-
Die Erfindung betrifft ein Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens gemäß dem Oberbegriff von Patentanspruch 1.
-
Eine Verarbeitung und eine Analyse von GPS-Daten beziehungsweise von Positionsdaten sind personenbezogen beziehungsweise bezogen auf einen Kraftwagen. Durch Anonymisierungsschritte und ein Verfahren zur Berechnung von Einsichtsdaten (Insights-Berechnung) wird sichergestellt, dass kein Personenbezug mehr festgestellt werden kann. Dadurch ist eine Rückverfolgbarkeit ausgeschlossen und die Daten werden dementsprechend so datenschutzfreundlich ausgewertet.
-
Aus der
DE 10 2021 001 378 B3 ist bereits ein Verfahren zur Anonymisierung von Bewegungsdaten von mit einer Positionserfassungseinrichtung ausgestatteten Verkehrsteilnehmern bekannt. Insbesondere werden hierbei Daten an einen Backend-Server übermittelt, wobei die Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug erfolgt und/oder der Positions- und/oder Zeitbezug in zumindest einigen Datensätzen vor der Übertragung verrauscht wird. Hierbei ist es vorgesehen, dass alle Fahrzeuge einer mit dem Backend-Server in Verbindung stehenden Fahrzeugflotte ein gemeinsames geteiltes Fahrzeugzertifikat aufweisen, wobei eine daraus erstellte Signatur zusammen mit dem Datensatz direkt oder über wenigstens ein anderes Fahrzeug mittelbar zu dem Backend-Server übertragen wird.
-
Aufgabe der Erfindung ist es demnach, ein Verfahren bereitzustellen, mittels welchem Positionsdaten eines Kraftwagens derart verändert werden, dass diese nicht mehr nachverfolgbar sind.
-
Diese Aufgabe wird mittels eines Verfahrens mit den Merkmalen des Patentanspruchs 1 gelöst. Vorteilhafte Merkmale und Ausgestaltungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
-
Ein Aspekt der Erfindung betrifft ein Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens, bei welchem die Positionsdaten von einer Positionserfassungseinrichtung des Kraftwagens während einer Fahrt ermittelt und an einen Backend-Server übermittelt werden, wobei zur Anonymisierung der Positionsdaten, diese wenigstens teilweise mit Zeitänderungen und Positionsänderungen verändert werden. Mit anderen Worten wird zur Anonymisierung der Positionsdaten eines Kraftwagens, insbesondere eines wenigstens teilweise autonomen Kraftwagens mittels der Positionserfassungseinrichtung beziehungsweise eines GPS-Systems die Daten über ein Netzwerk, beispielsweise das Internet, an einen Backend-Server übermittelt. Hierbei sollen jedoch die Positionsdaten nicht zurückverfolgbar sein, sodass der Kraftwagen ebenfalls nicht zurückverfolgbar ist. Dies ist insbesondere im Hinblick auf Datenschutz notwendig. Zudem ist es erwünscht, dass Angriffe von Dritten beispielsweise Hack-Angriffe, die Angreifer die Daten nicht empfangen beziehungsweise diese Daten nicht von Dritten missbraucht werden. Die Positionsdaten, die an den Backend-Server übermittelt werden, werden demnach mit gewissen Zeitänderungen und Positionsänderungen beaufschlagt, das heißt, dass die gespeicherten Daten den echten Daten nicht entsprechen, sondern dass die im Backend-Server gespeicherten Daten sowohl um zeitliche Vorgaben als auch um Positionsänderungsvorgaben verändert wurden. In anderen Worten werden die Daten derart verfälscht abgespeichert, dass Dritte ohne eines Aufschlüsselungsalgorithmus keine Möglichkeit haben, diese Daten zu verwerten.
-
Um die Aufgabe der Erfindung zu lösen, ist es erfindungsgemäß vorgesehen, dass die Positionsdaten, die durch Löschen einer Startzeitpunktinformation der Fahrt definierte Zeitänderung und/oder die durch Löschen der Startzeitpunktinformation der Fahrt definierte Positionsänderung verändert werden. In anderen Worten hier wird durch eine Entfernung eines Startzeitpunkts in den Informationen der Positionsdaten die definierte Zeitänderung durchgeführt. Dadurch ist es zu einem späteren Zeitpunkt nicht möglich herauszufinden, zu welchem Startzeitpunkt der Kraftwagen die Fahrt gestartet hat, wodurch eine Nachverfolgung in Bezug auf die Zeit der Fahrt wesentlich erschwert wird. Zudem ist auch durch das Löschen des Startzeitpunkts möglich, eine Positionsänderung zu verändern, da kein Standort angegeben wird, an welchem die Fahrt begonnen hat. In anderen Worten werden sämtliche Startortinformationen verfälscht beziehungsweise mit einem Algorithmus verschlüsselt. Hierbei ist es erfindungsgemäß vorgesehen, dass sowohl die Zeitänderung als auch die Positionsänderung zum Zeitpunkt des Starts der Fahrt gelöscht werden kann.
-
In einer vorteilhaften Ausgestaltung der Erfindung ist es vorgesehen, dass diese Positionsdaten durch Löschen einer spezifischen Identifikationsinformation des Kraftwagens im Backend-Server nicht zuordenbar gespeichert werden. Dies bedeutet, dass nach Übermitteln der Daten an den Backend-Server die Daten nicht mit einer Identifikationsinformation beziehungsweise einer ID abgespeichert werden, wodurch zwar die Daten im Backend-Server gespeichert werden und ausgewertet oder angewendet werden können, jedoch ist kein Bezug zu einem bestimmten Kraftwagen gegeben, wodurch eine Nachverfolgung des Kraftwagens nicht möglich ist.
-
In einer weiteren vorteilhaften Ausgestaltung der Erfindung ist es vorgesehen, dass die Positionsdaten des Kraftwagens mit verschiedenen Sitzungs-IDs im Server-Backend gespeichert werden, welche durch ein Zeitintervall begrenzt werden. Bei einer Verbindung mit dem Server-Backend werden normalerweise die Punkte, die sich mit dem Netzwerk verbinden, durch eine Sitzungs-ID beaufschlagt. Das bedeutet, dass die Kraftwägen, welche mit dem Netzwerk verbunden werden, eine Sitzungs-ID empfangen, mittels welcher diese sich im Netzwerk identifizieren können und dadurch auch die entsprechenden Berechtigungsniveaus empfangen. Solche Sitzungs-IDs können zeitlich begrenzt werden, wobei es erfindungsgemäß vorgesehen ist, dass diese durch ein vorgegebenes Zeitintervall begrenzt werden. Dies bedeutet, dass die Übermittlung von Positionsdaten nur zeitlich begrenzt wird, wodurch eine längere Sitzung nicht möglich ist. Insbesondere kann durch eine kurze Sitzung das Eingreifen in die Übermittlung beziehungsweise das Verfolgen eines Live-Standorts vermieden werden.
-
Weiterhin vorteilhaft hat sich eine Ausgestaltung der Erfindung erwiesen, in welcher die Positionsdaten durch die durch Verändern eines Zeitstempels einer GPS-Position um einen vorgegebenen Zeitbetrag, insbesondere einen Sekundenbetrag verändert werden. Dies bedeutet, dass die Positionserfassungseinrichtung insbesondere als ein GPS-System dargestellt wird, bei welchem jeder Standort, der übermittelt wird, mit einem Zeitstempel beaufschlagt wird, welcher um einen vorgegebenen Sekundenbetrag verfälscht ist. Somit kann der Zeitstempel zu der aktuellen Position des Kraftwagens nicht übereinstimmen und führt dazu, dass eine Nachverfolgung des Kraftwagens nicht möglich ist.
-
Weiterhin vorteilhaft hat sich eine Ausgestaltung der Erfindung erwiesen, in welcher die Positionsdaten durch die durch Verändern einer Strecke um einen vorgegebenen prozentualen Streckenbetrag, insbesondere eine durch GPS-Punkte definierte Strecke, definierte Positionsänderung verändert werden. Ähnlich wie bei der Veränderung des Zeitstempels ist es hier vorgesehen, dass die Strecke durch einen prozentualen Streckenbetrag verändert wird. Dies bedeutet, dass die angegebene Strecke in den Positionsdaten nicht mit der tatsächlichen Strecke übereinstimmt, wodurch die abgespeicherte Fahrtstrecke im Backend-Server verfälscht ist.
-
Schließlich ist es in einer vorteilhaften Ausgestaltung der Erfindung vorgesehen, dass jede Zeitänderung und/oder Positionsänderung vom Kraftwagen protokolliert wird und ein daraus resultierendes Protokoll lokal in einem Speicher des Kraftwagens gespeichert wird. Hierbei ist es erfindungsgemäß vorgesehen, dass sämtliche Änderungen, die die Positionsdaten erfahren, vor oder nach der Übermittlung an den Backend-Server übermittelt werden und vom Kraftwagen beziehungsweise von einer elektronischen Recheneinrichtung des Kraftwagens protokolliert werden. Dadurch entsteht eine mögliche Entschlüsselung der verfälschten Daten im Backend-Server, welcher jedoch lokal in einem Speicher des Kraftwagens gespeichert wird. Dies bedeutet, dass eine Nachverfolgung der Veränderungen durch das Protokoll möglich ist. Insbesondere kann beispielsweise ein Nutzer des Kraftwagens oder eine Instanz mit dem Protokoll die Daten des Backend-Servers derart entschlüsseln, dass die tatsächlichen Daten wieder zurückverfolgbar sind. Um einen Zugriff auf das Protokoll zu vermeiden und somit wiederum einen möglichen Schutzlack zu vermeiden, wird dieses Protokoll im Kraftwagen selbst gespeichert. Einen Zugriff auf dieses Protokoll kann hierbei beispielsweise durch den Nutzer im Kraftwagen selber oder durch eine Werkstatt oder durch den OEM und/oder weitere Möglichkeiten ermöglicht werden.
-
In anderen Worten wird mittels des Verfahrens zunächst eine Vielzahl von personenbezogenen GPS-Daten in ein Backend übermittelt. Im Backend wird der Personenbezug entfernt, wobei mehrere Schritte notwendig sind: Abschneiden des Starts einer Fahrt, wobei die Zeit konfigurierbar ist; Abschneiden der Identifikation des Fahrzeugs; Anwenden einer sich nach einem Zeitintervall ändernden Sitzungs-ID; Abändern des Zeitstempels der GPS-Positionen um einen Sekundenbetrag; zufälliges Verwerfen eines Prozentsatzes aus den GPS-Daten.
-
Die so anonymisierten Daten bergen bei Missbrauch ein Risiko der Reidentifizierung. Daher findet ein zusätzliches Anonymisierungsverfahren mit Insight-Berechnung statt, bei welchem die Daten im Backend mit verschiedenen Sitzungs-IDs abgespeichert sind und bei welchem die Daten über einen Zeitraum aggregiert werden können.
-
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele sowie anhand der Zeichnungen. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar, ohne den Rahmen der Erfindung zu verlassen.
-
Dabei zeigen:
- 1 ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens;
- 2 ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens mit einem Fokus auf einer Positionsänderung;
- 3 ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens ebenfalls mit Fokus auf eine Positionsänderung;
- 4 ein schematisches Bilddiagramm zur weiteren Darstellung des erfindungsgemäßen Verfahrens.
-
In den Figuren sind gleiche oder funktionsgleiche Elemente mit gleichen Bezugszeichen versehen.
-
1 zeigt ein schematisches Bilddiagramm zur Darstellung eines erfindungsgemäßen Verfahrens zur Anonymisierung von Positionsdaten eines Kraftwagens 10, bei welchem die Positionsdaten von einer Positionserfassungseinrichtung 12 des Kraftwagens 10 während einer Fahrt ermittelt und an einem Backend-Server 14 übermittelt werden, wobei zur Anonymisierung der Positionsdaten, diese wenigstens teilweise mit Zeitänderungen ΔT und Positionsänderungen ΔP verändert werden. Die Positionsdaten werden durch Löschen einer Startzeitpunktinformation der Fahrt definierte Zeitänderung ΔT und/oder die durch Löschen der Startortinformation der Fahrt definierte Positionsänderung ΔP verändert.
-
Weiterhin können die Positionsdaten durch Löschen einer spezifischen Identifikationsinformation des Kraftwagens 10 im Backend-Server 14 nicht zuordenbar gespeichert werden. Ebenso können die Positionsdaten des Kraftwagens 10 mit verschiedenen Sitzungs-IDs im Server-Backend gespeichert werden, welche durch ein Zeitintervall begrenzt werden, wobei das Zeitintervall begrenzt werden, wobei das sowohl Zeitintervall veränderbar als auch vorgegeben sein kann.
-
Ebenso werden die Positionsdaten durch die durch Verändern eines Zeitstempels einer GPS-Position um einen vorgegebenen Zeitbetrag, insbesondere ein Sekundenbetrag, oder um eine definierte Zeitänderung ΔT verändert. Zudem können die Positionsdaten durch die durch Verändern einer Strecke um einen vorgegebenen prozentualen Streckenbetrag, insbesondere eine durch GPS-Punkte definierte Strecke, definierte Positionsänderung ΔP verändert werden.
-
Um später die Veränderungen nachvollziehen zu können, ist es ebenfalls möglich, dass jede Zeitänderung ΔT und/oder Positionsänderung ΔP vom Kraftwagen 10 protokolliert wird und ein daraus resultierendes Protokoll lokal in einem Speicher des Kraftwagens 10 gespeichert wird.
-
1 zeigt hierbei insbesondere ein zusätzliches Anonymisierungsverfahren mit Insight-Berechnung, bei welchem die Positionsdaten von Datenpunkten 1 bis 9 im Server-Backend 14 mit den verschließenden Session-IDs gespeichert abgelegt werden. Diese Positionsdaten werden über einen Zeitraum t, beispielsweise einer Stunde t = 1h, auf einer Straße 16 aggregiert. Insbesondere sollen die jeweiligen Positionsdaten verschiedene Informationen aufweisen, wobei insbesondere eine Latitude (lat), Longitude, (Ion), Zeitstempel/Timestamp (t) und Geschwindigkeit (v) abgespeichert werden, wobei die Geschwindigkeit v aus lat/lon/t berechnet wird. Zudem werden die Positionsdaten in einem Zeitraum t von einer Stunde betrachtet, das heißt beispielsweise von 10 Uhr morgens bis 11 Uhr morgens.
-
2 zeigt ebenfalls ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens, wobei in 2 hingegen dieselbe Aufstellung der Positionsdaten auf der Straße 16 der 1 dargestellt wird, wobei von Datenpunkt 1 aus allen Distanzen zu weiteren Datenpunkten 2 bis 9 berechnet werden. Alle Datenpunkte 2,3 in einem Radius von x Metern, hier beispielsweise 8 m, werden entsprechend selektiert.
-
3 zeigt noch ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens, wobei 3 zudem Mittelwerte der Datenpunkte 1 bis 9 der GPS-Daten und der Geschwindigkeiten der Datenpunkte 1 bis 9 zeigt, welche gebildet wurden. Es werden dementsprechend Datenpunkte 1 bis 9 nur dann verarbeitet, wenn diese ≥ k sind, wobei k eine vorgegebene Zahl/Wert ist. Datenpunkte 2,3 im Radius mit der Anzahl k sind dementsprechend dort vorhanden. Durch sich ändernde Sitzungs-IDs reicht es nicht aus, wenn nur zwei Datenpunkte 2, 3 vorhanden sind, da so dasselbe Fahrzeug durch eine sich ändernde Sitzung ausgewertet werden könnte. Durch diese Bedingungen kann nie auf einen einzelnen Fahrer rückgeschlossen werden. Dementsprechend werden die Mittelwerte der Datenpunkte 1 bis 3 der GPS-Daten, die Mittelwerte der Geschwindigkeiten und die Anzahl an Sitzungen mit einem Einsichtswert (Insight-Wert) I abgespeichert.
-
4 zeigt noch ein schematisches Bilddiagramm zur Darstellung des erfindungsgemäßen Verfahrens, wobei 5 einen weiteren Schritt der Zusammenstellung der Informationen zeigt, wobei die verarbeiteten Datenpunkte gelöscht werden und der nächste Kreis um den nächsten freien Datenpunkt gezogen wird. Alternativ können auch alle Datenpunkte gespeichert bleiben. Für jeden Datenpunkt ist dementsprechend ein Insight-Wert I berechnet worden, sodass in dem Beispiel 1 bis 4 es zu dem Insight aus Floating Car Data kommen kann. Floating Car Data bezeichnet einen Systemvorschlag mit Daten, die aus einem Fahrzeug heraus generiert werden, welches aktuell am Verkehrsgeschehen teilnimmt. Das umfasst sowohl Daten über den Zustand des Fahrens als auch Zustandsdaten des Ortes beim Stehen, zum Beispiel im Stau, vor Ampeln oder auf einem Warteplatz
-
In den 1 bis 4 sind die Werte folgenderweise definiert:
- Datenpunkt 1: lat1, lon1, t1, v1, Session 1
- Datenpunkt 2: Iat2, lon2, t2, v2, Session 2
- Datenpunkt 3: Iat3, lon3, t3, v3, Session 3
- v_anonym 1 = Mittelwert (v1, v2, v3)
- lat_anonym 1 = Mittelwert (lat1, lat2, lat3)
- lon_anonym 1 = Mittelwert (lon1, lon2, lon3)
- n_1 = Anzahl anonymisierter Sessions im Kreis
- v_anonym 6 = Mittelwert (v2, v4, v5, v6)
- lat_anonym 6 = Mittelwert (lat2, lat4, lat5, lat6)
- lon_anonym 6 = Mittelwert (lon2, lon4, lon5, lon6)
- n_6 = Anzahl anonymisierter Sessions im Kreis
-
Die resultierenden Insight-Daten bergen dementsprechend kein Risiko bei der Reidentifizierung mehr, da diese nicht mehr auf einzelne Personen zurückgeführt werden können und durch die Mitteilung kein individuelles Fahrverhalten mehr erkennbar wird. Durch das Aggregieren über Zeit können zudem keine Rückschlüsse auf individuelle Wege zugelassen werden.
-
Bezugszeichenliste
-
- 10
- Kraftwagen
- 12
- Positioniereinrichtung
- 14
- Backend-Server
- 15
- Straße
- ΔT
- Zeitänderungen
- ΔP
- Positionsänderungen
- 1 bis 9
- Datenpunkte
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102021001378 B3 [0003]