Die Erfindung betrifft ein Verfahren zur Überprüfung einer Berechtigung einer Person.

Zur Vorbeugung der Ausbreitung sowie zur Eindämmung von Pandemien ist ein Bedarf entstanden, die Berechtigung einer Person z.B. hinsichtlich des Ein- bzw. Zutritts zu bestimmten Veranstaltungen und/ oder Örtlichkeiten an Kriterien zu knüpfen. Insbesondere im Zusammenhang mit der Covid-19 Pandemie wurden beispielsweise Eintrittsberechtigungskriterien geschaffen, die die Vorlage eines negativen Infektionstests oder das Vorliegen einer Immunisierung in Folge einer Genesung von einer Infektion oder zumindest einer Impfung verlangen. Auch andere Anwendungen stellen auf das Vorliegen einer Berechtigung ab, wie z.B. die Abholung eines physischen Pakets von einer Sammelstelle, die Durchführung oder Entgegennahme von Zahlungen, etc.

Es besteht daher ein Bedarf für eine automatisierbares sicheres Verfahren, um das Vorliegen von Berechtigungen nachweisen sowie überprüfen zu können.

Hierzu wurde ein Verfahren geschaffen, das erfindungsgemäß die folgenden Schritte umfasst: a) Bereitstellen echtheitsgeprüfter Identitätsdaten einer Person und Erstellen eines signierten ersten Flächencodes, wobei der erste Flächencode erste personenspezifische Daten enthält, die aus den Identitätsdaten abgeleitet werden, wobei die ersten personenspezifischen Daten biometrische Information zu der Person enthalten, b) Hinterlegen eines einer Person zugeordneten Berechtigungsnachweisdokuments in einer Datenbank und/oder einer Softwareapplikation und Erzeugen eines zugehörigen zweiten Flächencodes, wobei der zweite Flächencode Information zu der Berechtigung einer Person sowie zweite personenspezifische Daten dieser Person enthält, c) Abrufen des ersten und des zweiten Flächencodes durch eine Softwareapplikation, d) visuelles Vorweisen des ersten Flächencodes und des zweiten Flächencodes durch ein mittels der Softwareapplikation gemäß Schritt c) angesteuertes Anzeigegerät, insbesondere ein Smartphone, e) visuelles Auslesen des ersten und zweiten Flächencodes durch ein Auslesegerät und Auswerten der in dem ersten und zweiten Flächencode hinterlegten Daten durch

*Vergleich der daraus abgeleiteten ersten und zweiten personenspezifischen Daten, sowie

*Prüfung der Information zu der Berechtigung, f) Ausgabe des Ergebnisses der Auswertung gemäß Schritt e).

Durch das erfindungsgemäße Verfahren wird durch die Verknüpfung zweier Flächencodes eine besonders effizient automatisierbare und gleichzeitig sichere Möglichkeit zum Vorweisen einer Berechtigung geschaffen. Die biometrische Information zu der Person kann in Prinzip ein beliebiger technisch geeigneter Nachweis sein. Insbesondere bietet sich hierfür ein Fingerabdruck, ein Foto, oder z.B. theoretisch ein Iris-Scan der eine Berechtigung anfragenden/ vorweisenden Person an. Die Ausgabe des Ergebnisses gemäß Schritt f) kann z.B. durch das Auslesegerät erfolgen. Die Schritte a) und b) können auch in umgekehrter Reihenfolge oder zeitgleich ablaufen. Bei der Berechtigung kann es sich wie bereits eingangs erwähnt grundsätzlich um eine beliebige Art der Berechtigung handeln.

Eine Signatur des ersten Flächencodes kann z.B. mit einem privaten Schlüssel eines asymmetrischen RSA- oder EdDSA-Schlüsselpaars erfolgen. Unter dem Ausdruck „Berechtigungsnachweisdokument" wird nicht zwingend ein schriftliches Dokument im engen Sinne verstanden, sondern es kann sich dabei grundsätzlich um einen beliebig formatierten Datensatz wie z.B. ein JSON handeln. Das „Berechtigungsnachweisdokument" kann auch als fertiger QR-Code bzw. durch dessen Inhalt, der von einer dritten Stelle übernommen wurde, realisiert sein. Als Auslesegeräte sind Scanner und Computer, Smartphone, etc. geeignet. Zur Vollständigkeit sei erwähnt, dass natürlich auch noch zusätzliche Flächencodes angezeigt werden können und die Erfindung daher nicht auf die Anzeige lediglich zweier Flächencodes beschränkt ist. Es können auch mehrere Berechtigungscodes hinterlegt werden. Die Berechtigung kann dann durch Anwenden von Regeln auf der Gesamtheit aller Codes festgestellt, z.B. bei einer Corona-Restriktion, die das Vorliegen einer validen Impfung/ Genesung sowie eines PCR-Tests verlangt („2G-plus") können für diese Aspekte unterschiedliche Flächencodes verwendet werden, die dann nacheinander oder gemeinsam geprüft werden können. Sofern nicht explizit verlangt, können die genannten Datenbanken und/oder Softwareapplikationen voneinander unabhängig ausgebildet sein. Alternativ dazu können auch einzelne oder alle Aspekte zu einer Gesamtheit vereint sein.

Insbesondere kann vorgesehen sein, dass die biometrische Information zu der Person gemäß Schritt a) zumindest einen Teilausschnitt eines Identitätsfotos der Person umfasst und Informationen hierzu in den ersten Flächencode gemäß Schritt a) kodiert werden, wobei in Schritt d) auch eine aus dem ersten Flächencode abgeleitete Darstellung des Identitätsfotos visuell vorgewiesen wird. In der Information, die in ersten Flächencode kodiert ist, kann auch ein Link zu einem Identitätsfoto enthalten sein, der dann bei dem Anzeigegerät oder bei dem auslesenden Gerät abgerufen wird. Weiters kann vorgesehen sein, dass im Falle der Feststellung einer Übereinstimmung der ersten und zweiten personenspezifischen Daten sowie des Vorliegens einer Berechtigung gemäß der Auswertung nach Schritt e) ein Vergleich des Aussehens der die Berechtigung vorlegenden Person mit der aus Schritt e) abgeleiteten Darstellung des Identitätsfotos erfolgt und bei Übereinstimmung des Aussehens der Person mit dem Identitätsfoto die Berechtigung anerkannt, insbesondere Zutritt zu einem zutrittsgesicherten Bereich gewährt wird. Dabei kann es sich z.B. um ein Lokal oder ein Festivalgelände handeln. Die Prüfung des Aussehens kann z.B. manuell durch eine prüfende Person oder automatisiert durch Gesichtserkennung erfolgen.

Insbesondere kann vorgesehen sein, dass die biometrische Information zu der Person gemäß Schritt a) einen Fingerabdruck und/ oder einen Scan der Iris eines Auges der Person umfasst und Informationen hierzu in den ersten Flächencode gemäß Schritt a) kodiert werden, und in Schritt e) ausgelesen werden, wobei im Falle der Feststellung einer Übereinstimmung der ersten und zweiten personenspezifischen Daten sowie des Vorliegens einer Berechtigung gemäß der Auswertung nach Schritt e) ein Vergleich des Fingerabdruck und/ oder der Iris des Auges der die Berechtigung vorlegenden Person mit der in Schritt e) ausgelesenen biometrischen Information erfolgt, und bei Übereinstimmung die Berechtigung anerkannt, insbesondere Zutritt zu einem zutrittsgesicherten Bereich gewährt wird.

Weiters kann vorgesehen sein, dass das Bereitstellen echtheits geprüfter Identitätsdaten gemäß Schritt a) auf Basis der vorhergehenden folgenden Schritte erfolgt: -) Hinterlegen eines einer Person zugeordneten Personenprofils in einer Datenbank und/ oder einer Softwareapplikation, wobei das Personenprofil die ersten personenspezifischen Daten umfasst, die biometrische Information zu der Person enthalten, und

-) Echtheitsprüfung des Personenprofils durch Anwendung eines Prüfalgorithmus.

Die Echtheitsprüfung kann z.B. einfach dadurch erfolgen, dass nur bestimmte vertrauliche Quellen als Datenquelle anerkannt werden, wie z.B. Datenbanken staatlich überprüfter Einrichtungen. Z.B. könnte die öffentliche Hand das System betreiben und Personendaten und Personenfotos aus der Datenbank der e-card beziehen. Ergänzend oder alternativ dazu kann auch das Vorhandensein gewisser Echtheitsmerkmale geprüft werden. Die Echtheitsprüfung kann z.B. durch Methoden der Computer Vision wie der Analyse des Hintergrundrauschens in verschiedenen Bereichen, Schärfedetektion, Copy-Move-Detection, Font Change Detection, Dokumentenklassifikation mit oder ohne Machine Learning, durch Auswertung im Dokument vorhandener Prüfzahlen und/oder durch Metadatenanalyse erfolgen. Das Personenprofil kann in Form eines Fotos eines amtlichen Lichtbildausweises bereitgestellt werden, wobei das Lichtbild die biometrische Information darstellt und der abgebildete Lichtbildausweis einer Echtheitsprüfung unterzogen wird.

Insbesondere kann vorgesehen sein, dass das Personenprofil eine visuelle Darstellung eines amtlichen Lichtbildausweises umfasst, wobei dieser Lichtbildausweis einer Echtheitsprüfung unterzogen wird.

Weiters kann vorgesehen sein, dass die visuellen Flächencodes gemäß Schritt e) gleichzeitig neben- oder übereinanderliegend angezeigt werden.

Insbesondere kann vorgesehen sein, dass die visuellen Flächencodes gemäß Schritt e) nacheinander angezeigt werden. Vorzugsweise wechseln sich die Flächencodes wiederkehrend ab, und zwar so, dass ein blinkender Eindruck entsteht: Zuerst wird z.B. der erste Flächencode, dann der zweite, dann wieder der erste, gefolgt von dem zweiten Flächencode angezeigt. Auf diese Weise kann trotz kleiner Anzeigefläche/ Scanfläche der beteiligten Geräte eine rasche und sichere Auswertung erfolgen. Die Zeitdauer der Anzeige ist typischerweise ein Kompromiss zwischen maximaler Verarbeitungsgeschwindigkeit und Unterstützung möglichst vieler auch älterer Scan-Geräte (-Handys). Derzeit wird eine Anzeigedauer pro Flächencode von ca. 200ms gewählt, bei neueren Geräten funktioniert auch eine Anzeigedauer von 20ms problemlos. Die Anzeigedauer kann auch variabel eingestellt werden, beispielsweise mittels einem Schieberegler zur Geschwindigkeitsanpassung. Auch wäre es denkbar, dass die Anzeigedauer jedes Flächencodes im Laufe der Iterationen bis zu einer Erkennung automatisch zunimmt, bis die Anzeige von einem Benutzer abgebrochen wird. Die Anzeigefunktion kann z.B. manuell gestoppt werden.

Weiters kann vorgesehen sein, dass die visuellen Flächencodes abwechselnd angezeigt werden, und zwar so, dass jeder Flächencode während der Zeitdauer seiner Anzeige eine Bildschirmbreite/ Displaybreite und/oder Höhe des Anzeigegeräts zu zumindest 70% ausnutzt. Dadurch lassen sich die Flächencodes besonders gut ablesen.

Die Erfindung ist im Folgenden anhand einer beispielhaften und nicht einschränkenden Ausführungsform näher erläutert, die in den Figuren veranschaulicht ist. Darin zeigt

Figur 1 eine schematische Darstellung einzelner Elemente der Erfindung,

Figur 2 eine schematische Darstellung von Anwendungsszenarien des erfindungsgemäßen Verfahrens,

Figur 3 ein beispielhaftes Ablaufdiagramm zu einer ersten Gruppe an

Anwendungsszenarien, und

Figur 4 ein beispielhaftes Ablaufdiagramm zu einer zweiten Gruppe an

Anwendungsszenarien.

In den folgenden Figuren bezeichnen - sofern nicht anders angegeben - gleiche Bezugszeichen gleiche Merkmale.

Fig. 1 zeigt eine schematische Darstellung einzelner Elemente der Erfindung. Die Erfindung betrifft ein Verfahren zur Überprüfung einer Berechtigung einer Person 2 (bzw. einer weiteren Person 2x, siehe Fig. 2), wobei das Verfahren die folgenden Schritte umfasst: a) Bereitstellen echtheitsgeprüfter Identitätsdaten 2a einer Person 2 und Erstellen eines signierten ersten Flächencodes Fl, wobei der erste Flächencode Fl erste personenspezifische Daten Flpd enthält, die aus den Identitätsdaten 2a abgeleitet werden, wobei die ersten personenspezifischen Daten Flpd biometrische Information Flbm zu der Person 2 enthalten, b) Hinterlegen eines einer Person 2, 2x zugeordneten Berechtigungsnachweisdokuments 4 in einer Datenbank 3 und/oder einer Softwareapplikation und Erzeugen eines zugehörigen zweiten Flächencodes F2, wobei der zweite Flächencode F2 Information F2B zu der Berechtigung einer Person 2 (oder gegebenenfalls einer anderen Person 2x) sowie zweite personenspezifische Daten F2pd dieser Person 2 bzw. 2x enthält, c) Abrufen des ersten und des zweiten Flächencodes Fl und F2 durch eine Softwareapplikation 5, d) visuelles Vorweisen des ersten Flächencodes Fl und des zweiten Flächencodes F2 durch ein mittels der Softwareapplikation 5 gemäß Schritt c) angesteuertes Anzeigegerät 1 (siehe Fig. 2), insbesondere ein Smartphone, e) visuelles Auslesen des ersten und zweiten Flächencodes Fl und F2 durch ein Auslesegerät 6 und Auswerten der in dem ersten und zweiten Flächencode Fl und F2 hinterlegten Daten durch

*Vergleich der daraus abgeleiteten ersten und zweiten personenspezifischen Daten Flpd und F2pd, sowie

*Prüfung der Information F2B zu der Berechtigung, f) Ausgabe des Ergebnisses der Auswertung gemäß Schritt e).

Figur 2 zeigt eine schematische Darstellung von Anwendungsszenarien dieses erfindungsgemäßen Verfahrens. Die Person 2 hinterlegt beispielsweise einen ihren Identitätsdaten 2a zugeordneten Flächencode Fl in einer Softwareapplikation. Wird nun ein Berechtigungsnachweis einer anderen Person als der Person 2, nämlich der Person 2x, in Form des Flächencodes 2 in der Softwareapplikation hinterlegt und zur Überprüfung angezeigt, so stellt das erfindungsgemäße Verfahren in Schritt e) fest, dass die aus den Flächencodes Fl und F2 ableitbaren personenspezifischen Daten Flpd und F2pd nicht übereinstimmen. Es liegt damit kein Nachweis der Berechtigung der Person 2 vor. Wird hingegen nachfolgend durch die Person 2 ein dieser Person 2 tatsächlich richtig zugeordnetes Berechtigungsdokument 4 in die Softwareapplikation eingespielt, so stimmen die personenspezifischen Daten Flpd und F2pd überein. In einem weiteren Aspekt des Schritts e) erfolgt dann die Prüfung, ob das Berechtigungsdokument 4 selbst valide ist bzw. ob der darin angegebene Berechtigungszustand (z.B. Co vid-geimpft/ genesen und/oder PCR-getestet) den Erfordernissen der jeweiligen Anforderung entspricht. Trifft dies zu, so kann das positive Ergebnis in einem Schritt f) ausgegeben werden. Zuletzt kann eine die Berechtigung prüfende Person 7 noch feststellen, ob die Person, die die konsistenten Flächencodes Fl und F2 vorweist, auch tatsächlich jene Person 2 ist, denen diese Flächencodes Fl und F2 zugeordnet sind. Dies kann anhand der Überprüfung der zumindest im ersten Flächencode Fl hinterlegten biometrischen Merkmale Flbm (siehe Fig. 1) erfolgen. In dem Beispiel gemäß Fig. 2 handelt es sich dabei um ein Identitätsfoto 2a', das zumindest ausschnittsweise angezeigt und durch eine prüfende Person 7 mit dem Aussehen der vorweisenden Person verglichen werden kann. Auch ist es denkbar, dass die biometrischen Merkmale Flbm nur einen Teilausschnitt eines Identitätsfotos betreffen (um Daten zu reduzieren und die Datenkapazität des Flächencode nicht zu überlasten), wobei das Identitätsfoto z.B. in einer Softwareapplikation extra hinterlegt ist oder heruntergeladen wird, wobei eine Übereinstimmung der in den biometrischen Merkmalen Flbm hinterlegten Information wie z.B. eines Bildausschnittes mit dem vollständigen Identitätsfoto 2a' automatisch geprüft wird und nur dann das Identitätsfoto auch angezeigt wird. Dadurch kann sichergestellt werden, dass die vorweisende Person auch tatsächlich die berechtigte Person 2 ist.

Anders ausgedrückt kann vorgesehen sein, dass im Falle der Feststellung einer Übereinstimmung der ersten und zweiten personenspezifischen Daten Flpd und F2pd sowie des Vorliegens einer Berechtigung gemäß der Auswertung nach Schritt e) ein Vergleich des Aussehens der die Berechtigung vorlegenden Person 2, 2x mit der aus Schritt e) abgeleiteten Darstellung des Identitätsfotos 2a' erfolgt und bei Übereinstimmung des Aussehens der Person 2, 2x mit dem Identitätsfoto 2a' die Berechtigung anerkannt, insbesondere Zutritt zu einem zutrittsgesicherten Bereich gewährt wird.

Die biometrische Information zu der Person 2 gemäß Schritt a) kann ergänzend oder alternativ zu dem Foto 2a' oder Ausschnitt eines Fotos einen Fingerabdruck und/ oder einen Scan der Iris eines Auges der Person 2 umfassen. Es können Informationen hierzu in den ersten Flächencode Fl gemäß Schritt a) kodiert und in Schritt e) ausgelesen werden, wobei im Falle der Feststellung einer Übereinstimmung der ersten und zweiten personenspezifischen Daten Flpd und F2pd sowie des Vorliegens einer Berechtigung gemäß der Auswertung nach Schritt e) ein Vergleich des Fingerabdrucks und/oder der Iris des Auges der die Berechtigung vorlegenden Person 2 und 2x mit der in Schritt e) ausgelesenen biometrischen Information erfolgt, und bei Übereinstimmung die Berechtigung anerkannt, insbesondere Zutritt zu einem zutrittsgesicherten Bereich gewährt wird.

Weiters kann vorgesehen sein, dass das Bereitstellen echtheitsgeprüfter Identitätsdaten 2a gemäß Schritt a) auf Basis der vorhergehenden folgenden Schritte erfolgt: Hinterlegen eines einer Person 2 zugeordneten Personenprofils 8 (siehe Fig. 1) in einer Datenbank 3 und/ oder einer Softwareapplikation, wobei das Personenprofil 8 die ersten personenspezifischen Daten Flpd umfasst, die biometrische Information zu der Person 2 enthalten, und Echtheitsprüfung des Personenprofils 8 durch Anwendung eines Prüfalgorithmus. Insbesondere kann vorgesehen sein, dass das Personenprofil 8 eine visuelle Darstellung eines amtlichen Eichtbildausweises 9 umfasst, wobei dieser Eichtbildausweis 9 einer Echtheitsprüfung unterzogen wird.

Grundsätzlich können die visuellen Flächencodes Fl und F2 gemäß Schritt e) gleichzeitig neben- oder übereinanderliegend angezeigt werden. Sofern es für eine ausreichend große Darstellung allerdings von Vorteil ist, die zur Verfügung stehende Anzeigefläche eines Anzeigegeräts 1 weitgehend vollständig durch einen einzigen Flächencode auszunutzen, kann es günstig sein, wenn die visuellen Flächencodes Fl und F2 gemäß Schritt e) nacheinander angezeigt werden. Insbesondere kann dabei vorgesehen sein, dass die visuellen Flächencodes Fl und F2 abwechselnd angezeigt werden, und zwar so, dass jeder Flächencode Fl, F2 während der Zeitdauer seiner Anzeige eine Bildschirmbreite oder Höhe des Anzeigegeräts 1 zu zumindest 70% ausnutzt.

Figur 3 zeigt ein beispielhaftes Ablaufdiagramm zu einer ersten Gruppe an Anwendungsszenarien des erfindungsgemäßen Verfahrens. Es wird darin eine Applikation gestartet, wobei nacheinander die Flächencodes gescannt werden. Bei fehlender Überstimmung der personenspezifischen Daten Flpd und F2pd kann darauf rückgeschlossen werden, dass die falsche Person eine Berechtigung vorweist. Stimmen diese Daten hingegen überein, so kann in einem weiteren Schritt auf das Vorliegen einer Berechtigung F2B geprüft werden. Im Übrigen sei erwähnt, dass das Vorliegen der Berechtigung auch zuerst geprüft werden kann, diese Reihenfolge ist grundsätzlich frei wählbar. Liegt keine Berechtigung vor, so wird das Verfahren abgebrochen und ein negatives Ergebnis ausgegeben. Liegt hingegen eine Berechtigung vor, so kann zuletzt noch die Übereinstimmung der sich ausweisenden Person mit den aus dem ersten Flächencode Fl abgeleiteten biometrischen Daten Flbm geprüft werden. Falls diese Prüfung erfolgreich abgeschlossen wird, so können eine Berechtigung bzw. daran geknüpfte Folge gewährt werden.

Figur 4 zeigt ergänzend zu den oben genannten Abläufen auch ein Szenario, in dem keine Flächencodes angezeigt werden. Wenn kein Flächencode Fl oder F2 existiert, so kann das Verfahren natürlich abgebrochen werden. Auch zeigt Fig. 4, dass die gescannten Flächencodes Fl und/ oder F2 hinsichtlich des Vorliegens einer Signatur geprüft werden können, wodurch eine Feststellung einer Fälschung der Flächencodes ermöglicht wird. Im Anschluss folgt der Vergleich der zwei oder mehr Flächencodes Fl bis Fn, wobei darauf definierbare Freigaberegeln anwendbar sind, die auch durch einen Dritten wie z.B. einen Veranstalter eines Events bzw. eine externe Softwareapplikation festgelegt werden können. Zuletzt kann die bereits beschriebene Personenidentifikation erfolgen. Werden all diese Prüf schritte erfolgreich absolviert, so liegt eine Berechtigung vor und es kann eine vorgesehene Folge daran geknüpft werden.

Die Erfindung ist nicht auf die gezeigten Ausführungsformen beschränkt, sondern durch den gesamten Schutzumfang der Ansprüche definiert. Auch können einzelne Aspekte der Erfindung bzw. der Ausführungsformen aufgegriffen und miteinander kombiniert werden. Etwaige Bezugszeichen in den Ansprüchen sind beispielhaft und dienen nur der einfacheren Lesbarkeit der Ansprüche, ohne diese einzuschränken.