Die Erfindung betrifft eine Anordnung zum Bereitstellen von personenbezogenen Daten mit einer Datenquelle, insbesondere einem Minicomputer, zum Erzeugen von personenbezogenen Daten, insbesondere Positionsdaten und/oder Vitaldaten, einer Datensenke, insbesondere einem zentralen Rechner, und Mitteln zum Aufbauen einer Datenverbindung zwischen der Datenquelle und der Datensenke. Die Erfindung betrifft auch ein Verfahren zum Bereitstellen von personenbezogenen Daten, wobei das Erzeugen der personenbezogenen Daten, insbesondere Positionsdaten und/oder Vitaldaten, mittels einer Datenquelle, insbesondere eines Minicomputers, und das Aufbauen einer Datenverbindung zwischen einer Datensenke, insbesondere einem zentralen Rechner, und der Datenquelle für den Zugriff auf die personenbezogenen Daten in der Datenquelle vorgesehen sind.

Mit der Erfindung soll in einfach handhabbarer und transparenter Weise die Nutzung personenbezogener Daten in Abhängigkeit einer Freigabe durch die Person, auf die die Daten bezogen sind, ermöglicht werden.

Erfindungsgemäß ist hierzu eine Anordnung zum Bereitstellen von personenbezogenen Daten mit den Merkmalen von Anspruch 1 bzw. ein Verfahren zum Bereitstellen von personenbezogenen Daten mit den Merkmalen von Anspruch 13 vorgesehen. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.

Eine erfindungsgemäße Anordnung zum Bereitstellen von personenbezogenen Daten weist eine Datenquelle, insbesondere einen Minicomputer, insbesondere einen Personal Digital Assistant (PDA), zum Erzeugen von personenbezogenen Daten auf, insbesondere Positionsdaten und/oder Vitaldaten, sowie eine Datensenke, insbesondere einen zentralen Rechner, insbesondere einen zentralen Rechner für ein Lagerverwaltungssystem, und Mittel zum Aufbauen einer Datenverbindung zwischen der Datenquelle und der Datensenke, wobei ein Filter vorgesehen ist, der den Zugriff auf die personenbezogenen Daten in der Datenquelle steuert und wobei der Filter den Zugriff unter Berücksichtigung von hinterlegten Zeiten und/oder hinterlegten Positionen steuert.

Das Vorsehen eines Filters erlaubt eine einfach handhabbare und gleichzeitig transparente Kontrolle der Bereitstellung von personenbezogenen Daten. Die Person oder der Bediener, auf die die Daten bezogen sind und die die personenbezogenen Daten insbesondere selbst erzeugt, beispielsweise mittels eines Fitnessarmbands, also einem Minicomputer, gibt gemäß der Erfindung dem Filter Zeiten und/oder Positionen, beispielsweise in Form von räumlichen Bereichen, vor. Eine Bereitstellung von personenbezogenen Daten wird von dem Filter danach nur dann freigegeben, wenn eine Anfrage für personenbezogene Daten für die zuvor freigegebenen Zeiten und/oder für die zuvor freigegebenen Positionen erfolgt. Beispielsweise trägt eine Person, auf die die Daten bezogen sein sollen, Freigabezeiten oder Sperrzeiten in den Filter ein. Personenbezogene Daten dieser Person werden durch den Filter nur dann freigegeben, wenn sie sich auf die freigegebenen Zeiten beziehen. Es besteht dabei die Möglichkeit, dass die Freigabezeiten die tatsächliche Zugriffszeit betreffen oder die Zeit, zu der die personenbezogenen Daten erstellt wurden. Vorteilhafterweise ist lediglich ein Echtzeitzugriff vorgesehen, dass also personenbezogene Daten erstellt werden und gleichzeitig bereitgestellt werden, wenn die aktuelle Zeit oder der aktuelle Zeitraum vorher freigegeben wurde. In ähnlicher Weise werden Positionsdaten nur dann bereitgestellt, wenn sich die Person, auf die die Positionsdaten bezogen sind, an einer Position oder in einem Bereich befindet, der zuvor freigegeben wurde. Beispielsweise sind nur die Arbeitszeiten freigegeben und dann erfolgt eine Bereitstellung persönlicher Daten nur während der eigentlichen Arbeitszeit einer Person, nicht aber vor oder nach der eigentlichen Arbeitszeit oder in den Pausen. Hierzu muss die Person die Arbeitszeit, beispielsweise von 8 Uhr morgens bis 12 Uhr mittags und von 13 Uhr mittags bis 16 Uhr zuvor freigeben. In Bezug auf die Positionsdaten muss die Person, auf die die Positionsdaten bezogen sind, beispielsweise ein Fabrikgelände freigeben, wobei diese Freigabe beispielsweise nicht für Toilettenräume, Waschräume und Pausenräume innerhalb des Fabrikgeländes erfolgt. Durch die erfindungsgemäße Anordnung kann die Bereitstellung von personenbezogenen Daten ermöglicht werden, wobei die Person, auf die die Daten bezogen sind, die Bereitstellung dieser Daten in zeitlicher und räumlicher Hinsicht zuvor freigeben muss. Für die Person, auf die die Daten bezogen sind, ist die Freigabe der Bereitstellung der personenbezogenen Daten dadurch sehr transparent und auch einfach handhabbar. Das gleiche gilt für die Institution, die die personenbezogenen Daten anfordert, beispielsweise ein zentrales Lagerverwaltungssystem oder Fabrikbetriebssystem. Mit der erfindungsgemäßen Anordnung wird dadurch eine sichere, nachvollziehbare Betriebsweise ermöglicht, mit der die Vorteile der Bereitstellung von personenbezogenen Daten genutzt werden können, ohne die Privatsphäre der Personen, auf die die Daten bezogen sind, zu gefährden.

Mit dem erfindungsgemäß vorgesehenen Filter wird erreicht, dass nur vom Benutzer autorisierte Anwendungen persönlicher Daten anfragen dürfen, beispielsweise Anwendungen eines Arbeitgebers. Auch wird durch die Erfindung ein Fußabdruck der personenbezogenen Daten minimiert. Dabei wird das Ziel erreicht, möglichst wenig persönliche Daten zu erfassen und der Person, auf die die personenbezogenen Daten bezogen sind, die alleinige Kontrolle über die Bereitstellung seiner personenbezogenen Daten zu geben. Auch werden die genutzten, also abgefragten personenbezogenen Daten jederzeit transparent der Person, auf die diese Daten bezogen sind, beispielsweise einem Arbeitnehmer, bereitgestellt. Mit der Erfindung kann auch eine Korrelation der einzelnen erfassten personenbezogenen Daten erschwert werden. Dies kann beispielsweise dadurch erreicht werden, dass lediglich Echtzeitdaten zur Verfügung gestellt werden, dass aber das Erstellen von Bewegungsprofilen oder Profilen von Vitaldaten über mehrere Tage verhindert wird. Auch ermöglicht es die Erfindung ein vertrauenswürdiges System einzusetzen und die Verteilung der Daten auf möglichst wenig Systeme zu begrenzen. Mit der Erfindung wird eine möglichst kurze Speicherung der personenbezogenen Daten ermöglicht und insbesondere erfolgt keine historische Speicherung. Wenn immer möglich werden nur Momentaufnahmen der personenbezogenen Daten genutzt, um Entscheidungen zu treffen.

In Weiterbildung der Erfindung werden die personenbezogenen Daten von einem Bediener erzeugt und die in dem Filter hinterlegten Zeiten und/oder hinterlegten Positionen sind von dem Bediener hinterlegt.

Diejenige Person, also der Bediener, der die personenbezogenen Daten selbst erzeugt, indem er beispielsweise seine Fitnessdaten und/oder Positionsdaten mittels eines Fitnessarmbands erzeugt, legt ebenfalls selbst fest, zu welchen Bedingungen diese personenbezogenen Daten für andere einsehbar bzw. herunterladbar sind, also zu welchen Zeiten und an welchen Positionen. Beispielsweise erlaubt der Bediener durch entsprechende Hinterlegung von Zeiten und Positionen in dem Filter nur, dass seine personenbezogenen Daten während der Arbeitszeit und auf dem Fabrikgelände einsehbar sowie gegebenenfalls herunterladbar sind.

In Weiterbildung der Erfindung sind die personenbezogenen Daten Positionsdaten und/oder Vitaldaten des Bedieners.

Beispielsweise können Herzschlag, Blutzuckerspiegel, Blutdruck und dergleichen des Bedieners erzeugt werden, um die körperliche Leistungsfähigkeit des Bedieners einschätzen zu können. Auch Positionen, also der Ort, an dem sich der Bediener gerade befindet, können erzeugt werden. Diese Daten können dann dazu verwendet werden, den Bediener möglichst effizient für eine spezielle Arbeit einzusetzen.

In Weiterbildung der Erfindung greift der Filter auf einen Kalender zu, in dem Freigabezeiten und/oder Sperrzeiten für das Freigeben bzw. Sperren des Zugriffs auf die personenbezogenen Daten eingetragen sind. Mittels eines Kalenders, beispielsweise mittels eines bekannten Google-Kalenders, können Freigabezeiten und/oder Sperrzeiten in sehr einfacher Weise von der Person, auf die die Daten bezogen sind, eingetragen werden. Beispielsweise trägt die Person in diesen Kalender die Arbeitszeit mit Ausnahme der Pausen ein. Eine Bereitstellung von personenbezogenen Daten erfolgt dann nur zu diesen Freigabezeiten bzw. nur für diese Freigabezeiten. Wie bereits ausgeführt wurde, können die Freigabezeiten die Zeiten betreffen, zu denen die personenbezogenen Daten erstellt wurden oder auch die Zugriffszeiten, zu denen auf personenbezogene Daten zugegriffen wird. Bevorzugt wird im Rahmen der Erfindung dabei eine Echtzeitanwendung, dass also personenbezogene Daten nicht gespeichert werden, sondern die Zeiträume der Erstellung von personenbezogenen Daten und die Zugriffszeiten zusammenfallen. Während der Freigabezeiten kann damit nur auf personenbezogene Daten zugegriffen werden, die auch innerhalb der Freigabezeiten erstellt wurden.

In Weiterbildung der Erfindung greift der Filter auf eine Landkarte zu, in der freigegebene Bereiche und/oder gesperrte Bereiche für das Freigeben bzw. Sperren des Zugriffs auf die personenbezogenen Daten eingetragen sind.

Beispielsweise markiert die Person, auf die die Daten bezogen sind, in einer Landkarte ein Fabrikgelände oder auch nur den unmittelbaren Arbeitsbereich, beispielsweise den Bereich eines Lagers einschließlich des Kommissionierbereichs, und gibt innerhalb dieses markierten Bereichs die Bereitstellung bzw. den Zugriff auf die eigenen personenbezogenen Daten frei. Innerhalb dieses freigegebenen Bereichs können weitere Bereiche in anderer Weise markiert werden, so dass innerhalb dieser anderen Bereiche keine Bereitstellung bzw. kein Zugriff auf personenbezogene Daten erfolgen kann. Dies können beispielsweise Toilettenräume, Waschräume sowie Pausenräume sein. Eine Bereitstellung von personenbezogenen Daten erfolgt dann nur innerhalb des für die Freigabe markierten Bereichs bzw. ein Zugriff auf personenbezogene Daten kann nur dann erfolgen, wenn sich die betreffende Person innerhalb des als freigegeben markierten räumlichen Bereichs aufhält. Sobald sich die Person beispielsweise aus dem Arbeitsbereich entfernt und das Betriebsgelände verlässt, erfolgt keine Bereitstellung personenbezogener Daten mehr und auch der Zugriff auf personenbezogene Daten wird von dem Filter verhindert. Die Verknüpfung der Freigabe von markierten Bereichen und Freigabezeiten kann dabei mittels beliebiger logischer Verknüpfungen, typischerweise einer UND-Verknüpfung erfolgen, so dass aber personenbezogene Daten nur dann bereitgestellt werden, wenn der Zugriff für freigegebene Zeiten erfolgt und sich die Person innerhalb eines markierten Bereiches aufhält. Eine Verknüpfung von markierten Bereichen und Freigabezeiten muss im Rahmen der Erfindung aber nicht notwendigerweise erfolgen. In Weiterbildung der Erfindung ist der Filter mittels einer Filtersoftware auf einem Filterrechner realisiert, wobei der Filterrechner als von der Datenquelle und der Datensenke getrennter Rechner ausgebildet ist.

Auf diese Weise kann eine sehr sichere und vertrauenswürdige Realisierung des Filters erfolgen. Beispielsweise ist der Filterrechner bei einer neutralen Institution aufgestellt, so dass beispielsweise weder der Arbeitnehmer noch der Arbeitgeber die Möglichkeit haben, den Filterrechner und damit auch den Filter selbst in nicht vorgesehener Weise zu manipulieren. Beispielsweise kann der Filterrechner auch in einer sogenannten Cloud im Internet lokalisiert sein.

In Weiterbildung der Erfindung ist der Filterrechner von der Datenquelle und der Datensenke räumlich getrennt.

Auf diese Weise werden ein hoher Vertrauensschutz und gleichzeitig eine hohe Funktionsbereitschaft sichergestellt.

In Weiterbildung der Erfindung ist die Datenquelle als Minicomputer, insbesondere als Personal Digital Assistant, ausgebildet und der Filter ist mittels einer Filtersoftware auf dem Minicomputer realisiert.

Auf diese Weise kann die Person, auf die die Daten bezogen sind, den Filter und damit die hinterlegten Zeiten und/oder hinterlegten Positionen in einfacher Weise ändern, ohne hierzu beispielsweise eine Datenverbindung ins Internet zu benötigen. Auch trägt eine solche Ausgestaltung zur Funktionssicherheit bei. Denn wenn der Minicomputer arbeitet, arbeitet sowohl die Erzeugung personenbezogener Daten als auch die Filtersoftware. Werden dahingegen keine personenbezogenen Daten erstellt, beispielsweise aufgrund eines Defekts des Minicomputers, wird auch keine Filtersoftware benötigt. Als Minicomputer kann, wie bereits ausgeführt wurde, ein Personal Digital Assistant verwendet werden, beispielsweise in Form eines sogenannten Fitnessarmbands oder auch eines Smartphones, gegebenenfalls auch die Kombination aus einem Fitnessarmband und einem Smartphone.

In Weiterbildung der Erfindung ist die Datensenke als zentraler Rechner ausgebildet und der Filter ist mittels einer Filtersoftware auf dem zentralen Rechner realisiert.

Auch die Installation der Filtersoftware auf dem zentralen Rechner kann vorteilhaft sein. Beispielsweise kann die Datensicherung auf einem zentralen Rechner zentral erfolgen und für einen zentralen Rechner ist in der Regel auch die Sicherstellung der Funktionsfähigkeit 24 Stunden pro Tag und 7 Tage pro Woche realisiert. Die Datenquelle kann dahingegen beispielsweise in der Verantwortung der Person, auf die die Daten bezogen sind, liegen und bei Funktionsunfähigkeit beispielsweise auch schnell ausgewechselt werden.

In Weiterbildung der Erfindung ist vorgesehen, dass der Filter beim Zugriff auf die personenbezogenen Daten in der Datenquelle global eindeutige Daten, insbesondere MAC- Adressen oder IP-Adressen, der Datenquelle verschlüsselt oder pseudonymisiert.

Durch eine Verschlüsselung oder Pseudonymisierung global eindeutiger Daten kann die Datensicherheit der erfindungsgemäßen Anordnung erheblich verbessert werden. Insbesondere wird ein Datenmissbrauch durch Dritte, also Personen oder Institutionen, die weder die Person, auf die die Daten bezogen sind, noch die Institution, die die personenbezogenen Daten anfordert, sind, weitgehend verhindert.

In Weiterbildung der Erfindung stellt der Filter der Datenquelle ein Zugriffsprotokoll bereit, in dem Zugriffe der Datensenke auf die personenbezogenen Daten in der Datenquelle und Anfragen wegen solcher Zugriffe dokumentiert sind.

Auf diese Weise wird eine sehr große Transparenz erreicht. So kann die Person, auf die die Daten bezogen sind, sich mittels des Minicomputers einen Überblick darüber verschaffen, wann, wo und beispielsweise wie häufig Zugriffe auf personenbezogene Daten erfolgt sind. Wenn die Person dann durch die Zugriffe eine Verletzung ihrer Privatsphäre sieht, so kann sie den Filter in anderer Weise einstellen, um zukünftig Zugriffe auf personenbezogene Daten zu bestimmten Zeiten oder an bestimmten Positionen zu sperren.

In Weiterbildung der Erfindung sind Mittel zum Erzeugen einer Blockchain vorgesehen, um die Blockchain in Form einer erweiterbaren Liste von Datensätzen, die mittels kryptografischer Verfahren verkettet sind, zu erzeugen, wobei in der Blockchain Art und Umfang der bereitgestellten personenbezogenen Daten und Bedingungen des Zugriffs auf diese personenbezogenen Daten, insbesondere Zeiten, Positionen, Preis und Zugriffsdauer, enthalten sind.

Durch Verwendung einer sogenannten Blockchain als Bindeglied zwischen der Datenquelle, also einem Anbieter, und einer oder mehreren Datensenken, also Abnehmern für die Daten, kann zum einen eine dezentrale Vernetzung aller Parteien als auch eine rechtssichere Ablage von öffentlichen Marktplatzdaten und individuell verschlüsselten Transaktionsdaten erfolgen. Jedwede Kommunikation soll in der Blockchain mit Zeitstempeln sequenziell dokumentiert werden. Speziell kann sowohl für den Bediener als Anbieter der Daten als auch die Abnehmer der Daten Rechtssicherheit erzielt werden, da Art und Umfang der personenbezogenen Daten sowie die Bedingungen des Zugriffs verschlüsselt und unveränderbar in der Blockchain abgelegt sind. Beispielsweise kann der Bediener ein Angebot in die Blockchain einstellen, indem Art und Umfang der personenbezogenen Daten enthalten sind, also beispielsweise Vitaldaten sowie Zeiten und Positionen, zu denen der Zugriff erlaubt ist, und gleichzeitig kann auch ein Preis für das Zugreifen auf diese Daten mit abgelegt werden. Dieses Angebot ist dann unveränderbar in der Blockchain abgelegt und kann beispielsweise auch eine Gültigkeitsdauer mit enthalten. Dieses Angebot können potenzielle Abnehmer dann annehmen. Auch die Annahme dieses Angebots wird in der Blockchain abgelegt, so dass Angebot und Annahme unveränderbar und jederzeit öffentlich einsehbar in der Blockchain hinterlegt sind. Auf diese Weise kann ein nachvollziehbarer, im Nachhinein überprüfbarer und damit rechtssicherer Handel mit den personenbezogenen Daten erfolgen. Selbst wenn der Handel mit den personenbezogenen Daten aber unentgeltlich ist und beispielsweise im Rahmen eines Arbeitsvertrags erfolgt, ist die Überprüfbarkeit und Nachvollziehbarkeit von Angebot und Abnahme der personenbezogenen Daten äußerst vorteilhaft.

Das der Erfindung zugrunde liegende Problem wird auch durch ein Verfahren zum Bereitstellen von personenbezogenen Daten gelöst, wobei das Erzeugen der personenbezogenen Daten, insbesondere Positionsdaten und/oder Vitaldaten, mittels einer Datenquelle, insbesondere eines Minicomputers, und das Aufbauen einer Datenverbindung zwischen einer Datensenke, insbesondere einem zentralen Rechner, und der Datenquelle für den Zugriff auf die personenbezogenen Daten in der Datenquelle vorgesehen sind, wobei das Steuern des Zugriffs auf die personenbezogenen Daten in der Datenquelle mittels eines Filters unter Berücksichtigung von hinterlegten Zeiten und/oder hinterlegten Positionen erfolgt.

In Weiterbildung der Erfindung werden die personenbezogenen Daten von einem Bediener erzeugt und das Hinterlegen von Zeiten und/oder Positionen in dem Filter erfolgt durch den Bediener.

In Weiterbildung der Erfindung sind die personenbezogenen Daten Positionsdaten und/oder Vitaldaten des Bedieners.

In Weiterbildung der Erfindung ist das Zugreifen des Filters auf einen Kalender vorgesehen, in dem Freigabezeiten und/oder Sperrzeiten für das Freigeben bzw. Sperren des Zugriffs auf die personenbezogenen Daten eingetragen sind. In Weiterbildung der Erfindung ist das Zugreifen des Filters auf eine Landkarte vorgesehen, in der freigegebene Bereiche und/oder gesperrte Bereiche für das Freigeben bzw. Sperren des Zugriffs auf die personenbezogenen Daten eingetragen sind.

In Weiterbildung der Erfindung ist das Realisieren der Funktion des Filters mittels Abarbeiten einer Filtersoftware auf einem Filterrechner vorgesehen, wobei der Filterrechner als von der Datensenke und der Datenquelle getrennter Rechner ausgebildet ist.

In Weiterbildung der Erfindung ist das Realisieren der Funktion des Filters mittels Abarbeiten einer Filtersoftware auf der als Minicomputer realisierten Datenquelle vorgesehen.

In Weiterbildung der Erfindung ist das Realisieren der Funktion des Filters mittels Abarbeiten einer Filtersoftware auf der als zentraler Rechner ausgebildeten Datensenke vorgesehen.

In Weiterbildung der Erfindung ist das Verschlüsseln oder Pseudonymisieren global eindeutiger Daten der Datenquelle, insbesondere MAC-Adressen oder IP-Adressen, beim Zugreifen auf die personenbezogenen Daten vorgesehen.

In Weiterbildung der Erfindung ist das Bereitstellen eines für die Datenquelle zugänglichen Zugriffsprotokolls durch den Filter vorgesehen, wobei in dem Zugriffsprotokoll Zugriffe des zentralen Rechners auf die personenbezogenen Daten in der Datenquelle und Anfragen wegen solcher Zugriffe dokumentiert sind.

In Weiterbildung der Erfindung ist das Bereitstellen eines für ein Abrechnungssystem zugänglichen Zugriffsprotokolls durch den Filter vorgesehen.

Auf diese Weise kann beispielsweise ein Arbeitslohn unter Heranziehung der Zugriffsprotokolle berechnet werden. Beispielsweise kann die tatsächlich gearbeitete Zeit anhand der Zugriffsprotokolle überprüft und/oder berechnet werden. Weiterhin erlaubt die Weitergabe des Zugriffsprotokolls an ein Abrechnungssystem, dass die Person, deren personenbezogene Daten von anderen genutzt werden, hierfür entlohnt werden kann. Hier liegt das Konzept zugrunde, dass die personenbezogenen Daten das bewertbare Kapital beziehungsweise die Ware der Datenquelle sind. Die Person, deren personenbezogene Daten von anderen genutzt werden, kann also dem Nutzer, der aus diesen personenbezogenen Daten einen wirtschaftlichen Vorteil für sich gewinnt, die Nutzung seiner Daten in Rechnung stellen. In Weiterbildung der Erfindung ist das Erzeugen einer Blockchain vorgesehen, die die Form einer erweiterbaren Liste von Datensätzen hat, die mittels kryptografischer Verfahren verkettet sind, wobei in der Blockchain Art und Umfang der personenbezogenen Daten und Bedingungen des Zugriffs auf diese personenbezogenen Daten, insbesondere Zeiten, Positionen, Preis und Zugriffsdauer, enthalten sind.

In Weiterbildung der Erfindung ist das Zugreifen auf die personenbezogenen Daten bei der Steuerung einer Logistikeinrichtung, insbesondere eines Lagers, vorgesehen.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Ansprüchen und der Beschreibung bevorzugter Ausführungsformen der Erfindung im Zusammenhang mit den Zeichnungen. Einzelmerkmale der unterschiedlichen, dargestellten und beschriebenen Ausführungsformen lassen sich dabei in beliebiger Weise miteinander kombinieren, ohne den Rahmen der Erfindung zu überschreiten. In den Zeichnungen zeigen:

Fig. 1 eine schematische Darstellung der erfindungsgemäßen Anordnung,

Fig. 2 eine schematische Darstellung des Ablaufs des erfindungsgemäßen Verfahrens zum Bereitstellen von personenbezogenen Daten,

Fig. 3 eine schematische Darstellung der Einrichtung eines Kalenders bei dem erfindungsgemäßen Verfahren,

Fig. 4 eine schematische Darstellung der Erstellung von Terminen/Freigaben bei den erfindungsgemäßen Verfahren,

Fig. 5 eine schematische Darstellung der Bereitstellung bzw. des Zugriffs auf personenbezogene Daten bei dem erfindungsgemäßen Verfahren und

Fig. 6 eine schematische Darstellung des Zugriffs auf personenbezogene Daten gemäß einer weiteren Ausführungsform der Erfindung.

Die Darstellung der Fig. 1 zeigt schematisch eine erste Ausführungsform einer erfindungsgemäßen Anordnung. Das Intranet eines Arbeitgebers ist mit der Bezugsziffer 8 markiert und durch eine symbolische Linie 10 von dem Bereich des Internets 12 getrennt. Ein Arbeitnehmer 14, also eine Person, auf die bereitzustellende personenbezogene Daten bezogen sind, trägt ein sogenanntes Fitnessarmband 16, das personenbezogene Daten erstellt, nämlich Vitaldaten wie beispielsweise Puls, Körpertemperatur und dergleichen, und das auch Positionsdaten erzeugt, also an welcher Position sich der Arbeitnehmer 14 gerade befindet. Als Positionsdaten können Koordinaten eines sogenannten Indoor Positioning System 18 verwendet werden, das die Position des Arbeitnehmers 14 innerhalb eines Betriebsgeländes und beispielsweise auch innerhalb von Gebäuden ermitteln kann. Zusätzlich oder alternativ kann aber beispielsweise auch ein sogenanntes Global Positioning System verwendet werden, bei dem also über Satellitendaten eine aktuelle Position des Arbeitnehmers 14 ermittelt wird. Das Fitnessarmband 16, das beispielsweise auch in Kombination mit einem Smartphone des Arbeitnehmers 14 arbeiten kann, steht selbst nicht mit dem Intranet 10 des Arbeitgebers in Verbindung. Eine direkte Verbindung des Fitnessarmbands 16 mit dem Intranet 10 würde zwar die Bereitstellung personenbezogener Daten des Arbeitnehmers 14 erheblich vereinfachen, allerdings hätte der Arbeitnehmer 14 dann keine Kontrolle und keine Transparenz über den Zugriff auf seine personenbezogenen Daten.

Stattdessen ist die Weitergabe der personenbezogenen Daten an eine geeignete Speicherstelle im Internet 12 vorgesehen. Diese Weitergabe der personenbezogenen Daten von dem Fitnessarmband 16 und von dem Indoor Positioning System 18 ist in Fig. 1 mit einem Pfeil 20 bezeichnet. Die Weitergabe gemäß dem Pfeil 20 erfolgt auf geeignete Speicherorte im Internet 12, beispielsweise im Rahmen einer sogenannten Cloud-Speicherung. Die im Internet 12 gespeicherten Daten umfassen Positionsdaten 22, die von dem Indoor Positioning System 18 bereitgestellt werden, und Vitaldaten 24, die von dem Fitnessarmband 16 bereitgestellt werden, beispielsweise Puls, Körpertemperatur und dergleichen. Darüber hinaus sind im Internet 12 ein Kalender 26 und eine Landkarte 28 abgelegt. In den Kalender 26 hat der Arbeitnehmer 14 zuvor Freigabezeiten eingetragen, zu denen er den Zugriff auf seine personenbezogenen Daten, also die Positionsdaten 22 und die Vitaldaten 24, freigeben möchte. Beispielsweise hat der Arbeitnehmer 14 in den Kalender 26 seine Arbeitszeiten und Arbeitstage eingetragen. Beispielsweise möchte der Arbeitnehmer 14 seine Positionsdaten 22 und seine Vitaldaten 24 während seiner Arbeitszeit von 8 Uhr morgens bis 12 Uhr mittags und von 13 Uhr bis 16 Uhr von Montag bis Freitag freigeben, nicht aber in der Pause von 12 Uhr bis 13 Uhr, außerhalb seiner Arbeitszeit sowie auch nicht am Wochenende. Im Rahmen der Erfindung können anstelle von Freigabezeiten selbstverständlich auch Sperrzeiten eingetragen werden. Die Zeiten müssen nicht notwendigerweise in Form eines Kalenders eingetragen werden, dies ist auch in anderer Weise möglich.

In der Landkarte 28 hat der Arbeitnehmer 14 Bereiche bzw. Positionen markiert, innerhalb derer bzw. an denen er seine Positionsdaten 22 und/oder seine Vitaldaten 24 freigeben möchte. Beispielsweise ist in der Landkarte ein Betriebsgelände markiert, nicht aber der Bereich von Toilettenräumen, Waschräumen sowie Pausenräumen. Der Arbeitnehmer 14 kann beispielsweise auch lediglich seine Positionsdaten 22 innerhalb des gesamten Betriebsgeländes freigeben, er kann aber auch einstellen, dass seine Vitaldaten 24 lediglich dann für einen Zugriff freigegeben sind, wenn er sich an seinem Arbeitsplatz befindet. Auch auf diese Weise kann der Arbeitnehmer 14 beispielsweise verhindern, dass während seiner Mittagspause in der Kantine auf seine Vitaldaten 24 zugegriffen wird.

Selbstverständlich sind die Positionsdaten 22, die Vitaldaten 24, der Kalender 26 und die Landkarte 28 so im Internet 12 abgespeichert, dass sie dem Arbeitnehmer zugeordnet werden können.

Im Intranet 10 des Arbeitgebers ist ein zentraler Rechner 30 vorgesehen. Dieser zentrale Rechner 30 kann ein Lagerverwaltungssystem betreiben, beispielsweise das Lagerverwaltungssystem EWM der Firma SAP. Dieses Lagerverwaltungssystem benötigt Positionsdaten 22 und/oder Vitaldaten 24 des Arbeitnehmers 14, um den Betrieb des Lagers dadurch zu optimieren, dass die logistischen Prozesse dynamisch an die Positionsdaten 22 und/oder Vitaldaten 24 des Arbeitnehmers 14 angepasst werden. Beispielsweise können Waren an einem Ort bereitgestellt werden, an dem sich der Arbeitnehmer 14 gerade befindet oder an den er innerhalb kürzester Zeit gelangen kann.

Um einen unkontrollierten Zugriff des zentralen Rechners 30 auf die Positionsdaten 22 und die Vitaldaten 24 des Arbeitnehmers 14 zu verhindern, ist ein Filter 32 vorgesehen. Dieser Filter 32 steuert den Zugriff des zentralen Rechners 30 auf die Positionsdaten 22 und die Vitaldaten 24 des Arbeitnehmers 14.

Hierzu greift der Filter 32 auf den Kalender 26 und die Landkarte 28 zu. Darüber hinaus kann der Filter 32 auch auf die Positionsdaten 22 und die Vitaldaten 24 zugreifen.

Der direkte Zugriff des zentralen Rechners 30 auf die Positionsdaten 22 und/oder die Vitaldaten 24 ist hingegen nicht möglich, was durch die Linie 10 symbolisiert ist. Der Zugriff des zentralen Rechners 30 auf die Positionsdaten 22, die Vitaldaten 24, den Kalender 26 und die Landkarte 28 kann ausschließlich über dem Filter 32 erfolgen. Ein direkter Zugriff des Rechners 30 auf das Fitnessarmband 16 und das Indoor Positioning System 18 ist nicht möglich.

Der zentrale Rechner kann gemäß einem Pfeil 34 Positionsdaten 22 und/oder Vitaldaten 24 des Arbeitnehmers 14 bei dem Filter 32 anfragen. Hat der Filter 32 eine solche Anfrage erhalten, ermittelt er zunächst die Zeit bzw. den Zeitraum, für die oder für den die Anfrage erfolgt. Daraufhin erfolgt gemäß dem Pfeil 36 eine Abfrage des Kalenders 26 und/oder der Landkarte 28, ob die Zeit oder der Zeitraum, für die die Anfrage erfolgt, im Kalender 26 als freigegeben markiert ist. Darüber hinaus fragt der Filter 32 an der Landkarte 28 auch diejenigen Positionen oder Bereiche ab, an denen der Arbeitnehmer 14 die Bereitstellung seiner personenbezogenen Daten, also der Positionsdaten 22 sowie der Vitaldaten 24, freigegeben hat.

Im Filter 32 wird nun geprüft, ob der Zeitraum, für den die Anfrage des Zugriffs auf personenbezogene Daten vom zentralen Rechner 30 erfolgt ist, im Kalender 26 freigegeben ist. Wenn dies nicht der Fall ist, wird bereits an dieser Stelle der Zugriff auf die personenbezogenen Daten, also die Positionsdaten 22 und die Vitaldaten 24, verweigert.

Ist der Zeitraum, für den die personenbezogenen Daten vom zentralen Rechner 30 angefragt werden, im Kalender 26 freigegeben, so erfolgt gemäß dem Pfeil 38 ein Zugriff des Filters 32 auf die Vitaldaten 24 und gemäß dem Pfeil 40 ein Zugriff auf die Positionsdaten 22.

Daraufhin werden im Filter 32 die Positionsdaten 22 mit den in der Landkarte 28 als freigegeben markierten Positionen und/oder Bereichen verglichen. Liegen die Positionsdaten 22 nicht innerhalb der in der Landkarte 28 freigegebenen Bereiche oder an den freigegebenen Positionen, wird dem zentralen Rechner 30 der Zugriff auf die personenbezogenen Daten, also sowohl die Positionsdaten 22 als auch die Vitaldaten 24 des Arbeitnehmers 14, verweigert.

Liegen die Positionsdaten 22 innerhalb der in der Landkarte 28 freigegebenen Bereiche oder an den freigegebenen Positionen, gibt der Filter 32 den Zugriff auf die Positionsdaten 22 und die Vitaldaten 24 des Arbeitnehmers 14 für den zentralen Rechner 30 frei. Eine Datenübermittlung kann dann gemäß den Pfeilen 42, 44 und 46 zu dem zentralen Rechner 30 erfolgen.

Das beschriebene Verfahren zum Bereitstellen von personenbezogenen Daten ist lediglich beispielhaft. Vielfältige Variationen sind möglich. Beispielsweise kann der Filter 32 auch lediglich die freigegebenen Positionen in der Landkarte 28 prüfen und immer dann die Übermittlung der Positionsdaten 22 und der Vitaldaten 24 an den zentralen Rechner 30 freigeben, wenn sich der Arbeitnehmer 14 innerhalb der in der Landkarte 28 freigegebenen Bereiche befindet. Der Zugriff des zentralen Rechners 30 auf die personenbezogenen Daten des Arbeitnehmers 14 würde dann ausschließlich auf Basis von freigegebenen Positionen erfolgen. In gleicher Weise kann der Filter 32 den Zugriff auf die personenbezogenen Daten des Arbeitnehmers 14 ausschließlich in Abhängigkeit der im Kalender 26 eingetragenen Freigabezeiten und/oder Sperrzeiten steuern.

In gleicher Weise ist beispielsweise auch eine Priorisierung des Kalenders 26 oder der Landkarte 28 möglich oder auch eine logische Verknüpfung von Freigabezeiten und markierten, freigegebenen Bereichen.

Der Filter 32 ist vorteilhafterweise mittels einer Filtersoftware auf einem Filterrechner realisiert. Die Filtersoftware kann dabei entweder im Internet 12, auf dem Fitnessarmband 16 oder einem sonstigen Personal Digital Assistant, beispielsweise einem Smartphone des Arbeitnehmers 14, oder auch auf dem zentralen Rechner 30 realisiert sein.

Auch die Speicherung der Positionsdaten 22, der Vitaldaten 24, des Kalenders 26 und/oder der Landkarte 28 kann entweder im Internet 12 oder auch auf dem Fitnessarmband 16, einem Smartphone des Arbeitnehmers 14 sowie gegebenenfalls sogar in dem zentralen Rechner 30 erfolgen.

In jedem Fall ermöglicht die erfindungsgemäße Anordnung eine sehr sichere und transparente Bereitstellung personenbezogener Daten des Arbeitnehmers 14, da der Filter 32 den Zugriff bzw. die Freigabe dieser personenbezogenen Daten steuert.

Die Darstellung der Fig. 2 zeigt schematisch den Ablauf eines Zugriffs auf personenbezogene Daten des Arbeitnehmers 14, wobei gegenüber Fig. 1 eine andere Darstellung gewählt wurde. Fig. 2 verdeutlicht lediglich den Zugriff auf Positionsdaten 22. Der Zugriff auf Vitaldaten 24 kann aber, wie anhand der Fig. 1 bereits erläutert wurde, in gleicher weise erfolgen. Darüber hinaus wird anhand der Fig. 2 auch lediglich die Steuerung des Zugriffs auf die Positionsdaten 22 anhand von hinterlegten Zeiten erläutert. Die Steuerung des Zugriffs anhand von hinterlegten Positionen kann aber in gleicher weise erfolgen, wie bereits anhand der Fig. 1 erläutert wurde.

Als erster Schritt trägt der Arbeitnehmer 14 gemäß einem Pfeil 48 Sperrzeiten oder Freigabezeiten in den Kalender 26 ein.

Wird nun von dem zentralen Rechner ein Zugriff auf die Positionsdaten 22 angefordert, so wird diese Anfrage zunächst an den Filter 32 übermittelt. Der Filter 32 prüft mittels eines Zugriffs auf den Kalender 26, ob die Anfrage des Zugriffs für einen Zeitraum erfolgt, der in dem Kalender 22 freigegeben ist. Ist dies nicht der Fall, wird der Zugriff durch den Filter 32 verweigert. Liegt der Zeitraum, für den der Zugriff angefordert wird, dahingegen innerhalb eines in dem Kalender 26 freigegebenen Zeitraums, so greift der Filter 32 auf die Positionsdaten 22 zu und übermittelt diese an den zentralen Rechner 30 bzw. gibt der Filter 32 den Zugriff des zentralen Rechners 30 auf die Positionsdaten 22 frei.

Die Freigabe dieses Zugriffs bzw. die Übermittlung der Positionsdaten 22 an den zentralen Rechner 30 erfolgt nur so lange, wie sich der Zugriff innerhalb der freigegebenen Zeiten im Kalender 26 bewegt. Wird beispielsweise das Ende des Freigabezeitraums im Kalender 26 überschritten, unterbricht der Filter 32 den Zugriff des zentralen Rechners 30 auf die Positionsdaten 22.

Die erfindungsgemäße Anordnung und das erfindungsgemäße Verfahren können beispielsweise zur Optimierung der logistischen Prozesse in einem Lager verwendet werden, insbesondere bei der Optimierung der Kommissionierungsprozesse. Die erfindungsgemäße Anordnung muss dabei nicht notwendigerweise die in Fig. 1 dargestellte und erläuterte Ausgestaltung haben, die erfindungsgemäße Anordnung kann aber gemäß Fig. 1 ausgebildet sein.

Innerhalb eines automatisierten Lagers steuert ein zentraler Rechner 30 mittels eines Lagerverwaltungssystems die logistischen Prozesse, unter anderem auch die Bereitstellung von Waren an die Kommissionierplätze. Der zentrale Rechner kann hierzu beispielsweise das Lagerverwaltungssystem EWM der Firma SAP betreiben. Dem Lagerverwaltungssystem auf dem zentralen Rechner sollen in Echtzeit alle Positionsdaten und gegebenenfalls Vitaldaten der im Bereich des Lagers tätigen Kommissionierer zur Verfügung gestellt werden, um die logistischen Prozesse dynamisch in Echtzeit an die Positionsdaten und/oder Vitaldaten der Kommissionierer anzupassen. Beispielsweise sollen Kommissionierer mit Vitaldaten, die außerhalb einer vorgegebenen Norm liegen, nicht herangezogen werden, sondern zum Arzt geschickt werden. Auch soll der jeweils am nächsten zu einem vorgesehenen Auslagerungsort oder Einlagerungsort von Waren angeordnete Kommissionierer eingesetzt werden, um die logistischen Prozesse beschleunigen zu können.

Alle Kommissionierer, die innerhalb des Lagers tätig sind, tragen einen personalisierten Sender, beispielsweise einen Minicomputer in Form eines Smartphones und/oder in Form eines Fitnessarmbands. Diese personalisierten Sender, die auch als Datenquellen bezeichnet werden können, liefern in Echtzeit Positionsdaten und/oder Vitaldaten. Der Filter 32 ist zwischen den zentralen Rechner 30 und die Positionsdaten 22 und/oder die Vitaldaten 24 geschaltet und soll verhindern, dass der zentrale Rechner 30 permanent zeit- und ortsunabhängig und ohne Erstellung eines Zugriffsprotokolls die personenbezogenen Daten, also die Positionsdaten 22 und die Vitaldaten 24, von der Datenquelle, also dem personalisierten Sender oder Minicomputer, erhält.

Jeder Kommissionierer gibt nun in den Kalender 26 die Freigabezeiträume zur Nutzung seiner personenbezogenen Daten mittels Terminen ein, beispielsweise von Montag bis Freitag von 9 Uhr bis 17 Uhr. Darüber hinaus kann er in der Landkarte 28 Freigabegebiete zur Nutzung seiner Daten mittels graphischer Objekte, zum Beispiel Rechtecke, markieren. Solche Freigabegebiete sind beispielsweise das Lager, nicht jedoch die Kantine oder Sanitärräume.

Im Betrieb der erfindungsgemäßen Anordnung hat der Kommissionierer die Freigabe seiner personenbezogenen Daten mittels des Kalenders 26 und der Landkarte 28, wie beschrieben wurde, erteilt. Der Kommissionierer läuft durch das Lager und geht zu einem von dem Lagerverwaltungssystem gesteuerten Vertikallift. Das Lagerverwaltungssystem auf dem zentralen Rechner 30 kennt die Echtzeitposition des Kommissionierers aus den Positionsdaten 22 und auch die statische Position des Vertikallifts innerhalb des Lagers, also innerhalb eines Gebäudes. Das Lagerverwaltungssystem erkennt dann den sich dem Vertikallift nähernden Kommissionierer und stellt dort dann automatisch die zu einem Kommissionierauftrag, der wiederum dem Kommissionierer zugeordnet ist und den das Lagerverwaltungssystem ebenfalls kennt, passende Ware bereit. Ein solcher Prozess wird als automatische Warenbereitstellung bei Annäherung bezeichnet.

Der Kommissionierer macht nun eine Buchung am PC-Arbeitsplatz des Vertikallifts und quittiert beispielsweise die Warenentnahme. Zuvor hat das Lagerverwaltungssystem festgestellt, dass an der ihm bekannten statischen Position des PC-Arbeitsplatzes im Gebäude kein anderer Kommissionierer näher positioniert ist. Auf diese Weise kann das Lagerverwaltungssystem den Kommissionierer und den PC-Arbeitsplatz eindeutig räumlich zuordnen und kann dadurch die explizite Anmeldung bzw. Identifikation des Kommissionierers am PC-Arbeitsplatz entfallen lassen. Dieser Prozess wird als Wegfall der expliziten Identifikation durch eindeutige räumliche Nähe bezeichnet.

Hat ein Kommissionierer hingegen die Freigabe seiner personenbezogenen Daten, insbesondere der Positionsdaten 22, nicht erteilt, so muss er am Vertikallift die Ware explizit anfordern, beispielsweise durch Eingabe einer Auftragsnummer, und er muss dann auf die Bereitstellung der angeforderten Ware durch den Vertikallift warten. Auch für die Quittierung der Warenentnahme muss sich der Kommissionierer zuvor am PC-Arbeitsplatz explizit identifizieren, beispielsweise durch Eingabe seiner Personalnummer und/oder seines Passworts. Dies verlängert ersichtlich den logistischen Prozess der Warenbereitstellung, der Warenentnahme und der Quittierung der Warenentnahme.

Mit dem erfindungsgemäßen System lassen sich daher logistische Prozesse innerhalb eines automatisierten Lagers, insbesondere Kommissionierungsprozesse, wesentlich beschleunigen. Dennoch haben die Kommissionierer, also die Arbeitnehmer, jederzeit die volle Kontrolle über den Zugriff auf ihre personenbezogenen Daten, also Positionsdaten 22 und/oder Vitaldaten 24.

Eine erhöhte Transparenz für den Arbeitnehmer 14 sowie auch das Lagerverwaltungssystem auf dem zentralen Rechner 30 kann durch die Bereitstellung von Zugriffsprotokollen durch den Filter 32 erreicht werden. Mittels solcher Zugriffsprotokolle wird dokumentiert, wann, wie häufig und auf weiche personenbezogenen Daten zugegriffen wurde.

Fig. 3 beschreibt die bei dem erfindungsgemäßen Verfahren erforderlichen Verfahrensschritte zum Anlegen des Kalenders 26 durch den Arbeitnehmer 14 anhand des Beispiels eines Google-Kalenders.

In einem ersten Schritt 50 legt der Arbeitnehmer 14 ein Google-Konto an. Im zweiten Schritt 52 legt er einen Google-Kalender für den zentralen Rechner 30, beispielsweise den Arbeitgeber, an.

Im Schritt 54 erfolgt die Freigabe des Kalenders lediglich für bestimmte E-Mail-Adressen, beispielsweise E-Mail-Adressen, die vom zentralen Rechner 30 bzw. dem Arbeitgeber verwendet werden.

Im Schritt 56 ist dann ein für den Filter 32 sichtbarer Kalender angelegt.

Anhand der Fig. 4 sollen die in dem erfindungsgemäßen Verfahren erforderlichen Schritte zum Erstellen von Terminen in dem Kalender 26 durch den Arbeitnehmer 14 erläutert werden.

Im Schritt 58 legt der Arbeitnehmer 14 Termine an, zu denen der Zugriff auf seine Positionsdaten 22 und/oder seine Vitaldaten 24 möglich sein soll. Es ist dabei beispielsweise möglich, dass für die Freigabe der Positionsdaten 22 und die Freigabe der Vitaldaten 24 unterschiedliche Termine angelegt werden, wobei die einfachere Lösung ist, Positionsdaten 22 und Vitaldaten 24 gleichzeitig freizugeben. Im Schritt 60 werden Wiederholungen der Termine festgelegt, beispielsweise für die unterschiedlichen Wochentage.

Im Schritt 62 sind dann in dem Kalender 26 für den zentralen Rechner 30 bzw. das Lagerverwaltungssystem oder den Arbeitgeber sichtbare Termine angelegt.

Anhand der Darstellung der Fig. 5 sollen die Verfahrensschritte beim Zugriff auf personenbezogene Daten des Arbeitnehmers 14 durch den zentralen Rechner 30 erläutert werden.

Im Schritt 64 fragt das Lagerverwaltungssystem auf dem zentralen Rechner 30 beim Filter 32 den Zugriff auf Positionsdaten 22 an.

Im Schritt 66 meldet sich der Filter 32 an dem Kalender 26 unter dem Namen des Lagerverwaltungssystems an dem Kalender 26 an.

Im Schritt 68 ermittelt der Filter 32 alle aktuellen, beispielsweise tagesaktuellen Termine für den Arbeitnehmer 14 und den im Termin definierten Betreff. Der Betreff beinhaltet dabei, ob Positionsdaten 22 und Vitaldaten 24 freigegeben werden sollen oder ob beispielsweise lediglich Positionsdaten 22 oder Vitaldaten 24 freigegeben sein sollen.

Im Schritt 70 erlaubt der Filter 32 den Zugriff des Lagerverwaltungssystems auf die Positionsdaten 22 des Arbeitnehmers 14 oder dieser Zugriff wird verweigert.

Im Schritt 72 hat das Lagerverwaltungssystem auf dem zentralen Rechner 30 dann die aktuellen Positionsdaten 22 des Arbeitnehmers 14 erhalten. Alternativ wurde dem Lagerverwaltungssystem der Zugriff auf die Positionsdaten 22 verweigert.

Fig. 6 zeigt schematisch den Zugriff auf personenbezogene Daten gemäß einer weiteren Ausführungsform der Erfindung. Speziell wird zum erkennbaren, klaren, verlässlichen, berechenbaren und mithin rechtssicheren Abwickeln der Kommunikation zwischen den beteiligten Parteien, also dem Bediener, der die personenbezogenen Daten erzeugt, und den Abnehmern dieser personenbezogenen Daten, eine Blockchain eingesetzt. Als Blockchain wird eine erweiterbare Liste von Datensätzen bezeichnet, die mittels kryptografischer Verfahren verkettet sind. Diese Liste von Datensätzen kann nicht verändert werden, da aus jedem Datensatz oder jedem Block eine Prüfsumme, ein sogenannter Hashwert, errechnet wird, der dann Eingang in den nächsten Block der Liste oder Kette von Datensätzen findet. Ein Block oder Datensatz in der Liste von Datensätzen kann daher nicht verändert werden, ohne dass sich diese Änderung auf sämtliche nachfolgenden Datensätze oder Blöcke auswirkt.

Die Blockchain-Technologie dient im Rahmen der vorliegenden Erfindung dabei sowohl als Medium zur dezentralen Vernetzung aller Parteien als auch als rechtssichere Ablage der öffentlichen Marktplatzdaten und der individuell verschlüsselten Transaktionsdaten. Als Marktplatzdaten werden Angebote des Bedieners bezeichnet, der die von ihm erzeugten personenbezogenen Daten unter bestimmten Nutzungsbedingungen anbietet. Solche Nutzungsbedingungen können Art und Umfang der personenbezogenen Daten sein, Positionen und Zeiten, an denen bzw. zu denen die personenbezogenen Daten für den Zugriff bereitstehen, ein Preis für den Zugriff auf die personenbezogenen Daten, eine Dauer der Nutzung, also für welchen Zeitraum auf aktuelle personenbezogene Daten zugegriffen werden kann, und auch eine Nutzungsdauer oder ein Verfallsdatum, also wie lange die personenbezogenen Daten beim Abnehmer gespeichert und verwendet werden dürfen. Als individuell verschlüsselte Transaktionsdaten werden dann die personenbezogenen Daten bezeichnet, die für den jeweiligen Abnehmer verschlüsselt und dadurch auch nur für den jeweiligen Abnehmer einsehbar sind. Zu den individuell verschlüsselten Transaktionsdaten kann beispielsweise auch der Preis gehören, der für den Zugriff auf die personenbezogenen Daten bezahlt wird und beispielsweise auch ein Abschlussprotokoll, mit dem mitgeteilt wird, dass die personenbezogenen Daten beim Abnehmer wieder vollständig gelöscht wurden. Jedwede Kommunikation zwischen den Parteien wird in der Blockchain mit Zeitstempeln sequenziell dokumentiert.

Zur Erzeugung der Marktplatzdaten veröffentlicht der Bediener in der Funktion als Anbieter in seiner persönlichen Blockchain die von ihm angebotenen Datenströme, beispielsweise Vitaldaten, aktueller Aufenthaltsort und dergleichen, zusammen mit den Nutzungsbedingungen, beispielsweise Zeiten, Orte, Kontext, Preis, Push- oder Pull-Zustellung, Nutzungsdauer bzw. Verfallsdatum.

Jeder Interessent, also jeder potenzielle Abnehmer, kann sich in diese Blockchain einklinken und erhält dann eine lokale Kopie der Blockchain und kann die öffentlichen Angebote lesen.

Wenn der potenzielle Abnehmer personenbezogene Daten aus einem Datenstrom beziehen möchte, stellt er eine Anfrage, die die Identität des Anfragenden, den Nutzungskontext bzw. Zweck der Anfrage enthält, an den Anbieter. Der Anbieter kann diese Anfrage dann ablehnen oder akzeptieren. Wenn der Anbieter die Anfrage akzeptiert, wird eine Vertragskopie für den neuen Abnehmer erzeugt, die unter anderem den Nutzungszweck, die geltenden Nutzungsbedingungen und einen privaten, nur für den Abnehmer gültigen Schlüssel, beinhaltet. Der Schlüssel wird in vom Anbieter vorgegebenen Intervallen erneuert, um den Schaden eines Schlüsselverlustes zu minimieren.

Als Transaktionsdaten erhält der neue Abnehmer dann die personenbezogenen Daten. Da jede Anfrage eines potenziellen Abnehmers nach Daten auch immer den Verwendungszweck für diese Daten beinhaltet, wird vor jeder Transaktion geprüft, ob der angegebene Verwendungszweck sich noch mit dem Vertragsinhalt deckt. Wenn dies der Fall ist, erhält der Abnehmer die personenbezogenen Daten zusammen mit den gültigen Nutzungsbedingungen aus seinem Vertrag.

Somit bilden die zweckgebundene Anfrage, die bereitgestellten personenbezogenen Daten sowie die zugesicherten Nutzungsbedingungen eine in der Blockchain dokumentierte Einheit.

Sollte der Anbieter die Nutzungsbedingungen ändern oder der Anbieter den Verwendungszweck ändern, wird der Vertrag ungültig und der Abnehmer erhält keine neuen Daten mehr. Die bereits an den Abnehmer übertragenen und damit in dessen Besitz befindlichen Daten waren zum Übermittlungszeitpunkt nachweisbar nutzbar, so dass dadurch der Anbieter beispielsweise seine Vertragserfüllung nachweisen kann. Die Pflicht, diese historischen Daten auf Abnehmerseite zu löschen, ist Teil der Nutzungsbedingungen und kann als sogenanntes Verfallsdatum definiert sein.

Bei dem erfindungsgemäßen Verfahren behält der Anbieter die Kontrolle über die Nutzung seiner Daten, weil er jederzeit die Nutzungsbedingungen einseitig ändern kann, was in der Blockchain dokumentiert ist. Dies führt zu einem sofortigen Vertragsende. Der Abnehmer erhält dokumentierte Rechtssicherheit, weil die ihm durch seine zweckgebundene Anfrage übergebenen persönlichen Daten mit den zum Zeitpunkt der Herausgabe gültigen Nutzungsbedingungen, also Zweckbindung, Verfallsdatum, Preis, des Anbieters verknüpft sind. Selbst wenn also der Anbieter die Herausgabe nachträglich widerruft, waren die Daten der Vergangenheit dennoch nutzbar zum Zeitpunkt der Herausgabe und die Nutzung dieser Daten entsprach auch dem mit dem Anbieter geschlossenen Vertrag.

Im Rahmen der Erfindung teilen sich somit alle Parteien die gleiche Blockchain, die eindeutig dem Bediener, der die personenbezogenen Daten erzeugt, zugeordnet ist. Dieser Bediener ist der Eigentümer der personenbezogenen Daten. Alle beteiligten Parteien haben auch den gleichen Informationsstand, da die Blockchain als verteilte Datenbank wirkt. Alle Parteien sehen die öffentlichen Daten, beispielsweise die Angebote des Bedieners, von den verschlüsselten Daten sieht jede Partei nur die für sie verschlüsselten Daten. Die öffentlichen Daten in den Blockchain-Blöcken bestehen aus vom Bediener, also dem Eigentümer der personenbezogenen Daten, definierten Regeln oder Vertragsbedingungen zur Nutzung seiner Daten, beispielsweise dem erlaubten Nutzungskontext, zum Beispiel medizinische Zwecke, Zwecke des Arbeitgebers, Zwecke eines Werbepartners, Zwecke der Forschung, sowie den Preis für die Nutzung sowie auch sonstige relevante Geschäftsbedingungen.

Die öffentlichen Daten bewirken somit eine Marktplatzfunktion, da jeder Interessent die angebotenen Daten einsehen kann.

Die verschlüsselten Daten werden für jeden Abnehmer nutzerspezifisch verschlüsselt und bestehen aus Anfragen der potenziellen Abnehmer nach Daten, zum Beispiel der Herzfrequenz, einschließlich dem Zweck der Nutzung. Nutzerspezifisch verschlüsselt sind auch die zum Zeitpunkt der Anfrage für den anfragenden potenziellen Abnehmer gültigen Nutzungsregeln. Darüber hinaus sind die angefragten und dann übertragenen personenbezogenen Daten verschlüsselt, einschließlich eines Verfallsdatums für diese personenbezogenen Daten. Darüber hinaus sind auch sonstige Daten, beispielsweise Ergebnisse und Zahlungen, nutzerspezifisch verschlüsselt. Die verschlüsselten Daten bilden dadurch eine Transaktionsplattform, bei der jeder Nutzer, also der Anbieter und die Abnehmer, über die Blockchain eine Dokumentation der Nutzung der Daten haben.

Fig. 6 stellt die Kommunikation zwischen einem Bediener, beispielsweise dem Arbeitnehmer 14, und mehreren Nutzern N 1 , N2 und N3 schematisch dar.

Der Arbeitnehmer 14 erzeugt mittels seines Fitnessarmbands 16 personenbezogene Daten. Als Positionsdaten können dabei Koordinaten eines Indoor Positioning Systems 18 verwendet werden.

Der Arbeitnehmer 14 erzeugt dann eine Blockchain 80, die eindeutig mit ihm verbunden ist und verwendet hierzu ein vertrauenswürdiges Zertifikat, beispielsweise einen E-Personalausweis. In dieser Blockchain 80 sind Regeln für die Nutzung der personenbezogenen Daten, die Nutzungsbedingungen, enthalten, und es ist in der Blockchain 80 gekennzeichnet, dass es sich um ein Angebot handelt. Dies ist in Fig. 6 durch einen Block 82 und speziell den Abschnitt 82a des Blocks 82 der Blockchain 80 dargestellt. Bei der Erzeugung des Abschnitts 82a des Blocks 82 der Blockchain 80 benutzt der Arbeitnehmer in der bereits beschriebenen Art und Weise den Filter 32, in dem beispielsweise Art und Umfang der personenbezogenen Daten, die zur Verfügung gestellt werden, sowie Zeiten und Orte, an denen die personenbezogenen Daten zur Verfügung gestellt werden, enthalten sind. Die im Filter 32 gespeicherten Bedingungen für den Zugriff auf die personenbezogenen Daten bilden somit die Ausgangsbasis für die Erzeugung des Abschnitts 82a des Blocks 82 der Blockchain 80. Weiterhin kann der Abschnitt 82a auch einen Preis für den Zugriff auf die personenbezogenen Daten enthalten.

Mittels der Erzeugung des Abschnitts 82a des Blocks 82 der Blockchain 80 definiert der Anbieter, hier der Arbeitnehmer 14, somit Regeln für die Nutzung seiner personenbezogenen Daten und macht diese öffentlich. Dies entspricht der Aufforderung zur Abgabe eines Angebots. Der Abschnitt 82a, also das Angebot des Arbeitsnehmers, ist nicht verschlüsselt und damit öffentlich zugänglich.

Potenzielle Abnehmer, die in Fig. 6 als Nutzer N1 , N2 und N3 bezeichnet sind, können dieses Angebot, also den Abschnitt 82a des Blocks 82 der Blockchain 80, einsehen und gegebenenfalls akzeptieren. Der Nutzer N1 stellt eine Anfrage zur Nutzung von Pulsdaten des Arbeitsnehmers 14, wobei diese Anfrage auch den Verwendungszweck für die Daten beinhaltet. Am Beispiel von Fig. 6 ist der Nutzer N1 der Arbeitgeber, beispielsweise eine Software zur erweiterten Steuerung eines Lagers (EWM). Dieser Nutzungszweck, also die Verwendung in einer Software zur Steuerung eines Lagers durch den Arbeitgeber, ist in der Anfrage enthalten, die als Abschnitt 82b zu dem Abschnitt 82a im Block 82 hinzugefügt wird. Die Anfrage und somit der Abschnitt 82a sind mit einem zuvor ausgetauschten privaten Schlüssel verschlüsselt und nur für den Arbeitnehmer 14 und den Nutzer N1 lesbar.

Der Arbeitnehmer 14 kann das Angebot des Nutzers N1 annehmen oder ablehnen.

Im Falle einer Annahme des Angebots wird ein Abschnitt 82c im Block 82 erzeugt, der die Regeln oder Nutzungsbedingungen für den Nutzer N1 enthält. Der Abschnitt 82c stellt eine Kopie des Vertrags zwischen Arbeitnehmer 14 und Nutzer N1 dar und enthält unter anderem den Nutzungszweck, die geltenden Nutzungsbedingungen und einen privaten, nur für den Nutzer N1 gültigen Schlüssel. Auch der Abschnitt 82c ist verschlüsselt und nur für den Arbeitnehmer 14 und den Nutzer N1 lesbar. Schließlich wird ein vierter Abschnitt 82d in dem Block 82 der Blockchain 80 erzeugt, der die angefragten Daten enthält, beim Block 82 sind dies die Pulsdaten des Arbeitsnehmers 14, verschlüsselt mit dem für den Nutzer N 1 bereitgestellten privaten Schlüssel. Auch der Abschnitt 82d ist somit für den Arbeitnehmer 14 und den Nutzer N1 lesbar.

Weitere Abschnitte können im Block 82 erzeugt werden, die dann beispielsweise eine Zahlung durch den Nutzer N1 oder ein sonstiges Ergebnis enthalten.

Nach Abschluss der Übertragung der Pulsdaten aus dem Abschnitt 82d ist die Transaktion abgeschlossen und aus den Abschnitten 82a, 82b, 82c und 82d wird eine Prüfsumme Hash #1 errechnet, die dann als Abschnitt 84a Eingang in den nächsten Block 84 der Blockchain 80 findet.

Der Block 84 enthält weiter eine Anfrage des Nutzers N2, beispielsweise einer Krankenkasse, nach Ortsdaten des Arbeitnehmers 14, siehe den Abschnit 84b, die Regeln oder Nutzungsbedingungen für den Nutzer N2 im Abschnitt 84c, also eine Vertragskopie, sowie die bereitgestellten Ortsdaten im Abschnitt 84d. Lediglich die Prüfsumme in Abschnitt 84a des Blocks 84 ist nicht verschlüsselt, die Abschnitte 84b, 84c und 84d sind hingegen mit einem privaten Schlüssel verschlüsselt und nur für den Arbeitnehmer 14 und den Nutzer N2 lesbar.

Nach Abschluss der Übertragung der Ortsdaten an den Nutzer N2 ist die Transaktion abgeschlossen und aus den Abschnitten 84a, 84b, 84c und 84d wird eine Prüfsumme Hash #2 berechnet, die dann wiederum in den nächsten Block der Blockchain 80 eingeht. Mittels der Prüfsummen sind alle Blocks 84, 84 der Blockchain 80 fälschungssicher verkettet und dokumentiert.

Beide Parteien, also der Arbeitnehmer 14 sowie die Nutzer N1 , N2 und N3, können die Bedingungen jederzeit ändern und widerrufen. In diesem Fall wird der Vertrag zwischen einem jeweiligen Nutzer N1 , N2, N3 und den Arbeitnehmer 14 ungültig und der Nutzer N1 , N2, N3 erhält keine neuen Daten mehr. Der Arbeitnehmer 14 hat dadurch jederzeit die Kontrolle über seine Daten und deren Verwendung.