogenen, biometrischen Daten von Nutzern sicherer gestalten zu können.
-
Diese Aufgabe wird durch ein Verfahren, ein Computerprogramm und ein elektronisches Verwaltungssystem gemäß den unabhängigen Patentansprüchen gelöst. Sinnvolle Weiterbildungen ergeben sich aus den Unteransprüchen.
-
Ein Aspekt der Erfindung betrifft ein Verfahren zum Handhaben von elektronischen, nutzerspezifischen Informationen eines Nutzers eines Fahrzeugs, bei welchem folgende Schritte durchgeführt werden:
- - Bereitstellen zumindest eines biometrischen Kennzeichens des Nutzers als elektronische, nutzerindividuelle Information in einer Datenbank;
- - Bereitstellen zumindest einer zum biometrischen Kennzeichen separaten Zuordnungskennzeichnung als weitere elektronische, nutzerindividuelle Information in einer Datenbank, wobei mit der Zuordnungskennzeichnung das biometrische Kennzeichen datentechnisch dem Nutzer zugeordnet wird;
- - Bereitstellen eines elektronischen Nutzerprofils des Nutzers in einer Datenbank; wobei
- - das biometrische Kennzeichen und die Zuordnungskennzeichnung des Nutzers durch ein elektronisches Verwaltungssystem mit dem datentechnisch dazu separaten elektronischen Nutzerprofil des Nutzers mit einer Verknüpfungsvorschrift verknüpft werden, so dass die drei separiert bleibenden Datensätze betreffend das biometrische Kennzeichen, die Zuordnungskennzeichnung und das Nutzerprofil einander zugeordnet werden;
- - Überwachen zumindest einer Nutzungsart zumindest einer der drei separiert bleibenden Datensätze; wobei
- - in Abhängigkeit von dem Ergebnis der Überwachung ein automatisches Löschen des biometrischen Kennzeichens, der Zuordnungskennzeichnung und der Verknüpfungsvorschrift durch das elektronische Verwaltungssystem aus der zumindest einen Datenbank durchgeführt wird, so dass die Verknüpfung zum Nutzerprofil eliminiert wird.
-
Durch das vorgeschlagene Verfahren können biometrische, personenbezogene Daten von Nutzern vollständig aus der Datenbank gelöscht werden. Insbesondere erfolgt das Löschen der biometrischen Daten und somit der elektronischen, nutzerspezifischen Informationen des Nutzers automatisch in Abhängigkeit von spezifischen Kriterien. Durch das automatische Löschen der elektronischen, nutzerspezifischen Informationen des Nutzers kann eine erhöhte Sicherheit betreffend den Datenschutz und/oder den Datenschutzrichtlinien und/oder den Datenschutzvorschriften erreicht werden. Durch die Separierung der drei Datensätze kann des Weiteren ein effizienter Schutz der elektronischen, nutzerspezifischen Informationen des Nutzers gegenüber Missbrauch, wie beispielsweise Daten-Diebstahl, erreicht werden.
-
Insbesondere liefert das vorgeschlagene Verfahren Vorteile in den Bereichen des Car-Sharings oder der Fahrzeugflotten. Dabei kann mit den drei separierten Datensätzen eine eindeutige Authentifizierung des Nutzers für die Nutzung des Fahrzeuges erfolgen. Durch die Separierung der drei Datensätze kann wiederum ein sicherer und insbesondere missbrauchssicherer Authentifizierungsmechanismus für ein Fahrzeug einer Fahrzeugflotte oder eines Car-Sharing-Dienstes bereitgestellt werden. Insbesondere ermöglicht das vorgeschlagene Verfahren ein verbessertes, sicheres und effizienteres Handhaben beziehungsweise Verarbeiten beziehungsweise Verwenden beziehungsweise Benutzen von elektronischen, nutzerspezifischen Informationen des Nutzers des Fahrzeuges.
-
Insbesondere handelt es sich bei den elektronischen, nutzerspezifischen Informationen um personenbezogene Daten des Nutzers. Mithilfe der elektronischen, nutzerspezifischen Informationen kann eine eindeutige Zuordnung beziehungsweise Charakterisierung des Nutzers erfolgen.
-
Das zumindest eine biometrische Kennzeichen beziehungsweise biometrische Merkmal des Nutzers kann als elektronische, nutzerindividuelle Information in einer Datenbank, insbesondere einer ersten Datenbank, bereitgestellt und gespeichert werden. Insbesondere können mehrere biometrische Kennzeichen beziehungsweise biometrische Merkmale des Nutzers erfasst und in der einen Datenbank gespeichert und bereitgestellt werden. Beispielsweise kann es sich bei dem zumindest einen biometrischen Kennzeichen um einen Fingerabdruck oder um eine DNA oder um eine Gesichtsgeometrie oder um eine Iris oder um eine Stimme des Nutzers handeln. Insbesondere können die vielfältigsten und verschiedensten biometrischen Kennzeichen des Nutzers verwendet werden. Somit kann mithilfe der in der Datenbank bereitgestellten biometrischen Kennzeichen eine eindeutige Charakterisierung, insbesondere eine Identifizierung, des Nutzers durchgeführt werden. Beispielsweise können mithilfe von Erfassungseinheiten die biometrischen Kennzeichen des Nutzers erfasst und ausgewertet werden.
-
Beispielsweise kann das biometrische Kennzeichen des Nutzers als „Template“ bzw. als Vorlage bereitgestellt werden. Dabei handelt es sich insbesondere um eine digitale Referenz, insbesondere um einen Bit-Vektor mit einer Länge von 512 Bits. Dieses „Template“ wird aus dem erfassten biometrischen Kennzeichen extrahiert. Somit kann mithilfe des „Templates“ dem Nutzer das biometrische Kennzeichen digital eindeutig zugeordnet werden.
-
Des Weiteren kann in einer Datenbank, insbesondere einer zweiten Datenbank, die separate Zuordnungskennzeichnung als weitere elektronische, nutzerindividuelle Information gespeichert und somit bereitgestellt werden. Bei der separaten Zuordnungskennzeichnung handelt es sich insbesondere um eine „BiolD“. Mithilfe der Zuordnungskennzeichnung, also mit der „BiolD“, kann das biometrische Kennzeichen beziehungsweise das „Template“ dem Nutzer des Fahrzeuges eindeutig und unmissverständlich zugeordnet werden. Bei der „BiolD“ kann es sich beispielsweise um eine einzigartige Zahl handeln. Beispielsweise kann es sich bei dieser einzigartigen Zahl um einen Hash-Wert handeln. Mithilfe der „BiolD“ kann das biometrische Kennzeichen und insbesondere das „Template“ verschlüsselt und lesbar dargestellt werden.
-
In einer weiteren Datenbank, insbesondere in einer dritten Datenbank, kann das elektronische Nutzerprofil des Nutzers abgelegt sein. In dem elektronischen Nutzerprofil können persönliche Daten des Nutzers wie Name, Adresse, Geburtsdatum und/oder Reservierungsaufträge für das Fahrzeug hinterlegt werden. Insbesondere ermöglicht das elektronische Nutzerprofil des Nutzers eine datentechnische Verbindung zu dem biometrischen Kennzeichen mithilfe der „BiolD“.
-
Mithilfe der Verknüpfungsvorschrift kann das biometrische Kennzeichen und die Zuordnungskennzeichnung mit dem datentechnisch dazu separaten elektronischen Nutzerprofil verknüpft werden. Insbesondere erfolgt dabei die Verknüpfung des biometrischen Kennzeichens und die Zuordnungskennzeichnung mit dem elektronischen Nutzerprofil so, dass diese physisch voneinander getrennt sind. Bei der Verknüpfungsvorschrift handelt es sich insbesondere um einen Verweis zwischen Objekten an verschiedenen Stellen in der Datenbank. Insbesondere beinhaltet die Verknüpfungsvorschrift eine Verknüpfung von Daten aus verschiedenen Speicherorten. Insbesondere handelt es sich bei der Verknüpfungsvorschrift um einen Querverweis. Insbesondere kann mithilfe der Verknüpfungsvorschrift eine Beziehung zwischen mehreren Objekten hergestellt werden. Mithilfe der Verknüpfungsvorschrift werden die Datensätze aneinander zugeordnet. Somit kann über das elektronische Nutzerprofil und dem Zuordnungskennzeichen die eindeutige Zuordnung des biometrischen Kennzeichens zu dem Nutzer durchgeführt werden.
-
Insbesondere erfolgt mit einer Überwachungseinheit ein automatisches und insbesondere kontinuierliches Überwachen zumindest einer Nutzungsart zumindest einer der drei separiert bleibenden Datensätze. Bei der Nutzungsart handelt es sich insbesondere um ein tatsächliches Nutzen beziehungsweise Verwenden beziehungsweise Anwenden einer der Datensätze. Insbesondere kann es sich bei der Nutzungsart um ein Nutzen des zumindest einen Datensatzes durch das elektronische Verwaltungssystem oder durch den Nutzer handeln. Beispielsweise kann mit einer Recheneinheit beziehungsweise Auswerteeinheit des elektronischen Verwaltungssystems automatisch in Abhängigkeit von der überwachten Nutzungsart das biometrische Kennzeichen, die Zuordnungskennzeichnung und die Verknüpfungsvorschrift automatisch gelöscht werden. Durch das Löschen der drei separiert bleibenden Datensätze ist ebenso die Verknüpfung zwischen diesen Datensätzen und dem elektronischen Nutzerprofil automatisch eliminiert beziehungsweise gelöscht. Somit sind alle personenbezogenen, biometrischen Daten des Nutzers durch den Löschvorgang automatisch gelöscht.
-
Beispielsweise kann es sich bei der zumindest einen Datenbank um eine Cloud beziehungsweise Datenwolke handeln. Insbesondere werden für das vorgeschlagene Verfahren zumindest zwei verschiedene Datenbänke oder Datenspeicher verwendet.
-
Insbesondere erfolgt eine dezentralisierte Speicherung der elektronischen, nutzerspezifischen Informationen. Beispielsweise weisen die einzelnen Datenbänke eine gleiche Struktur auf und unterscheiden sich nur in den darin abgelegten Datensätzen.
-
In einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass das biometrische Kennzeichen, die Zuordnungskennzeichnung und das Nutzerprofil jeweils in einer separaten, voneinander entkoppelten Datenbank bereitgestellt werden. Insbesondere sind die drei Datensätze voneinander getrennt in Datenspeicher beziehungsweise Datenspeicherorten beziehungsweise Datenbanken abgelegt. Insbesondere sind die drei Datensätze dabei so voneinander entkoppelt beziehungsweise getrennt, dass jeder einzelne Datensatz für sich betrachtet nicht funktionsfähig beziehungsweise anwendbar beziehungsweise lesbar ist. Erst durch die Verknüpfung mithilfe der Verknüpfungsvorschrift bilden diese drei separat voneinander getrennten Datensätze das eindeutige Charakteristikum des Nutzers. Insbesondere erfolgt durch die Verknüpfung der drei Datensätze das Bereitstellen der eindeutigen biometrischen Merkmale des Nutzers. Nur in Verbindung aller drei Datensätze ergibt sich die vollständige elektronische, nutzerspezifische Information des Nutzers. Durch die Trennung der drei Datensätze in unterschiedlichen Datenbanken beziehungsweise Speicherorten kann ein verbesserter Schutz vor Missbrauch der elektronischen, nutzerspezifischen Informationen des Nutzers erreicht werden.
-
Beispielsweise erfolgt der automatische Löschvorgang des biometrischen Kennzeichens, der Zuordnungskennzeichen und der Verknüpfungsvorschrift derart, dass die dazugehörigen Daten der elektronischen, nutzerspezifischen Informationen aus allen Datenbanken gelöscht werden. Somit können sämtliche personenbezogenen, biometrischen Daten des Nutzers aus allen Datenbanken gelöscht werden.
-
Beispielsweise kann es sich bei den Datenbanken ebenso um eine zentrale Speichereinheit oder um einen Datenserver oder um ein Backend oder um eine Cloud handeln.
-
In einem weiteren Ausführungsbeispiel der Erfindung ist vorgesehen, dass in Abhängigkeit von der Zuordnungskennzeichnung ein digitaler Zuordnungscode generiert wird, wobei mit dem generierten, digitalen Zuordnungscode das biometrische Kennzeichen zumindest anteilig eineindeutig verschlüsselt wird, insbesondere erfolgt mit dem digitalen Zuordnungscode ein Entschlüsseln des codierten biometrischen Kennzeichens. Mithilfe des generierten digitalen Zuordnungscodes kann das biometrische Kennzeichen des Nutzers eindeutig verschlüsselt und somit vor einem Missbrauch von Dritten geschützt werden. Somit kann das biometrische Kennzeichen als „Templat“ sicher in einer der separaten Datenbanken abgespeichert werden. Mit anderen Worten dient die Zuordnungskennzeichnung als Referenz beziehungsweise Querverweis beziehungsweise Identifikationskennzeichnung für das biometrische Kennzeichen, sodass mithilfe der Zuordnungskennzeichnung das biometrische Kennzeichen eindeutig dem Nutzer zugeordnet werden kann. Beispielsweise kann mithilfe des erzeugten digitalen Zuordnungscodes das biometrische Kennzeichen verschlüsselt und anschließend wieder entschlüsselt werden. Somit kann das biometrische Kennzeichen sicherer in einer der Datenbanken abgelegt werden. Somit dient die Zuordnungskennzeichnung als Bindeglied zwischen dem elektronischen Nutzerprofil des Nutzers und dem biometrischen Kennzeichen des Nutzers.
-
In einem weiteren vorteilhaften Ausführungsbeispiel der Erfindung ist vorgesehen, dass zumindest die Zuordnungskennzeichnung und die Verknüpfungsvorschrift zu einem Erzeugungs-Zeitpunkt erzeugt werden und eine Nutzungsdauer als Nutzungsart vorgegeben wird, für welche diese Datensätze genutzt werden können, wobei mit dem elektronischen Verwaltungssystem kontinuierlich überwacht wird, ob die vorgegebene Nutzungsdauer abgelaufen ist, und falls dies der Fall ist, dann wird das automatische Löschen durchgeführt. Beispielsweise handelt es sich bei dem Erzeugungs-Zeitpunkt um den Zeitpunkt, an welchem insbesondere das biometrische Kennzeichen des Nutzers erfasst und insbesondere erzeugt wird. Somit wird bei der Erzeugung des biometrischen Kennzeichens, des Zuordnungskennzeichens und der Verknüpfungsvorschrift diesen Datensätzen eine Nutzungsdauer als Nutzungsart vorgegeben beziehungsweise definiert. Mit der Nutzungsdauer wird mit anderen Worten eine maximale Lebensdauer der Datensätze in den Datenbanken definiert. Somit kann erreicht werden, dass in gewissen Zeitintervallen die elektronischen, nutzerspezifischen Informationen des Nutzers erneuert beziehungsweise aktualisiert werden. Beispielsweise kann nach Ablauf der Nutzungsdauer systemseitig dem Nutzer nahegelegt werden, dass beispielsweise eine erneute Erfassung der biometrischen Merkmale des Nutzers erfolgen sollte. Somit kann erreicht werden, dass beispielsweise bei einer Änderung und/oder eines Verlustes eines spezifischen biometrischen Merkmals des Nutzers das elektronische Verwaltungssystem weitere neue biometrische Merkmale des Nutzers erfasst, sodass die elektronischen, nutzerspezifischen Informationen des Nutzers stetig aktualisiert bereitgestellt werden können. Beispielsweise kann als Nutzungsdauer sechs Monate oder ein Jahr vorgegeben werden. Nach Ablauf dieser vorgegebenen Nutzungsdauer erfolgt systemseitig das automatische Löschen des biometrischen Kennzeichens, der Zuordnungskennzeichnung und der Verknüpfungsvorschrift. Beispielsweise kann hierzu die Nutzungsdauer als Nutzungsart als Trigger für das automatische Löschen verstanden werden. Diese Nutzungsdauer wird als Nutzungsart mithilfe der Überwachungseinheit kontinuierlich überwacht, sodass bei der Feststellung, dass die Nutzungsdauer abgelaufen ist, der automatische Löschvorgang eingeleitet und durchgeführt werden kann.
-
In einem weiteren vorteilhaften Ausführungsbeispiel ist vorgesehen, dass eine Zeitdauer betreffend einer Nicht-Benutzung des biometrischen Kennzeichens und/oder der Zuordnungskennzeichnung und/oder des Nutzerprofils als Nutzungsart der drei separiert bleibenden Datensätze bestimmt wird, und falls die bestimmte Zeitdauer, in der keine Nutzung der Datensätze erfolgt, abgelaufen ist, das automatische Löschen durchgeführt wird. Insbesondere wird bei der ersten beziehungsweise letzten Benutzung des biometrischen Kennzeichens und/oder der Zuordnungskennzeichnung und/oder des Nutzerprofils die Zeitdauer bestimmt. Also wird ab dem Zeitpunkt der letztmaligen Benutzung dieser Datensätze die Zeitdauer gemessen beziehungsweise bestimmt. Dies erfolgt beispielsweise mit einem Zeitmesser beziehungsweise Timer des elektronischen Verwaltungssystems. Sollte die Zeitdauer abgelaufen sein oder die Zeitdauer einen vorgegebenen zeitlichen Grenzwert überschritten haben, so erfolgt das Initiieren und Durchführen des Löschvorgangs.
-
Beispielsweise kann der Nutzer ein spezielles Fahrzeug einer Fahrzeugflotte genutzt haben, wobei er dazu seine biometrischen Merkmale zur Authentifizierung benötigt hatte. Sollte nun der Nutzer aus privaten oder beruflichen Gründen kein Interesse mehr daran haben, dieses spezielle Fahrzeug zu nutzen, so kann erreicht werden, dass seine biometrischen Daten nicht fortlaufend in den Datenbanken gespeichert sind. Sollte die Zeitdauer, in welcher die Datensätze des Nutzers nicht mehr aufgerufen beziehungsweise verwendet oder genutzt worden sind, einen vorgegebenen zeitlichen Grenzwert überschreiten, so erfolgt das automatische Löschen der elektronischen, nutzerspezifischen Informationen des Nutzers. Somit kann erreicht werden, dass personenbezogene und datenschutzkritische Daten nicht ewig gespeichert werden. Beispielsweise kann es sich bei der Zeitdauer beziehungsweise dem zeitlichen Grenzwert um sechs Monate oder ein Jahr oder insbesondere drei Jahre handeln. Beispielsweise kann systemseitig die maximal erlaubte Zeitdauer beziehungsweise der vorgegebene Grenzwert bestimmt werden. Beispielsweise kann ein Anbieter von Flottenfahrzeugen oder von Car-Sharing einen maximalen zeitlichen Grenzwert vorgeben.
-
In einem weiteren vorteilhaften Ausführungsbeispiel der Erfindung ist vorgesehen, dass dann, wenn ein Löschen des elektronischen Nutzerprofils als Nutzungsart durch den Nutzer selbst initiiert wird, dies als Ergebnis der Überwachung von dem elektronischen Verwaltungssystem erfasst wird, sodass dann das automatische Löschen des biometrischen Kennzeichens, der Zuordnungskennzeichnung und der Verknüpfungsvorschrift durchgeführt wird. Somit wird dem Nutzer selbst die Möglichkeit bereitgestellt, ein Löschen seiner biometrischen Daten selbst einleiten zu können. Durch das Überwachen des elektronischen Nutzerprofils, ob dieses gelöscht werden sollte oder ist, kann erreicht werden, dass es nicht zu dem Fall kommt, bei dem trotz des gelöschten elektronischen Nutzerprofils personenbezogene Daten in irgendwelchen Speicherorten abgelegt sind. Vorteilhafterweise ist dieser Vorgang bei der Einhaltung von Datenschutzrichtlinien. Sollte das elektronische Nutzerprofil, also das Nutzerprofil des Nutzers, vollständig gelöscht werden, so werden auch alle dazugehörigen und verknüpften personenbezogenen Daten gelöscht. Somit wird bei dem Wunsch des Nutzers, dass sein elektronisches Nutzerprofil gelöscht werden sollte, auch sämtliche dazugehörigen Daten und personenbezogenen Informationen gelöscht.
-
In einem weiteren vorteilhaften Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Überwachung der zumindest einen Nutzungsart derart erfolgt, dass überprüft wird, ob die drei separierten Datensätze von dem dazugehörigen, autorisierten Nutzer genutzt werden, und falls festgestellt wird, dass die Datensätze von einem nicht-autorisierten Dritten missbräuchlich genutzt werden, automatisch das Löschen der nutzerspezifischen Informationen des Nutzers erfolgt. Dadurch kann erreicht werden, dass insbesondere der Nutzer sich mit den elektronischen, nutzerspezifischen Informationen authentifizieren kann, welcher eindeutig zu den drei Datensätzen zugeordnet ist. Sollte das elektronische Verwaltungssystem feststellen, dass ein Missbrauch der elektronischen, nutzerspezifischen Informationen des Nutzers durch einen Dritten erfolgt oder ein Diebstahl zumindest eines Datensatzes erfolgt, so kann als Sicherheitsmechanismus ein sofortiges, automatisches Löschen aller drei Datensätze eingeleitet und durchgeführt werden. Somit kann ein Entwenden beziehungsweise ein Missbrauch der individuellen, personenbezogenen Daten des Nutzers verhindert werden.
-
Beispiele hierfür können eine Entwendung eines Car-Sharing-Fahrzeugs oder „Spoofing“-Angriffe sein. Mit diesen „Spoofing“-Angriffen wird insbesondere der Versuch einer bewussten Täuschung eines biometrischen Systems mit Attrappen, wie beispielsweise mit Masken oder Bildern, verstanden. Mit anderen Worten versucht ein Dritter, sich die dem Nutzer eindeutig zugehörigen biometrischen Merkmale anzueignen, um diese missbräuchlich verwenden zu können. Ebenfalls kann bei der Überwachung festgestellt werden, ob ein Datendiebstahl zumindest eines Datensatzes stattfindet. Sollte dies der Fall sein, so kann das elektronische Verwaltungssystem ebenfalls ein automatisches Löschen des biometrischen Kennzeichens, der Zuordnungskennzeichnung und der Verknüpfungsvorschrift durchführen. Somit kann erreicht werden, dass personenbezogene Daten nicht entwendet werden können.
-
Beispielsweise kann bei der Detektion des elektronischen Verwaltungssystems eines missbräuchlichen Versuchs eines nicht-autorisierten Dritten der Nutzer des Fahrzeuges und/oder ein Car-Sharing-Anbieter oder ein Flottenfahrzeug-Anbieter oder eine Polizeibehörde oder eine Staatsverwaltung automatisch informiert werden.
-
In einem weiteren Ausführungsbeispiel der Erfindung ist vorgesehen, dass mit den nutzerspezifischen Informationen dem Nutzer eine Benutzung des Fahrzeugs und/oder zumindest einer Funktion des Fahrzeugs und/oder zumindest eines Systems des Fahrzeugs freigegeben wird, wobei in Abhängigkeit von dem elektronischen Nutzerprofil ein Umfang und/oder ein Ort der Freigabe der Benutzung des Fahrzeugs und/oder der zumindest einen Funktion des Fahrzeugs und/oder des zumindest einen Systems des Fahrzeugs eingestellt wird. Beispielsweise kann mit den nutzerspezifischen Informationen des Nutzers eine Authentifizierung des Nutzers in dem Fahrzeug oder für das Fahrzeug durchgeführt werden. Beispielsweise kann mithilfe der nutzerspezifischen Informationen ein gebuchtes Car-Sharing-Fahrzeug für den Nutzer freigegeben werden. Somit kann erreicht werden, dass nur der Nutzer das jeweilige Fahrzeug verwenden darf, welcher sich mit seinen nutzerspezifischen Informationen authentifizieren kann. Insbesondere erfolgt über eine biometrische Erkennung beziehungsweise biometrische Erfassung zumindest eines biometrischen Merkmals des Nutzers durch Abgleich mit den abgelegten nutzerspezifischen Informationen eine Freigabe des Fahrzeugs und/oder der zumindest einen Funktion und/oder des zumindest einen Systems des Fahrzeugs. Beispielsweise kann mit den Funktionen ein Einstellen einer Klimaanlage oder eines Navigationssystems oder einer Fahrzeugkonfiguration gemeint sein. Bei den Systemen eines Fahrzeuges kann es sich beispielsweise um ein Lenkrad oder um ein Bremspedal oder um eine Tankeinrichtung oder ein anderweitiges elektronisches System des Fahrzeugs handeln.
-
Insbesondere können in dem elektronischen Nutzerprofil spezifische Einstellmöglichkeiten und/oder Konfigurationsmöglichkeiten und/oder ein Umfang und/oder eine Art der Freigabe dem Nutzer zugeordnet werden. Beispielsweise können bereits im Vorfeld je nach einem Status des Nutzers dem Nutzer mehr oder weniger Funktionen freigegeben beziehungsweise entsperrt werden. Somit erfolgt ein Abgleich des elektronischen Nutzerprofils des Nutzers, sodass die entsprechenden Funktionen und/oder Systeme dem Nutzer freigegeben oder nicht freigegeben werden.
-
Beispielsweise kann der Nutzer mithilfe des elektronischen Nutzerprofils festlegen, dass die Verwendung des biometrischen Kennzeichens nicht für die Freigabe der Benutzung eines Fahrzeugs und/oder der zumindest einen Funktion des Fahrzeugs und/oder des zumindest einen Systems des Fahrzeugs nicht verwendet werden soll.
-
Ein weiterer Aspekt der Erfindung betrifft ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, ein Verfahren nach einem nach dem vorher geschilderten Aspekt oder einer Weiterbildung daraus auszuführen. Insbesondere kann das vorhin geschilderte Verfahren oder eine davon vorteilhafte Ausführung mit dem Computerprogramm ausgeführt werden.
-
Ein weiterer Aspekt der Erfindung betrifft ein elektronisches Verwaltungssystem zum Handhaben von elektronischen, nutzerspezifischen Informationen eines Nutzers eines Fahrzeugs, mit
- - einer Datenbank, in welcher sich zumindest ein biometrisches Kennzeichens des Nutzers als elektronische, nutzerindividuelle Information bereitstellen lässt,
- - einer Datenbank, in welcher sich zumindest ein zum biometrischen Kennzeichen separates Zuordnungskennzeichnung als weitere elektronische, nutzerindividuelle Information bereitstellen lässt,
- - einer Datenbank, in welcher sich eine elektronisches Nutzerprofils des Nutzers bereitstellen lässt,
- - einer Verarbeitungseinheit, mit welcher sich das biometrische Kennzeichen und die Zuordnungskennzeichnung des Nutzers mit dem datentechnisch dazu separaten elektronischen Nutzerprofil des Nutzers mit einer Verknüpfungsvorschrift verknüpfen lässt, so dass die drei separiert bleibenden Datensätze betreffend das biometrische Kennzeichen, die Zuordnungskennzeichnung und das Nutzerprofil einander zugeordnet sind,
- - einer Überwachungseinheit, mit welcher sich zumindest eine Nutzungsart zumindest einer der drei separiert bleibenden Datensätze überwachen lässt, und mit
- - einer Recheneinheit, mit welcher sich das biometrische Kennzeichen, die Zuordnungskennzeichnung und die Verknüpfungsvorschrift in Abhängigkeit von dem Ergebnis der Überwachung löschen lässt, so dass die Verknüpfung zum Nutzerprofil eliminiert ist.
-
Mit dem elektronischen Verwaltungssystem kann insbesondere ein Verfahren nach einem der vorherigen Aspekten oder einer vorteilhaften Weiterbildung durchgeführt werden. Insbesondere wird das vorhin geschilderte Verfahren mit dem soeben geschilderten elektronischen Verwaltungssystem durchgeführt.
-
Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Computerprogramms und des erfindungsgemäßen elektronischen Verwaltungssystems, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des erfindungsgemäßen Computerprogramms und des erfindungsgemäßen elektronischen Verwaltungssystems hier nicht noch einmal beschrieben.
-
Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen.
-
Im Folgenden werden Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur eine schematische Ausgestaltung des erfindungsgemäßen Verfahrens.
-
Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsbeispiele der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsbeispiele auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
-
In der einzigen Figur wird auf schematische Weise das erfindungsgemäße Verfahren zum Handhaben von elektronischen, nutzerspezifischen Informationen erläutert.
-
Beispielsweise kann ein Nutzer 1 eines Fahrzeugs 2 ein elektronisches Nutzerprofil 3 anlegen. Hierfür kann sich beispielsweise der Nutzer 1 bei einem Car-Sharing-Anbieter oder einem Fahrzeugflotten-Anbieter anmelden und einen Nutzungswunsch für das Fahrzeug 2 äußern. Für die Erzeugung des elektronischen Nutzerprofils 3 kann ein elektronisches Verwaltungssystem 4 verwendet werden. Bei dem elektronischen Verwaltungssystem 4 kann es sich beispielsweise um eine zentrale Recheneinheit oder um eine Datenwolke oder um ein Backend handeln. Insbesondere handelt es sich bei dem elektronischen Verwaltungssystem 4 um eine zentrale Verwaltungseinheit.
-
Beispielsweise kann in dem elektronischen Nutzerprofil 3 ein Name, Adresse, Wohnort, Telefonnummer, Buchungswunsch des Fahrzeugs 2, gewünschter Buchungszeitpunkt oder weitere personenbezogene Informationen des Nutzers 1 beinhalten. Ebenso sind weitere vielfältige und umfangreiche Informationen für das elektronische Nutzerprofil 3 vorgesehen und möglich.
-
Sollte nun, wie in diesem Beispiel geschildert, der Nutzer 1 zu einem gewünschten Nutzungs-Zeitpunkt das Fahrzeug 2 benutzen wollen, so benötigt der Nutzer 1 eine Authentifizierungsinformation beziehungsweise eine Freigabeinformation für das Fahrzeug 2. Beispielsweise kann die Authentifizierung des Nutzers 1 zu dem Fahrzeug 2 mithilfe einer biometrischen Erkennung erfolgen. Hierzu erfolgt ein Abgleich von biometrischen Merkmalen des Nutzers 1 mit gespeicherten biometrischen Merkmalen. Sollte der Abgleich positiv sein, so kann das Fahrzeug 2 für den Nutzer 1 freigegeben beziehungsweise geöffnet werden. Hierzu kann beispielsweise der Nutzer 1 über Einstellfunktionen sein elektronisches Nutzerprofil 3 mit biometrischen Merkmalen verbinden.
-
Für die Erfassung der biometrischen Merkmale des Nutzers 1 kann beispielsweise eine Erfassungseinheit 5 vorgesehen sein. Die Erfassungseinheit 5 kann entweder an dem Fahrzeug 2 oder an einer zentralen Stelle des Car-Sharing-Anbieters oder mithilfe eines tragbaren Kommunikationsendgeräts des Nutzers 1 erfolgen. Mithilfe der Erfassungseinheit 5 können die verschiedensten und individuellen biometrischen Charakteristika des Nutzers 1 erfasst werden. Beispielsweise kann hierbei eine Iriserfassung oder eine Spracherfassung oder eine Gesichtserfassung oder eine Fingerabdruckerfassung des Nutzers 1 erfolgen. Die erfassten biometrischen Merkmale des Nutzers 1 können über eine kommunikationstechnische Verbindung dem elektronischen Verwaltungssystem 4 übermittelt und bereitgestellt werden. Mit einer Verarbeitungseinheit 6 des elektronischen Verwaltungssystems 4 können die erfassten biometrischen Merkmale des Nutzers 1 entsprechend verarbeitet und ausgewertet werden. Die biometrischen Merkmale des Nutzers 1 werden anschließend als biometrische Kennzeichen 7 des Nutzers 1 als elektronische, nutzerindividuelle Information gespeichert. Beispielsweise erfolgt das Speichern der biometrischen Kennzeichen 7 des Nutzers 1 in einer Datenbank 8. Bei der Datenbank 8 kann es sich beispielsweise um eine Backend oder um eine Datenwolke oder um eine Speichereinheit oder um einen Speicherort innerhalb eines Backends handeln.
-
Um aus datenschutztechnischen Gründen die biometrischen Kennzeichen 7 des Nutzers 1 vor einem Missbrauch oder einem Diebstahl schützen zu können, wird eine separate Zuordnungskennzeichnung 9 erzeugt. Mithilfe der separaten Zuordnungskennzeichnung 9 kann das biometrische Kennzeichen 7 eindeutig dem Nutzer 1 zugeordnet werden. Mit anderen Worten dient die Zuordnungskennzeichnung 9 als Bindeglied zwischen dem elektronischen Nutzerprofil 3 und dem biometrischen Kennzeichen 7. Die Zuordnungskennzeichnung 9 kann ebenfalls in einer Datenbank 10 gespeichert beziehungsweise abgelegt werden. Das biometrische Kennzeichen 7 und die Zuordnungskennzeichnung 9 können jeweils in einer voneinander entkoppelten Datenbank 8, 10 gespeichert werden. Ebenfalls denkbar ist, dass das biometrische Kennzeichen 7 und die Zuordnungskennzeichnung 9 zwar in ein und derselben Datenbank gespeichert sind, aber innerhalb dieser Datenbank in verschiedenen Speicherorten beziehungsweise Speicherebenen abgespeichert sind.
-
Um nun das biometrische Kennzeichen 7 und die Zuordnungskennzeichnung 9 eindeutig dem Nutzer 1 zuordnen zu können, werden diese beiden Daten mithilfe einer Verknüpfungsvorschrift 11 mit dem elektronischen Nutzerprofil 3 verknüpft. Bei der Verknüpfungsvorschrift 11 kann es sich beispielsweise um einen Querverweis oder um eine datentechnische Verknüpfung handeln.
-
Insbesondere sind das biometrische Kennzeichen 7 und die Zuordnungskennzeichnung 9 datentechnisch separat zu dem elektronischen Nutzerprofil 3. Es ist möglich, dass das biometrische Kennzeichen 7 und die Zuordnungskennzeichnung 9 in einer Datenbank gemeinsam gespeichert werden, aber das elektronische Nutzerprofil 3 ist stets in einer eigenen davon separaten Datenbank 12 gespeichert. Ebenfalls kann es sich bei der Datenbank 12 um eine Cloud oder um ein Backend oder um eine Speichereinheit handeln.
-
Beispielsweise kann das biometrische Kennzeichen 7 als digitale Referenz anhand der biometrischen Merkmale des Nutzers 1 generiert werden. Dabei kann die digitale Referenz ein 512-Bit-Vektor sein. Beispielsweise kann das biometrische Kennzeichen 7 als „Templat“ in der Datenbank 8 abgelegt werden. Bei der Zuordnungskennzeichnung 9 wiederum kann es sich um eine einzigartige Zahl, wie beispielsweise ein Hashwert, handeln. Insbesondere kann die Zuordnungskennzeichnung 9 als „BiolD“ in der Datenbank 10 gespeichert werden. Mithilfe der einzigartigen Zahl der „BiolD“ kann ein genauer Verweis auf den Nutzer 1 erfolgen.
-
Beispielsweise kann mithilfe der Zuordnungskennzeichnung 9 eine Verknüpfung beziehungsweise Verschlüsselung des biometrischen Kennzeichens 7 erfolgen. Beispielsweise kann mithilfe der Zuordnungskennzeichnung 9 ein digitaler Zuordnungscode 13 generiert beziehungsweise erzeugt werden. Mit diesem Zuordnungscode 13, welcher beispielsweise binär dargestellt ist, kann das biometrische Kennzeichen 7 zumindest anteilig eindeutig verschlüsselt beziehungsweise codiert werden. Ebenso kann mithilfe des Zuordnungscodes 13 ein Entschlüsseln des biometrischen Kennzeichens 7 erfolgen.
-
Beispielsweise kann ein Authentifizierungsvorgang des Nutzers 1 wie folgt ablaufen. Der Nutzer 1 authentifiziert sich in dem Fahrzeug 2 über eine Erkennungseinheit beziehungsweise Erkennungssoftware mithilfe seiner biometrischen Merkmale, welche mit der Erfassungseinheit 5 erfasst werden. Das elektronische Verwaltungssystem 4 kann diese Daten übertragen. Beispielsweise kann in dem Fahrzeug 2 das biometrische Kennzeichen 7 erzeugt werden und mithilfe der Zuordnungskennzeichnung 9 verschlüsselt werden. Die Zuordnungskennzeichnung 9 und das biometrische Kennzeichen 7 werden anschließend an eine Cloud beziehungsweise an die Datenbanken 8, 10 übertragen und dort abgespeichert. Dies wird wiederum mit dem elektronischen Nutzerprofil 3 beziehungsweise dem Nutzerprofil mithilfe der Verknüpfungsvorschrift 11 miteinander verknüpft.
-
Nun muss natürlich aus datenschutzrechtlichen Kriterien dafür gesorgt werden, dass diese hochsensiblen, personenbezogenen biometrischen Daten des Nutzers 1 nicht von Dritten missbräuchlich entwendet oder zweckentfremdet werden können. Ebenso müssen biometrische personenbezogene sensible Daten in bestimmten Zeitabständen überprüft und gegebenenfalls gelöscht werden. Um die elektronischen, nutzerspezifischen Informationen des Nutzers 1 bestmöglich schützen zu können, ist es erforderlich, dass in Abhängigkeit von bestimmten Kriterien und/oder Gefahrensituationen und/oder Anforderungen diese personenbezogenen biometrischen Daten automatisch gelöscht werden. Um dies erreichen zu können, kann mit einer Überwachungseinheit 14 zumindest eine Nutzungsart zumindest einer der drei separiert bleibenden Datensätze, also das biometrische Kennzeichen 7, die Zuordnungskennzeichnung 9 und das elektronische Nutzerprofil 3. Dabei wird insbesondere kontinuierlich überwacht, ob eine dieser Daten beziehungsweise Datensätze noch verwendet werden beziehungsweise genutzt werden. Insbesondere wird mithilfe der Überwachungseinheit 14 überprüft, ob seit der Generierung dieser Daten eine Benutzung systemseitig oder von Seiten des Nutzers 1 erfolgte. Ebenso können diese Daten in bestimmten Zeitintervallen automatisch überprüft werden. Ebenso kann diese Daten jeweils ein „Verfallsdatum“ zugeordnet werden. Somit können die unterschiedlichsten Kriterien als Überprüfungsfunktion angewendet werden. Sollte mithilfe der Überwachungseinheit 14 zumindest einer der Datensätze eine negative beziehungsweise nicht relevante Nutzungsart aufweisen, so kann mit einer Recheneinheit 15 des elektronischen Verwaltungssystems 4 ein automatisches Löschen des biometrischen Kennzeichens 7, der Zuordnungskennzeichnung 9 und der Verknüpfungsvorschrift 11 automatisch erfolgen. Durch dieses automatische Löschen ist auch die Verknüpfung zwischen diesen Datensätzen und dem elektronischen Nutzerprofil 3 und somit zu dem Nutzer 1 eliminiert. Somit sind innerhalb der Speichereinheit beziehungsweise des Backends die hochsensiblen personenbezogenen Daten vollständig gelöscht. Ebenfalls kann mithilfe des elektronischen Verwaltungssystems 4 in Abhängigkeit von einem auftretenden Löschungskriterium ein automatisches Löschen der personenbezogenen Daten des Nutzers 1 erfolgen.
-
Im Folgenden werden Ausführungsbeispiele des automatischen Löschens erläutert.
-
Im Falle des automatischen Löschens von biometrischen Daten des Nutzers 1 werden sowohl das „Templat“ (biometrische Kennzeichen 7) als auch die „BiolD“ (Zuordnungskennzeichnung 9) aus den Datenbanken 8, 10 beziehungsweise aus der Cloud gelöscht und somit die Verknüpfung (Verknüpfungsvorschrift 11) des Benutzerprofils (elektronisches Nutzerprofil 3) mit den biometrischen Daten des Nutzers 1 gelöscht.
-
Wenn beispielsweise die biometrischen Daten des Nutzers 1 in der Cloud beziehungsweise dem Backend über eine bestimmte Zeitlänge nicht aufgerufen werden, so werden diese Daten automatisch gelöscht. Ebenso müssen diese biometrischen Daten nach dem Ablauf einer gewissen Zeit aus dem Fahrzeug 2 entfernt werden. Ein weiterer Trigger zur automatischen Löschung könnte das Löschen des gesamten elektronischen Nutzerprofils 3 oder eine gegen Vorschriften verstoßende Handlung des Nutzers 1 umfassen. Dabei könnte beispielsweise ein Entwenden eines Car-Sharing-Fahrzeugs oder eine Anzahl von „Spoofing“-Angriffe.
-
Dafür wird zuerst in den Datenbanken 8, 10 nach der „BiolD” des Nutzers 1 gesucht. Mit dieser „BiolD“ kann das entsprechende „Templat“ in einer der Datenbanken gefunden werden. Somit kann der Eintrag von „BiolD“ plus „Templat“ gelöscht werden. In der Datenbank 12, in der die Profilinformationen (elektronisches Nutzerprofil 3) abgelegt ist, wird auch die Verknüpfung zur „BiolD“ entfernt.
-
Beispielsweise kann nach einem Zeitintervall in dem elektronischen Verwaltungssystem 4 ein Trigger ausgelöst werden, der feststellt, dass auf die biometrischen Daten des Nutzers 1 schon über einen bestimmten Zeitraum nicht zugegriffen wurde. Das elektronische Verwaltungssystem 4 startet so dessen das automatische Löschen und entfernt die biometrischen Daten des Nutzers 1 vollständig.
-
Ein weiterer möglicher Auslöser zur Löschung ist beispielsweise ein Löschen des elektronischen Nutzerprofils 3 durch den Nutzer 1 selbst. An dieser Stelle sorgt das elektronische Verwaltungssystem 4 dafür, dass auch die Benutzerdaten des Nutzers 1 inklusive der biometrischen Daten („Templat“ plus „BiolD“) aus der Cloud entfernt werden.
-
Beispielsweise ist es ebenfalls denkbar, dass dem Nutzer 1 auch die Möglichkeit gegeben werden kann, spezifische biometrische Mechanismen beziehungsweise Funktionen für eine Benutzung des Fahrzeugs 2 zu aktivieren oder deaktivieren. In diesem Fall können alle biometrischen Daten aus der Cloud gelöscht werden, aber das elektronische Nutzerprofil 3 bleibt weiterhin bestehen.
-
Beispielsweise kann mithilfe der elektronischen, nutzerspezifischen Informationen und in Abhängigkeit des elektronischen Nutzerprofils 3 dem Nutzer 1 die Benutzung des Fahrzeugs 2 und/oder zumindest einer Funktionseinheit 16 des Fahrzeugs 2 und/oder zumindest eines Systems 17 des Fahrzeugs 2 freigegeben werden. Ebenso kann in Abhängigkeit von dem elektronischen Nutzerprofil 3 ein Umfang und/oder eine Art der Freigabe der Benutzung des Fahrzeugs 2 und/oder der zumindest einen Funktion 16 und/oder des zumindest einen Systems 17 eingestellt werden.
-
Beispielsweise kann mit dem elektronischen Verwaltungssystem 4 in Abhängigkeit von einem Auslösesignal das automatische Löschen durchgeführt werden. Beispielsweise kann das Auslösesignal automatisch in Abhängigkeit vom dem Ergebnis der Überwachung der Nutzungsart generiert werden.
-
Bezugszeichenliste
-
- 1
- Nutzer
- 2
- Fahrzeug
- 3
- elektronisches Nutzerprofil
- 4
- elektronisches Verwaltungssystem
- 5
- Erfassungseinheit
- 6
- Verarbeitungseinheit
- 7
- biometrisches Kennzeichen
- 8
- Datenbank
- 9
- Zuordnungskennzeichnung
- 10
- Datenbank
- 11
- Verknüpfungsvorschrift
- 12
- Datenbank
- 13
- Zuordnungscode
- 14
- Überwachungseinheit
- 15
- Recheneinheit
- 16
- Funktion des Fahrzeugs
- 17
- System des Fahrzeugs
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 9778831 B2 [0004]
- US 9275208 B2 [0005]