Insbesondere betrifft die vorliegende Erfindung ein Verfahren und ein System zur Arbeitszeiterfassung bei zutrittskontrollierten Gebäuden oder mobilen Benutzern.

Es sind bereits diverse Systeme zur Erfassung von Arbeitszeiten im Stand der Technik bekannt und weltweit sind tausende solcher Systeme im Einsatz. Bei diesen Systemen kann ein erster Arbeitsstatus, wie z. B.

Arbeitszeitbeginn eines Benutzers, sowie ein zweiter Arbeitsstatus, wie z. B.

Arbeitszeitende eines Benutzers, personenindividuell erfasst und ausgewertet werden. Diese Systeme arbeiten üblicherweise mit einer Benutzeridentifikation, z. B. mittels Magnetkarte, Benutzer-ID (ID : Identifikationsnummer) oder einer sog. Stempelkarte, um eine eindeutige Zuordnung der Arbeitszeit zu einer bestimmten Arbeitskraft bzw. Benutzer zu gewährleisten. Zur Erfassung der Arbeitszeit hat der jeweilige Benutzer die entsprechenden Daten in das System einzugeben, beispielsweise durch Einführen einer Magnetkarte in einen Magnetkartenleser. In den letzten Jahrzehnten haben sich jedoch das Arbeitsverhalten bei den Arbeitnehmern betreffend Mobilität, die Anforderungen an den Arbeitnehmer, wie z. B. Gesundheitszustand wegen Haftungsfragen etc., und die Anforderungen betreffend Sicherheit vor Betrug etc. stark verändert.

Durch die Verbreitung von mobilen Recheneinheiten, wie z. B. Laptops, dem Aufkommen von weltweit funktionierenden Netzwerken, wie z. B. dem weltweiten Backbone Internet oder den Mobilfunknetzen, sowie durch die Globalisierung der Unternehmen, welche eine grosse Mobilität der Arbeitnehmer erfordert, können die Arbeitsbedingungen heute nicht mehr verglichen werden, mit denjenigen vor einigen Jahren. Die oben erwähnten Systeme konnten jedoch mit dieser Entwicklung nicht schritthalten.

Es ist eine Aufgabe der vorliegenden Erfindung, ein neues und bes- seres Verfahren und System zur Arbeitszeiterfassung und-kontrolle vorzuschlagen, welches den heutigen Anforderungen betreffend Arbeitsbedingungen (Mobilität, körperliche Voraussetzungen etc.), Benutzerfreundlichkeit und Sicherheit gerecht wird, und welches insbesondere die oben angeführten Nachteile nicht aufweist.

Gemäss der vorliegenden Erfindung werden diese Ziele insbeson- dere durch die Elemente der unabhängigen Ansprüche erreicht. Weitere vor- teilhafte Ausführungsformen gehen ausserdem aus den abhängigen Ansprü- chen und der Beschreibung hervor.

Insbesondere werden diese Ziele durch die Erfindung dadurch er- reicht, dass Benutzerdaten von einem Datenerfassungs-Client erfasst werden und an eine Zentraleinheit über einen ersten Kommunikationskanal übermittelt werden, basierend auf welchen Benutzerdaten der Benutzer mittels einer Benutzerdatenbank identifiziert wird, wobei der Datenerfassungs-Client biometrische Daten und/oder Körperzustandsdaten des Benutzers mittels einer Eingabeeinheit des Datenerfassungs-Client erfasst und zusammen mit den Benutzerdaten über einen ersten Kommunikationskanal an die Zentraleinheit übermittelt, wobei die Zentraleinheit die übermittelten biometrischen Daten mit in der Benutzerdatenbank abgespeicherten biometrischen Daten von Benutzern vergleicht und ein Benutzer mittels der Zentraleinheit identifiziert wird, falls die Wahrscheinlichkeit einer Übereinstimmung der übermittelten biometrischen Daten zu bestimmten abgespeicherten biometrischen Daten oberhalb eines vordefinierbaren Schwellwertes liegt, wobei bei erfolgreicher Identifizierung mindestens ein einem Datenrecord des identifizierten Benutzers zugeordneter Benutzerstatus basierend auf Zeit und/oder Ort der Erfassung der Benutzerdaten modifiziert und abgespeichert wird, und wobei die Datenrecords der Benutzer an ein Lohnerfassungsmodul übertragen werden und mittels des Lohnerfassungsmoduls ausgewertet und/oder überprüft werden. Die biometrischen Daten können z. B. Fingerabdrücke, Iriserkennung, DNS-Analyse etc. umfassen. Die Körperzustandsdaten können beispielsweise die Körpertemperatur, Blutwerte (z. B. Blutzucker etc.), Alkoholwerte, Puls etc. umfassen. Der Vorteil dieser Erfindung liegt insbesondere darin, dass die Arbeitszeiterfassung und Arbeitszeitabrechung, aber auch Produktivitätberechnungen und Leistungserfassung einzelner Benutzer einfach und effizient erfolgen können. Insbesondere braucht der Benutzer und/oder Arbeitnehmer dazu keine Erkennungskarten, wie z. B. Magnetkarten etc., Kontrollpatches oder ähnliches. Dadurch wird das System und Verfahren kostengünstiger und weniger fehleranfällig. So müssen weder Magnetkarten etc. hergestellt werden, noch braucht es eine personalintensive Verwaltung der Karten. Ebenso ist es von Vorteil, dass der Arbeitsnehmer biometrische Merkmale, im Gegensatz zu Erkennungskarten etc., weder vergessen noch verlieren kann und die Sicherheit vor Betrug (wie z. B. Fälschung, Diebstahl von Karten) wird wesentlich erhöht. Das Gleiche gilt für eine Identifikation mittels Benutzeridentifikationscode (ID), der z. B. leicht vom Benutzer und/oder Arbeitsnehmer vergessen werden kann oder, falls die ID vom Benutzer z. B. irgendwo notiert wurde, in betrügerischer Weise missbraucht wird. Die eindeutige und sichere Benutzeridentifikation kann insbesondere bei der Verrechnung der Leistungen oder Arbeitsstunden von mobil arbeitenden Benutzern und/oder Arbeitsnehmern wichtig sein. Ein anderer Vorteil liegt in der zusätzlichen Erfassung von Körperzustandsdaten, womit die Sicherheit bei der Benutzeridentifikation erhöht werden kann, indem z. B. beim Scannen des Fingerabdruckes gleichzeitig die Körpertemperatur des Fingers und/oder chemische/physikalische Eigenschaften der Haut (Hautspannung, Salzgehalt etc. ) und/oder der Puls gemessen wird. Damit kann verhindert werden, dass in betrügerischer Art z. B. Fingernachbildungen bei dem System benutzt werden.

Ebenso können auch z. B. Sicherheitsvorschriften beim Benutzer kontrolliert werden (z. B. Alkoholgehalt beispielsweise bei Fernfahrern, Körpertemperatur um Krankheiten zu Erkennen etc.).

In einer Ausführungsvariante wird der Zutritt zu bestimmbaren Räumlichkeiten und/oder die Benutzung von bestimmbaren Vorrichtungen dem Benutzer durch die Zentraleinheit nur bei erfolgreicher Identifikation und Autorisation gewährt. Dies hat u. a. den Vorteil, dass gleichzeitig eine zentrale Zutrittskontrolle bzw. Zugriffskontrolle durch das System erfolgt. Dies vereinfacht die Verwaltung dieser ansonsten heterogenen Systeme wesentlich.

Zugleich kann die Einhaltung z. B. gesetzlicher Vorschriften, wie z. B.

Fahrzeitbeschränkungen bei Lastwagenfahrern etc., einfach und effektiv zentral kontrolliert und durchgesetzt werden. Ist z. B. der Datenerfassungs-Client in einen Lastwagen eingebaut, könnte so bei Überschreitung der gesetzlich vorgegebenen Arbeitszeiten durch den Benutzer mit der Zentraleinheit die Einhaltung der Arbeitszeiten mittels eines Zündunterbruchs durchgesetzt werden.

In einer Ausführungsvariante werden mit den Benutzerdaten zusätzlich räumlichkeitsspezifische und/oder vorrichtungsspezifische Kontrolldaten erfasst und/oder übermittelt, wobei der Zutritt und/oder die Benutzung mittels der Zentraleinheit in Abhängigkeit der Kontrolldaten gewährt wird. Dies hat u. a. den Vorteil, dass selektiv nach vorbestimmbaren Kriterien Zutritt zu einzelnen Räumen und Gebäudeabschnitten erteilt werden kann.

Ebenso können bei Vorrichtungen, wie z. B. Maschinen oder Kraftfahrzeugen, Betriebsparameter wie Batteriezustand, Tankfüllung, Reifendruck etc., kontrolliert werden, wobei die Vorrichtung zur Benutzung nur unter vorbestimmbaren Bedingungen und/oder Sicherheitnormen freigegeben wird.

In einer weiteren Ausführungsvariante erfolgt eine zusätzliche Identifikation des Benutzers mittels eines Benutzercodes, welcher Benutzercode vom Benutzer über Eingabeelemente des Datenerfassungs- Client eingegeben wird. Diese Ausführungsvariante hat u. a. den Vorteil, dass damit der Sicherheitsstandard bei der Identifikation weiter erhöht werden kann, indem ein zusätzlicher Kontrollparameter eingeführt wird, der nur dem spezifischen Benutzer bekannt sein sollte.

In einer weiteren Ausführungsvariante wird der Benutzercode basierend auf der Identifikation des Benutzers und der übermittelten biometrischen Daten durch die Zentraleinheit generiert und über einen zweiten Kommunikationskanal an eine mobile Einheit des Benutzers übermittelt. Die Daten können zusätzlich verschlüsselt und/oder signiert übermittelt werden. Die mobile Einheit kann ein Mobilfunkgerät und/oder ein PDA und/oder ein mobiler Node eines WLANs umfassen. Der Vorteil dieser Erfindung liegt insbesondere darin, dass durch die Kombination zweier separater Kommunikationskanäle, d. h. also z. B. bei einer LAN/WLAN-Verbindung zwischen dem Datenerfassungs-Client und der Zentraleinheit und z. B. einer bidirektionalen Kommunikationsplattform, wie z. B. einem Mobilfunknetz, wie ein GSM- (Global System for Mobile communication), GPRS- (Generalized Packet Radio Service) oder UMTS-Netz (Universal Mobile Telephone System) die Vorteile der jeweils anderen Plattform in für die Erfindung vorteilhafter Weise kombiniert werden können. So besitzen z. B. Mobilfunknetze wie GSM-oder UMTS-Netze einen hohen Sicherheitsstandard. Gleichzeitig wird die Sicherheit bei der Identifikation eines Benutzers dadurch erhöht, dass die beiden Kommunikationskanäle unabhängig voneinander sind. Damit kann ein Betrug praktisch ausgeschlossen werden.

In einer Ausführungsvariante erfolgt die zusätzliche Identifikation mittels Benutzercode durch die Zentraleinheit für den Fall, in welchem die Wahrscheinlichkeit einer Übereinstimmung der übermittelten biometrischen Daten zu bestimmten abgespeicherten biometrischen Daten unterhalb des vordefinierbaren Schwellwertes liegt. Dies hat u. a. den Vorteil, dass diese Ausführungsvariante eine Art Fall-Back-Funktion und/oder-Algorithmus besitzt, der einfach zu handhaben und kostengünstig anzuwenden ist.

In einer wieder anderen Ausführungsvariante werden nach erfolgreicher zusätzlicher Identifikation des Benutzers mittels Benutzercode neue biometrische Daten durch die Eingabeeinheit des Datenerfassungs-Client erfasst und in der Datenbank dem Benutzer zugeordnet abgespeichert werden.

Diese Ausführungsvariante hat u. a. den Vorteil, dass die biometrischen Daten für einen Benutzer kontinuierlich verbessert bzw. angepasst werden können.

Damit wird das vorliegende Verfahren sowohl durch einen sicheren Fall-Back- Mechanismus verbessert, als auch durch einen sinnvollen Initialisierungsalgorithmus erweitert. Dadurch kann insbesondere die Verwaltung der Datenbank betreffend Kosten und Arbeitszeitaufwand wesentlich vereinfacht und optimiert werden.

In einer weiteren Ausführungsvariante greifen unterschiedliche Zentraleinheiten auf die gleiche Datenbank mit den abgespeicherten biometrischen Daten der Benutzer über ein Netzwerk zu, wobei die Datenbank Mittel zur Identifizierung und/oder Autorisierung der unterschiedlichen Zentraleinheiten und Mittel zum Übermitteln und Empfangen von Daten über das Netzwerk umfasst. Die Datenbank kann als individuelle Netzwerkkomponente konzipiert sein. Dies hat u. a. den Vorteil, dass der Erfassungsdienst und Identifikationsdienst als Dienstleistung z. B. übers Internet angeboten werden kann.

In einer anderen Ausführungsvariante wird als Datenerfassungs- Client ein mobiler Node eines WLANs oder ein Mobilfunkgerät verwendet. Dies hat u. a. den Vorteil, dass die Arbeitszeiterfassung gerade bei mobilen Benutzern oder Arbeitnehmern erst wirklich frei möglich wird. Dadurch, dass der Datenerfassungs-Client eine mobile Einheit ist, lassen sich auch besondere Vorrichtungen, wie z. B. Lastwagen, kontrollieren und auf Sicherheitsnormen beschränken, z. B. durch Kontrolle der Körperzustandsparameter (Temperatur, Alkoholgehalt etc. ) des Benutzers oder Betriebsparameter (Reifendruck,<BR> Batteriestand, Tankfüllung etc. ) der Vorrichtung.

Nachfolgend wird eine Ausführung der vorliegenden Erfindung an- hand eines Beispiels beschrieben. Das Beispiel der Ausführung wird durch die vier beigelegten Figuren 1,2, 3 und 4 illustriert, die ein schematisches Blockdiagramm eines Arbeitszeiterfassungssystems zeigen. Es ist dabei klar, dass die Erfindung ebenso ein entsprechendes erfindungsgemässes Verfahren umfasst.

Figur 1 bis 3 illustrieren ein Blockdiagramm eines Arbeitszeiterfassungssystems, in welchem biometrische Daten erfasst werden, an eine Zentraleinheit übermittelt und schliesslich mittels eines Lohnerfassungsmoduls ausgewertet werden.

Figur 4 zeigt ein Flussdiagramm, das schematisch den Ablauf eines erfindungsgemässen Verfahrens bzw. Systems wiedergibt.

In den Figur 1 werden Benutzerdaten eines Benutzers 1 von einem Datenerfassungs-Client 10,. .., 16 erfasst und an eine Zentraleinheit 20/21 über einen ersten Kommunikationskanal 30/31 übermittelt. Der Datenerfassungs- Client 10,. .., 16 umfasst eine Eingabeeinheit 101 zur Erfassung von biometrischen Daten und/oder Körperzustandsdaten eines Benutzers 1. Die biometrischen Daten und/oder Körperzustandsdaten des Benutzers 1 werden zusammen mit den Benutzerdaten über den ersten Kommunikationskanal 30/31 an die Zentraleinheit 20/21 übermittelt. Die Benutzerdaten umfassen z. B.

Ort und Zeit der Erfassung der biometrischen Daten bzw. der Körperzustandsdaten. Die biometrischen Daten können z. B. Fingerabdrücke, Iriserkennung, DNS-Analyse etc. umfassen. Die Körperzustandsdaten können <BR> <BR> beispielsweise Körpertemperatur, Blutwerte (z. B. Blutzucker etc. ), Alkoholwerte, Puls etc. des Benutzers 1 umfassen. Je nach Datenerfassung besitzt die Eingabeeinheit 101 des Datenerfassungs-Client 10,. .., 16 entsprechende Scann-oder Messmittel des Standes der Technik, über welche beispielsweise durch ein entsprechende API (Application Programmable Interface) die Daten <BR> <BR> gemessen und vom Datenerfassungs-Client 10,. .., 16 abgefragt werden können.<BR> <P>Der Datenerfassungs-Client 10,. .., 16 muss nicht unbedingt eine fest installierte Vorrichtung sein, sondern kann z. B. auch als mobiler Node eines WLANs oder ein Mobilfunkgerät realisiert sein. Die Verbindung 30, d. h. der erste Kommunikationskanal 30, zwischen Datenerfassungs-Client 10,. .., 16 und Zentraleinheit 20/21 kann über verschiedene Datenkanäle, und nicht nur direkt über ein bestimmtes Kommunikationsnetz 30 erFolgen. Die Daten können zwischen dem Datenerfassungs-Client 10,. .., 16 und der Zentraleinheit 20/21, z. B. auch über eine Schnittstelle (z. B. eine drahtlose Schnittstelle wie eine Infrarotschnittstelle oder Bluetooth) an ein Datenterminal, und vom Datenterminal über ein Kommunikationsnetz 30, oder mittels einer in ein Datenterminal eingeführten entfernbaren Chipkarte der Datenerfassungs-Client 10,. .., 16 über dieses Datenterminal und ein Kommunikationsnetz an die Zentraleinheit 20/21 übertragen werden. In der bevorzugten Ausführungsvariante umfasst der Datenerfassungs-Client 10,. .., 16 und die Zentraleinheit 20/21 jeweils ein Kommunikationsmodul. Mittels der Kommunikationsmodule können Daten über das Kommunikationsnetz 30, d. h. den ersten Kommunikationskanal 30, ausgetauscht werden. Das Kommunikationsnetz 30 umfasst, beispielsweise ein Mobilfunknetz, zum Beispiel ein GSM-, GPRS oder UMTS-Netz oder ein anderes, beispielsweise satellitenbasiertes Mobilfunknetz, oder ein Festnetz, zum Beispiel ein ISDN- Netz, das öffentliche geschaltete Telefonnetz, ein TV-oder Radio-Kabelnetz, oder ein IP-Netz (Internet Protocol). Insbesondere in Datenerfassungs-Clients 10,. .., 16, die als mobile Vorrichtungen ausgestaltet sind, umfasst das Kommunikationsmodul ein Mobilfunkmodul für die Kommunikation über das Mobilfunknetz 30. Mittels des Kommunikationsmoduls können insbesondere die oben erwähnten Benutzerdaten, beispielsweise mit GSM/SMS, GSM/USSD, GPRS oder UMTS an die Zentraleinheit 20/21 übermittelt werden. Gemäss der vorliegenden Erfindung ist der Datenerfassungs-Client 10,. .., 16 mit einer Zentraleinheit 20/21 über das Netz 30 bidirektional verbunden. Die Verbindung <BR> <BR> zwischen der Zentraleinheit 20 und dem Datenerfassungs-Client 10,. .., 16 kann einen geschützten Kanal (Security Channel) bzw. die für den Schutz notwendigen Sicherheitsmechanismen (Verschlüsselung, limitiertes Zeitfenster, <BR> <BR> elektronische Signaturen etc. ) in der Zentraleinheit 20 und dem<BR> Datenerfassungs-Client 10,. .., 16 umfassen. Die Downloadmechanismen zum<BR> Datenerfassungs-Client 10,. .., 16 können ebenfalls DAB/MExE-Applets umfassen. Einer Zentraleinheit 20 können beliebig viele Datenerfassungs-Client <BR> <BR> 10,. .., 16 zugeordnet sein. Mehrere Zentraleinheiten 20 können wiederum einer übergeordneten Recheneinheit zugeordnet sein, welche die Daten der Zentraleinheiten 20 zusammenfasst. Auf Operatorebene bei solch mehrfach abgestuften Systemen z. B. bestimmt werden, welche Berechnungen, Datenverdichtungen und/oder Datensynchronisationen auf welcher Ebene der Zentraleinheiten 20 ausgeführt werden. Dieses System hat den Vorteil, dass sich komplette Firmenstrukturen auf Systemebene abbilden lassen (z. B. Firma/ Niederlassung/Kostenstelle/Abteilung/Mitarbeiter).

Der Benutzer 1 wird durch die Zentraleinheit 20/21 basierend auf den Benutzerdaten und den biometrischen Daten bzw. Körperzustandsdaten mittels einer Benutzerdatenbank 40 identifiziert. Dabei vergleicht die Zentraleinheit 20/21 die übermittelten Benutzerdaten und/oder biometrischen Daten und/oder Körperzustandsdaten mit in der Benutzerdatenbank 40 abgespeicherten entsprechenden Daten der Benutzer des Systems. Ein Benutzer 1 wird mittels der Zentraleinheit 20/21 identifiziert, falls die Wahrscheinlichkeit einer Übereinstimmung der übermittelten biometrischen Daten zu bestimmten abgespeicherten biometrischen Daten oberhalb eines vordefinierbaren Schwellwertes liegt. Die Datenbank 40 kann direkt 22 mit der Zentraleinheit 20/21 verbunden sein oder als isolierte Netzwerkkomponente des Kommunikationsnetzwerk 30 realisiert sein, wobei die Zentraleinheit 20/21 und die Datenbank 40 über den Kommunikationskanal 23 kommunizieren. Bei erfolgreicher Identifizierung wird mindestens ein einem Datenrecord des identifizierten Benutzers zugeordneter Benutzerstatus basierend auf Zeit (z. B.

Zeit/Tag/Monat/Jahr) und/oder Ort der Erfassung der Benutzerdaten und/oder biometrischen Daten und/oder Körperzustandsdaten des Benutzers 1 modifiziert und in der Datenbank abgespeichert. Die Datenrecords der Benutzer werden an ein Lohnerfassungsmodul 50 übertragen und mittels des Lohnerfassungsmoduls 50 ausgewertet und/oder überprüft. Die Übertragung der Datenrecords an das Lohnerfassungsmodul 50 kann beispielsweise periodisch (z. B. mit GSM/SMS, GSM/USSD, GPRS oder UMTS) oder jeweils beim Erreichen eines definierten Werts (einer Anzahl modifizierter Records und/oder einer bestimmter Summe erbrachter Leistungen oder Arbeitsstunden <BR> <BR> etc. ) oder eines definierten Zeitfensters an die Zentraleinheit 20/21 übermittelt werden. Das Lohnerfassungsmodul 50 kann z. B. über eine Schnittstelle mit einem Geldinstitut verbunden sein, welches die Auszahlung des Lohns an den Arbeitsnehmer für die erbrachten Leistungen bzw. Arbeitszeiten auslöst.

Basierend auf dem modularen Aufbau des System ist es klar, dass neben dem Lohnerfassungsmodul 50 weitere Berechnungsmodule (z. B. in gleicher Art zugeordnet wie das Lohnerfassungsmodul 50), welche basierend auf Zeiten/Kontrollen einer Firma Funktionalitäten aufweisen. Solche Module können z. B. Projektplanung und Verwaltung, Leistungserfassung, Auftragsabwicklung, Lagerverwaltung, zeitliche Zugangskontrolle zu Räumen und Geräten, Modelberechnungen (Produktivitätsoptimierung von Abteilungen, Produktivitätsprognosen etc. ) und/oder PPS (Produktivitätsüberwachung) etc. umfassen. Insbesondere kann das System Anbindungen an Auswertungseinheiten, wie z. B. Office Produkte, Reportsysteme (z. B. List & Label, Cristal Reports etc. ), umfassen. Basierend auf den vorleigenden System können mittels Planungstools auf einfache Weise (z. B. mittels Modelberechnungen der Einsätze der Mitarbeiter) Unternehmen und deren Strukturen optimiert werden.

Die Zentraleinheit 20/21 kann als Ausführungsvariante insbesondere den Zutritt zu bestimmbaren Räumlichkeiten und/oder die Benutzung von bestimmbaren Vorrichtungen dem Benutzer 1 durch die Zentraleinheit 20/21, basierend auf der Identifikation und Autorisation eines bestimmten Benutzers 1, kontrollieren. Somit können ansonsten heterogene Systeme wie Leistungserfassung und Zutrittskontrolle zu Räumen und Gebäuden einfach und effizient zentral verwaltet und kontrolliert werden. Über den Datenerfassungs-Client 10,. .., 16 und/oder Zentraleinheit 20/21 lassen sich so z. B. elektronische Schlösser steuern. Zugleich kann die Einhaltung z. B. gesetzlicher Vorschriften, wie z. B. Fahrzeitbeschränkungen bei Lastwagenfahrern etc. zentral kontrolliert und durchgesetzt werden. Ist z. B. der Datenerfassungs-Client in einen Lastwagen eingebaut, könnte so bei Überschreitung der gesetzlich vorgegebenen Arbeitszeiten durch den Benutzer mit der Zentraleinheit die Einhaltung der Arbeitszeiten mittels eines Zündunterbruchs durchgesetzt werden. Mittels der Körperzustandsdaten kann z. B. der Alkoholkonsum während den Arbeitszeiten durch den Benutzer kontrolliert und/oder überprüft werden. Weiter können mit den Benutzerdaten zusätzlich räumlichkeitsspezifische und/oder vorrichtungsspezifische Kontrolldaten erfasst und/oder übermittelt werden, wobei der Zutritt und/oder die Benutzung wiederum mittels der Zentraleinheit 20/21 in Abhängigkeit der Kontrolldaten kontrollierbar ist. Mit den Kontrolldaten kann selektiv nach vorbestimmbaren Kriterien Zutritt zu einzelnen Räumen und Gebäudeabschnitten erteilt werden. Ebenso kann bei Vorrichtungen, wie z. B.

Maschinen oder Kraftfahrzeugen, Betriebsparameter wie Batteriezustand, Tankfüllung, Reifendruck etc., kontrolliert werden, wobei die Vorrichtung zur Benutzung nur unter vorbestimmbaren Bedingungen und/oder Sicherheitsnormen freigegeben wird. Die Kontrolldaten würden für diesen Fall dann die entsprechenden Parameter (Maschinen oder Kraftfahrzeuge, Betriebsparameter wie Batteriezustand, Tankfüllung, Reifendruck etc.) umfassen.

Zur Identifikation des Benutzers 1 kann insbesondere als Ausführungsvariante eine zusätzliche Identifikation mittels eines Benutzercodes (ID : Identification Number) erfolgen, welcher Benutzercode vom Benutzer 1 <BR> <BR> über Eingabeelemente 102 des Datenerfassungs-Clients 10,. .., 16 eingegeben wird. Die Eingabeelemente 102 können z. B. Tastaturen, graphische Eingabemittel (Maus, Trackball, Eyetracker bei Virtual Retinal Display (VRD) etc. ), aber auch IVR (Interactive Voice Response) etc. umfassen.

Figur 3 zeigt eine weiteres Ausführungsbeispiel, um die Sicherheit des Systems weiter zu erhöhen bzw. um die Handhabung des Systems für den Benutzer und/oder Operator zu vereinfachen. Der Benutzercode wird dabei basierend auf der Identifikation des Benutzers 1 und der übermittelten biometrischen Daten durch die Zentraleinheit 20/21 generiert und über einen zweiten Kommunikationskanal 32 an eine mobile Einheit 2 des Benutzers 1 übermittelt werden (siehe Figur 3). Der Benutzercode kann beispielsweise auch eine International Mobile Subscriber Identity (IMSI) oder eine MSISDN (Mobile Subscriber ISDN), die zur Identifizierung in einem Mobilfunknetz dient, umfassen, wobei die Benutzeridentifizierung beispielsweise in der Chipkarte, beispielsweise eine SIM-Karte (Subscriber Identification Module), gespeichert ist. Die mobile Einheit 2 kann eine oder mehrere Schnittstellen umfassen, insbesondere eine Geräteschnittstelle, zum Beispiel eine kontaktlose Schnittstelle, beispielsweise eine Infrarotschnittstelle, zum Beispiel eine High Speed Infrared (HSIR)-Schnittstelle oder eine IrDA-Schnittstelle (Infrared Data Association), eine induktive Schnittstelle, zum Beispiel eine Radio Frequency Identification (RFID)-Schnittstelle, eine Home RF (Radio Frequency)- Schnittstelle, eine Digital European Cordless Telecommunications (DECT) - Schnittstelle oder eine andere Cordless Telecommunications System (CTS)- Schnittstelle, oder eine hochfrequente Funkschnittstelle, zum Beispiel eine sogenannte"Bluetooth-Schnittstelle". Über eine solche Schnittstelle kann die mobile Einheit 2 Daten mit externen Datenterminals ausserhalb der mobilen Einheit 2 austauschen, die über eine entsprechende Schnittstelle verfügen. So ist es insbesondere möglich, den Benutzercode von der mobilen Einheit 2 direkt <BR> <BR> an einen Datenerfassungs-Client 10,. .., 16 zu übermitteln, wobei der<BR> Datenerfassungs-Client 10,. .., 16 ebenfalls über eine der oben genannten Schnittstellen verfügt. Der zweite Kommunikationskanal 32 umfasst beispielsweise ein Mobilfunknetz, zum Beispiel ein GSM-, GPRS oder UMTS- Netz oder ein anderes, beispielsweise satellitenbasiertes Mobilfunknetz, oder ein Festnetz, zum Beispiel ein ISDN-Netz, das öffentliche geschaltete Telefonnetz, ein TV-oder Radio-Kabelnetz, oder ein IP-Netz (Internet Protocol), wie ein WLAN und/oder das internationale Backbone Internet. Die mobile Einheit 2 kann z. B. ein Mobilfunkgerät und/oder ein PDA und/oder einen mobilen Node eines WLANs umfassen.

Es ist darauf hinzuweisen dass es für bestimmte Anwendungsgebiete sinnvoll sein kann, dass die zusätzliche Identifikation mittels Benutzercode durch die Zentraleinheit 20/21 in den Fällen erfolgt, in welchem die Wahrscheinlichkeit einer Übereinstimmung der übermittelten biometrischen Daten zu bestimmten abgespeicherten biometrischen Daten unterhalb des vordefinierbaren Schwellwertes liegt. D. h. dass die zusätzliche Identifikation als ein Fall-Back-Verfahren oder-Algorithmus verwendet wird.

War die zusätzliche Identifikation des Benutzers 1 mittels Benutzercode erfolgreich, lassen sich z. B. neue biometrische Daten durch die Eingabeeinheit <BR> <BR> 101 des Datenerfassungs-Client 10,. .., 16 erfassen und in der Datenbank 40 dem Benutzer 1 zugeordnet abgespeichern. Dadurch können die biometrischen Daten für einen Benutzer kontinuierlich verbessert bzw. angepasst werden. Dies erweitert das vorliegende Verfahren sowohl durch einen sicheren Fall-Back-Mechanismus als auch durch einen sinnvollen Initialisierungsalgorithmus. Dadurch kann insbesondere die Verwaltung der Datenbank betreffend Kosten und Arbeitszeitaufwand wesentlich vereinfacht und optimiert werden. Z. B. ist es sogar möglich, neue und nicht registrierte Benutzer mit neuen biometrischen Daten und/oder Körperzustandsdaten und/oder Benutzerdaten zu erfassen, da eine Identifikation mittels der mobilen Einheit 2 verifiziert werden kann. Dies ist bei den herkömmlichen Systemen nicht möglich.

Figur 2 zeigt ein Ausführungsbeispiel, in welchem unterschiedliche Zentraleinheiten 20/21 auf die gleiche Datenbank 40 mit den abgespeicherten biometrischen Daten der Benutzer über ein Netzwerk 31 zugreifen, wobei die Datenbank 40 Mittel 41 zur Identifizierung und/oder Autorisierung der unterschiedlichen Zentraleinheiten 20/21 und Mittel 41 zum Übermitteln und Empfangen von Daten über das Netzwerk 31 umfasst. Die Datenbank kann so als individuelle Netzwerkkomponente konzipiert sein. Damit kann das Arbeitszeiterfassungsverfahren bzw. System oder der Erfassungsdienst und Identifikationsdienst isoliert als Dienstleistung z. B. übers Internet angeboten werden.

Figur 4 zeigt schematisch einen möglichen Ablauf des erfindungsgemässen Verfahrens. Ein Benutzer kann z. B. durch Berühren der Eingabeeinheit 101 eines Datenerfassungs-Clients 10,. .., 16 die Identifikation bzw. die Arbeitszeiterfassung aktivieren und/oder initialisieren 71. In Schritt 72 werden die biometrische Daten und/oder Körperzustandsdaten des Benutzers 1 mittels der Eingabeeinheit 101 erfasst und zusammen mit den Benutzerdaten über einen ersten Kommunikationskanal 30/31 an die Zentraleinheit 20/21 übermittelt. Basierend auf den erfassten Daten wird der Benutzer 1 durch die Zentraleinheit 20/21 identifiziert 73. Kann der Benutzer 1 identifiziert werden 74, werden die Benutzerdaten (z. B. Ort und Zeit) analysiert 75 und ein Benutzerstatus (z. B. Kommen/Gehen) ermittelt 76. In einem weiteren Schritt werden die weiteren Daten analysiert (z. B. die Körperzustandsdaten des Benutzers) 77 und zusammen mit den anderen Daten in einem Benutzerrecord des Benutzers 1 abgespeichert. Kann der Benutzer 1 nicht identifiziert werden 79, kann der Prozess entweder abgebrochen werden 84 oder der Benutzer 1 als neuer Benutzer erfasst werden 80. Sind die Personalien in der Datenbank 40 bereits abgespeichert vorhanden 81, kann direkt mit der Erfassung 82 neuer biometrischer Daten und/oder Körperzustandsdaten des Benutzers 1 weitergefahren werden. Sind die Personale noch nicht vorhanden 85, können <BR> <BR> die Daten mittels des Datenerfassungs-Clients 10,. .., 16 erfasst werden 86 und ein neues Datenrecord dem Benutzer 1 zugeordnet in der Datenbank 40 abgespeichert werden. Nach Schritt 86 wird ebenfalls mit der Erfassung 82 neuer biometrischer Daten und/oder Körperzustandsdaten des Benutzers 1 weitergefahren. In Schritt 83 werden schlussendlich die neuen biometrischen Daten im Datenrecord des Benutzers 1 abgespeichert, worauf z. B. mit Schritt 75 weitergefahren werden kann oder bei Schritt 71 oder 72 neu begonnen werden muss.