Titel

Verfahren zum Verwalten personenbezogener Daten in einem verteilten System

Die vorgestellte Erfindung betrifft ein Verfahren zum Verwalten von in einem verteilten System gespeicherten personenbezogenen Daten durch einen Nutzer und ein zur Durchführung des vorgestellten Verfahrens konfiguriertes Netzwerk.

Stand der Technik

e Daten, wie sie bspw. von Smartphones gesammelt werden, werden von diesen an Server übertragen und dort verwaltet. Um die personenbezogenen Daten selbst zu verwalten, d. h. bspw. zu löschen, muss ein Nutzer, über den die personenbezogenen Daten gesammelt wurden, in einem aufwendigen Prozess mit einem Eigentümer des Servers in Kontakt treten und diese löschen lassen.

Wenn die personenbezogenen Daten bereits auf mehrere Server bzw.

Netzwerkknoten übertragen wurden, die bspw. verschiedenen Eigentümern zugeordnet sind, muss der Nutzer mit jedem Eigentümer in Kontakt treten bzw. separate Löschinstruktionen in Auftrag geben. Entsprechend ist es für den Nutzer nahezu unmöglich Kontrolle über seine personenbezogenen Daten zu erhalten.

In der Druckschrift DE 10 2009 038 035 AI wird ein Verfahren zur Konfiguration von Infotainmentanwendungen in einem Kraftfahrzeug mittels einer

Konfigurationsschnittstelle offenbart.

Offenbarung der Erfindung Vor diesem Hintergrund werden ein Verfahren nach Anspruch 1 und ein

Netzwerk nach Anspruch 11 vorgestellt. Ausführungsformen ergeben sich aus den abhängigen Ansprüchen und der Beschreibung. Das vorgestellte Verfahren dient insbesondere zum Verwalten von

personenbezogenen Daten, die von einem Netzwerk gesammelt wurden bzw. in einem Netzwerk gespeichert sind. Dazu ist vorgesehen, dass dem Nutzer von dem Netzwerk, d. h. einem verteilten System, eine Benutzerschnittstelle bereitgestellt wird, mittels derer die personenenbezogenen Daten in jeweiligen die personenbezogenen Daten verwaltenden Netzwerkknoten des Netzwerks zu verwalten sind. Personenbezogene Daten sind hierbei Daten, die eindeutig einer bestimmten Person, insbesondere einer natürlichen Person, aber auch einer juristischen Person, zugeordnet sind oder mit einem vertretbaren Aufwand zumindest mittelbar zugeordnet werden können. Es handelt sich bei

personenbezogenen Daten um Angaben über persönliche oder sachliche

Verhältnisse einer bestimmten oder bestimmbaren Person, insbesondere einer natürlichen Person.

Die vorgesehene Benutzerschnittstelle kann insbesondere als sogenanntes „Dashboard" ausgestaltet sein, das einem Nutzer über eine graphische

Oberfläche eine Möglichkeit zum Erstellen von Steuerbefehlen, die zum

Verwalten seiner personenbezogenen Daten in einem Netzwerk geeignet sind, bereitstellt. Selbstverständlich kann die zur Durchführung des vorgestellten Verfahrens vorgesehene Benutzerschnittstelle auch als nicht graphische Schnittstelle, die über eine direkte Eingabe von Steuerbefehlen zu bedienen ist, ausgestaltet sein. Die zur Durchführung des vorgestellten Verfahrens

vorgesehene Benutzerschnittstelle kann von einem Netzwerkknoten, wie bspw. einem mit einem Server verbundenen Endgerät, dargestellt bzw. bereitgestellt werden.

Um jeweilige von einem Nutzer mittels der vorgesehenen Benutzerschnittstelle bereitgestellte Steuerbefehle zum Verwalten von personenbezogenen Daten des Nutzers derart in einem Netzwerk zu verteilen, dass die personenbezogenen Daten des Nutzers gleichartig in dem gesamten Netzwerk, d. h. in allen

Netzwerkknoten des Netzwerks verwaltet, d. h. bspw. gelöscht werden, ist vorgesehen, dass die von dem Nutzer mittels der Benutzerschnittstelle bereitgestellten Steuerbefehle über eine speziell zum Übertragen derartiger Steuerbefehle vorgesehene Schnittstelle zwischen jeweiligen Netzwerkknoten des Netzwerks ausgetauscht werden.

Zum Verwalten jeweiliger personenbezogener Daten mittels der

Benutzerschnittstelle ist es insbesondere erforderlich, dass die

Benutzerschnittstelle zum Verwalten der personenbezogenen Daten zumindest Regeln zum Ermitteln von Informationen darüber umfasst, welche

personenbezogenen Daten von welchem Nutzer bzw. welchem Netzwerkknoten verwaltet wurden bzw. werden. Auf Grundlage dieser Informationen kann ein Nutzer eine Entscheidung darüber treffen, wie er seine personenbezogenen Daten verwalten möchte und entsprechende Steuerbefehle mittels der

Benutzerschnittstelle erzeugen.

Es ist vorgesehen, dass zumindest auf jeweiligen personenbezogene Daten verwaltenden Netzwerkkonten eines Netzwerks eine Schnittstelle eingerichtet ist, die zum Übertragen von durch einen Nutzer mittels der Benutzerschnittstelle bereitgestellten Steuerbefehlen geeignet ist. Die Schnittstelle eines jeweiligen Netzwerkknotens kann durch einen weiteren Netzwerkknoten aufgerufen bzw. aktiviert werden, um personenbezogene Daten, d. h. Daten die einem Nutzer bzw. einem Nutzerpseudonym zugeordnet sind, anzufordern oder an den jeweiligen Netzwerkknoten zu übertragen. Dabei stellt die Schnittstelle insbesondere Funktionen zum Löschen und Korrigieren bzw. Ändern von personenbezogenen Daten bereit und ermöglicht entsprechend eine Kontrolle von personenbezogenen Daten durch den Nutzer bzw. ein mindestens einen Nutzer verwaltendes Verwaltungssystem.

Die Schnittstelle zum Übertragen der durch die Benutzerschnittstelle

bereitgestellten Steuerbefehle zum Verwalten von personenbezogenen Daten kann auf einem jeweiligen Netzwerkknoten bereits vorliegen oder von anderen Netzwerkknoten heruntergeladen werden. Insbesondere ist denkbar, dass jeweilige Steuerbefehle zum Verwalten von personenbezogenen Daten von Netzwerkknoten zu Netzwerkknoten mittels der Schnittstelle weitergereicht werden. Ein möglicher Ablauf eines Weiterreichens von Steuerbefehlen zum Verwalten personenbezogener Daten könnte gemäß dem folgenden Schema ausgestaltet sein.

1) Mittels einer Benutzerschnittstelle werden Steuerbefehle bzw. Funktionen zum Verwalten, bspw. zum Löschen (delete(user, data_desc, Cert) und zur Änderung (correct(user, data_desc, new_data, Cert) von personenbezogenen Daten durch einen Nutzer bereitgestellt. Die in Klammern angegebenen Variablen Bezeichnen dabei folgendes:„user": eine Benutzerkennung und/oder ein Authentifizierungsmerkmal des Nutzers;„data_desc": ein Index, eine Abfrage oder ein anderer Deskriptor, wie bspw. Attribute, der zu löschende bzw. zu ändernde Daten, beschreibt;„new_data": neue Werte zum Ändern der Daten;„Cert" : ein Zertifikat oder anderer Beleg, der nachweist, dass der Nutzer„user" die Daten„data_desc" entweder löschen oder ändern will. Im Änderungsfall umfasst das Zertifikat bzw. der Beleg entsprechende neue Werte.

2) Erhält ein Netzwerkknoten einen Löschbefehl, überprüft der Netzwerkknoten, ob„data_desc" für auf dem Netzwerkknoten gespeicherte personenbezogene Daten„PN" zutreffend ist.

3) Optional prüft der Netzwerkknoten für jedes von dem Löschbefehl betroffene Datum„PN", ob dieses gelöscht werden kann und löscht entweder alle Daten „PN", die gelöscht werden können oder sperrt die Daten„PN", die nicht gelöscht werden können, indem bspw. eine Zugriffskontrollfunktion erstellt wird.

4) Der Netzwerkknoten überprüft, ob der Löschbefehl für weitere mit dem

Netzwerkknoten verbundene Netzwerkknoten zutreffend ist.

5) Falls der Löschbefehl für weitere mit dem Netzwerkknoten verbundene

Netzwerkknoten zutreffend ist, bereitet der Netzwerkknoten den Löschbefehl derart auf, dass dieser bspw. statt einem Nutzerpseudonym für den

Netzwerkknoten„useri" ein Nutzerpseudonym„userk" für den mit dem Netzwerkknoten verbundenen Netzwerkknoten„k" enthält. Weiterhin kann ggf. vorgesehen sein, dass der Löschbefehl für ein Transportprotokoll zwischen den Netzwerkknoten angepasst wird, indem er bspw. komprimiert und/oder verschlüsselt wird. Alternativ kann auch eine angepasste

Schnittstelle„correct _n " dem Löschbefehl zugefügt werden.

6) Der Netzwerkknoten leitet den Löschbefehl an jeweilige mit dem

Netzwerkknoten verbundene Netzwerkknoten weiter, bei denen der voranstehend beschriebene Prozess erneut beginnt.

Erhält ein Netzwerkknoten einen Änderungsbefehl, führt der Netzwerkknoten den folgenden Prozess durch.

1) Der Netzwerkknoten überprüft, ob„data_desc", d. h. ein Index, eine Abfrage oder ein anderer Deskriptor, wie bspw. Attribute, der zu löschende bzw. zu ändernde Daten, beschreibt, auf dem Netzwerkknoten für dort gespeicherte personenbezogene Daten„PN" zutreffend ist.

2) Optional überprüft der Netzwerkknoten für jedes von dem Änderungsbefehl betroffene Datum„PN", ob durch einen Steuerbefehl„Cer , d. h. ein Zertifikat oder anderer Beleg, der nachweist, dass der Nutzer„user" die Daten „data_desc" entweder löschen oder ändern will, belegt ist, dass das Datum „PN", korrigiert werden muss und führt eine Änderung entsprechender Daten „PN" nur dann durch, wenn der Beleg vorliegt.

3) Der Netzwerkknoten ändert das Datum„PN", so dass es nun einen Wert aus einem neuen Datensatz„new_data" enthält.

4) Der Netzwerkknoten überprüft, ob der Änderungsbefehl für weitere

Netzwerkknoten bspw. auch für Netzwerkknoten, die nicht direkt mit dem Netzwerkknoten verbunden sind, zutreffend ist.

5) Der Netzwerkknoten bereitet den Änderungsbefehl derart auf, dass dieser statt einem Nutzerpseudonym„useri" für den Netzwerkknoten„1" nun ein Pseudonym„userk" für einen Netzwerkknoten„k" enthält. Weiterhin passt der Netzwerkknoten den Änderungsbefehl für einen Transport zu einem jeweiligen weiteren Netzwerkknoten an, indem der Änderungsbefehl komprimiert und/oder verschlüsselt wird oder eine angepasste Schnittstellte umfasst.

6) Der Netzwerkknoten leitet den Änderungsbefehl an weitere relevante

Netzwerkknoten weiter, bei denen der voranstehend beschriebene Prozess erneut beginnt. Durch ein Weiterreichen von jeweiligen durch einen Nutzer mittels der

Benutzerschnittstelle bereitgestellten Verwaltungsbefehlen können in einem Netzwerk verteilt gespeicherte personenbezogene Daten zentral von dem Nutzer verwaltet werden.

Um jeweilige Netzwerkknoten zu identifizieren, die personenbezogene Daten eines Nutzers verwalten oder verwaltet haben, kann ein von einem Nutzer bereitgestellter Verwaltungsbefehl an jeweilige gemäß mindestens einem

Übermittlungsprotokoll eines ersten Netzwerkknotens mit dem ersten

Netzwerkknoten aktuell und/oder ehemals verbundene Netzwerkknoten übertragen werden.

Insbesondere bei einem Netzwerk mit verschiedenen Netzwerkknoten, die unterschiedliche Betriebssysteme verwenden, kann es vorgesehen sein, dass die vorgesehene Schnittstelle dazu verwendet wird, von dem Nutzer bereitgestellte

Steuerbefehle an ein jeweiliges Betriebssystem anzupassen und ein Verwalten, d. h. bspw. ein Löschen oder Ändern, von auf den verschiedenen

Netzwerkknoten gespeicherten personenbezogenen Daten zu ermöglichen. Zum Übertragen von Verwaltungsbefehlen über die vorgesehene Schnittstelle kann vorgesehen sein, dass jeweilige die personenbezogenen Daten

verwaltende Netzwerkknoten Speichermittel zum Speichern von Daten und Kommunikationsmittel zum Übermitteln von Daten an einen weiteren

Netzwerkknoten umfassen, wobei jeweilige personenbezogene Daten zwischen den Speichermitteln und den Kommunikationsmitteln über eine

Programmstruktur ausgetauscht werden, die zum Verwalten von mittels der Benutzerschnittstelle bereitgestellten Verwaltungsregeln für die

personenbezogenen Daten verwendet wird. Durch eine Aufteilung von Speichermitteln und Kommunikationsmitteln kann eine

Weiterleitung von Daten durch die Kommunikationsmittel überwacht werden, indem eine Programmstruktur zwischen die Speichermittel und die

Kommunikationsmittel geschaltet wird. Eine derartige Programmstruktur kann sämtliche Zugriffe bzw. Verwaltungsschritte für auf den Speichermitteln gespeicherte Daten protokollieren und entsprechend transparent für einen Nutzer oder ein Verwaltungssystem offenlegen. Weiterhin kann eine derartige

Programmstruktur direkt von einem Nutzer oder einem Verwaltungssystem über die vorgesehene Benutzerschnittstelle mit Verwaltungsbefehlen gesteuert werden und bspw. von dem Nutzer oder dem Verwaltungssystem vorgegebene Weiterleitungsregeln für die personenbezogenen Daten des Nutzers umsetzen. Dazu ist insbesondere vorgesehen, dass jeweilige von einem Endgerät des Nutzers ermittelte personenbezogene Daten exklusiv auf die Speichermittel übertragen werden.

Um eine Verwaltung von personenbezogenen Daten durch nicht autorisierte Nutzer zu verhindern, ist vorgesehen, dass der Nutzer zum Verwalten der personenbezogenen Daten über die Benutzerschnittstelle mittels einer

Endgeräteerkennung und/oder einer Informationsabfrage und/oder mittels eines Kontakts zu einem Sicherheitspersonal authentifiziert wird.

Es ist denkbar, dass als Nutzer ein Hersteller agiert, der mittels des vorgestellten Verfahrens ein Netzwerk aus Komponenten verwaltet, die bspw. von einem Zulieferer geliefert werden, so dass der Hersteller seine eigenen Routinen und Datenschutzlinien in dem Netzwerk implementieren kann.

Ferner betrifft die vorliegende Erfindung ein Netzwerk mit einer Vielzahl

Netzwerkknoten, wobei jeweilige Netzwerkknoten der Vielzahl Netzwerkknoten dazu konfiguriert sind, von einem Endgerät erfasste personenbezogene Daten zu verwalten und untereinander auszutauschen, wobei mindestens ein

Netzwerkknoten des Netzwerks dazu konfiguriert ist, eine Benutzerschnittstelle bereitzustellen, mittels derer mindestens ein Verwaltungsbefehl zum Verwalten der personenbezogenen Daten an den Netzwerkkonten zu übermitteln ist, und wobei jeweilige Netzwerkknoten des Netzwerks dazu konfiguriert sind, den mindestens einen Verwaltungsbefehl zum Verwalten der personenbezogenen Daten über eine speziell zum Übertragen des mindestens einen

Verwaltungsbefehls konfigurierte Schnittstelle auszutauschen.

Das vorgestellte Netzwerk dient insbesondere zur Durchführung des

vorgestellten Verfahrens. Es ist insbesondere vorgesehen, dass mindestens ein Netzwerkknoten des vorgestellten Netzwerks ein Steuergerät bzw. eine Steuereinheit eines

Fahrzeugs oder eines weiteren von einem Nutzer zu verwendenden Endgeräts ist.

Das vorgestellte Netzwerk eignet sich in Kombination mit dem vorgestellten Verfahren dazu, von jeweiligen Endgeräten, die von einem Nutzer verwendet werden, gesammelte personenbezogene Daten zentral mittels einer

Benutzerschnittstelle, die bspw. auf einem jeweiligen Endgerät ausgeführt wird, zu verwalten und entsprechend zu kontrollieren. Dazu ist insbesondere vorgesehen, dass von dem Nutzer bereitgestellte Verwaltungsbefehle zum Verwalten seiner personenbezogenen Daten automatisch über das gesamte Netzwerk verteilt werden.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beigefügten Zeichnungen.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Kurze Beschreibung der Zeichnungen

Figur 1 zeigt eine schematische Darstellung einer möglichen Ausgestaltung des vorgestellten Verfahrens.

Figur 2 zeigt eine mögliche Ausgestaltung einer zur Durchführung des vorgestellten Verfahrens vorgesehenen Benutzerschnittstelle.

Figur 3 zeigt eine weitere mögliche Ausgestaltung einer zur Durchführung des vorgestellten Verfahrens vorgesehenen Benutzerschnittstelle. Figur 4 zeigt eine Verwaltungslogik einer zur Durchführung einer möglichen Ausgestaltung des vorgestellten Verfahrens vorgesehenen Schnittstelle.

In Figur 1 ist ein Nutzer 1 dargestellt, der über eine Benutzerschnittstelle einen Löschbefehl für personenbezogene Daten 3 an einen Netzwerkknoten 7, der die personenbezogenen Daten 3 und Daten 5 enthält, übermittelt, wie durch ein Pfeil 9 bzw. ein durchgestrichenes Symbol für die personenbezogenen Daten 3 angedeutet.

Um die personenbezogenen Daten 3 in einem gesamten Netzwerk 10 zu löschen, überträgt der Netzwerkknoten 7 den Löschbefehl für die

personenbezogenen Daten 3 an einen Netzwerkknoten 11, wie durch Pfeil 13 angedeutet, und an einen Netzwerkknoten 15, wie durch Pfeil 17 angedeutet. Entsprechend werden die personenbezogenen Daten 3 auf dem Netzwerkknoten 15 und 11 gelöscht, wie durch die durchgestrichenen Symbole für die

personenbezogenen Daten 3 angedeutet.

Datenpakete 19 und 21, die auf dem Netzwerkknoten 15 vorliegen, werden jedoch nicht gelöscht, da diese nicht unter von dem Nutzer 1 vorgegebene Löschkriterien fallen.

Ein Netzwerkknoten 23 steht zwar mit dem Netzwerkknoten 7 in Verbindung, hat aber keine personenbezogenen Daten 3 gespeichert, so dass auch kein

Löschbefehl an den Netzwerkknoten 23 übertragen wird. Entsprechend werden auf dem Netzwerkknoten 23 gespeicherte Datenpakete 25 und 27 auch nicht gelöscht.

Der Löschbefehl zum Löschen der personenbezogenen Daten 3 kann bspw. derart gestaltet sein, dass dieser einen Befehl umfasst, all die Daten zu löschen, die das Wort„Nutzer" enthalten oder in einem vorgegeben Zeitraum über den Nutzer 1 gespeichert wurden. Selbstverständlich ist es auch denkbar, die personenbezogenen Daten 3 ortsspezifisch zu löschen, so dass alle

personenbezogenen Daten, die an einem Ort„A" erfasst wurden bzw. dem Ort „A" zugeordnet sind, gelöscht werden. In Figur 2 ist eine Benutzerschnittstelle 30 dargestellt, die einem Nutzer durch Textfenster 31, 33, 35, 37 und 39 jeweilige personenbezogene Daten, wie bspw. ein Protokoll über von dem Nutzer von seinem Smartphone angeforderte Dienste darstellen. Entsprechende den Textfenstern 31 bis 39 zugeordnete

Protokolleinträge können von dem Nutzer mittels graphischer Steuerelemente 41 bis 49 verwaltet, d. h. bspw. gelöscht werden. Dazu wählt der Nutzer über bspw. das Steuerelement 41 einen jeweiligen Verwaltungsbefehl, wie bspw. einen Löschbefehl aus. Die Benutzerschnittstelle 30 überträgt den Löschbefehl an einen ersten Netzwerknoten, der entsprechende Daten in dem Protokoll löscht und den Löschbefehl an mit dem Netzwerkknoten verbundene Netzwerkknoten weiterleitet.

In Figur 3 ist eine weitere Benutzerschnittstelle 50 dargestellt. Die

Benutzerschnittstelle stellt einem Nutzer eine graphische Übersicht über ein Netzwerk 51, in dem personenbezogene Daten des Nutzers ausgetauscht werden, bereit. Vorliegend werden von einem Endgerät 53 gesammelte nutzerbezogene Daten an einen Netzwerkknoten 55 einer ersten Firma und einen Netzwerkknoten 57 einer zweiten Firma weitergeleitet. Der Nutzer kann über ein Steuerelement 59 direkt auf eine Verwaltungsstelle zum Verwalten seiner personenbezogenen Daten durch die erste Firma und über ein

Steuerelement 61 direkt auf eine Verwaltungsstelle zum Verwalten seiner personenbezogenen Daten durch die zweite Firma zugreifen, so dass bspw. eine Weiterleitung der personenbezogenen von dem Endgerät 53 zu dem

Netzwerkknoten 55 der ersten Firma mittels entsprechender Einstellungen auf der Verwaltungsstelle der ersten Firma unterbrochen werden kann.

In Figur 4 ist eine Verwaltungslogik einer Schnittstelle 70 dargestellt. Die Schnittstelle 70 umfasst eine Programmstruktur 71, die über einen ersten Datenübertragungsteil 73 mit einer ersten Netzwerkkomponente 75, wie bspw. einem Speicher und über einen zweiten Datenübertragungsteil 77 mit einer zweiten Netzwerkkomponente 79, wie bspw. einem Kommunikationselement verbunden ist. Von einem Endgerät 81 werden personenbezogene Daten an einen

Netzwerkknoten 83 übermittelt, der aufgrund der personenbezogenen Daten ein Nutzermodell ermittelt und in der ersten Netzwerkkomponente 75 hinterlegt.

Ferner stellt die Programmstruktur 71 eine Benutzerschnittstelle 85 bereit, durch die ein Nutzer der Programmstruktur 71 Verwaltungsbefehle vorgegeben kann, gemäß denen jeweilige mittels der Schnittstelle 70 von der ersten

Netzwerkkomponente 75 zu der zweiten Netzwerkkomponente 79 und über diese an einen weiteren Netzwerkknoten 87 zu übertragende Daten zu verwalten, d. h. bspw. in Abhängigkeit jeweiliger Nutzervorgaben zu filtern, sind.