Schutzvorrichtung zum Schutz der Privatsphäre einer Person Die Erfindung betrifft eine Schutzvorrichtung zum Schutz der Privatsphäre einer Person, insbesondere in einem IoT (Internet of Things) -System.

Geräte aus allen Teilbereichen des täglichen Lebens werden zunehmend miteinander vernetzt. Die Kommunikation der Geräte erfolgt dabei mithilfe von Sensoren, Detektoren und Datennetzwerken, die ihrerseits durch Verknüpfung ein globales Netzwerk bilden. Das sogenannte Internet der Dinge betrifft die elektronische Vernetzung von Gegenständen aus dem alltäglichen Lebensbereich von Personen. Im Internet der Dinge werden eindeutig identifizierbare physische Objekte bzw. Geräte mit einer Da ^¬ tenrepräsentation innerhalb des globalen Netzwerkes ver- knüpft. Die Subjekte dieses Netzwerkes umfassen neben mensch ^¬ lichen Teilnehmern bzw. Personen auch Objekte bzw. Geräte, die miteinander kommunizieren. Ein IoT-System kann eine Vielzahl unterschiedlichster IoT-Sensoren aufweisen, welche Daten ihrer jeweiligen Umgebung erfassen. IoT-Sensoren können Fak- toren, wie beispielsweise Standorte, Temperaturen oder Bewe ^¬ gungsgeschwindigkeit erfassen und an eine lokale oder ent ^¬ fernt gelegene Datenverarbeitungseinheit zur Datenauswertung liefern. Ein Internet der Dinge bzw. IoT-System kann in verschiedensten Anwendungsbereichen eingesetzt werden, bei- spielswiese im Bereich der Stromversorgung, der Gebäudeautomatisierung, im Gesundheitswesen, oder im Bereich der Logistik bzw. des Verkehrswesens. IoT-Anwendungen können dabei Nutzern unterschiedlichste Dienstleistungen zur Verfügung stellen. Beispielsweise kann ein In-Car-Service einem Nutzer bei der Suche eines Parkplatzes innerhalb eines Stadtgebietes unterstützen oder die nächstgelegene Apotheke für den Nutzer auffinden. Die IoT-Sensoren können dabei in einem bestimmten Bereich, beispielsweise einem Gebäude, fest montiert sein oder auch mobil sein. Zunehmend werden auch Kleidungsstücke von Nutzern bzw. Personen mit IoT-Sensoren ausgestattet, die personenbezogene Daten an das IoT-System übertragen. Personenbezogene Daten sind bereits im traditionellen Umfeld weit mehr als nur Name und Adresse einer Person, wie bei ^¬ spielsweise die im Artikel "Seven Types of Privacy", von Ra ^¬ chel L. Finn, David Wright and Michael Friedewald, die in S. Gutwirth et al, „European Data Protection: Coming of Age", Dordrecht: Springer Science and Business Media, 2013, (URL http : //works . bepress . com/michael_friedewald/ 60/) erläutert sind .

Personenbezogene Daten umfassen Daten, die sich auf menschli- che Individuen beziehen, und die es erlauben, diese Individuen entweder direkt oder nach Analyse und Auswertung gegebenenfalls unter Korrelation und Fusion mit anderen Informationsquellen, welche dem Datenverarbeiter tatsächlich oder potentiell zur Verfügung stehen, zu identifizieren, auch ohne dass ein Name damit assoziiert wird, und Rückschlüsse auf As ^¬ pekte des Individuums zu ziehen, die deren Privatsphäre zuzu ^¬ ordnen sind, wie beispielsweise deren physischer Person, Verhalten, Handlungen, Kommunikation, Abbilder, Gedanken, Gefühle, Aufenthaltsort oder Kontakte.

Die "36th International Privacy Conference of the Data Pro ^¬ tection and Privacy Commissioners " , Republic of Mauritius, Webseite, Oktober 2014, (URL

http : //www . govmu . org/English/News /Pages /Mauritius-Hosts-36th- International-Conference-of-Data-Protection-and-Privacy-

Commissioners . aspx) , ebenso wie die "Article 29 Data protec ^¬ tion working party, Opinion 8/2014 on the on Recent

Developments on the Internet of Things", Technischer Bericht 14/EN WP 223, European Union, September 2014, (URL

http://ec.europa.eu/justice/data-protection/article- 29/documentation/opinion- recommendation/files/2014 /wp223_en . pdf) , empfiehlt alle IoT- Sensor-Daten als personenbezogene Daten zu betrachten und dementsprechend von Beginn der Datensammlung an so zu behandeln .

Die zunehmende Flut personenbezogener Daten schränken die Privatsphäre von Personen signifikant ein. Die Personen haben dabei in der Regel keinerlei Kontrolle, wo die erfassten per ^¬ sonenbezogenen Daten gespeichert und für welchen Zweck sie ausgewertet werden. Die US 2012 / 0 222 083 AI zeigt ein Netzwerk, in dem Zugangsrechte zu einzelnen Diensten bzw. Systemen basierend auf Profilen, sog. „Privacy Profiles", genehmigt oder abgelehnt werden . Die WO 2014 / 175 721 AI zeigt ebenfalls ein System, bei wel ^¬ chem eine sog. „Privacy Access Policy" genutzt wird, um den Zugriff von Diensten auf Daten zu regeln.

In „The Internet of Things: A Survey from the Data-Centric Perspective" von C.C. Aggarwal wird ein Überblick über das

Internet-of-Things gegeben, der auch das Problem der Datensi ^¬ cherheit einschließt.

Es ist eine Aufgabe der vorliegenden Erfindung, eine Vorrich- tung und ein Verfahren zum Schutz der Privatsphäre von natürlichen Personen zu schaffen.

Diese Aufgabe wird erfindungsgemäß durch eine Schutzvorrich ^¬ tung zum Schutz der Privatsphäre einer Person mit den in Pa- tentanspruch 1 angegebenen Merkmalen gelöst.

Die Umsetzungsmöglichkeiten der Respektierung des Willens dieser Person im Hinblick auf deren Privatsphäre hängen dabei von der Ausgestaltung des konkreten IoT-Systems ab.

Bei einer möglichen Ausführungsform der erfindungsgemäßen Schutzvorrichtung ist die Schutzvorrichtung ein von einer Person tragbares Hardware-Token . Dieses Hardware-Token ist bevorzugterweise ein von einer vertrauenswürdigen Stelle zertifiziertes Hardware-Token .

Bei einer weiteren möglichen Ausführungsform der erfindungs- gemäßen Schutzvorrichtung ist die Signalisierungseinheit eine aktive Signalisierungseinheit, die einen Sender aufweist, der ein Schutzsignal aussendet, das die Zustimmung oder Ablehnung der betreffenden Person zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten generell oder für bestimmte IoT-Anwendungen signalisiert.

Bei einer alternativen Ausführungsform ist die Signalisierungseinheit eine passive Signalisierungseinheit, welche beim Empfang eines Abfragesignals ein Schutzsignal zurücksendet, das die Zustimmung oder Ablehnung der betreffenden Person zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten signalisiert .

Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Schutzvorrichtung ist die Signalisierungseinheit der Schutzvorrichtung durch eine Person über eine Schnittstelle aktivierbar oder deaktivierbar.

Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Schutzvorrichtung ist das von der Signalisierungseinheit ausgesendete Schutzsignal ein Funksignal, dessen Reich ^¬ weite im Wesentlichen der Reichweite von IoT-Sensoren eines entsprechenden IoT-Systems entspricht.

Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Schutzvorrichtung schaltet das von der Schutzvorrichtung der Person stammende Schutzsignal weitere von der glei- chen Person getragene, zugeordnete oder zuordenbare Geräte, insbesondere ein Mobilfunkgerät oder einen Fitness-Tracker, in einen Schutzbetriebsmodus zum Schutz der Privatsphäre der betreffenden Person. Die Erfindung schafft ferner ein IoT-System mit den in Patentanspruch 8 angegebenen Merkmalen. Bei einer möglichen Ausführungsform des erfindungsgemäßen IoT-Systems stammt das Schutzsignal von einer tragbaren

Schutzvorrichtung zum Schutz einer Privatsphäre einer Person, wobei die Schutzvorrichtung eine Signalisierungseinheit auf ^¬ weist, die eine Zustimmung oder Ablehnung einer Person zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung von durch IoT-Sensoren des IoT-Systems erfassbaren personenbezogenen Daten der Person signalisiert . Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen IoT-Systems schaltet das IoT-System nach Detektion eines von einer Schutzvorrichtung stammenden Schutzsignals in einen Schutzbetriebsmodus zum Schutz der Privatsphäre der Person bei der Erfassung und/oder Verarbeitung und/oder Spei- cherung und/oder Weitergabe und/oder Auswertung der personenbezogenen Daten der betreffenden Person.

Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen IoT-Systems bestätigt das IoT-System der Person die Detektion des von seiner Schutzvorrichtung stammenden Schutzsignals .

Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen IoT-Systems erfassen die IoT-Sensoren des IoT-Systems in dem Schutzbetriebsmodus Daten nur grobgranular und/oder das IoT-System speichert Daten nur kurzfristig und/oder wertet diese Daten nur eingeschränkt aus.

Die Erfindung schafft gemäß einem weiteren Aspekt ein Date- nerfassungsgerät zur Erfassung von Daten mit den in Patentanspruch 13 angegebenen Merkmalen. Bei einer möglichen Ausführungsform des erfindungsgemäßen Datenerfassungsgerätes ist das Datenerfassungsgerät integriert in ein Smartmeter-Messgerät oder assoziiert mit einem Smart ^¬ meter-Messgerät zur Messung eines Stromverbrauchs innerhalb eines Haushalts einer Person.

Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Datenerfassungsgerätes ist das Datenerfassungsgerät integriert in einen Fitness-Marker oder assoziiert mit einem Fitness-Tracker zur Messung von Körperfunktionen einer Person .

Die Erfindung schafft gemäß einem weiteren Aspekt ein Mobil ^¬ funkgerät für einen Nutzer mit den in Patentanspruch 14 ange- gebenen Merkmalen.

Die Erfindung schafft gemäß einem weiteren Aspekt einen

Schutzsignaldetektor zur Detektion eines Schutzsignals mit den in Patentanspruch 15 angegebenen Merkmalen.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Schutzsignaldetektors ist der Schutzsignaldetektor über eine Datenschnittstelle an ein tragbares Gerät anschließbar, ins ^¬ besondere an ein tragbares Mobilfunkgerät oder an ein tragba- res Datenerfassungsgerät. Bei einer anderen möglichen Ausfüh ^¬ rungsform ist der Schutzsignaldetektor integriert in einen oder assoziiert mit einem IoT-Sensor oder -Datenerfassungs ^¬ gerät . Die Erfindung schafft ferner gemäß einem weiteren Aspekt ein Verfahren zum Schutz der Privatsphäre einer Person.

Im Weiteren werden mögliche Ausführungsformen der verschiedenen erfindungsgemäßen Aspekte unter Bezugnahme auf die beige- fügten Figuren näher erläutert.

Es zeigen: Fig. 1 eine schematische Darstellung eines IoT-Systems, welches eine erfindungsgemäße Schutzvorrichtung zum Schutz der Privatsphäre einer Person verwendet; Fig. 2 ein Blockschaltbild zur Darstellung eines Ausführungsbeispiels einer erfindungsgemäßen Schutzvorrichtung;

Fig. 3 ein Blockschaltbild zur Darstellung eines weiteren

Ausführungsbeispiels einer erfindungsgemäßen

Schutzvorrichtung;

Fig. 4 eine schematische Darstellung eines IoT-Systems, bei dem die erfindungsgemäße Schutzvorrichtung ein- gesetzt werden kann;

Fig. 5 eine schematische Darstellung zur Darstellung eines weiteren exemplarischen IoT-Systems, bei dem die erfindungsgemäße Schutzvorrichtung eingesetzt wer- den kann;

Fig. 6 eine schematische Darstellung eines weiteren exemplarischen IoT-Systems, bei dem die erfindungsgemäße Schutzvorrichtung eingesetzt werden kann;

Fig. 7 eine schematische Darstellung einer ersten Ausführungsform eines erfindungsgemäßen Detektors zur Erfassung eines Schutzsignals; Fig. 8 eine schematische Darstellung eines weiteren Aus ^¬ führungsbeispiels eines erfindungsgemäßen Detektors zur Erfassung eines Schutzsignals;

Fig. 9 ein einfaches Ablaufdiagramm zur Darstellung eines

Ausführungsbeispiels eines erfindungsgemäßen Ver ^¬ fahrens zum Schutz der Privatsphäre einer Person. Fig. 1 zeigt schematisch ein Ausführungsbeispiel eines erfin ^¬ dungsgemäßen IoT-Systems 1, bei dem eine erfindungsgemäße Schutzvorrichtung 2 zum Schutz der Privatsphäre einer Person P eingesetzt werden kann. Wie in Fig. 1 zu erkennen, führt eine Person P eine Schutzvorrichtung 2 zum Schutz seiner Privatsphäre mit sich. Diese Schutzvorrichtung 2 ist vorzugswei ^¬ se ein tragbares Hardware-Token, welches beispielsweise an der Kleidung der zu schützenden Person P angebracht ist. Beispielsweise kann das Schutz-Hardware-Token 2 an ein Klei- dungsstück angeklemmt werden oder in einer Tasche des Kleidungsstücks von der Person P mitgeführt werden. Die Schutzvorrichtung 2 weist eine Signalisierungseinheit auf, welche die Zustimmung oder Ablehnung der Person zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weiterga- be und/oder Auswertung von durch IoT-Sensoren 3-1, 3-2, 3-3 des IoT-Systems 1 erfassbaren personenbezogenen Daten der Person P signalisiert. Anzahl und Art der verschiedenen IoT- Sensoren 3-i kann für die verschiedenen Anwendungsbereiche variieren. Die IoT-Sensoren 3-i können beispielsweise opti- sehe oder akustische Sensoren sein, die relevante Sensordaten über ein Datennetzwerk 4 an eine Datenverarbeitungseinheit 5 des IoT-Systems 1 zur Auswertung der Daten liefern. Bei dem Datennetzwerk 4 kann es sich beispielsweise um das Internet handeln. Alternativ kann das Datennetzwerk 4 auch ein lokales Netzwerk beispielsweise innerhalb eines Gebäudes sein. Das IoT-System 1 verfügt neben den IoT-Sensoren zusätzlich über Detektoren eines von der Schutzvorrichtung 2 stammenden

Schutzsignals SS. Bei dem in Fig. 1 dargestellten Ausführungsbeispiel verfügt das IoT-System 1 über Detektoren 6-1, 6-2, 6-3. Diese Schutzsignaldetektoren 6-i können separat mit dem Datennetzwerk 4 verbunden sein oder beispielsweise kann ein Detektor 6-3 in einem IoT-Sensor 3-3 integriert sein.

Das Schutzsignal SS signalisiert die Zustimmung oder Ableh- nung der Person P zur Erfassung und/oder Verarbeitung

und/oder Speicherung und/oder Weitergabe und/oder Auswertung der von den IoT-Sensoren 3-i erfassten personenbezogenen Daten der Person P. Beispielsweise kann eine Person P an einem Eingang eines Gebäudes eine Schutzvorrichtung 2 an ihrer Kleidung anbringen, sodass sie während ihrer Bewegung innerhalb des Gebäudes eine Zustimmung oder Ablehnung zur Auswertung seiner personenbezogenen Daten signalisiert. Bei einer möglichen Ausführungsvariante signalisiert eine angelegte

Schutzvorrichtung 2 eine Ablehnung der betreffenden Person P zur Auswertung seiner personenbezogenen Daten durch eine Datenverarbeitungseinheit des IoT-Systems. Bei einer alternati ^¬ ven Ausführungsvariante kann eine Person P durch Anlegen ei- ner Schutzvorrichtung 2 auch ausdrücklich eine Zustimmung zur weiteren Datenauswertung seiner personenbezogenen Daten bekunden bzw. signalisieren. Bei einer weiteren Ausführungsvariante hat eine Person P beispielsweise beim Betreten eines Gebäudes die Möglichkeit, zwischen verschiedenen Arten von Schutzvorrichtungen bzw. Hardware-Tokens zu wählen, wobei ein erster Typ von Schutzvorrichtungen eine Zustimmung signalisiert und ein anderer Typ eine Ablehnung zur weiteren Datenauswertung der personenbezogenen Daten signalisiert. Bei einer weiteren Ausführungsvariante kann die betreffende Person P beim Anlegen der Schutzvorrichtung 2 eine Eingabeeinheit bzw. einen Schalter betätigen, wobei in Abhängigkeit von der Schalterstellung entweder ein Schutzsignal zur Signalisierung seiner Zustimmung oder ein Schutzsignal zur Signalisierung seiner Ablehnung durch eine Signalisierungseinheit der

Schutzvorrichtung 2 ausgesendet wird.

Die von der Person P getragene Schutzvorrichtung 2 ist vorzugsweise ein leichtes innerhalb eines Gehäuses integriertes Hardware-Token mit einer darin befindlichen Signalisierungs- einheit. Bei einer möglichen Ausführungsform der erfindungsgemäßen Schutzvorrichtung 2 ist die in dem Hardware-Token integrierte Signalisierungseinheit eine aktive Signalisierungs ^¬ einheit, welche einen Sender enthält, der mindestens ein Schutzsignal SS aussendet. Bei einer möglichen Ausführungs- form ist das Schutz-Hardware-Token 2 ein zertifiziertes To- ken. Beispielsweise kann die Schutzvorrichtung 2 durch eine geeignete Kontrollstelle zertifiziert werden. Bei einer mög ^¬ lichen Ausführungsform der erfindungsgemäßen Schutzvorrich- tung 2 sendet der Sender der Signalisierungseinheit ein ano ^¬ nymes Schutzsignal SS aus, das durch die entsprechende Detek ^¬ toren 6-i des IoT-Systems 1 detektierbar ist. Dabei kann das Schutzsignal bei einer möglichen Ausführungsform durch ein Funksignal gebildet werden, dessen Reichweite im Wesentlichen der Reichweite der IoT-Sensoren 3-i des IoT-Systems 1 ent ^¬ spricht .

Bei einer möglichen Ausführungsform kann das von der Schutz- Vorrichtung 2 der Person P stammende Schutzsignal SS weitere von der Person P getragene Geräte in einen Schutzbetriebsmo ^¬ dus zum Schutz der Privatsphäre der Person P schalten bzw. beeinflussen. Führt beispielsweise die Person P ein Mobil ^¬ funkgerät mit sich, wird bei einer möglichen Ausführungsform dieses Mobilfunkgerät bei Detektion des Schutzsignals SS durch einen integrierten oder daran angeschlossenen Detektor automatisch ebenfalls in einen Schutzbetriebsmodus zum Schutz der Privatsphäre der Person P umgeschaltet. Auf diese Weise ist es beispielsweise einer Person P innerhalb eines Gebäudes möglich, sich anonym zu bewegen, ohne dass etwa Geolokations- daten von dem Mobilfunkgerät übertragen werden.

Das IoT-System 1 weist eine Vielzahl unterschiedlicher IoT- Sensoren 3-i zur Erfassung von Daten auf, die durch mindes- tens eine Datenauswerteeinheit des IoT-Systems 1 ausgewertet werden können.

Bei einer möglichen Ausführungsform wird das IoT-System nach Detektion eines vorbestimmten Schutzsignals SS, welches von einer Schutzvorrichtung 2 einer Person P stammt, zum Schutz der Privatsphäre der betreffenden Person P automatisch von einem normalen Betriebsmodus in einen Schutzbetriebsmodus um ^¬ geschaltet, bei der die Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung der personenbezogenen Daten der betreffenden Person P entweder vollständig unterbleibt oder nur eingeschränkt erfolgt. Bei einer möglichen Ausführungsform des in Fig. 1 dargestellten IoT-Systems 1 wird die Detektion eines Schutzsignals SS durch einen Detektor 6-i des IoT-Systems 1 seitens des IoT- Systems der Person P, welche die Schutzvorrichtung 2 trägt bzw. mit sich führt, bestätigt. Beispielsweise kann der Per ^¬ son P die Detektion des ausgesendeten Schutzsignals SS auf einer optischen Anzeigeeinheit, die sich beispielsweise in der Nähe des zugehörigen IoT-Sensors 3-i befindet, angezeigt werden. Alternativ kann das IoT-System seinerseits ein Signal zu einem innerhalb des tragbaren Schutz-Hardware-Tokens 2 be ^¬ findlichen Empfänger übertragen, um die Detektion des Schutzsignals SS zu quittieren. Nach Empfang des Quittierungssig- nals kann beispielsweise das tragbare Schutz-Hardware-Token 2 eine Vibrations-Rückmeldung geben oder eine LED aufleuchten lassen, um der Person P die Detektion des Schutzsignals SS seitens des IoT-Systems 1 und den damit verbundenen Schutz seiner Privatsphäre zu signalisieren.

Bei einer möglichen Ausführungsform des erfindungsgemäßen IoT-Systems werden nach Umschalten in den Schutzbetriebsmodus Daten seitens der IoT-Sensoren 3-i nur grobgranular erfasst. Beispielsweise werden Ortsdaten hinsichtlich des Aufenthalts ^¬ ortes der Person P grobgranular mit einer geringen örtlichen Auflösung erfasst und/oder seitens des IoT-Systems 1 ausge- wertet. Beispielsweise können die sensorisch erfassten Orts ^¬ daten angeben, dass sich die Person P in einem bestimmten größeren Bereich oder Gebäude befindet, jedoch nicht genau an welcher Stelle. Fig. 2 zeigt ein einfaches Blockschaltbild zur Darstellung eines Ausführungsbeispiels einer erfindungsgemäßen Schutzvorrichtung 2 zum Schutz einer Privatsphäre einer Person P, welche die Schutzvorrichtung 2 mit sich trägt bzw. mit sich führt. Die Schutzvorrichtung 2 enthält bei dem dargestellten Ausführungsbeispiel eine Signalisierungseinheit 2A, die eine Zustimmung oder Ablehnung zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung von personenbezogenen Daten der betreffenden Person P signa- lisiert. Die Signalisierungseinheit 2A erhält bei einer mög ^¬ lichen Ausführungsform einen Sender, welcher ein vorbestimmtes Schutzsignal SS, beispielsweise ein Funksignal mit einer bestimmten Frequenz, aussendet. Bei einer möglichen Ausfüh- rungsform verfügt die Schutzvorrichtung 2 über eine integrierte Energieversorgungseinheit 2B, welche die Signalisie ^¬ rungseinheit 2A mit Energie versorgt. Bei einer alternativen Ausführungsform kann die Schutzvorrichtung 2 auch eine passive Schutzvorrichtung sein, die erst bei Empfang eines Abfra- gesignals ein entsprechendes Schutzsignal SS erzeugt und aus ^¬ sendet, wobei die hierfür nötige Energie aus dem Abfragesig ^¬ nal gewonnen wird.

Fig. 3 zeigt ein weiteres Ausführungsbeispiel der erfindungs- gemäßen Schutzvorrichtung 2 zum Schutz der Privatsphäre einer Person P. Bei dem in Fig. 3 dargestellten Ausführungsbeispiel verfügt die Schutzvorrichtung 2 zusätzlich über eine Nutzerschnittstelle 2C. Über die Nutzerschnittsteile 2C kann eine Schutzvorrichtung 2 mit sich führende Person P die Schutzvor- richtung 2 zum Aussenden eines Schutzsignals SS aktivieren oder deaktivieren. Bei einer weiteren möglichen Ausführungsform kann die Person P über die Nutzerschnittsteile 2C wäh ^¬ len, ob das ausgesendete Schutzsignal SS eine Zustimmung oder eine Ablehnung zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten signalisiert. Weitere Ausführungsformen sind möglich. So weist die Schutzvorrichtung 2 bei einer möglichen weiteren Ausführungsvariante einen Empfänger auf zum Empfang eines Quittierungssignals von dem IoT-System 1. Dieses Quittierungssignal quittiert den Empfang des Schutz ^¬ signals SS durch einen entsprechenden Detektor 6-i des IoT- Systems 1. Dieses Quittierungssignal kann seinerseits einen in der Schutzvorrichtung 2 integrierten Aktor aktivieren, der beispielsweise das Gehäuse der Schutzvorrichtung 2 zum Vib- rieren bringt oder eine LED aufleuchten lässt, um der tragenden Person P die erfolgreiche Detektion des Schutzsignals SS seitens des IoT-Systems 1 anzuzeigen. Fig. 4 zeigt schematisch ein Anwendungsbeispiel eines IoT- Systems 1, bei dem die erfindungsgemäße Schutzvorrichtung 2 eingesetzt werden kann. Bei dem in Fig. 4 dargestellten Anwendungsbeispiel betritt eine Person P ein Kaufhaus KA, bei dem sich im Eingangsbereich ein Korb KO befindet. In dem Korb KO liegen verschiedene Schutzvorrichtungen bzw. Hardware- Tokens 2-i, welche eine Person P aus dem Korb KO entnehmen kann und sich an das Kleidungsstück stecken kann. Bei dem in Fig. 4 dargestellten Beispiel hat sich eine Person P einen Schutz-Hardware-Token 2-0 an die Brust geklemmt und fährt über eine Rolltreppe R in einen ersten Stock des Kaufhauses KA. Dort befinden sich in einem Regal verschiedene Produkte PR, welche die Person P für seine Kaufentscheidung betrachtet. Das Verhalten der Person P während des Kaufens kann durch verschiedene IoT-Sensoren 3-i des IoT-Systems 1 über ^¬ wacht bzw. beobachtet werden, beispielsweise welche Produkte PR die Person P betrachtet bzw. vor welchen Regalen die Person P stehen bleibt. Das von der Schutzvorrichtung 2-0 der Person P ausgesendete Schutzsignal SS wird bei dem in Fig. 4 dargestellten IoT-System 1 durch Signaldetektoren 6-i er- fasst. Nach Erfassung des Schutzsignals SS, welches bei ^¬ spielsweise eine Ablehnung der Person P zur Erfassung

und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten signa- lisiert, wird das IoT-System 1 automatisch in einen Schutzbetriebsmodus zum Schutz der Privatsphäre der Person P umge ^¬ schaltet. In diesem Schutzbetriebsmodus werden dann die er- fassten personenbezogenen Daten der Person P beispielsweise entweder gar nicht erfasst oder sofort wieder gelöscht oder nicht ausgewertet oder nur in eingeschränkter Weise ausgewertet. Die Detektion des Schutzsignals SS durch einen der De ^¬ tektoren 6-i kann bei einer möglichen Ausführungsform seitens des IoT-Systems 1 durch Aussenden eines Quittierungssignals quittiert werden, sodass die Person P während des Kaufvor- gangs weiß, dass seine Privatsphäre geschützt wird. Bei Ver ^¬ lassen des Kaufhauses KA kann die Person P das von ihm getra ^¬ gene Schutz-Hardware-Token 2-0 zurück in den Korb KO zurücklegen . Fig. 5 zeigt ein weiteres Anwendungsbeispiel für ein erfin ^¬ dungsgemäßes IoT-System 1. In dem dargestellten Ausführungsbeispiel befindet sich eine Person P innerhalb seines Privat- hauses HA. In dem Haushalt HA sind verschiedene Geräte bzw. Haushaltsgeräte Gl, G2, G3, G4 aufgestellt, die ein lokales Stromnetz bilden, das über ein Smartmeter-Messgerät mit einem Stromversorgungsnetzwerk SNW verbunden ist. Das Smartmeter- Messgerätbildet einen IoT-Datensensor 3 des IoT-Systems 1. Der Smartmeter 3 erfasst den individuellen Stromverbrauch innerhalb des Haushalts HA der Person P. Bei dem in Fig. 5 dargestellten Ausführungsbeispiel ist in dem Smartmeter-Messge ^¬ rät 3 ein Detektor 6 integriert, welcher ein Schutzsignal SS detektieren kann, welches von einem Schutz-Hardware-Token 2 der Person P stammt. Im Normalbetrieb überträgt der Smart ^¬ meter 3 über ein Datennetzwerk 4 die Stromdaten an eine entfernte Datenverarbeitungseinheit 5 zur Datenauswertung, bei ^¬ spielsweise an einen Server des Stromnetzbetreibers. Das von dem Schutz-Hardware-Token 2 ausgehende Schutzsignal SS kann dabei signalisieren, dass der Kunde bzw. die Person P einer Auswertung seiner individuellen Strombezugsdaten nur in bestimmter Weise zustimmt. Beispielsweise kann das Schutzsignal SS anzeigen, dass der Stromnetzbetreiber die strombezogenen Daten, die in Anwesenheit der Person P ermittelt wurden, nicht an weitere Institutionen bzw. Einrichtungen weitergeben darf. Alternativ kann durch ein von dem Schutz-Hardware-Token 2 ausgesendetes Schutzsignal SS, das durch den Detektor 6 des Smartmeter-Messgerätes detektiert wird, angezeigt werden, dass etwa die individuellen Stromverbrauchsdaten des Strom- künden P nur lokal aufgezeichnet werden sollen und nicht über das Datennetzwerk 4 an eine entfernt gelegene Datenverarbei ^¬ tungseinheit 5 übertragen werden sollen oder die Stromdaten nur in gröberen zeitlichen Abständen akkumuliert weitergegeben werden dürfen, solange sich die Person P in der Wohnung aufhält.

Fig. 6 zeigt ein weiteres Anwendungsbeispiel für ein erfin ^¬ dungsgemäßes IoT-System 1, bei dem eine Schutzvorrichtung 2 zum Schutz der Privatsphäre einer Person P eingesetzt werden kann. Bei dem in Fig. 6 dargestellten Beispiel führt die Person P beispielsweise während einer Sportaktivität einen soge ^¬ nannten Fitness-Tracker mit sich, welcher beispielsweise an einem Handgelenk der Person P angebracht ist. Dieser Fitness- Tracker bildet einen IoT-Sensor 3 des IoT-Systems 1 und gene ^¬ riert fortlaufend Sensordaten, welche Körperfunktionen, beispielsweise den Herzschlag, der Person P messen. Die Person P führt bei dem dargestellten Anwendungsbeispiel ferner ein mo- biles Endgerät, beispielsweise ein Smartphone 7, mit sich. In dem Smartphone 7 ist bei dem dargestellten Ausführungsbei ^¬ spiel ein Detektor 6 zur Detektion eines von der Schutzvorrichtung 2 ausgesendeten Schutzsignals SS vorgesehen. Der Detektor 6 kann über eine Datenschnittstelle an das mobile End- gerät 7 angeschlossen sein oder innerhalb des mobilen Endgerätes 7 integriert sein. Das von dem Detektor 6 detektierte Schutzsignal SS wird durch eine Sendeeinheit des mobilen End ^¬ gerätes 7 über eine Luftschnittstelle an einen Access Point AP übertragen. Bei einer möglichen Ausführungsform kann das empfangene Schutzsignal SS zu einem Umschalten des IoT-

Systems 1 von einem normalen Betriebsmodus in einen Schutzbe ^¬ triebsmodus führen. Weiterhin kann das von dem Detektor 6 des mobilen Endgerätes 7 detektierte Schutzsignal SS dazu führen, dass die von dem Fitness-Tracker 3 stammenden Sensordaten in entsprechender Weise aufbereitet werden. Beispielsweise kann ein Datenstrom von Körpersensordaten, die von dem mobilen Endgerät 7 für den Access Point zu einer Auswerteeinheit 5 des IoT-Systems 1 übertragen werden, unterbrochen werden. Alternativ kann die Übertragung der Sensordaten auch selektiv oder grobgranular in Reaktion auf ein detektiertes Schutzsignal SS durchgeführt werden. Weiterhin können durch ein detektiertes Schutzsignal SS bestimmte Funktionen des mobilen End ^¬ gerätes 7, beispielsweise eines Smartphones, abgeschaltet werden. Bei einer möglichen Ausführungsform verfügt eine Per- son P über eine eigene Schutzvorrichtung 2, die sie anlegt oder in unterschiedlichen Situationen mit sich führt, beispielsweise bei einem Einkauf in einem Kaufhaus, wie in

Fig. 4 dargestellt, bei Sportaktivitäten, wie in Fig. 6 dar- gestellt, oder während eines Aufenthalts innerhalb des eige ^¬ nen Hauses, wie in Fig. 5 dargestellt. Alternativ kann eine Person P in bestimmten Situationen ein vor Ort aufliegendes Schutz-Hardware-Token temporär anlegen, beispielsweise indem es aus einem Korb die Schutz-Hardwarevorrichtung 2 entnimmt und an seiner Kleidung befestigt.

Figuren 7, 8 zeigen Ausführungsvarianten für erfindungsgemäße Schutzsignaldetektoren 6 zur Detektion eines Schutzsignals SS. Bei der in Fig. 7 dargestellten Ausführungsvariante ist der Schutzsignaldetektor 6 des IoT-Systems 1 in einem Gerät, beispielsweise einem Datenerfassungsgerät 8, integriert. So ^¬ bald ein vorbestimmtes Schutzsignal durch den Detektor 6 de- tektiert worden ist, werden Daten D, insbesondere personenbe- zogene Daten, entsprechend etwa verworfen oder aufbereitet, um die Privatsphäre der betreffenden Person P zu schützen.

Bei der in Fig. 8 dargestellten Ausführungsvariante ist der Schutzsignaldetektor 6 nicht innerhalb des Gerätes 8 inte- griert, sondern über eine Datenschnittstelle 9 an das Daten ^¬ gerät angeschlossen. Der Schutzsignaldetektor 6 dient zur Detektion eines Schutzsignals SS, das die Zustimmung oder Ab ^¬ lehnung der Person P zu einer Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten signalisiert.

Fig. 9 zeigt ein Ablaufdiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Schutz der Privatsphäre einer Person P.

In einem ersten Schritt Sl wird ein Schutzsignal SS durch ei ^¬ ne von einer Person P mitgeführten Schutzvorrichtung 2 ausgesendet. Dabei signalisiert das ausgesendete Schutzsignal SS eine Zustimmung oder Ablehnung der Person P zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung der personenbezogenen Daten der Person P. In einem weiteren Schritt S2 wird das ausgesendete Schutzsig ^¬ nal SS durch einen Signaldetektor 6 eines IoT-Systems 1 de- tektiert, woraufhin dieses IoT-System 1 in einen Schutzbetriebsmodus zum Schutz der Privatsphäre der betreffenden Per- son P umschaltet.

Das erfindungsgemäße Verfahren und das erfindungsgemäße Sys ^¬ tem sind vielseitig einsetzbar. Eine Person P bzw. ein Nutzer, der in den Erfassungsbereich eines IoT-Sensors eines IoT-Systems 1 gerät, ist sich dessen meist nicht bewusst, so ^¬ dass auch eine Datenerfassung seitens eines IoT-Sensors ohne Verwenden eines Schutz-Hardware-Tokens 2 gemäß der Erfindung normalerweise nicht verhindert werden kann. Mit dem erfin ^¬ dungsgemäßen System ist es möglich, dass eine Person P ohne ihre Identität preisgeben zu müssen, erklären kann, ob sie ihre grundsätzliche Zustimmung oder Ablehnung zur sensorischen Erfassung und anschließender Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Analyse der von ihr stammenden oder wesentlich beeinflussten Messwerte erklären kann.

Die erfindungsgemäße tragbare Schutzvorrichtung 2 stellt ge ^¬ wissermaßen einen Privatsphärenprotektor bzw. einen Consent/Non-Consent Token dar, mit dem die Person P eine Zustim- mung oder Ablehnung zur Erfassung und/oder Verarbeitung und/oder Speicherung und/oder Weitergabe und/oder Auswertung seiner personenbezogenen Daten gegenüber einem beliebigen IoT-System erklären kann. Der Schutz-Hardware-Token 2 signalisiert einem IoT-System 1 und dessen Sensoren, dass sich in ihrem Erfassungsbereich ein nicht identifiziertes Datenobjekt bzw. eine nicht identifizierte Person P befindet, die entwe ^¬ der ihr Einverständnis zu der Datenerfassung bzw. Auswertung erklärt oder umgekehrt ausdrücklich verweigert. Die Schutz ^¬ vorrichtungen 2 erlauben es dem IoT-System, geeignet auf die Anwesenheit verschiedener Personen P reagieren zu können. Ein Teil der anwesenden Personen kann eine Schutzvorrichtung 2 zum Schutz ihrer jeweiligen Privatsphäre mit sich tragen und ein anderer Anteil der vorhandenen Personen kann keine Schutzvorrichtung 2 zum Schutz ihrer jeweiligen Privatsphäre mit sich führen.

Die Schutzvorrichtung 2 weist vorzugsweise die Gestalt eines anonymen, nicht identifizierenden und nicht nachverfolgbaren physischen Hardware-Tokens auf. Durch Tragen des Hardware- Tokens 2 signalisiert der Träger bzw. die Person P seine Zu ^¬ stimmung zu einer bestimmten oder auch zu jedweder IoT-An- wendung oder seine ausdrückliche Verweigerung hierzu. Bei ei- ner möglichen Ausführungsform erlaubt es die Schutzvorrichtung 2 einer Person P auch, verschiedene IoT-Anwendungen auf der Schutzvorrichtung zu nutzen, etwa durch Auflegen auf ein entsprechendes Lese-/Schreibgerät des IoT-Systems 1. Die Schutzvorrichtung kann dann in einer möglichen Ausführungs- form diese IoT-Anwendungen dediziert adressieren. Entsprechende Schutzsignaldetektoren 6 des IoT-Systems 1 empfangen die von dem Schutz-Hardware-Token 2 ausgesendeten Signale und leiten sie bei einer möglichen Ausführungsform an IoT-Anwendungen weiter. Die Schutzsignaldetektoren 6 werden im Regel- fall in den Sensoren 3-i des IoT-Systems 1 integriert oder mit diesen kombiniert. Alternativ können separate Schutzsig ^¬ naldetektoren 6 in einem bestimmten Bereich angebracht werden . Das von der Schutzvorrichtung 2 ausgesendete Schutzsignal SS enthält vorzugsweise keinerlei wiedererkennbare Identitäts ^¬ merkmale der Person P. Um insbesondere nicht zustimmenden Da ^¬ tensubjekten bzw. Personen P genügend Zuversicht zu geben, dass das Schutz-Hardware-Token 2 ausschließlich erforderliche Daten überträgt und keinerlei weiteren Daten, wird die

Schutzvorrichtung 2 vorzugsweise durch eine geeignete vertrauenswürdige Kontrollstelle oder Dienststelle zertifiziert.

Bei einer möglichen Ausführungsform informiert ein Betreiber eines IoT-Systems 1 potentielle Datensubjekte bzw. Personen P über den Einzugsbereich seiner IoT-Anwendung . Ferner kann der Betreiber der IoT-Anwendung bzw. des IoT-Systems potentielle Datensubjekte darüber informieren, wo dieses Datensubjekt bzw. die Person P entsprechende Schutzvorrichtungen 2 zum Schutz ihrer Privatsphäre erhalten kann. Eine Person P, die weiß, dass sie den Einzugsbereich einer IoT-Anwendung bzw. eines IoT-Systems 1 betritt, kann sich an dem angegebenen Ort geeignete Schutzvorrichtungen 2 besorgen und anschließend mit sich führen. Empfängt eine IoT-Anwendung bzw. einer der

Schutzsignaldetektoren 6 ein Schutzsignal SS von einer tragbaren Schutzvorrichtung 2, kann die IoT-Anwendung vereinba- rungs- und regelkonform reagieren und beispielsweise keine personenbezogenen Daten erfassen oder erfasste personenbezogene Daten entsprechend handhaben, also beispielsweise lö ^¬ schen, und/oder nicht oder nur in eingeschränkter Weise weiterverarbeiten. Dies erlaubt es der IoT-Anwendung die Privatsphäre der Person P entsprechend zu respektieren und zu schützen.

Für eine ggf. gewünschte temporäre Unterdrückung der Signal ^¬ übertragung des Schutzsignals SS und der damit verbundenen zeitweisen Stilllegung des Privatsphärenschutzes können bei- spielsweise Schutzhüllen eingesetzt werden, die von Funksig ^¬ nalen des Hardware-Tokens 2 nicht durchdrungen werden können. Alternativ kann an der Schutzvorrichtung ein hierfür vorgesehener Schalter angebracht sein. Das erfindungsgemäße IoT-System 1 erlaubt es Personen, ma- schinenerfassbar, einfach und mit handhabbarer Komplexität sowie ohne Medienbrüche ihr Einverständnis bzw. ihre Ableh ^¬ nung zur Datenerfassung, -speicherung, -Verarbeitung, -weitergäbe und -analyse durch eine bestimmte IoT-Anwendung oder durch das IoT-System 1 insgesamt zu signalisieren. Die sichere Feststellung des Zustimmungsstatus der anwesenden Personen P durch explizite Deklaration und Signalisierung wiederum erlaubt es einer IoT-Anwendung eines IoT-Systems 1, sich nach diesen Wünschen der vor Ort befindlichen Personen zu richten und sich somit vereinbarungs- und regelkonform zu verhalten. Das IoT-System 1 kann dabei einen Detailgrad der Datenerfas ^¬ sung, -speicherung und -Verarbeitung in Abhängigkeit von dem Zustimmungsstatus der anwesenden Datensubjekte bzw. Personen anpassen. Insbesondere die unkontrollierte Datenauswertung selektiver personenbezogener Daten kann mit dem erfindungsgemäßen IoT-System 1 eingeschränkt bzw. ausgeschlossen werden.