Verfahren und Vorrichtungen zum Erzeugen von ortsanonymisierten Mautdaten

Abstract

 Verfahren zum Erzeugen von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) eines ortsaufzeichnenden, Fahrzeuggeräts (1) mit einer eindeutigen Kennung (OID) in einem Straßenmautsystem, mit den Schritten:
Senden (4) der Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID) vom Fahrzeuggerät (1) an einen Mautberechnungsserver (5),
Berechnen (6) von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) und anschließendes Löschen der Ortsaufzeichnungen (p_i) im Mautberechnungsserver (5),
Abwarten einer vorgegebenen Zeitspanne (11) oder einer Bestätigung (15) des Mautberechnungsservers (5) über das erfolgte Löschen, und
Freigeben (12) der zur Absenderkennung (RID) zugehörigen Kennung (OID) vom Fahrzeuggerät (1) aus, um die ortsanonymisierten Mautdaten (T) dieser Absenderkennung (RID) der zugehörigen Kennung (OID) zuzuordnen.

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein Verfahren zum Erzeugen von ortsanonymisierten Mautdaten aus den Ortsaufzeichnungen eines ortsaufzeichnenden Fahrzeuggeräts mit einer eindeutigen Kennung in einem Straßenmautsystem. Die Erfindung betrifft ferner einen Mautberechnungsserver und ein Fahrzeuggerät zur Durchführung dieses Verfahrens.

[0002] Fahrzeuggeräte für Straßenmautsysteme werden auch als "onboard units" bzw. OBUs bezeichnet. OBUs, welche selbst ihren Ort bestimmen und aufzeichnen können, z.B. mittels eines Satellitennavigationsempfängers, gibt es derzeit in zwei verschiedenen Ausführungen: Sogenannte "thick client"-OBUs berechnen auf Grundlage von gespeicherten Mautkarten aus ihren Ortsaufzeichnungen ortsanonymisierte Mautdaten und senden diese z.B. über ein Mobilfunknetz an eine Zentrale des Straßenmautsystems, was eine aufwendige Distribution der Mautkarten an die OBUs und hohe Rechenleistung in den OBUs erfordert. Im Gegensatz dazu werten sogenannte "thin client"-OBUs ihre Ortsaufzeichnungen nicht selbst aus, sondern senden diese "roh" an die Zentrale, welche den Mautkartenabgleich ("map matching") vornimmt, um daraus Mautdaten zu erzeugen. "Thin client"-OBUs sind daher wesentlich einfacher und kostengünstiger aufgebaut, jedoch aus Sicht des Datenschutzes diskussionswürdig, weil die Zentrale des Straßenmautsystems die gesamten Ortsaufzeichnungen ("Bewegungsprofil") einer OBU erfährt, einschließlich von Aufenthalten an nicht-mautpflichtigen Orten.

[0003] In der WO 2008/000227 wurde daher bereits vorgeschlagen, die Ortsaufzeichnungen einer "thin client"-OBU unter einer anonymisierten Absenderkennung an einen speziellen Mautberechnungsserver zu senden, welcher das "map matching" durchführt und ortsanonymisierte Mautdaten an die OBU zurücksendet, die die OBU anschließend an die Zentrale absetzt. Aufgrund der beliebigen Architektur des Mautberechnungsservers ist bei diesem System die Einhaltung von Datenschutzauflagen schwierig zu kontrollieren. Überdies erzeugt diese Lösung zusätzlichen Datenverkehr im Straßenmautsystem.

[0004] Die Erfindung setzt sich zum Ziel, die Nachteile des Standes der Technik zu überwinden und insbesondere ein Verfahren zum Erzeugen von Mautdaten für "thin client"-OBUs zu schaffen, welches verbesserten Datenschutz z bzw. höhere Vertraulichkeit für den Benutzer bietet. Dieses Ziel wird mit einem Verfahren der eingangs genannten Art erreicht, das die folgenden Schritte umfaßt:

Senden der Ortsaufzeichnungen unter zumindest einer von der Kennung verschiedenen Absenderkennung vom Fahrzeuggerät an einen Mautberechnungsserver,

Berechnen von ortsanonymisierten Mautdaten aus den Ortsaufzeichnungen und anschließendes Löschen der Ortsaufzeichnungen im Mautberechnungsserver,

Abwarten einer vorgegebenen Zeitspanne oder einer Bestätigung des Mautberechnungsservers über das erfolgte Löschen, und

Freigeben der zur Absenderkennung zugehörigen Kennung vom Fahrzeuggerät aus, um die ortsanonymisierten Mautdaten dieser Absenderkennung der zugehörigen Kennung zuzuordnen.

[0005] Die Erfindung beruht auf einem völlig neuartigen, überraschend einfachen Konzept zur Realisierung von Datenschutz auf hardwarenahem Niveau ("privacy by design"): In der ersten Ausführungsform der Erfindung wartet die OBU eine Zeitspanne ab, um dem Mautberechnungsserver ausreichend Zeit zu geben, die Mautdaten zu erstellen und die zugrundeliegenden Ortsaufzeichnungen zu löschen. Danach kann die OBU gefahrlos ihre Identität bzw. Kennung preisgeben, weil keine Ortsaufzeichnungen mehr im System vorliegen, die Rückschlüsse auf das Bewegungsprofil der OBU erlauben würden.

[0006] Ein für diese erste Ausführungsform der Erfindung besonders geeigneter Mautberechnungsserver zeichnet sich dadurch aus, daß er einen Pufferspeicher in Form eines Ringspeichers zur Aufnahme der Ortsaufzeichnungen hat. Ein Ringspeicher gewährleistet alleine durch seinen Hardwareaufbau ein zyklisches Überschreiben der ältesten Ortsaufzeichnungen durch die jeweils neuesten Ortsaufzeichnungen und damit ein Löschen der Ortsaufzeichnungen innerhalb der Umschlagszeit ("roll-over time") des Ringspeichers.

[0007] Alternativ kann der Mautberechnungsserver, um die Löschung der Ortsaufzeichnungen zu garantieren, Mittel zum periodischen, bevorzugt täglichen, Löschen zumindest der ältesten Einträge des Pufferspeichers aufweisen.

[0008] Ein für die erste Ausführungsform der Erfindung besonders geeignetes Fahrzeuggerät zeichnet sich durch Freigabemittel aus, welche nach Verstreichen einer vorgegebenen Zeitspanne die genannte Absenderkennung unter der Kennung des Fahrzeuggeräts versenden und damit dessen Identität preisgeben.

[0009] In der zweiten Ausführungsform der Erfindung wartet die OBU eine explizite Löschbestätigung des Mautberechnungsservers ab und gibt dann ihre Kennung frei. Auch dadurch wird hardwarebedingter Datenschutz ("privacy by design") erreicht. Ein für diese Ausführungsform der Erfindung besonders geeigneter Mautberechnungsserver zeichnet sich bevorzugt dadurch aus, daß er Ortsaufzeichnungen nach ihrer Verarbeitung zu Mautdaten löscht und darüber eine Bestätigung an ein Fahrzeuggerät versendet.

[0010] Ein für die zweite Ausführungsform besonders geeignetes Fahrzeuggerät weist Freigabemittel auf, welche nach Empfang einer Löschbestätigung hinsichtlich abgesandter Ortsaufzeichnungen deren Absenderkennung unter der Kennung des Fahrzeuggeräts versenden.

[0011] In ihren beiden Varianten gewährleistet die Erfindung somit auf einfache und für Benutzer und Systembetreiber transparente Art und Weise hardwarebedingte Vertraulichkeit für die sensiblen Ortsaufzeichnungsdaten. Ortsaufzeichnungen werden zentral nur so lange aufbewahrt, wie es wie für ihre Verarbeitung notwendig ist; anschließend werden sie automatisch gelöscht. Jegliche Bedenken hinsichtlich einer zentralen Nachverfolgbarkeit bzw. Erstellung eines Bewegungsprofils der Fahrzeuggeräte können dadurch ausgeräumt werden. Darüber hinaus verursacht die Erfindung keinen erhöhten Datenverkehr im Straßenmautsystem.

[0012] Das Zuordnen der ortsanonymisierten Mautdaten zu der vom Fahrzeuggerät freigegebenen Kennung kann sowohl im Mautberechnungsserver als auch in der Zentrale erfolgen. Demgemäß bestehen weitere Varianten des erfindungsgemäßen Verfahrens darin, daß das genannte Freigeben an den Mautberechnungsserver erfolgt, welcher die ortsanonymisierten Mautdaten der Kennung zuordnet und an eine Zentrale des Mautsystems sendet; oder daß das genannte Freigeben an eine Zentrale des Mautsystems erfolgt, welche die ortsanonymisierten Mautdaten vom Mautberechnungsserver erhält und der Kennung zuordnet.

[0013] Falls gewünscht, können in jeder Ausführungsform die Ortsaufzeichnungen im Mautberechnungsserver vor dem Löschen mit dem öffentlichen Schlüssel einer externen Archivstelle verschlüsselt und an diese gesandt werden. Eine derartige Archivstelle sollte in der Art eines Treuhänders bzw. Notars für alle Beteiligten hohes Vertrauen genießen, d.h. sowohl für die Benutzer als auch den Systembetreiber, und kann damit in strittigen Fällen von jeder Seite konsultiert werden.

[0014] Bevorzugt erfolgt das Senden und Freigeben vom Fahrzeuggerät aus über ein Funknetz, besonders bevorzugt ein Mobilfunknetz. Dadurch können z.B. herkömmliche "thin client"-OBUs eingesetzt werden, welche mit einem DSRC- oder Mobilfunk-Sendeempfänger ausgerüstet sind.

[0015] Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung werden die Ortsaufzeichnungen eines Fahrzeuggeräts in Datenpaketen versandt, die jeweils mit gleichen Absenderkennungen versehen sind, was die Auswertung vereinfacht, da das Fahrzeuggerät hier - nach Abwarten der Zeitspanne bzw. Erhalt der Löschbestätigung - seine Kennung lediglich hinsichtlich einer einzigen Absenderkennung preisgeben muß.

[0016] Alternativ können die Ortsaufzeichnungen eines Fahrzeuggeräts in Datenpaketen versandt werden, die mit wechselnden Absenderkennungen versehen sind. Dadurch kann auf der Übertragungsschnittstelle die Vertraulichkeit erhöht werden.

[0017] Bevorzugt sind mit wechselnden Absenderkennungen versehene Datenpakete zusätzlich mit verketteten Paketkennungen versehen, welche ihre Zuordnung zueinander gestatten, wodurch das Fahrzeuggerät seine Kennung nur zur Absenderkennung des letzten Datenpakets freizugeben braucht.

[0018] Die Kennung, durch welche sich ein Fahrzeuggerät identifiziert, kann sowohl eine Kennung des Fahrzeuggeräts selbst als auch eine dem Benutzer des Fahrzeuggeräts zugeordnete Kennung sein, z.B. eine Kennung eines Benutzerkontos zur Abrechnung von Mautgebühren im Straßenmautsystem.

[0019] Die zum Senden der Ortsaufzeichnungen an den Mautberechnungsserver verwendete Absenderkennung kann sowohl ein Zufallswert als auch ein frei vom Benutzer wählbarer Code sein, was die Transparenz für den Benutzer noch weiter erhöht.

[0020] Das Verfahren der Erfindung eignet sich für alle Arten von selbstlokalisierenden Fahrzeuggeräten, auf welche Weise auch immer diese ihren Ort bestimmen, z.B. durch Erkennung von Landmarken oder Identifikation von Baken, an denen sich das Fahrzeuggerät orientiert. Besonders vorteilhaft ist es, wenn das Fahrzeuggerät in an sich bekannter Weise seine Orte mittels Satellitennavigation bestimmt, wofür z.B. GPS-gestützte "thin client"-OBUs herangezogen werden können.

[0021] Die Erfindung wird nachstehend anhand von in den beigeschlossenen Zeichnungen dargestellten Ausführungsbeispielen näher erläutert, deren Fig. 1 und 2 zwei verschiedene Ausführungsformen eines nach dem Verfahren der Erfindung arbeitenden und erfindungsgemäße Komponenten enthaltenden Straßenmautsystems in Blockschaltbildform zeigen.

[0022] Gemäß Fig. 1 bewegt sich eine OBU 1 an Bord eines Fahrzeugs im Rahmen eines Straßenmautsystem mit einer Zentrale 2. Die Zentrale 2 rechnet mautpflichtige Ortsnutzungen der OBU 1, z.B. das Befahren einer Mautstraße, das Eintreten in einen eintrittspflichtigen Bereich, das Verweilen auf einem gebührenpflichtigen Parkplatz usw. über entsprechende Benutzerkonten ab, u.zw. auf Grundlage von Mautdaten T, die durch die Ortsnutzungen der OBU 1 ausgelöst werden, wie in der Technik bekannt.

[0023] Die OBU 1 ist von selbstlokalisierendem "thin client"-Typ und ermittelt fortlaufend, z.B. periodisch, ihren Ort, beispielsweise mit Hilfe eines Satellitennavigationsempfängers, und zeichnet die so ermittelten Orte ("position fixes") p₁, p₂, p₃... (allgemein p_i) in einem internen Ortsaufzeichnungsspeicher auf.

[0024] Jede OBU 1 ist mit einer eindeutigen Kennung OID im Straßenmaut system versehen, beispielsweise einer eindeutigen Kennung der OBU 1 selbst und/oder ihres Benutzers bzw. eines Kontos des letzteren. In Kenntnis der Kennung OID einer OBU 1 und ihrer Ortsaufzeichnungen p_i könnte auf das Bewegungsprofil einer OBU 1 geschlossen werden, was wie folgt verhindert wird.

[0025] Die Ortsaufzeichnungen p_i der OBU 1 werden - auch wenn dies nicht zwingend ist - zur leichteren Handhabbarkeit auf einzelne Datenpakete 3 aufgeteilt. Die Datenpakete 3 können mit einer Paketkennung P_i (siehe Fig. 2), z.B. einer fortlaufenden Numerierung, und einem Header (nicht gezeigt) versehen werden, welcher beispielsweise Metadaten wie die Anzahl der im Datenpaket 3 enthaltenden Ortsaufzeichnungen p_i, einen Hashwert derselben usw. enthält.

[0026] Die Ortsaufzeichnungen p_i bzw. Datenpakete 3 werden in einem ersten Schritt 4 von der OBU 1 an einen Mautberechnungsserver 5 gesandt, beispielsweise über ein Mobilfunknetz, u.zw. unter einer von der Kennung OID verschiedenen, gleichsam "anonymen" Absenderkennung RID. Die Absenderkennung RID ist beispielsweise ein vom Benutzer frei gewählter Code oder ein von der OBU 1 zufällig generierter Wert. Alternativ könnte - wenn auch mit entsprechend verringerter Anonymität - eine temporäre Mobilfunknetz-Identifikation oder temporäre Internetadresse der OBU 1 als Absenderkennung RID verwendet werden.

[0027] Der Mautberechnungsserver 5 enthält eine "map matching"-Einrichtung 6, welche die empfangenen Ortsaufzeichnungen p_i mautpflichtigen Orten, Strecken oder Gebieten aus einer Mautkartendatenbank 6' zuordnet und zugehörige Mautgebühren aus der Mautkartendatenbank 6' ermittelt. Aus den Mautgebühren der zu einer Absenderkennung RID empfangenen Ortsaufzeichnungen p_i berechnet die "map matching"-Einrichtung 6 auf diese Weise "ortsanonymisierte" Mautdaten T, welche keinen Rückschluß mehr auf die einzelnen Ortsaufzeichnungen p_i erlauben. Die Mautdaten T sind z.B. eine einzige Gebührensumme für alle Ortsaufzeichnungen p_i aller Datenpakete 3 einer Absenderkennung RID.

[0028] Der "map matching"-Einrichtung 6 des Mautberechnungsservers 5 ist ein Pufferspeicher 7 in Form eines Ringspeichers vorgeschaltet, in dem alle von OBUs 1 abgesandten Ortsaufzeichnungen p_i bzw. Datenpakete 3 aufeinanderfolgend einlangen, um von der Einrichtung 6 abgearbeitet zu werden. Aufgrund der durchschnittlichen Arbeitsbelastung der Einrichtung 6 kann daher eine Zeitspanne festgelegt werden, innerhalb derer zu einem bestimmten Zeitpunkt im Pufferspeicher 7 eingelangte Ortsaufzeichnungen p_i zu ortsanonymisierten Mautdaten T umgewandelt und durch das Einlangen von neuen Ortsaufzeichnungen automatisch gelöscht worden sind, letzteres z.B. wenn der Pufferspeicher 7 wie in Fig. 1 gezeigt als Ringspeicher ausgeführt ist, der durch einlangende neue Daten automatisch fortlaufend zyklisch überschrieben wird. Sollte diese Zeitspanne bei einer außergewöhnlich niedrigen Auslastung des Pufferspeichers 7 ausnahmsweise überschritten werden, kann durch eine zusätzliche periodische, z.B. tägliche, Löschung von Einträgen im Pufferspeicher 7, die älter als die genannte Zeitspanne sind, gewährleistet werden, daß nach der genannten vorgegebenen Zeitspanne jedenfalls keine Ortsaufzeichnungen p_i mehr im Mautberechnungsserver 5 vorhanden sind.

[0029] Falls einmal bei einer außergewöhnlich hohen Belastung des Ringspeichers 7 bzw. der "map-matching"-Einrichtung 6 Ortsaufzeichnungen p_i unverarbeitet gelöscht werden sollten, kann die OBU 1 solche Ortsaufzeichnungen p_i entweder automatisch oder auf Anfrage des Mautberechnungsservers 5 oder auf Anfrage der Zentrale 2 erneut übermitteln.

[0030] Falls gewünscht, kann der Mautberechnungsserver 5 die Ortsaufzeichnungen p_i vor dem Löschen in einer vertrauenswürdig verschlüsselten Form zu Beweiszwecken archivieren, z.B. indem er sie mit dem öffentlichen Schlüssel einer Archivstelle 9 verschlüsselt und an diese sendet (Schritt 10). Der private Schlüssel der Archivstelle 8, welcher zum Entschlüsseln der Ortsaufzeichnungen p_i notwendig ist, darf weder dem Benutzer noch dem Betreiber des Straßenmautsystems und nur dem Betreiber der Archivstelle 9 bekannt sein, welcher somit gleichsam als Notar bzw. Treuhänder für beide Seiten arbeitet.

[0031] Der Mautberechnungsserver 5 sendet die berechneten Mautdaten T anschließend im Schritt 8 unter der Absenderkennung RID an die Zentrale 2.

[0032] Auf der anderen Seite wartet die OBU 1 die genannte Zeitspanne ab (Schritt 11) und gibt anschließend ihre "Identität", d.h. ihre Kennung OID frei bzw. preis (Schritt 12). Die Freigabe erfolgt in Fig. 1, indem die OBU 1 die von ihr verwendete Absenderkennung RID unter ihrer Kennung OID an die Zentrale 2 sendet. Die Zentrale 2 kann somit die vom Abrechnungsserver 5 unter der Absenderkennung RID empfangenen Mautdaten T der von der OBU 1 zu dieser Absenderkennung RID erhaltenen Kennung OID zuordnen (Schritt 13), um ortsanonymisierte, der OBU 1 zugeordnete Mautdaten T zu erzeugen.

[0033] Fig. 2 zeigt verschiedene Varianten von Komponenten des Verfahrens von Fig. 1. Die Zuordnung der Mautdaten T zur Kennung OID erfolgt hier nicht in der Zentrale 2, sondern direkt im Mautberechnungsserver 5, indem die OBU 1 ihre Kennung OID im Schritt 12 an den Mautberechnungsserver 5 freigibt und letzterer das Ergebnis der Zuordnung 13 an die Zentrale 2 sendet (Schritt 14).

[0034] Ferner ist in Fig. 2 gezeigt, daß die OBU 1 - anstelle des Abwartens einer Zeitspanne 11 - hier auf das Einlangen einer expliziten Bestätigung 15 des Mautberechnungsserver 5 über das erfolgte Löschen der Ortsaufzeichnungen p_i wartet. Nach Einlangen der Löschbestätigung 15 gibt die OBU 1 ihre Kennung OID im Schritt 12 preis.

[0035] Fig. 2 zeigt auch die Variante, daß die einzelnen Datenpakete 3 mit wechselnden Absenderkennungen RID_i versehen werden können, um eine Mitverfolgung auf der Schnittstelle 4 zu erschweren. Im Schritt 12 kann die OBU 1 dann gleich mehrere von ihr zuletzt verwendete Absenderkennungen RID_i mit ihrer Kennung OID identifizieren.

[0036] Wenn die einzelnen Datenpakete 3 untereinander verkettet sind, z.B. durch entsprechende gegenseitige Verweise in ihren Paketkennungen p_i, dann genügt es, wenn die OBU 1 im Schritt 12 nur die letzte Absenderkennung RID_i einer verketteten Datenpaketfolge mit ihrer Kennung OID identifiziert, weil der Mautberechnungsserver 5 aufgrund der Paketverkettungen die vorhergehenden Absenderkennung RID_i erschließen kann.

[0037] Alternativ könnte der Mautberechnungsserver 5 auch die zu verketteten Absenderkennungen RID_i fortlaufend auflaufenden Mautdaten T_i z.B. zu einer Gebührensumme akkumulieren und dabei stets nur die letzte Absenderkennung RID_i aufheben. Auch in diesem Fall genügt es, wenn die OBU 1 im Schritt 12 nur ihre letzte Absenderkennung RID_i mit ihrer Kennung OID identifiziert.

[0038] Schließlich zeigt Fig. 2 auch die Verwendung eines Stapelspeichers als Pufferspeicher 7. Der Stapelspeicher 7 wird z.B. periodisch gelöscht bzw. seine ältesten Einträge nach einer vorgegebenen Zeitspanne entfernt, sollten sie nicht rechtzeitig verarbeitet worden sein, und/oder die OBU 1 wartet hier stets auf eine Löschbestätigung 16.

[0039] Die Erfindung ist nicht auf die dargestellten Ausführungsformen beschränkt, sondern umfaßt alle Varianten und Modifikationen, die in den Rahmen der angeschlossenen Ansprüche fallen.

Ansprüche

1. Verfahren zum Erzeugen von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) eines ortsaufzeichnenden Fahrzeuggeräts (1) mit einer eindeutigen Kennung (OID) in einem Straßenmautsystem, mit den Schritten:

Senden (4) der Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID) vom Fahrzeuggerät (1) an einen Mautberechnungsserver (5),

Berechnen (6) von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) und anschließendes Löschen der Ortsaufzeichnungen (p_i) im Mautberechnungsserver (5),

Abwarten einer vorgegebenen Zeitspanne (11) oder einer Bestätigung (15) des Mautberechnungsservers (5) über das erfolgte Löschen, und

Freigeben (12) der zur Absenderkennung (RID) zugehörigen Kennung (OID) vom Fahrzeuggerät (1) aus, um die ortsanonymisierten Mautdaten (T) dieser Absenderkennung (RID) der zugehörigen Kennung (OID) zuzuordnen.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das genannte Freigeben (12) an den Mautberechnungsserver (5) erfolgt, welcher die ortsanonymisierten Mautdaten (T) der Kennung (OID) zuordnet (13) und an eine Zentrale (2) des Mautsystems sendet.

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das genannte Freigeben (12) an eine Zentrale (2) des Mautsystems erfolgt, welche die ortsanonymisierten Mautdaten (T) vom Mautberechnungsserver (5) erhält und der Kennung (OID) zuordnet.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) im Mautberechnungsserver (5) vor dem Löschen mit dem öffentlichen Schlüssel einer externen Archivstelle (9) verschlüsselt und an diese gesandt werden.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Senden (4) und Freigeben (12) vom Fahrzeuggerät (1) aus über ein Funknetz, bevorzugt ein Mobilfunknetz, erfolgt.

6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) eines Fahrzeuggeräts (1) in Datenpaketen (3) versandt werden, die jeweils mit gleichen Absenderkennungen (RID) versehen sind.

7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) eines Fahrzeuggeräts in Datenpaketen (3) versandt werden, die mit wechselnden Absenderkennungen (RID_i) versehen sind.

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die Datenpakete (3) mit verketteten Paketkennungen (p_i) versehen sind, welche ihre Zuordnung zueinander gestatten, wobei das Freigeben (12) der Kennung (OID) nur zur Absenderkennung (RID_i) des letzten Datenpakets (3) erfolgt.

9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die genannte Kennung (OID) eine Fahrzeuggerät- oder Benutzerkontokennung ist.

10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, daß die Absenderkennung (RID) ein Zufallswert oder ein benutzerwählbarer Code ist.

11. Mautberechnungsserver (5) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Empfangen von Ortsaufzeichnungen (p_i) und Berechnen von ortsanonymisierten Mautdaten (T) daraus, gekennzeichnet durch einen Pufferspeicher (7) in Form eines Ringspeichers zur Aufnahme der Ortsaufzeichnungen (p_i).

12. Mautberechnungsserver (5) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Empfangen von Ortsaufzeichnungen (p_i) und Berechnen von ortsanonymisierten Mautdaten (T) daraus, gekennzeichnet durch einen Pufferspeicher (7) zur Aufnahme der Ortsaufzeichnungen (p_i) und Mittel zum periodischen, bevorzugt täglichen, Löschen zumindest der ältesten Einträge des Pufferspeichers (7).

13. Mautberechnungsserver (5) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Empfangen von Ortsaufzeichnungen (p_i) und Berechnen von ortsanonymisierten Mautdaten (T) daraus, dadurch gekennzeichnet, daß er Ortsaufzeichnungen (p_i) nach ihrer Verarbeitung zu Mautdaten (T) löscht und darüber eine Bestätigung (15) an ein Fahrzeuggerät (1) versendet.

14. Ortsaufzeichnendes Fahrzeuggerät (1) mit einer Kennung (OID) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Senden (4) seiner Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID), gekennzeichnet durch Freigabemittel, welche nach Verstreichen einer vorgegebenen Zeitspanne (11) die genannte Absenderkennung (RID) unter seiner Kennung (OID) versenden.

15. Ortsaufzeichnendes Fahrzeuggerät (1) mit einer Kennung (OID) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Senden (4) seiner Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID), gekennzeichnet durch Freigabemittel, welche nach Empfang einer Löschbestätigung (15) hinsichtlich abgesandter Ortsaufzeichnungen (p_i) deren Absenderkennung (RID) unter seiner Kennung (OID) versenden.

Amended claims

Geänderte Patentansprüche gemäss Regel 137(2) EPÜ.

1. Verfahren zum Erzeugen von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) eines ortsaufzeichnenden Fahrzeuggeräts (1) mit einer eindeutigen Kennung (OID) in einem Straßenmautsystem, mit den Schritten:

Senden (4) der Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID) vom Fahrzeuggerät (1) an einen Mautberechnungsserver (5),

Berechnen (6) von ortsanonymisierten Mautdaten (T) aus den Ortsaufzeichnungen (p_i) und anschließendes Löschen der Ortsaufzeichnungen (p_i) im Mautberechnungsserver (5),

im Fahrzeuggerät (1): Abwarten einer vorgegebenen Zeitspanne (11), innerhalb der das Löschen abgeschlossen ist, oder einer Bestätigung (15) des Mautberechnungsservers (5) über das erfolgte Löschen, und

Freigeben (12) der zur Absenderkennung (RID) zugehörigen Kennung (OID) vom Fahrzeuggerät (1) aus, um die ortsanonymisierten Mautdaten (T) dieser Absenderkennung (RID) der zugehörigen Kennung (OID) zuzuordnen.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das genannte Freigeben (12) an den Mautberechnungsserver (5) erfolgt, welcher die ortsanonymisierten Mautdaten (T) der Kennung (OID) zuordnet (13) und an eine Zentrale (2) des Mautsystems sendet.

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das genannte Freigeben (12) an eine Zentrale (2) des Mautsystems erfolgt, welche die ortsanonymisierten Mautdaten (T) vom Mautberechnungsserver (5) erhält und der Kennung (OID) zuordnet.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) im Mautberechnungsserver (5) vor dem Löschen mit dem öffentlichen Schlüssel einer externen Archivstelle (9) verschlüsselt und an diese gesandt werden.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Senden (4) und Freigeben (12) vom Fahrzeuggerät (1) aus über ein Funknetz, bevorzugt ein Mobilfunknetz, erfolgt.

6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) eines Fahrzeuggeräts (1) in Datenpaketen (3) versandt werden, die jeweils mit gleichen Absenderkennungen (RID) versehen sind.

7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die Ortsaufzeichnungen (p_i) eines Fahrzeuggeräts in Datenpaketen (3) versandt werden, die mit wechselnden Absenderkennungen (RID_i) versehen sind.

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die Datenpakete (3) mit verketteten Paketkennungen (P_i) versehen sind, welche ihre Zuordnung zueinander gestatten, wobei das Freigeben (12) der Kennung (OID) nur zur Absenderkennung (RID_i) des letzten Datenpakets (3) erfolgt.

9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die genannte Kennung (OID) eine Fahrzeuggerät- oder Benutzerkontokennung ist.

10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, daß die Absenderkennung (RID) ein Zufallswert oder ein benutzerwählbarer Code ist.

11. Mautberechnungsserver (5) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Empfangen von Ortsaufzeichnungen (p_i) und Berechnen von ortsanonymisierten Mautdaten (T) daraus, gekennzeichnet durch einen Pufferspeicher (7) zur Aufnahme der Ortsaufzeichnungen (p_i) und Mittel zum periodischen, bevorzugt täglichen, Löschen zumindest der ältesten Einträge des Pufferspeichers (7).

12. Mautberechnungsserver (5) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Empfangen von Ortsaufzeichnungen (p_i) und Berechnen von ortsanonymisierten Mautdaten (T) daraus, dadurch gekennzeichnet, daß er Ortsaufzeichnungen (p_i) nach ihrer Verarbeitung zu Mautdaten (T) löscht und darüber eine Bestätigung (15) an ein Fahrzeuggerät (1) versendet.

13. Ortsaufzeichnendes Fahrzeuggerät (1) mit einer Kennung (OID) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Senden (4) seiner Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID), gekennzeichnet durch Freigabemittel, welche nach Verstreichen einer vorgegebenen Zeitspanne (11) die genannte Absenderkennung (RID) unter seiner Kennung (OID) versenden.

14. Ortsaufzeichnendes Fahrzeuggerät (1) mit einer Kennung (OID) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10, ausgebildet zum Senden (4) seiner Ortsaufzeichnungen (p_i) unter zumindest einer von der Kennung (OID) verschiedenen Absenderkennung (RID), gekennzeichnet durch Freigabemittel, welche nach Empfang einer Löschbestätigung (15) hinsichtlich abgesandter Ortsaufzeichnungen (p_i) deren Absenderkennung (RID) unter seiner Kennung (OID) versenden.

Zeichnung