Verfahren und Vorrichtung zur Bereitstellung von aufgezeichneten, anonymisierten Routen

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Bereitstellung von aufgezeichneten, anonymisierten Routen, die jeweils eine räumliche Bewegung eines Objekts von einem ersten Endpunkt über aufeinanderfolgende Wegpunkte zu einem zweiten Endpunkt angeben und durch Positionsangaben für diese Wegpunkte aufgezeichnet sind und durch Entfernen von Objekt ^¬ identifizierenden Daten anonymisiert sind.

Die räumliche Bewegung eines Objekts von einem Startpunkt über aufeinanderfolgende Wegpunkte zu einem Zielpunkt wird als Route bezeichnet. Einem Objekt ist dabei üblicherweise ein Nutzer, beispielsweise eine natürliche Person zugeordnet. Zur Verfolgung der räumlichen Bewegung eines Objekts bzw. einer Person, auch Geo-Tracking genannt, gibt es mittlerweile eine Vielzahl von Datenquellen. Solche Routen werden beispielsweise mittels GPS-Ortung eines Smartphones, eines

Tablets, eines Laptops oder eines Navigationssystems eines Benutzers bzw. Fahrzeugs aufgenommen. Weitere Datenquellen sind eine Funkzellenortung eines Mobilfunktelefons durch ei- nen Mobilfunknetzbetreiber oder ein Kontakt zu WLAN- oder

Bluetooth-Zugangspunkten. Ebenso können bei der Nutzung von elektronischen Zahlungssystemen und Bankautomaten mittels einer Kredit- oder Kundenkarte, eine Positionsangabe bezie ^¬ hungsweise einen Aufenthaltspunkt, eines Objekts erfasst werden. Auch elektronische Tickets oder RFID-Karten können bei ihrer Verwendung in öffentlichen Verkehrsmitteln oder beim Einkauf zur Ermittlung einer Route verwendet werden.

Positionsangaben werden bei GPS-Daten durch eine geografische Länge- und Breitenangabe und eventuell Höhenangaben beschrie ^¬ ben. Dabei sind unterschiedliche Formate wie beispielsweise ein GPS-Austauschformat , ein Geography Markup Language GML- Format oder auch ein Keyhole Markup Language KML-Format ge- bräuchlich. Neben den Positionsangaben werden zu einer Route oder auch zu einzelnen Wegpunkten Zeitangaben beziehungsweise Zeitstempel registriert. Zu einer Route werden üblicherweise auch Daten des Objekts selbst beziehungsweise des Nutzers des georteten Objekts gespeichert. Dies sind beispielsweise ein Autokennzeichen eines Fahrzeugs, eine Telefonnummer, eine IP- Adresse eines Mobilfunkgerätes oder auch Kartennummern oder Stammdaten einer Kreditkarte. Positionsdaten können sehr nützlich sein zur Erbringung innovativer Dienstleistungen wie beispielsweise Staumeldungen, Informationen über relevante Verspätungen im Bahnverkehr oder Hinweise zu nahegelegenen Verpflegungsmöglichkeiten, aufgezeichnete Routen auch zur Feststellung und Vorhersage einer Auslastung von Verkehrsmitteln, zur Staufrüherkennung und Stauvermeidung .

Diese Informationen über zurückgelegte Wegstrecken eines betrachteten Objekts (Fahrzeug, Smartphone, etc.) ermöglichen aber auch Aussagen zum Verhalten der zugeordneten Person, sowie ihrer persönlichen Vorlieben und Eigenschaften. Daher werden diese Daten gemäß Datenschutzrecht als personenbezoge ^¬ ne oder personenbeziehbare und damit eventuell sogar als be ^¬ sonders schützenswerte Daten eingestuft. Personenbezogene oder personenbeziehbare Daten dürfen in manchen Ländern nur aufgrund einer dedizierten gesetzlichen Grundlage oder einer qualifizierten Einverständniserklärung der Betroffenen er- fasst, verarbeitet oder gespeichert werden. Werden diese Da ^¬ ten aber mit Einverständnis der Betroffenen erfolgreich ano- nymisiert, so dass kein Bezug zu Personen mehr herstellbar ist, so gelten diese Daten nicht mehr als personenbezogen oder personenbeziehbar, und die Einschränkungen aus dem Da- tenschutzrecht entfallen für weitere Verwendungen der Daten. Bei einer Anonymisierung werden üblicherweise zumindest all ^¬ gemein bekannte, Personen-identifizierende Daten sowie Pseu ^¬ donyme, wie beispielsweise IP-Adresse oder Gerätekennzeichen, entfernt. Teilweise lassen sich bereits aus einem Start- oder Endpunkt einer Route weitreichende Informationen über die Person ziehen und somit die Zahl möglicher für diese Route in Frage kommender Personen sehr stark einschränken. Somit ist eine so genannte De-Anonymisierung der Route trotz Entfernen von Personen- beziehungsweise Obj ekt-identifizierenden Daten möglich. Eine Verwendung solcher Routendaten würde daher weiterhin das Einholen einer qualifizierten Einverständniserklärung aller Betroffenen für jeden neuen Verwendungszweck erfordern, was aber üblicherweise mit vertretbarem Aufwand nicht durchführbar ist. Eine Vielzahl aufgezeichneter Routen wäre somit von einer Weiterverarbeitung ausgeschlossen.

Es ist somit Aufgabe der vorliegenden Erfindung ein Verfahren und eine Vorrichtung zu schaffen, die eine De-Anonymisierung von Routendaten verhindert oder zumindest erschwert und somit deren Verwendung zur Weiterverarbeitung ermöglicht.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.

Das erfindungsgemäße Verfahren zur Bereitstellung von aufgezeichneten, anonymisierten Routen, die jeweils eine räumliche Bewegung eines Objekts von einem ersten Endpunkt über aufei- nanderfolgende Wegpunkte zu einem zweiten Endpunkt angeben und durch eine Positionsangabe für diese Wegpunkte aufge ^¬ zeichnet sind und durch Entfernen von objektspezifischen Daten anonymisiert sind, weist folgende Schritte auf:

Ein Aufteilen eines geographischen Bereichs, in dem eine Rou- te enthalten ist in zumindest einen Teilbereich, ein Entfernen aller Positionsangaben einer Route innerhalb derjenigen Teilbereiche, in denen zumindest ein Endpunkt der Route ent ^¬ halten ist und ein Ausgeben der verbleibenden Positionsangaben der Route zur weiteren Analyse und/oder Steuerung.

Teilbereiche, in denen zumindest ein Endpunkt der Route ent ^¬ halten ist werden nachfolgend auch als End-Teilbereiche be ^¬ zeichnet. Durch das Entfernen der Positionsangaben einer Rou- te innerhalb der End-Teilbereiche der Route, können Endpunkte von Routen nur noch sehr grob identifiziert werden. Die Endpunkte werden sozusagen maskiert und eine De-Anonymisierung der Route, d.h. eine Ermittlung der Identität des sich bewe- genden Objekts bzw. der Person durch Rückschluss auf den Start- und/oder Zielpunkt ist somit nicht mehr möglich.

Start- oder Zielpunkt entsprechen dabei dem ersten oder zweiten Endpunkt einer Route. Die Positionsangaben zu den verbleibenden Wegpunkten der Route, d.h. die Wegpunkte zwischen den End-Teilbereichen der Route, werden unverändert beibehalten. Vorteilhafterweise verringert sich durch das Verfahren der benötigte Speicherplatz zur Speicherung der Positionsangaben einer Route. In einer vorteilhaften Ausführungsform wird die Größe der End-Teilbereiche derart eingerichtet, dass mindestens eine vorgebbare Anzahl von Endpunkten von Routen innerhalb eines End-Teilbereichs liegt. Damit ist es auch bei Kenntnis eines ersten Endpunkts und da ^¬ mit eines ersten End-Teilbereichs erheblich erschwert, auf den zweiten End-Teilbereich und damit den zweiten Endpunkt zu schließen . In einer vorteilhaften Ausführungsform werden anschließend alle Teilbereiche gleich groß eingerichtet.

Dies bedeutet, dass die Größe aller Teilbereich entsprechend der größten ermittelten Mindestgröße der End-Teilbereiche ge- wählt wird. Dies reduziert die Komplexität des Verfahrens, da ein einfaches Aufteilungsschema für die Teilbereiche verwen ^¬ det werden kann. So kann beispielsweise der betrachtete geo ^¬ graphische Bereich in Planquadrate der ermittelten Mindest ^¬ größe zur Definition der Teilbereiche verwendet werden.

In einer anderen Variante werden die einzelnen Teilbereiche mit unterschiedlicher Größe eingerichtet. Dies hat den Vorteil, dass ein End-Teilbereich, in dem viele Endpunkte von Routen liegen, sehr klein gewählt werden kann, da durch die große Anzahl der Routen nicht auf das einzelne sich bewegende Objekt geschlossen werden kann. Entsprechend ist der zur Auswertung nutzbare verbleibende Teil der Route größer. Dies ist beispielsweise für End-Teilbereiche der Fall, in denen öffentliche Verkehrsknotenpunkte, wie bei ^¬ spielsweise ein Bahnhof oder ein Krankenhaus oder ein Gewer ^¬ begebiet liegen. Die Größe eines End-Teilbereichs in einem wenig bevölkerten geographischen Bereich muss dagegen räumlich viel größer gewählt werden.

In einer vorteilhaften Ausführungsform wird die Größe der einzelnen Teilbereiche nach geographischen Gegebenheiten ein- gerichtet.

Solche Teilbereiche umfassen beispielsweise ein bestimmtes Dorf, oder einen Stadtteil oder einen Straßenzug bzw. angrenzende Bereiche.

In einer vorteilhaften Ausführungsform werden lediglich der Endpunkt einer Route und die auf den Endpunkt bis zum ersten Erreichen eines Randes des End-Teilbereichs folgenden Weg ^¬ punkte der Route entfernt.

Dadurch bleiben auch solche Wegpunkte einer Route erhalten, die den End-Teilbereich verlassen und anschließend den gleichen End-Teilbereich noch einmal passieren. Das Aufteilen des geographischen Bereichs, in dem eine Route enthalten ist, in Teilbereiche und das Entfernen aller Posi ^¬ tionsdaten innerhalb der End-Teilbereiche ermöglicht eine ge ^¬ zielte Maskierung der Endpunkte der Route. Ein De-Anonymisie- ren von Routendaten durch Ermittlung der genauen geographi- sehen Lage des ersten und zweiten Endpunkts einer Route ist somit erheblich erschwert. Die verbleibenden Positionsangaben der Route können Datenschutz-rechtlich unbedenklich zu einer weiteren Verarbeitung ausgegeben und verwendet werden. Da- durch wird die Bereitschaft von Nutzern bzw. Objekten erhöht, dem Inhaber einer Datensammlung ein Einverständnis für die weitere Verwendung seiner Routendaten zu geben. Ebenso muss bei der Verwendung der anonymisierten Daten für andere Ver- wendungszwecke nicht erneut das Einverständnis des Nutzers eingeholt werden. Das vorgeschlagene Verfahren reduziert zu ^¬ dem die benötigte Speicherkapazität für Routendaten und er ^¬ möglicht durch einfache Schemata zur Aufteilung in Teilberei ^¬ che die Ausführung mit geringem Rechenaufwand.

Eine erfindungsgemäße Vorrichtung zur Bereitstellung einer aufgezeichneten anonymisierten Route, die eine räumliche Bewegung eines Objekts von einem ersten Endpunkt über aufeinanderfolgende Wegpunkte zu einem zweiten Endpunkt durch eine Positionsangabe für diese Wegpunkte aufzeichnet und durch Entfernen von Obj ekt-identifizierenden Daten anonymisiert ist, umfasst eine Aufteilungseinheit , die derart ausgebildet ist, einen geographischen Bereich, in dem eine Route enthalten ist, in zumindest einen Teilbereich aufzuteilen, eine Maskierungseinheit, die derart ausgebildet ist, alle Positi ^¬ onsangaben einer Route innerhalb derjenigen Teilbereiche, in denen zumindest ein Endpunkt der Route enthalten ist, zu ent ^¬ fernen und eine Ausgabeeinheit, die derart ausgebildet ist, die verbleibenden Positionsangaben zu der Route zur weiteren Analyse und/oder Speicherung auszugeben.

Eine solche Vorrichtung kann aufgezeichnete Routen derart aufbereiten, dass eine Identität des Objekts, dessen Bewegung als Route aufgezeichnet wurde, nicht oder nur äußerst schwer ermittelt werden kann. Eine Vorrichtung, die derart ausgebil ^¬ det ist das Verfahren entsprechend den vorgenannten Verfahrensschritten durchzuführen, benötigt eine geringere Speicherkapazität zur Speicherung der anonymisierten Routen. Insbesondere bei Verwendung von Teilbereichen mit einheitlicher Größe kann das Verfahren durch eine einfache Rechenvorrichtung ausgeführt werden. Andererseits kann durch eine dynamische Größenwahl der Teilbereiche der Informationsverlust an Positionsangaben minimiert werden. Diese stehen dann zur wei- teren Auswertung beispielsweise für verkehrstechnische Anwen- düngen - wie beispielsweise die Ermittlung von Verkehrsstaus oder zur Verkehrsbedarfsplanung - bereit. Ein entsprechendes Computerprogrammprodukt, das direkt in ein speicherprogrammierbares Bauteil ladbar ist und Programmcode ^¬ teile umfasst, die dazu geeignet sind, die Schritte des er ^¬ findungsgemäßen Verfahrens durchzuführen, kann somit auch auf herkömmlichen Computern durchgeführt werden.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Vorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Be ^¬ schreibung näher erläutert. Es zeigen:

Figur 1 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Ablaufdiagramm;

Figur 2 ein Ausführungsbeispiel einer erfindungsgemäßen Vor- richtung in Blockdarstellung;

Figur 3 ein erstes Beispiel einer Route in einem geographischen Bereich dargestellt auf einer Straßenkarte; Figur 4 verbleibende Routendaten bei Anwendung des erfindungsgemäßen Verfahrens auf die in Figur 3 gezeigte Route ;

Figur 5 eine Darstellung mehrerer Routen in einem geographi- sehen Bereich dargestellt auf einer Straßenkarte; und

Figur 6 verbleibende Routendaten bei Anwendung des erfindungsgemäßen Verfahrens auf die in Figur 5 gezeigten Routen .

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen. Das erfindungsgemäße Verfahren wird nun anhand der in Figur 1 dargestellten Verfahrens- schritte angewandt auf die den Figuren 3 bis 6 dargestellten Routen erläutert.

Die Sammlung und Verarbeitung von Routendaten ist Daten- schutz-rechtlich äußerst kritisch, so dass ein Einsatz solcher Daten, insbesondere in Ländern mit strenger Datenschutzgesetzgebung stark eingeschränkt ist. Eine Verwendung der Routendaten ist oftmals nur mit dem Einverständnis der Nut ^¬ zer, bzw. des sich bewegenden Objektes und/oder durch eine Anonymisierung der Routendaten möglich. Mit dem erfindungsgemäßen Verfahren wird nun eine verbesserte Anonymisierung der Routendaten möglich, sodass eine De-Anonymisierung weiter erschwert wird. In Figur 1 ist ein Ablaufdiagramm des Verfahrens dargestellt. Im Ausgangszustand 10 liegen aufgezeichnete und anonymisierte Routen vor. Eine Route wird dabei als eine räumliche Bewegung eines Objekts von einem ersten Endpunkt über aufeinanderfol ^¬ gende Wegpunkte zu einem zweiten Endpunkt angesehen. Eine solche Route ist durch Positionsangaben für die Wegpunkte aufgezeichnet. Obj ekt-identifizierende Angaben, wie bei ^¬ spielsweise Name oder Adresse einer Person, ein Autokennzei- chen eines Fahrzeugs oder eine IP-Adresse oder Gerätekennzei ^¬ chen beispielsweise eines Smartphones sind zur Anonymisierung entfernt. Diese aufgezeichneten und anonymisierten Daten werden beispielsweise durch eine Speichereinheit oder eine Da ^¬ tenbank, beispielsweise in einem Server bereitgestellt. Im Verfahrensschritt 11 wird nun ein geographischer Bereich, in dem mindestens eine Route enthalten ist, in zumindest einen Teilbereich aufgeteilt.

In Figur 3 ist beispielhaft eine Route Rl im geographischen Bereich einer Stadt und eingezeichnet in einer Straßenkarte dargestellt. Die Route Rl beginnt an einem ersten Endpunkt, hier Startpunkt Sl und führt über die gepunktet eingezeichne ^¬ te Strecke zu einem zweiten Endpunkt ZI, hier dem Zielpunkt der Route. Der geographische Bereich in dem die Route enthal ^¬ ten ist, wird nun in Teilbereiche Tl, T2 und T3 aufgeteilt, siehe Figur 4. Die Teilbereiche Tl, T2, T3 sind beispielswei ^¬ se an strukturelle Gegebenheiten des geographischen Bereichs, hier beispielsweise an abgegrenzte Wohngebiete oder an Stra ^¬ ßenführung von Hauptverkehrswegen ausgerichtet. Teilbereiche können auch ganze Stadtteile, Ortschaften oder die Umgebung spezieller Verkehrsknotenpunkte sein.

Im Verfahrensschritt 12 werden nun alle Positionsangaben einer Route innerhalb von End-Teilbereichen, das heißt derjeni- gen Teilbereiche, in denen zumindest ein Endpunkt der Route enthalten ist, entfernt. Im genannten Beispiel werden nun alle Positionsangaben der Route Rl im Teilbereich Tl und im Teilbereich T2 entfernt. Die Teilbereiche Tl, T2 maskieren somit die Endpunkte Sl, ZI der Route Rl .

Im Verfahrensschritt 13 werden nun die verbleibenden Positi ^¬ onsangaben der Route, im genannten Beispiel die Positionsangaben der Wegpunkte, die in den Teilbereich T3 fallen, zur weiteren Analyse oder auch Steuerung ausgegeben. Diese Ausga- be kann beispielsweise an eine interne Speichereinheit oder auch an eine externe Vorrichtung, wie beispielsweise eine Analysevorrichtung oder einen zentralen Server zur Routenauswertung ausgegeben werden. Eine De-Anonymisierung der verbleibenden Routendaten ist nun erheblich erschwert oder gar unmöglich. Die ausgegebenen Routendaten können ohne weitere Sicherheitsvorkehrungen und somit schneller prozessiert und analysiert werden.

Damit ist der Endzustand 14 des Verfahrens erreicht.

Die Größe, d.h. die geographische bzw. räumliche Ausdehnung, der ermittelten Teilbereiche kann dynamisch gewählt werden. Insbesondere kann die Größe von Teilbereichen abhängig von einer Mindestanzahl von Endpunkten von verschiedenen Routen, die innerhalb eines End-Teilbereichs liegen, gewählt werden. Es muss also immer eine bestimmte vorgebbare Mindestanzahl an Routen in einem End-Teilbereich beginnen oder enden. Damit ist sichergestellt, dass auch bei Kenntnis eines ersten End- Punktes nicht oder nur erschwert auf den Teilbereich des zweiten Endpunkts und damit auf einen möglichen Endpunkt in diesem zweiten Teilbereich zurückgeschlossen werden kann. Dies ist insbesondere dann der Fall, wenn die verschiedenen in einem End-Teilbereich endenden/beginnenden Routen einen unterschiedlichen Routenverlauf aufweisen.

Ein End-Teilbereich, beispielsweise um eine Bahnstation, Bushaltestelle, etc., kann kleiner gewählt werden als ein End- Teilbereich um eine abgelegene kleine Wohnanlage. Durchqueren Teile der Route nach Verlassen eines End-Teilbereichs diesen End-Teilbereich der Route erneut, so werden diese Teile der Route nicht entfernt, da eine solche Entfernung keine weite ^¬ ren Vorteile bei der Maskierung des Endpunktes mehr bringt.

Die Größe der einzelnen Teilbereiche kann entsprechend unter ^¬ schiedlich eingerichtet werden. Es können aber auch Gruppen von Teilbereichen mit jeweils gleicher Größe eingerichtet werden, wobei die unterschiedlichen Gruppen dann unterschied- liehe Größe aufweisen. Alternativ können auch alle Teilbereiche mit gleicher Größe eingerichtet werden. Dabei muss die Größe der Teilbereiche entsprechend der Größe des größten End-Teilbereiches, der die geforderten Bedingungen erfüllt, eingerichtet werden. Eine unkomplizierte Aufteilung des geo- graphischen Bereichs kann beispielsweise durch eine Auftei ^¬ lung in Planquadrate, beispielsweise bezüglich Längen- und Breitengrad, durchgeführt werden.

Figur 5 und 6 zeigen ein entsprechendes Ausführungsbeispiel, in dem die Aufteilung in Teilbereiche anhand eines Gitternet ^¬ zes durchgeführt ist. Der dargestellte geographische Bereich ist mittels eines Gitternetzes in Planquadrate mit den Koor ^¬ dinaten A bis D sowie 1 bis 4 eingeteilt. Figur 5 zeigt nun drei unterschiedliche Routen Rl, R2, R3, mit jeweils einem ersten und zweiten Endpunkt Sl, ZI, S2, Z2, S3, Z3. Mit einer Aufteilung des gezeigten geographischen Bereichs in Teilbereiche entsprechend dem eingezeichneten Git- ternetz werden nun alle Positionsangaben der Routen Rl, R2, R3, die in einem Teilbereich enden, entfernt. Diese End- Teilbereiche sind in Figur 6 separat markiert und mit T4, T5, T6 bezeichnet.

Es werden der jeweilige Endpunkt selbst und alle an dem End ^¬ punkt anschließenden Wegpunkte der Route bis zum Rand des End-Teilbereichs T4, T5, T6 gelöscht. Im dargestellten Bei ^¬ spiel werden aus dem End-Teilbereich T4 die Positionsangaben der Route Rl, punktiert dargestellt, vom Endpunkt Sl bis zum Wegpunkt am Rand der Zelle T4, entfernt. Ebenso werden die Positionsangaben der Route R3, gestrichelt dargestellt, von dem Endpunkt S3 bis zum Rand des End-Teilbereichs T4 ent ^¬ fernt. Die Positionsangaben zu den Wegpunkten der Route R2, gestrichelt dargestellt, die innerhalb des End-Teilbereichs T4 verlaufen, diesen aber passieren, bleiben unverändert erhalten. Aus dem End-Teilbereichs T5 werden die Positionsanga ^¬ ben der Route Rl von dem Endpunkt ZI, der Route R2 vom End ^¬ punkt Z2, der Route R3 vom Endpunkt Z3 jeweils bis zum Rand des End-Teilbereichs T5 entfernt. Aus dem End-Teilbereich T6 werden die Positionsangaben der Route R2 von dem Endpunkt S2 bis zum Rand des End-Teilbereichs T6 entfernt.

Die Positionsangaben der Route Rl, der Route R2 sowie der Route R3, die in den Teilbereichen mit den Koordinaten B3, C2 und C3 gegeben sind bleiben unverändert erhalten; außerdem bleiben die Positionsangaben der Route R2 im Teilbereich mit der Koordinate B2 bzw. End-Teilbereich T4, wie oben bereits erläutert, erhalten. Diese Positionsangaben können nun ausge- geben bzw. abgespeichert und zur weiteren Analyse oder zu Steuerungszwecken ausgegeben werden. Die Daten können beispielsweise zukünftig autonom fahrende Fahrzeuge oder Geräte verwendet werden, um das Fahrzeug oder Gerät auf der zeit ^¬ günstigsten Route zu leiten.

In einer Ausführungsform des Verfahrens werden in dem geographischen Bereich, in dem die mindestens eine betrachtete Rou ^¬ te enthalten ist, lediglich End-Teilbereiche ermittelt. Für den geographischen Bereich außerhalb dieser End-Teilbereiche werden keine Teilbereiche ermittelt. Der geographische Be ^¬ reich außerhalb dieser End-Teilbereiche kann auch als ein einziger Rest-Teilbereich angesehen werden. Innerhalb der End-Teilbereiche werden die Positionsangaben der Endpunkte und an die Endpunkte anschließenden Wegpunkte der betrachte ^¬ ten Route gelöscht. Außerhalb der End-Teilbereiche liegende Wegpunkte und Wegpunkte, die lediglich den End-Teilbereich passieren, also hinein und wieder hinausführen, bleiben er- halten.

Figur 2 zeigt nun eine Vorrichtung zur Bereitstellung aufgezeichneter anonymisierter Routen, die entsprechend dem beschriebenen Verfahren bearbeitet wurden.

Die Vorrichtung 100 umfasst eine Aufteilungseinheit 101, eine Maskierungseinheit 102, eine Ausgabeeinheit 103, sowie optio ^¬ nal eine Speichereinheit 104. Die Einheiten sind miteinander verbunden. Die Vorrichtung kann beispielsweise aus einem oder mehreren Mikroprozessoren aufgebaut sein. Die einzelnen Einheiten 101, 102, 103, 104 können in einer einzigen physischen Einheit integriert sein oder aber in mehreren voneinander separierten physischen Einheiten realisiert sein. Die Speichereinheit 104 kann extern, beispielsweise als ein Datenserver, ausgebildet sein. In der Speichereinheit 104 werden aufge ^¬ zeichnete Routendaten entweder mit oder auch ohne objektidentifizierende Angaben gespeichert. Die Positionsdaten mindes ^¬ tens einer Route, üblicherweise aber einer Vielzahl von Rou ^¬ ten, werden von der Speichereinheit 104 der Aufteilungsein- heit 101 bereitgestellt und an die Aufteilungseinheit 101 übermittelt. Die Aufteilungseinheit 101 kann auch aktiv eine bestimmte Anzahl von Routen oder alle in einem bestimmten Zeitintervall aufgezeichnete Routen von der Speichereinheit 104 anfordern und einlesen. Die Aufteilungseinheit 101 ist derart ausgebildet, den geographischen Bereich in dem die eingelesenen Routen enthalten sind in mindestens einen Teilbereich aufzuteilen. Üblicherweise wird Aufteilung im Teilbereich iterativ vorgenommen. Dazu wird eine erste Aufteilung vorgenommen. Die Aufteilungseinheit 101 überprüft nun, ob weitere Bedingungen für die Aufteilung der Teilbereiche vorliegen. Beispielsweise kann als Bedingung vorliegen, dass die End-Teilbereiche eine Mindestanzahl von Endpunkten enthalten. Entsprechend wird in einem oder mehreren Schritten die Aufteilung an die Bedingungen angepasst bis alle gültigen Bedingungen erfüllt sind.

Die Aufteilungseinheit 101 kann in einer Ausführungsform alle Teilbereiche gleich groß wählen, wobei die Größe der Teilbe ^¬ reiche durch die Mindestgröße der End-Teilbereiche vorgegeben wird. In einer anderen Ausführungsform der Aufteilungseinheit 101 können die Teilbereiche und insbesondere die End-Teilbe ^¬ reiche unterschiedliche Größe aufweisen, wobei jeder einzelne Teilbereich die zugrunde liegenden Bedingungen erfüllen muss. Für den geographischen Bereich in dem keine Route endet, der also kein End-Teilbereich ist, können beliebig große Teilbe ^¬ reiche oder lediglich ein einziger Restteilbereich festgelegt werden .

Die Maskierungseinheit 102 ist derart ausgebildet, innerhalb eines End-Teilbereichs alle Positionsangaben vom Endpunkt bis zum ersten Kontakt mit dem Rand des Maskierungsbereichs zu entfernen. Die Maskierungseinheit 102 gibt die resultierenden Positionsangaben nun an eine Ausgabeeinheit 103 weiter. Die Ausgabeeinheit 103 gibt die Routendaten zur weiteren Analyse und/oder Steuerung beispielsweise an eine Analysevorrichtung aus. Insbesondere können die resultierenden Routendaten in der Ausgabeeinheit 103 gespeichert werden. Die resultierenden Routendaten müssen nicht verschlüsselt abgelegt werden, um eine die De-Anonymisierung zu verhindern, da dies durch das Entfernen der Endstücke der Routen bereits erheblich erschwert oder auch verhindert wird. Die Vorrichtung 100 kann integriert beispielsweise in einem Routenerfassungsserver oder auch als separate Vorrichtung ausgebildet sein. Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Verbindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.