Verfahren und Vorrichtung zur Erfassung von Personendaten im Kraftfahrzeug und übermittlung der Personendaten im Notfall

Die Erfindung betrifft das Gebiet der Verkehrssicherheit und insbesondere ein Verfahren zur Erfassung von Personendaten im Kraftfahrzeug und übermittlung der Personendaten im Notfall nach dem Anspruch 1, sowie eine Vorrichtung nach dem Anspruch 7.

1. Stand der Technik

Es sind unterschiedlich ausgestaltete Fahrzeug-Notfunksysteme mit oder ohne Standortbestimmung oder Bestimmung eines Wahrscheinlichkeitsgrades für einen bevorstehenden Unfall bekannt. Dabei sind umfangreiche Vorkehrungen gegenüber unbeabsichtigten Auslösevorgängen für einen Notruf zu treffen. Um auf einfache Art und Weise einen Notruf auszulösen, auch wenn der Benutzer nach einem Unfall selbst dazu nicht mehr in der Lage ist, ist ein Notrufsystem für ein Kraftfahrzeug bekannt, welches ein Mikrofon zur Detektion der Auslöseexplosion eines Airbags, eine mit dem Mikrofon verbundene Steuereinrichtung zum Auswerten, ob vorgebbare Unfallkriterien erfüllt sind, und einen mit der Steuereinrichtung verbundenen Sender zur automa-

tischen übermittlung eines Notrufs an eine externe Empfangsstation aufweist.

Aus der DE 38 39 959 ist eine Notrufeinrichtung für ein Fahrzeug beschrieben. Die dazu notwendigen Signalgeber sind im Fahrzeug eingebaut. Ebenso sind ein Ortungs- bzw. ein Navigationsgerät vorgesehen, das ebenfalls fest im Fahrzeug verbaut ist. Als Sender ist hier ein Mobiltelefon vorgesehen, wobei vorgegebene Notrufnummern abgespeichert sind und automatisch aktivierbar sind.

Aus DE 200 06 713 ist ein Notruftelefon bekannt, das mittels eines Betätigungselements oder elektrisch über einen Sensor oder mechanisch über einen Schalter, beispielsweise durch ein Schock- oder Stossgeber, aktiviert wird.

Aus DE 100 04 041 Al ist ein Notrufsystem bekannt, bei dem ein Funksender in einer Aufnahme gehalten wird und ein Auslöseschalter zur Alarmauslösung in der Aufnahme vorgesehen ist.

Aufgabe der Erfindung ist es ein Verfahren bereitzustellen, mit der verbesserter Notruf abgesetzt werden kann. Gelöst wird sie Aufgabe durch die Merkmale des Anspruchs 1 sowie des Anspruchs 7. Vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.

In einer vorteilhaften Ausgestaltung wird die die Anzahl der Personen in einem Kraftfahrzeug ermittelt, erfolgt eine biometrische Authentifizierung aller Insassen und ein biometrische Erfassung der zur Authentifizierung ermittelten Personen-

daten in einem Kraftfahrzeug und die biometrische Erfassung erfolgt durch akustische, haptische und/oder visuelle Sensoren, wobei bei Erkennung eines Notfalls, die ermittelten Personendaten bei Generierung eines Notrufes über eine mobile Kommunikationseinheit einer Telematikeinheit übertragen werden .

Eine besonders vorteilhafte Ausgestaltung zeichnet sich dadurch aus, dass zur biometrischen Erfassung mindestens ein Fingerabdruck und/oder einen Vergleich der Augeniris durchführt geführt wird und die übertragung des Notrufes über eine GSM und/oder GPRS und/oder UMTS Mobilfunknetz und/oder WLAN- Netzwerk und/oder IP-basiertes Netzwerk erfolgt.

In einer weiteren vorteilhaften Ausgestaltung wird nach der Authentifizierung aller Insassen ein personalisiertes Profil der jeweiligen Insassen erzeugt, das lokal im Fahrzeug in einer Telematikeinheit und/oder auf einem über ein Netzwerk adressierbaren Backend Server abgelegt ist, aktiviert wird, wobei die akustischen und/oder haptischen und/oder visuellen Sensoren mittels mindestens einer drahtgebundenen und/der mobile Kommunikationsverbindung eine Datenübertragung zu der Telematikeinheit durchführen.

Eine weitere vorteilhafte Ausgestaltung zeichnet sich dadurch aus, dass das personalisierte Profil nach der der Generierung eines Notrufes aus dem Fahrzeug heraus von der Telematikeinheit und/oder dem Backend Server an eine Rettungsleitstelle und das personalisierte Profil bei der übertragung geschützt gegenüber Einsichtnahe Dritter übertragen wird.

Die erfindungsgemäße Vorrichtung zur Erfassung von Personendaten im Kraftfahrzeug und übermittlung der Personendaten im Notfall zeichenet sich vorteilhaft dadurch aus, dass die Vorrichtung Mittel zur Ermittlung und Erfassung einer biometrischen Authentifizierung, Mittel zur mobilen Kommunikation vorhanden sind und eine Telematikeinheit aufweist, wobei die Mittel zur Ermittlung und Erfassung der biometrischen Authentifizierung und die Mittel zur mobilen Kommunikation über drahtgebundene und/oder mobile Nahkommunikation mit der Telematikeinheit kommunizieren.

Eine weitere vorteilhafte Ausgestaltung der erfindungsgemäßen Vorrichtung umfasst mindestens ein Mittel zur Ermittlung und Erfassung der biometrischen Authentifizierung als haptischer, und/oder akustischer und/oder visueller Sensor mit einer Schnittstelle zur mobilen Nahkommunikation, wobei mindestens ein Fingerprintsensor als haptischer Sensor im Fahrgastraum integriert ist, und der Fingerprintsensor in der Mittelkonsole und/oder in einem Griff der Fahrzeugtüren eingebaut ist.

In einer weiteren vorteilhaften Ausgestaltung ist als akustischer Sensor als Freisprecheinsrichtung der Telematikeinheit ausgeführt .

Eine weitere vorteilhafte Ausgestaltung zeichnet sich dadurch aus, dass als visueller Sensor mindestens eine im Fahrgastraum befindliche Kamera dient.

Die Erfindung betrifft auch eine Vorrichtung die zur Durchführung des vorgeschriebenen Verfahrens eingerichtet sind. Durch

die Telematikeinheit werden Fahrzeugdaten und/oder Umgebungsdaten des Fahrzeugs ausgewertet. Erfindungsgemäß weist Vorrichtung Mittel zur Personenerkennung auf, welche dazu eingerichtet sind personenbezogene Daten zu erfassen. Die Vorrichtung kann dazu in einer Telematikeinheit integriert und mittels geeigneter Kommunikationsschnittstellen beispielsweise über einen Bus an diesen angeschlossen sein. Damit kann die erfindungsgemäße Vorrichtung zur Erkennung und Modifizierung von in dem Fahrzeug befahrenen Personen auf einfache Weise verwendet werden.

Vorzugsweise weist die Einrichtung zu Personen erkennen einzelne Sitzplätze eines Fahrzeugs zugeordneten Sensoren auf welche die Anwesenheit von Personen auf einen Sitzplatz erkennen und personenbezogene Daten beispielsweise in RFID Chips lesen. Insbesondere sind derartige Sensoren für den Fahrersitz vorgesehen, die Daten lesenden Sensoren können vorzugsweise ein Fahrzeugsitzen integriert sein. Für den Fahrer des Fahrzeugs kann auch eine Schlüsselerkennung zur Identifizierung der Person herangezogen werden. Ferner können biometrische Sensoren, wie Fingerabdruckerkennung oder Iriserkennung, zum Einsatz kommen, die insbesondere eine Identifikation der Fahrer des Fahrzeugs ermöglichen, aber grundsätzlich an allen Sitzplätzen will eines Fahrzeugs zur Verfügung stehen können.

Gemäß einer bevorzugten Ausführungsform weiß die Erkennung gemäß der Einrichtung zur Personenerkennung eine Narbe als Kommunikationseinrichtungen, beispielsweise insbesondere blutrot oder Wieland, zur vorzugsweise verschlüsselten Aussendung von personenbezogenen Daten auf, die im Falle eines verunfallten Fahrzeugs aktiviert war ist. Die Aktivierung kein erfindungsgemäß an das absenden eines Nichols gekoppelt und Oder aus Da-

tenschutzgründen nur durch Rettungskräfte mit einer speziellen Signatur zur Erhöhung der Datensicherheit aktivierbar sein.

Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der Erfindung ergeben sich aus den nachfolgenden Beschreibungen eines Ausführungsbeispiels. Dabei bilden alle geschriebenen und oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der vorliegenden Erfindung auch unabhängig von ihren Zusammenfassungen in den Ansprüchen oder Bezügen. Ausführungsbeispiel der Erfindung werden im Folgenden näher beschrieben.

In der Erfindung wird die Authentifizierung als ein Vorgang verstanden, um eine Identität zu einem bestimmten Sicherheitsniveau zu beweisen.

Das erfindungsgemäße Verfahren startet mit einer Aktivierung zu Beginn der Fahrzeugnutzung. Dazu kann beispielsweise vorgesehen werden, dass die Personenerkennung durch Aktivierung von einzelnen Sitzplätzen zugeordneten Sensoren bei einem Aufschließen des Kraftfahrzeugs, dem öffnen einer Tür und/oder dem Betätigen der Zündung gestartet und/oder Berührung der jeweiligen äußeren und/der inneren Türgriffe wird.

Als dem Sitzplatz zugeordnete Sensoren können unter der Sitzfläche angeordnete Gewichts- beziehungsweise Drucksensoren o- der auf den jeweiligen Sitzplatz ausgerichtete Infrarotsensoren, gegebenenfalls auch in Kombination, in Frage kommen, welche die grundsätzliche Anwesenheit einer Person auf einem Sitzplatz erkennen. Auch visuelle Sensoren, wie Kameras können zur Personenerkennung eingesetzt werden.

Durch die Personenerkennung wird zunächst die Anzahl der in einem Kraftfahrzeug befindlichen Personen ermittelt und in der Telematikeinheit vorhandenen Speicher abgelegt.

Nach der Personenerkennung, die die die Anzahl der Personen in einem Kraftfahrzeug ermittelt, wird mit einer Personenauthen- tifizierung begonnen. Diese versucht, die in einem Fahrzeug vorhandenen Personen automatisch und/oder durch Benutzereingabe vorzugsweise durch den Fahrer des Kraftfahrzeugs zu bestimmen. Hierzu kann eine in modernen Kraftfahrzeugen ohnehin übliche Interaktion zwischen Mensch und Maschine im Sinne eines HMI (Human-Machine-Interface) genutzt werden, das vorzugsweise von dem Fahrer des Kraftfahrzeugs zu betätigen ist. Ferner können den einzelnen Sitzplätzen, vorzugsweise dem Fahrerplatz zugeordnete biometrische Sensoren zum Einsatz kommen, die durch Fingerabdrucksensoren, Iriserkennung oder Gesichtserkennung mittels optischer Aufnahmeeinrichtungen dem System durch hinterlegte Profile bekannte Personen identifizieren.

Eine weitere Möglichkeit zur Personenidentifizierung liegt darin, von den Personen mitgeführte mobile Geräte, wie Mobiltelefone, Personal Digital Assistants PDA oder sonstige personalisierte Geräte, welche über drahtlose Kommunikationsmöglichkeiten wie Bluetooth, WLAN oder dergleichen verfügen, zur Erkennung der in einem Fahrzeug anwesenden Personen zu verwenden. In diesem Fall kann die Zuordnung gegebenenfalls auch nicht-sitzplatzbezogen erfolgen, wenn beispielsweise mittels WLAN und Bluetooth nicht erkennbar ist, auf welchem Sitzplatz welche Person sitzt. In diesem Fall kann die Vorrichtung den Fahrer des Fahrzeugs auffordern, eine Zuordnung der erkannten Personen zu bestimmten Sitzplätzen vorzunehmen, wobei der Fahrer diese Eingabemöglichkeit auch abbrechen kann.

Eine weitere Möglichkeit zur Authentifizierung besteht in dem Auslesen von den einzelnen Personen zugeordneten Datenchips, beispielsweise RFID-Tags, die in modernen Ausweispapieren, Krankenkarten oder sonstigen die Identität einer Person anzeigenden Geräten zunehmend vorgesehen sind. In diesem Fall lässt sich eine sitzplatzbezogene Auswertung gegebenenfalls dadurch erreichen, dass entsprechende Empfängermodule in den einzelnen Sitzen angeordnet sind. Da derartige Identifikationsmittel wie Ausweise oder Krankenkarte zumeist am Körper getragen werden, lässt sich somit eine in der Regel sogar sitzplatzbezogene Personenidentifizierung erreichen. Gegebenenfalls kann bei Unklarheiten auch hier der Fahrer zur Zuordnung der erkannten Personen zu einzelnen Sitzplätzen aufgefordert werden. Wenn die Vorrichtung System keine neuen Personen mehr erkennt, wird der Fahrer vorzugsweise dazu aufgefordert, die aufgefundenen Einstellungen zu bestätigen oder zu korrigieren, wobei dem Fahrer auch die Möglichkeit gegeben wird, eine Eingabe abzubrechen. Nach einer Fahrerbestätigung, auf die in einer bestimmten Parametrierung des Systems auch verzichtet werden kann, wird der Fahrbetrieb aufgenommen, wobei die Datensätze zu den im Fahrzeug mitfahrenden Personen vorzugsweise in einem Speicher der erfindungsgemäßen Einrichtung zur Personenerkennung vorgeladen sind. Diese Daten können neben Namen und Adressen auch weitere insbesondere für Notfälle relevante Daten wie Krankheiten, Blutgruppen, Informationen über Organspenderpässe oder dergleichen enthalten. Im Falle eines Unfalls, bei dem durch ein Notrufsystem ein automatischer Notruf abgesendet wird, können diese Daten dann unmittelbar an die Rettungsleitstelle mit übertragen werden, so dass die Rettungsleitstelle bei Eingang des elektronischen Notrufs ein umfassendes Bild über die an dem Unfall beteiligten Personen und möglicherweise

notfallmedizinisch zu berücksichtigende Krankheiten dieser Personen hat. Hierdurch ist es möglich, Notfalleinsätze besser auf spezielle Gefahrensituationen und Erfordernisse abzustellen .

Nach Aktivierung der Vorrichtung wird für jeden im Fahrzeug vorhandenen Sitzplatz ein Sitzplatzsensor abgefragt. Danach wird eine individuelle Personenauthentifizierung gestartet. Die Sensoren können beispielsweise insbesondere bei dem Fahrer vorhandene biometrische Sensoren sein, welche einen Fingerabdruck, eine Iriserkennung oder eine optische Gesichtserkennung mittels Aufnahmeeinrichtungen und Bildauswertung vornehmen. Diese erlauben in der Regel bereits alleine eine eindeutige Identifizierung der erkannten Personen.

Als weitere Sensorgruppe kommen Funksensoren in Frage, welche Identifikationsdokumente mit Funksendern, insbesondere RFID- Chips, auswerten. Derartige Dokumente sind insbesondere moderne Ausweisdokumente oder Krankenkarten, die neben der Identität der Person auch für Notfallmaßnahmen wesentliche Informationen wie Blutgruppe, Vorerkrankungen, bestehende Medikamen- tationen oder dergleichen enthalten. Sofern diese Daten noch nicht in einer der Person zugeordneten Profildatei des Systems enthalten sind, werden diese im Rahmen der Auswertung der I- dentifizierung mit in das bestehende Profil aufgenommen, so dass sie zukünftig unabhängig von dem Vorhandensein beispielsweise der Krankenkarte bei einer Identifizierung dieser Person zur Verfügung stehen.

über einen Sensor für biometrische Kennzeichenerfassung, wie Fingerprintsensor oder einen Irissensor authentifizieren sich alle somit alle Insassen eines Fahrzeugs eindeutig bei der Te-

lematikeinheit . Weitere Merkmale zur Authentifizierung anhand von biometrischen Merkmalen sind erfindungsgemäß vorgesehen, wie z.B. eine Erkennung eines Fingerabdruck, eine Gesichtserkennung, eine Erkennung des Tippverhalten, eine Stimmerkennung, eine Iriserkennung, eine Erkennung der Retinamerkmale (Augenhintergrund), einer Erkennung der Handschrift bzw. Unterschrift, eine Erkennung der Handgeometrie, eine Erkennung der Handlinienstruktur.

Zusätzlich werden einmalig personenbezogene Daten und Profile in einem Backend Server oder/und in der Telematikeinheit selbst hinterlegt werden, die im Notfall für diese Person versendet werden sollen. In der Telematikeinheit ist vorteilhaft und alternativ bereits ein Profil für bekannte Insassen hinterlegt, durch den die Authentifikation durch das Einlesen ü- ber die Sensoren für die biometrische Erfassung aktiviert werden und eine Identifikation der Fahrzeuginsassen ermöglicht wird.

Tritt ein Notfall ein (Airbag löst aus, etc.), so werden bei einem automatischen Notruf (E-CaIl) zusätzlich zu den vorgeschriebenen Daten noch die personenbezogenen Daten zu allen aktuell im Fahrzeug identifizierten Personen per mobiler, drahtloser Kommunikation und/oder zellbasierte Funknetze, GSM, UMTS, und/oder WLAN versandt.

Die personenbezogenen Daten sind in der Telematikeinheit gespeichert und werden an die Notrufzentrale übertragen. Von dort werden die Daten an die Rettungskräfte weitergeleitet. Eine Initialisierung bzw. Aktualisierung der personenbezogenen Daten in der Telematikeinheit erfolgt vorteilhaft über die Te- lematikeinkeit zugängliche Dienste.

Bei telematikbasierten Diensten können relevante Personeninformationen mit übertragen werden. Im Falle einer Fahrzeug-zu- Fahrzeug-Kommunikation auf Basis einer WLAN Kommuniaktion können so zur Verminderung der Folgen einer unvermeidbaren Kollision der Rettungsleitstelle die Personenzahl und deren Sitzplatz der jeweils beteiligten Fahrzeuge der Rettungleitstelle mitgeteilt werden.

Die Telematikeinheit schickt eine eindeutige Identifizierung der Insassen an eine Notrufzentrale und diese holt von einem zentralen Server die personenbezogenen Daten. Diese können die Blutgruppe oder speziellen für den jeweiligen Insassen betreffende Krankenberichte sein. Diese Personendaten werden kontinuierlich auf dem Server zentral gepflegt und damit aktuell gehalten, wobei die Aktualisierung über eine Eingabe durch autorisiertes Instanz erfolgt, die über Datenschutz relevante Befugnisse verfügt.

Im einfachsten Fall vergibt diese autorisierte Instanz digitale Zertifikate. Das digitales Zertifikat dient dann dazu, einen bestimmten öffentlichen Schlüssel einer Person bzw. Insassen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten „Schlüssel" und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung sensitiver oder vertraulicher Daten dienen, die über das Internet, das Mobilfunknetz und andere datenübertragenden Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Zertifikatsperrlisten, etc. enthalten, die durch die autorisierte Instanz mit in das Zertifikat eingebracht werden.

Ergänzend können die Personendaten in das Fahrzeug geschickt werden, um dort direkt ausgelesen zu werden sofern der Zustand des Fahrzeuges dies noch erlaubt.

Entsprechende Vorkehrungen gegen unbefugte Nutzung der Daten (Zugriffsrechte) werden in der Art getroffen, dass die Daten vor der übermittlung durch einen Verschlüsselung gesichert werden und gegen Zugriff und/oder Angriff während der übermittlung gesichert werden. Erfindungsgemäß ist eine starker Verschlüsselungsalgorithmen z.B. RSA, AES angedacht Mit ihrer Hilfe chiffrierte Daten können nur mit großem Aufwand ohne den entsprechenden Schlüssel dechiffriert werden. Eine Kryptoana- lyse einer solchen Verschlüsselung ist, wenn der Schlüssel entsprechend komplex ist, von Dritten nicht „aufbrechbar.

Erfindungsgemäß sind Fingerprintsensoren können in die Fahrzeuginnenraumgestaltung integriert werden. Besonders Vorteilhaft ist die Integration in die Kameras im Innenraum können neben anderen Funktionen ebenfalls vorteilhaft zur Personenerkennung herangezogen werden.

Während der Authentifizierung werden Daten, die eine Informationen über die Insassen repräsentieren, über die Telemati- keinheit an einen Back-End Server übertragen. Um die Daten gegenüber einem Abhören zu sichern, ist es angedacht, dass durch weitere Verfahrenschritte bei denen der sich der authentifizierende Insasse nicht mehr die Identifizierungsdaten selbst übermittelt, sondern nur einen Beweis dafür, dass es diese I- dentifizierungsdaten zweifelsfrei besitzt. Ein Beispiel hierfür, dass eine Aufgabe gestellt wird, deren Lösung nur von einem Insassen stammen kann, welches ein bestimmtes Wissen bzw.

einen bestimmten Besitz hat. Somit kann ein Insasse authentifiziert werden, ohne dass dieses sein Wissen bzw. seinen Besitz preisgeben musste. Eine weitere Ausführungsform ist die Sicherung der übertragung ist die sogenannte „Second-Channel"- Kommunikation, bei der ein Teil der Identifizierungsdaten über einen zweiten Kanal transferiert wird, wie beispielsweise der Versand einer SMS beim „mobile TAN" (mTAN) System.

In einer weiteren Ausführungsform werden die die Identifizierungsdaten nur einmal benutzt werden, wie beispielsweise mittels des TAN Systems. Es ist angedacht, dass mittels kryp- tographischer Protokolle zusätzliche Zufallszahlen verwendet werden, um die Wiederholung einer Identifizierung zu verhindern .

Erfindungsgemäß ist es angedacht, dass durch beliebige Kombination der Verfahrensschritte zur Authentifizierung der Insassen und somit zur Identifikation der Insassen gegenüber der Telematikeinheit und/oder eines Backend Servers Defizite im Vorgang der Authentifizierung ausgeglichen werden.

In Abhängigkeit von dem verwendeten Verschlüsselungsverfahrenschritten, das symmetrisch oder asymmetrisch erfolgen kann, ist es angedacht, dass wenn der Insasse sich gegenüber der Telematikeinheit und/oder dem Backendserver mittels der im Fahrzeug integrierten haptischen, visuellen und/oder akustischen Sensoren authentisieren möchte, die Telematikeinheit eine Zufallszahl N an den Insassen bzw. die Insassen sendet. Der Insasse bzw. die Insassen verschlüsseln über eine Mensch Maschine Schnittstelle diese Zahl N mit ihrem jeweiligen Passwort und senden das Ergebnis an die Telematikeinheit zurück und liefern somit die Response. Dieser hat inzwischen dieselbe Zu-

fallszahl mit dem ihm zu dem Insassen bekannten Passwort verschlüsselt und vergleicht nun das Ergebnis dieser Verschlüsselung mit der Response, die er von Insassen erhält. Sind beide verschlüsselten Nachrichten identisch, so hat sich Insasse erfolgreich authentisiert . Hierbei wird der Inhalt, bzw. das Profil von der Insassen Nachricht nicht entschlüsselt, es findet somit ein Gleichheitstest statt.