Die vorliegende Erfindung betrifft ein Verfahren zum Verifizieren von Dokumenten, die einer Person eindeutig zugeordnet sind, sowie eine entsprechende Verifikationseinrichtung und ein Verifikationssystem mit einer solchen Verifikationseinrichtung.

Es ist bekannt, im Rahmen einer Verifikation von individualisierten und einer bestimmten Person eindeutig zugeordneten Dokumenten, wie zum Beispiel elektronischen, kartenförmigen oder papierenen Ausweis-, Zugangs-, Berechtigungs- oder Sicherheitsdokumenten, deren Echtheit anhand von möglichst schwer zu fälschenden Echtheitsmerkmalen zu prüfen, die von dem Dokument gar nicht oder nur durch Beschädigung des Dokuments getrennt werden können.

Die Verifikation eines Dokuments aufgrund einer Überprüfung von vorge- gebenen Echtheitsmerkmalen ist unter Umständen jedoch nicht ausreichend, um möglichst beliebige Arten von Fälschungen zuverlässig zu erkennen.

Demzufolge ist es die Aufgabe der vorliegenden Erfindung, eine verbesserte Verifikation von derartigen Dokumenten vorzuschlagen.

Diese Aufgabe wird durch ein Verfahren, eine Einrichtung und ein System mit den Merkmalen der unabhängigen Patentansprüche gelöst. In den davon abhängigen Ansprüchen sind vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung angegeben. Bei einem Verfahren zum Verifizieren eines einer Person eindeutig zugeordneten Dokuments der oben genannten Art - nachfolgend der Einfachheit halber als„Personaldokument" bezeichnet - wird zunächst eine eindeutige Kennzeichnung des Personaldokuments von diesem abgelesen oder aus diesem ausgelesen, abhängig davon, ob es sich um ein bedrucktes oder ein mit einer integrierten Schaltung ausgestattetes Personaldokument handelt. Der Einfachheit halber ist mit dem Begriff des Auslesens von Daten sowohl das Auslesen aus einer integrierten Schaltung als auch das Ablesen von der Oberfläche des Dokuments zu verstehen. Basierend auf der aus- oder abgelesenen Kennzeichnung werden in einem Datenbanknetzwerk Referenzdaten zur Durchführung einer Echtheitsprüfung ermittelt, die dem zu prüfenden Personaldokument zugeordnet sind, und mit Vergleichdaten verglichen, die aus dem Dokument selbst abgeleitetet werden. Sofern die Vergleichs- und Referenzdaten im Sinne einer vorgegebenen Metrik übereinstimmen, gilt das Personaldokument als echt im Sinne dieser Echtheitsprüfung.

Erfindungsgemäß wird die Echtheitsprüfung ergänzt durch eine Plausibili- tätsprüfung des Personaldokuments basierend auf Plausibilitätsdaten, die mit dem zu verifizierenden Personaldokument oder der Person, der das Personaldokument eindeutig zugeordnet ist, im Zusammenhang stehen und ebenfalls in dem Datenbanknetzwerk ermittelt werden.

Während bei der Echtheitsprüfung vorgegebene Echtheitskriterien und Echtheitsbedingungen in der Regel numerisch-quantitativ geprüft werden, wird mit der Plausibilitätsprüfung geprüft, ob eine inhaltliche Konsistenz besteht zwischen einerseits den Plausibilitätsdaten und andererseits dem Personaldokument, darauf verzeichneten oder darin abgelegten Personaldaten oder Sachdaten sowie der Person selbst. Die Personaldaten oder Sachda- ten (nachfolgend vereinfachend als Personal-/ Sachdaten bezeichnet), betreffen hierbei personenbezogene Daten hinsichtlich der Person oder sachbezogene Daten hinsichtlich eines Gegenstands, der der Person durch ein Eigentums- oder Besitzverhältnis zugeordnet ist, z.B. ein Fahrzeug oder derglei- chen. Die Plausibilitätsdaten wiederum betreffen Personal-/ Sachdaten der Person oder eines der Person zugeordneten Gegenstands in anderen Zusammenhängen, z.B. in Form von in dem Datenbanknetzwerk hinterlegten weiteren Personaldokumenten oder dergleichen. Die Echtheitsprüfung wird durch die zusätzliche logisch-qualitative Plausibi- litätsprüfung sicherer und zuverlässiger und insofern wesentlich verbessert. Ein weiterer Vorteil ist, dass bei der Plausibilitätsprüfung, anders als bei der Echtheitsprüfung, auch dynamische Personal-/ Sachdaten berücksichtigt werden können, also solche Daten, die sich im Laufe der Zeit ändern können.

Bei dem Personaldokument kann es sich prinzipiell um jedes beliebige Dokument handeln, das mit einer Person in Zusammenhang steht, z.B. auch ein elektronisches Dokument wie eine Chipkarte, bei der personenbezogene oder sachbezogene Daten in einem Speicher einer eingebetteten integrierten Schaltung vorliegen, oder ein papierenes oder aus Kunststoff bestehendes Dokument, auf das Personen-/ Sachdaten aufgedruckt oder aufgeprägt sind. Solche Personaldokumente können insbesondere offizielle oder von einer Behörde oder einer Organisation ausgestellte Dokumente sein, die personen- oder sachbezogene Daten der betreffenden Person zur maschinellen oder visuellen Prüfung wiedergeben, wie z.B. Ausweis-, Reise-, Zugangs- oder

Berechtigungsdokumente, Zeugnisse, Rechnungen, Antragsunterlagen, Steuerunterlagen, Wert- oder Personaldokumente mit Sachbezug, wie z.B. Fahrzeugscheine, insbesondere elektronische Fahrzeugscheine („electronic Vehic- le Registration Card"; eVRC), oder sonstige Dokumente, die Eigentums- oder Besitzverhältnisse dokumentieren.

Das Verifikationsverfahren wird mit einem erfindungsgemäßen Verif ikati- onssystem umgesetzt, welches zumindest eine Verifikationseinrichtung und ein Datenbanknetzwerk mit zumindest einer, vorzugsweise aber mehreren Datenbanken umf asst. Diese Datenbanken können von verschiedenen Behörden, Organisationen oder Unternehmen betrieben werden, die personen- oder sachbezogene Unterlagen und Dokumente verwalten, welche potentiel- le Quellen für Plausibilitätsdaten sind. Die Echtheitsprüfung und Plausibili- tätsprüfung kann automatisch durchgeführt werden oder teilweise oder gänzlich manuell von einer Bedienperson der Verifikationseinrichtung.

Das Datenbanknetzwerk umf asst vorzugsweise einen Verifikationsserver, den die Verifikationseinrichtung mit Anfragen nach Referenzdaten, Plausibilitätsdaten oder weiteren Personen-/ Sachdaten anspricht, beispielsweise über eine Datenkommunikationsverbindung über das Internet. Der Verifikationsserver führt die Anfrage aus, indem die angefragten Daten in den verfügbaren Datenbanken ermittelt und der Verifikationseinrichtung zur Verfü- gung gestellt werden.

Die Verifikationseinrichtung umfasst geeignete Ausleseeinrichtungen, um die Kennzeichnung und/ oder die Vergleichsdaten aus dem Dokument auszulesen oder von diesem abzulesen, beispielsweise eine Kamera- oder Ab- tastanordnung oder elektronische Auslesemittel über kontaktlose oder kontaktbehaftete Datenkommunikationsschnittstellen. Die Kennzeichnung kann ein auf dem Personaldokument aufgebrachter eindeutiger Code sein, z.B. die als Barcode kodierte Seriennummer, oder ein in einem integrierten Schaltkreis gespeicherter eindeutiger Code. Die Referenzdaten werden in dem Datenbanknetzwerk anhand der eindeutigen Kennzeichnung des Personaldokuments ermittelt, z.B. auf einer Datenbank des Herstellers oder Herausgebers des Personaldokuments, in der die Referenzdaten über die zugehörige Kennzeichnung identifiziert werden können. Die Plausibilitätsdaten können demgegenüber anhand der Kennzeichnung oder anhand der bereits ermittelten Referenzdaten in dem Datenbanknetzwerk ermittelt werden. Die Vergleichs- und Referenzdaten können aus beliebigen Echtheitsmerkmalen ableitbar sein, beispielsweise aus den aus dem Banknoten- oder Wertpapierbereich bekannten optisch variablen Elementen, Hologrammen, Prägestrukturen, Farbaufdrucken oder Druckmustern, Wasserzeichen oder dergleichen. Vorzugsweise bilden die Referenzdaten ein digitales Bild des origi- nalen, ungefälschten Personaldokuments, während die Vergleichsdaten ein aktuelles Digitalbild des umlaufenden Personaldokuments sind, das von der Verifikationseinrichtung eigens zur Echtheitsprüfung angefertigt wurde.

Die Plausibilitätsdaten können beliebige weitere nicht aus dem Personaldo- kument hervorgehende und in dem Datenbanknetzwerk ermittelbare Personen-/ Sachdaten betreffen. Bei einer entsprechenden Anfrage der Verifikationseinrichtung werden vorzugsweise die aktuellsten erhältlichen Plausibilitätsdaten ermittelt, z.B. das aktuellste Digitalbild der Person oder möglichst aktuelle weitere Dokumente zu der Person mit weiteren Personen-/ Sachda- ten. Auf diese Weise wird die Plausibilitätsprüfung immer auf den aktuellsten verfügbaren Personen-/ Sachdaten vorgenommen.

Bei der anschließenden Plausibilitätsprüfung durch die Verifikationseinrichtung oder den Verifikationsserver wird festgestellt, ob logisch-qualitative Übereinstimmungen oder inhaltliche Konsistenzen zwischen den dem Personaldokument zu entnehmenden Personen-/ Sachdaten und den ermittelten Plausibilitätsdaten bestehen. Beispielsweise kann geprüft werden, ob die Plausibilitätsdaten dem Personaldokument oder der Person logisch zuge- ordnet werden können, z.B. indem ein ermitteltes aktuelles Bild der Person mit dem aktuellen Aussehen der Person verglichen wird. Ebenso ist die Prüfung beliebiger anderer logischer Zuordnungen denkbar, z.B. die Prüfung, ob ein sich aus den ermittelten Personen-/ Sachdaten ergebendes Alter mit dem aktuellen Aussehen der Person korreliert oder ob der Ort einer Fahr- zeugzulassung mit dem Wohnort der Person übereinstimmt. Sofern derartige Prüfungen negativ verlaufen, sind zumindest Zweifel an einer etwaigen positiv verlaufenden Echtheitsprüfung angebracht.

Ebenso kann geprüft werden, ob die ermittelten Plausibilitätsdaten und die auf dem Dokument angegebenen Personen- / Sachdaten inhaltlich konsistent sind, sich also nicht widersprechen, z.B. wenn auf dem Dokument angegebene Personen-/Sachdaten nicht mit den im Datenbanknetzwerk ermittelten Personen-/ Sachdaten übereinstimmen. Darüber hinaus kann im Rahmen der Plausibilitätsprüfung auch geprüft werden, ob sich die Plausibilitätsdaten aus den Personen-/ Sachdaten ableiten lassen, die auf dem Personaldokument angegeben sind, oder ob sich die auf dem Dokument angegebenen Personen-/ Sachdaten zumindest teilweise aus den Plausibilitätsdaten ableiten lassen. Dies wäre beispielsweise der Fall, wenn sich aus den auf dem Personaldokument angegebenen Personen-/ Sachdaten ein Familienstand oder ein vergleichbar privates Merkmal ableiten lässt, das sich auch aus einem amtlichen Dokument ergibt, aus dem Plausibilitätsdaten entnommen wurden.

Die Plausibilitätsprüfung ergänzt die Echtheitsprüfung durch einen zweiten Informationskanal und eine anders gelagerte Prüfung. Während der Echt- heitsprüfung zumeist eine rein mathematische bzw. numerisch-quantitative Vergleichsoperation zugrunde Hegt, werden bei der Plausibilitätsprüf ung logische Ableitungen nach eher qualitativen Maßstäben vorgenommen. Demzufolge können bei der Plausibilitätsprüfung auch statistische Metho- den, z.B. eine Regressionsanlayse, oder Ableitungs- und Inf ormationsgewin- nungsmethoden aus dem Bereich des„Data Mining" und„Information Ret- rievaT eingesetzt werden, wie z.B. Klassifikation und Cluster- Analyse oder dergleichen. Die im Rahmen der Ermittlung der Plausibilitätsdaten gewonnen weiteren Personen-/ Sachdaten können z.B. auch einer Bedienperson der Verifikationseinrichtung oder einem behördlichen Mitarbeiter für eine weitergehende Verifikation des Personaldokuments und/ oder der Person zur Verfügung gestellt werden, z.B. zur Prüfung des rechtmäßigen Eigentümers bei einem Kauf eines Kraftfahrzeuges.

Aus Datenschutz- oder sonstigen Gründen können vertrauliche oder persönliche Personen-/ Sachdaten besonders geschützt werden, indem diese gesondert freigegeben werden müssen. Hierbei kann vor der Weitergabe der ver- traulichen Personal-/Sachdaten an die Verifikationseinrichtung eine gesonderte Freigabe durch die betreffende Person notwendig sein und/ oder die Vorlage eines Berechtigungsnachweises der Verifikationseinrichtung gegenüber dem Datenbanknetzwerk bzw. dem Verifikationsserver. Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung von erfindungsgemäßen Ausführungsbeispielen sowie weiteren Ausführungsalternativen im Zusammenhang mit den Zeichnungen, die zeigen: Figur 1 eine bevorzugte Ausführungsform einer erfindungsgemäßen Verifikationsanordnung zur Verifikation eines Personaldokuments;

Figur 2 ein elektronisches Personaldokument; und

Figur 3 ein Verfahrensablauf gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verifikations Verfahrens.

Gemäß einer Ausführungsform der Erfindung ist ein mit einem Verif ikati- onssy stem 20, 30, 32 nach Fig. 1 gemäß einem Verifikations verfahren nach Fig. 3 zu verifizierendes Dokument ein lesbares, papierenes oder kartenför- miges Personaldokument 10, welches einen Barcode 11 als Kennung zur eindeutigen Identifizierung des Personaldokuments 10 trägt, und das mit Echtheitsmerkmalen versehen ist, aus denen Vergleichsdaten 12 (CMP) für eine Echtheitsprüfung abgeleitet werden können. Ferner sind auf dem Personaldokument 10 Personen-/ Sachdaten 13, 14 angegeben, die entweder die Person betreffen, der das Personaldokument 10 zugeordnet ist, oder Informationen und Angaben zu Gegenständen und Sachen bieten, die im Besitz oder Eigentum dieser Person stehen und die das Personaldokument 10 betrifft, z.B. zu einem Kraftfahrzeug der Person. Zum Beispiel kann ein Pass- oder Portraitbild 13 der Person und weitere personen- oder sachenbezogene Daten 14 auf dem Personaldokument 10 angegeben sein, die Name, Anschrift oder Geburtsdatum der Person oder einen Typ, technische Daten oder eine Zulassung eines Kraftfahrzeugs oder dergleichen betreffen.

Daneben ist das Verifikationssystem 20, 30, 32 gemäß einer weiteren Ausführungsform eingerichtet und ausgestattet, elektronische Personaldokumente 10 zu prüfen. Fig. 2 zeigt ein chipkartenförmiges Personaldokument 10, auf welches ebenfalls ein Barcode 11 als eindeutige Kennzeichnung aufgedruckt ist. Auch sind Personen-/ Sachdaten auf dem Kartenkörper des Personaldokuments 10 angegeben, nämlich ein Pass- oder Portraitbild 13 sowie perso- nen- oder sachbezogene Angaben 14. Die gleichen Personen-/ Sachdaten 13, 14 sind - in digitaler Form - aber auch in einem nicht-flüchtigen Speicher ei- nes integrierten Schaltkreises 17 abgespeichert, der in das elektronische Personaldokument 10 eingebettet ist und über Kontaktflächen 16 für die Verifikationseinrichtung 20 zugänglich ist. In dem Speicher sind weiterhin Vergleichsdaten 12 zur Echtheitsprüfung und weitere Personen-/ Sachdaten 15 abgelegt, die nicht sichtbar auf dem Personaldokument 10 aufgebracht sind.

Bei einer bevorzugten Ausführungsform der vorliegenden Erfindung betrifft das Personaldokument 10 einen elektronischen Fahrzeugschein („electronic Vehicle Registration Card"; eVRC) gemäß ISO 7816, der über ein Kontaktfeld 16 eine kontaktbehaftete Datenkommunikation mit der Verifikationseinrich- tung 20 erlaubt und eine Vielzahl von Personen-/ Sachdaten 13, 14, 15 zu dem Fahrzeughalter und dem Fahrzeug umfasst.

Die Vergleichsdaten 12, die bei der Echtheitsprüfung mit in einer Datenbank 32 hinterlegten Referenzdaten 37 (REF) verglichen werden, können beliebige aus dem Wertpapier- und Wertdokumentbereich stammende Echtheitsmerkmale betreffen, beispielsweise Mikroschrift, komplexe graphische Muster und Guillochen, optisch variable Aufdrucke und Elemente, Laserbilder, Hologramme, Laser- oder Tiefdruckgravuren, temperaturabhängige Farbstoffe, komplexe spektrale Verteilungen von Druckfarben oder Druckfarben- bestandteilen oder dergleichen. Bevorzugt betreffen die Vergleichs- und Referenzdaten 12, 37 jedoch ein aktuell aufgenommenes und ein bei Herstellung des Personaldokuments 10 hinter legtes, ausreichend hoch aufgelöstes digitales Bild des gesamten Personaldokuments 10. Die Verifikationseinrichtung 20 prüft das Personaldokument 10 auf Echtheit und Plausibilität (vgl. Schritte S6 und S7 in Fig. 3). Sie kann hierbei ein beliebiges, entsprechend softwaremäßig eingerichtetes und hardwaremäßig ausgestattetes computergestütztes Gerät sein, z.B. auch ein portabler Verifikationscomputer, ein modernes Smartphone mit einer Verifikations- Applikation oder dergleichen. Vorzugsweise umf asst die Verifikationseinrichtung 20 eine Ausleseeinrichtung 21, die graphische oder textuelle Angaben auf dem Personaldokument 10 ablesen oder elektronische Daten aus einem integrierten Schaltkreis 17 des Personaldokuments 10 auslesen kann, um diese einer Steuereinrichtung 22 zur Verfügung zu stellen.

Die Ausleseeinrichtung 21 ist hierbei insbesondere eine optische Sensor- oder Abtasteinrichtung, z.B. eine digitale Kamera, mit der Personen-/ Sachdaten 13, 14, eine eindeutige Kennzeichnung in Form eines Barcodes 11 oder Vergleichsdaten 12 (CMP) von dem Personaldokument 10 abgelesen werden können. Alternativ kann auch ein elektronisches Personaldokument 10 geprüft werden (vgl. Fig. 2), wofür die Verifikationseinrichtung 20 als Ausleseeinrichtung 21 eine geeignete Leseeinrichtungen zum Auslesen der betreffenden Daten 11, 12, 13, 14, 15 aus dem integrierten Schaltkreis 17 umfasst, beispielsweise kontaktbehaftete oder kontaktlose Zugriffsmechanismen gemäß den einschlägigen Kommunikationsprotokollen.

Daneben umfasst die Verifikationseinrichtung 20 auch eine Anzeigeneinrichtung 23, z.B. ein LCD-Display oder das Display eines portablen Computers oder Smartphones, auf dem z.B. Plausibilitätsdaten 33, 34 oder Sach-/Perso- nendaten 35, 36 angezeigt werden können.

Die Verifikationseinrichtung 20 ist über eine geeignete Datenkommunikationsinfrastruktur, beispielsweise das Internet 40, mit einem Verifikationsser- ver 30 verbunden, der mit einer Steuereinrichtung 31 ausgestattet ist und seinerseits wiederum mit verschiedenen in der Regel unabhängigen Datenbanken 32 verbunden ist. Die Datenbanken 32 können zum Beispiel von verschiedenen Organisationen, Behörden oder Unternehmen betrieben werden und auch zu beliebigen Zwecken die Person oder das Personaldokument 10 betreffende Personen-/ Sachdaten 33, 34, 35, 36 verwalten, die die auf dem Personaldokument 10 angegebenen Personen-/Sachdaten 12, 13, 14, 15 ergänzen oder über diese hinausgehen. Die Datenbanken 32 können beispielsweise von verschiedenen Kf z-Registrierungsbehörden betrieben werden, oder von Informationsdienstleistern, wie zum Beispiel Auskunftdateien für wirtschaftliche oder personenbezogene Daten.

In den Datenbanken 32 sind neben den angesprochenen Referenzdaten 37 auch Personen-/ Sachdaten 33, 34, 35, 36 zu der Person auf verschiedenen Datenbanken 32 verteilt hinterlegt. Diese Personen-/ Sachdaten 33, 34, 35, 36 können als Plausibilitätsdaten 33, 34 zur Plausibilitätsprüfung ausgewählt werden oder als zusätzliche Personen-/ Sachdaten 35, 36 zur Verfügung stehen, welche über die dem Dokument 10 zu entnehmenden Personen- / Sachdaten 13, 14, 15 hinausgehen und diese ergänzen. Letztere werden zwar nicht für die Plausibilitätsprüfung herangezogen, können aber einer Bedienperson der Verifikationseinrichtung 20, z.B. im Rahmen einer Kfz- Kontrolle, weitere Informationen liefern, z.B. über einen Fahrzeughalter und dessen Fahrzeug. Die in dem Datenbanknetzwerk 30, 32 vorliegenden Personen-/ Sachdaten 33, 34, 35, 36 können beispielsweise digitale Bilder 33 der Person oder von Gegenständen oder Orten betreffen, die zu anderen Zwecken von Behörden oder Organisationen im Zusammenhang mit der Person erf asst und in einer Datenbank 32 hinterlegt wurden. Die Personen-/ Sachdaten 33, 34, 35, 36 können auch beliebige weitere amtliche oder sonstige Dokumente, Texte oder Informationen betreffen, die zur Plausibilitätsprüfung des Personaldokuments 10 geeignet sind, z.B. auch Beglaubigungen oder Übersetzungen von Personaldokumenten in andere Sprachen.

Figur 3 skizziert den Ablauf einer Verifikation des Personaldokuments 10 durch die Verifikationseinrichtung 20 bzw. das Verifikationssystem 20, 30, 32 gemäß Fig. 1. Die Schritte Sl bis S10 können hierbei, soweit inhaltlich möglich und sinnvoll, auch in anderer Reihenfolge ausgeführt werden.

In einem ersten Schritt Sl wird, wenn eine Person ein zu verifizierendes Personaldokument 10 vorlegt, beispielsweise einen elektronischen Fahrzeugschein oder dergleichen, zunächst der eindeutig kennzeichnende Barcode 11 mittels eines Barcode-Lesers der 20 ausgelesen (READ CODE) und an die Steuereinrichtung 22 weiterleitet. Der Barcode- Leser kann eine herkömmliche oder Infrarot-Kamera 21 sein, ergänzt durch eine Barcode- Auswertesoftware in der Steuereinrichtung 22.

In Schritt S2, der auch in den Schritt Sl integriert sein kann, liest die Verifika- tionseinrichtung 20 mit der Kamera 21 die Vergleichsdaten 12 aus (READ CMP). Bei den Vergleichsdaten 12 handelt es zum Beispiel um ein digitales Bild des Personaldokuments 10 bzw. seiner Oberfläche. Alternativ können die eigentlichen Vergleichsdaten 12 auch von der Steuereinrichtung 22 aus einem Bild des gesamten Personaldokuments 10 extrahiert werden, wenn die Vergleichdaten 12 nur einen Ausschnitt des Personaldokuments 10 oder ein darauf befindliches Echtheitsmerkmal betreffen.

In einem Schritt S3 sendet die Steuereinrichtung 22 eine Anfrage nach den Referenzdaten 37 an den Verifikationsserver 30 und übergibt hierzu den Bar- code 11 als Suchkriterium (GET REF). Der Verifikationsserver 30 bzw. dessen Steuereinrichtung 31 führt dann ausgehend von dem Barcode 11 eine Recherche in den angeschlossenen Datenbanken 32 durch und ermittelt auf diese Weise die mit dem Barcode 11 verbundenen Referenzdaten 37 in einer Da- tenbank 32, die beispielsweise von dem Hersteller des Personaldokuments 10 für deren Echtheitsprüfung vorgesehen ist. Der Verifikationsserver 30 liefert die ermittelten Referenzdaten 37 schließlich an die Verifikationseinrichtung 20, deren Steuereinrichtung schließlich in Schritt S6 die Echtheitsprüfung des Personaldokuments 10 durchführt (CHECK AUTHENTICITY), z.B. durch Vergleichen der Vergleichsdaten 12 mit den Referenzdaten 37 (CMP=REF?). Sofern der Vergleich nach einer vorgegebenen Metrik die Übereinstimmung der Vergleichsdaten 12 mit den Referenzdaten 37 ergibt, wird das Personaldokument 10 vorbehaltlich der Plausibilitätsprüfung als echt eingestuft. Parallel zu oder nach den Schritten S3 und S6 wird in Schritt S4 eine Anfrage nach Plausibilitätsdaten 33, 34 (PI, P2) an den Verifikationsserver 30 gerichtet (GET P-DATA). Die Verifikationseinrichtung 20 übergibt der Servereinrichtung 30 wieder ein geeignetes Suchkriterium, beispielsweise den Barcode 11 oder die zuvor ermittelten Referenzdaten 37. Als Suchkriterium können ergänzend auch auf/ in dem Personaldokument 10 vorhandene und zuvor geeignet ausgelesene Personen-/ Sachdaten 13, 14, 15 an den Verifikationsserver 30 übergeben werden.

Welche von den in den angeschlossenen Datenbanken 32 ermittelten Perso- nen-/ Sachdaten 33, 34, 35, 36 schließlich als Plausibilitätsdaten 33, 34 an die Verifikationseinrichtung 20 weitergeleitet werden, entscheidet der Verifikationsserver 30. Hierbei wird auch berücksichtigt, dass ermittelte Personen- / Sachdaten 33, 34, 35, 36 vertraulicher oder persönlicher Natur sein können und nicht ohne Weiteres an die Verifikationseinrichtung 20 weitergeleitet werden dürfen. Dazu wird in Schritt S5 geprüft, ob überhaupt eine Autorisierung vorliegt, die Plausibilitätsdaten 33, 34 herauszugeben (P-D ATA AUTHORISED?).

Diese Autorisierung besteht gemäß dem vorliegenden Ausführungsbeispiel darin, dass die Verifikationseinrichtung 20 gegenüber dem Verifikationsserver 30 mittels eines Berechtigungssignals ihre Berechtigung nachweist, vertrauliche Plausibilitätsdaten 33, 34 empfangen und nutzen zu dürfen. Die Verifikationseinrichtung 20 kann eine solche Berechtigung beispielsweise besitzen, weil sie aufgrund baulicher oder organisatorischer Umstände einer bestimmten Sicherheitsklasse angehört oder von einer Behörde eingesetzt wird, die ohnehin Zugang zu den betreffenden Daten hat. Ebenso kann der Verifikationsserver 30 die Plausibilitätsdaten 33, 34 erst auf explizite Freigabe durch die Person an die Verifikationseinrichtung 20 weiterleiten. Ein entsprechendes Freigabesignal kann über die Verifikationseinrichtung 20 bei der Person abgefragt werden, z.B. durch Anzeigen einer Freigabeaufforderung auf dem Display 23 und manuelle Bestätigung durch die Person. Die Freigabe kann aber auch über einen direkten Kontakt des Verifikationsservers 30 mit der Person erfolgen, beispielsweise telefonisch oder mittels elektronischer Datenkommunikation.

In Schritt S7 erfolgt schließlich die Plausibilitätsprüfung, teilweise durch Anzeigen der Plausibilitätsdaten 33 auf dem Display 23 der Verifikationseinrichtung 20 und teilweise durch eine automatisierte logische Ableitung in der Steuereinrichtung 22 (CHECK PLAUSIBILITY). Die Plausibilitätsdaten 33 betreffen ein digitales Bild (PI) der Person, so wie es in einer Datenbank 32 vorliegt, welche Ausweisdokumente verwaltet. Sof ern bestimmte Plausibilitätsdaten 33 mehrfach auf einer oder verschiedenen Datenbanken 32 vorliegen, wie zum Beispiel ein Passbild 33 der Person, werden die jeweils aktuellsten Plausibilitätsdaten 33 ausgewählt. Im Rahmen der Plausibilitätsprüfung wird das aktuelle digitale Bild 33 der Person auf dem Display 23 angezeigt, wo eine Bedienperson der Verifikationseinrichtung 20 dieses mit dem tatsächlichen Aussehen der Person vergleichen kann.

Die Plausibilitätsprüfung kann durch die Steuereinrichtung 22 ganz oder teilweise automatisch durchgeführt werden. Hierbei wird ermittelt, ob Plausibilitätsdaten 34 in Form von textuellen und automatisch auswertbaren Personen-/ Sachdaten dem Personaldokument 10 oder der betreffenden Person logisch zugeordnet werden können. Hierzu wird geprüft, ob durch logische Deduktion eine Verknüpfung zwischen den Plausibilitätsdaten 34 und den dem Personaldokument 10 zu entnehmenden Personen-/ Sachdaten 13, 14, 15 (Dl, D2, D3), gegebenenfalls ergänzt durch zusätzliche Personen-/ Sachdaten 35, 36 (D4, D5) aus dem Datenbanknetzwerk 32, hergestellt werden kann (P2<->-Dl-D5). Zu diesem Zweck wird geprüft, ob aus den Plausibilitätsdaten 34 Personen-/ Sachdaten 14, 15 (D2, D3) ableitbar sind oder ob die Plausibilitätsdaten 34 umgekehrt aus den Personen-/ Sachdaten 14, 15 (D2, D3) abgeleitet werden können. Beispielsweise könnte sich ein Geburtsdatum oder eine Anschrift der Person oder bestimmte Fahrzeugdaten, welche als Sach- / Personendaten 13, 14, 15 in einer integrierten Schaltung 17 des Personaldokuments 10 vorliegen, aus den Plausibilitätsdaten 34 ergeben. Ebenso könnte geprüft werden, ob der ausgeübte Beruf der Person mit deren als Plausibilitätsdaten 34 ermittelten schulischen oder beruflichen Qualifikation korreliert, oder ob der Wohnort der Person mit einem als Plausibilitätsdaten 34 ermittelten Ort der Zulassung eines Fahrzeugs übereinstimmt. Zar kann die Echtheitsprüfung in Schritt S6 erfolgreich verlaufen; die Plausi- bilitätsprüfung in Schritt S7 kann aber aufgrund einer festgestellten Datenin- konsistenz oder inhaltlicher Widersprüche Zweifel an dem Personaldokument 10 oder der Person ergeben. Sofern Echtheits- und Plausibilitätsprü- fung erfolgreich verlaufen sind, gilt das Personaldokument 10 als verifiziert.

Die weiteren Personen-/ Sachdaten 35, 36 (D4, D5), welche über die dem Personaldokument 10 zu entnehmenden Personen-/Sachdaten 13, 14, 15 14 (Dl, D2, D3) hinausgehen, werden in Schritt S8 bei dem Verifikationsserver 30 angefordert (GET D-DATA) und ergänzend zur Plausibilitätsprüfung durch die Bedienperson der Verifikationseinrichtung 20 in Schritt S10 auf dem Display 23 angezeigt (DISPLAY D-DATA).

Ahnlich wie bei der Anforderung der Plausibilitätsdaten 33, 34 in den Schrit- ten S4, S5 wird jedoch vor dem Anzeigen der Sach-/ Personendaten 35, 36 in Schritt S9 geprüft, ob diese autorisiert ist (D-DATA AUTHORISED ?), beispielsweise durch Prüfung einer Berechtigung der Verifikationseinrichtung 20 oder eine Freigabe durch die Person. Die weiteren Personen-/ Sachdaten 35, 36 (D4, D5) können der Bedienperson (oder der Person selbst) auch einfach als Zusatzinformation zur Verfügung stehen, um z.B. bei einem Autokauf oder einer Führerscheinkontrolle die Inhaberschaft des betreffenden Fahrzeugs zu ermitteln. Auch können der Person basierend auf den Daten 35, 36 Mehrwertdienste angeboten werden, zum Beispiel Informationen über technische Eigenschaften eines Fahrzeugs von einem Fahrzeughersteller oder dergleichen. Ebenso können die weiteren Personen-/ Sachdaten 35, 36 automatisch in ein Antragsformular eingefügt werden, welches die Person durch Vorlage des Personaldokuments 10 erhält bzw. bei einer Behörde einreichen will.