Please activate JavaScript!
Please install Adobe Flash Player, click here for download
ePaper created 2014-09-19, 11:36:19 | version 1.33.00
Wie in einer jüngeren Studie des Massachusetts Institute of Technology, MIT, gezeigt wird[2] kann eine Person eindeutig identifiziert werden, wenn nur einige wenige Orte ihres täg- lichen Bewegungsmusters bekannt sind. Ein etwas detaillier- teres Bewegungsprofil berührt auch die medizinische Privat- sphäre (Arztbesuche, Spitalaufenthalt, Abtreibungsklinik), die politische Orientierung (Besuch politischer Versamm- lungen, Gewerkschaftstreffen, Engagement in einer Nicht- regierungs-Organisation), sexuelle Ausrichtung (Kino-, Klub-, oder Bordellbesuche) und viele weitere Aktivitäten, die mit bestimmten Orten verbunden sind. Beispielsweise sind auch chronischer Alkoholismus, Drogenkonsum oder Spielsucht aus Bewegungsprofilen erkennbar. Jedes System des Mobility Pricing verarbeitet notwendiger- weise Bewegungsprofile. Zudem ist die Verwendung nicht wahlfrei und andauernd. Im Sofia-Memorandum[1] wird dazu bemerkt, «häufig wird der Vergleich zu Mobiltelefonen oder zu Kreditkarten gezogen, wo persönliche Daten nachverfolgt werden oder nachverfolgt werden können. Die Arbeitsgruppe möchte hervorheben, dass vereinfachende Vergleiche dieser Art nicht angemessen sind, vor allem weil Gebührenerfas- sungsgeräte ununterbrochen in Betrieb sein müssen (zumin- dest auf kostenpflichtigen Straßen), anders als im Fall von Mobiltelefonen, deren Benutzung völlig freiwillig ist. Die Möglichkeit, das Gerät auf kostenpflichtigen Strassen abzu- schalten, würde es einfacher machen, die Gebührenerfassung zu umgehen, und aus diesem Grund werden die Auswirkun- gen von Mautsystemen auf die Privatsphäre sogar noch rele- vanter.» Privacy by Design Datenschutz muss folglich als zentrale Aufgabe jedes Mobility-Pricing-Systems gesehen werden. Idealerweise wird Datenschutz nicht wie heute oft als eine Zusatzanforderung gesehen, sondern als natürlicher Teil des Systemdesigns. Dieser Ansatz ist als «Privacy by Design» bekannt gewor- den. Das Konzept von Privacy by Design beinhaltet, dass der Schutz persönlicher Daten im gesamten Lebenszyklus eines Systems oder einer Technologie eingebettet ist, von frühen Konzeptphasen über Planung, Betrieb bis zur Ablöse[3] . Wie wichtig dieser Ansatz ist, demonstriert am besten ein Beispiel. Viele Pricing-Systeme beruhen im Konzept da- rauf, dass Bewegungsdaten des Nutzers an eine Zentrale gesandt und dort verarbeitet werden. Je nach detailliertem Systemkonzept werden die rohen Bewegungsdaten auf eine Karte des bepreisten Netzes abgebildet («map matching»), Streckensegmente gebildet, Tarifzonen und Tarifzeiten ge- sucht usw. Offensichtlich werden in diesem Ansatz grosse Mengen an Bewegungsdaten zentral gehalten, mit allen nachteiligen Implikationen bezüglich des Datenschutzes. Selbst wenn die datenverarbeitende Stelle hohes Vertrauen geniesst, wäre dies «das Ende des anonymen Fahrens». Konzept der Anonymisierung Um dieses Manko der grossen, die Bewegungsprofile aller Nutzer umfassenden «big brother is watching» zentralen Datenbank zu vermeiden, wird oft das Konzept der Anonymi- sierung herangezogen. Einerseits wird oft aus Datenschutz- gründen gefordert, dass Nutzern eine anonyme Verwendung mit Barzahlung geboten wird. Dies ist z.B. in vielen heutigen Mautsystemen für den Schwerverkehr der Fall, wo der Nutzer seine Identität nicht preisgeben muss, wenn er eine Voraus- zahlung leistet und sein Konto beim Betreiber immer einen positiven Saldo aufweist (z.B. LKW-Maut in Österreich, Polen, der Slowakei und Tschechien). Ein anderer Ansatz ist eine nachträgliche Anonymisierung gemäss dem Konzept in der Abbildung auf der folgenden Seite. Das Erfassungsgerät des Nutzers sendet dabei die Be- wegungsdaten zur Gebührenberechnung an eine zentrale Stelle. Dies macht er nicht mit seiner wahren Identität, son- dern mit einer Pseudo-Identität, z.B. einer Zufallszahl, zudem sinddieBewegungsdatenkryptografischvorVeränderungmit einer Signatur geschützt. Der Gebührenrechner retourniert die errechnete fällige Gebühr für die Daten mit der vor- liegenden Signatur und signiert seinerseits. Der Nutzer bezahlt dann die fällige Gebühr an den Gebührenerheber, unter Angabe der Signatur des Gebührenrechners als Be- stätigung der Korrektheit der Berechnung. Bei diesem Verfahren bleibt das Bewegungsprofil des Nutzers voll- ständig anonym (zumindest solange die Datenbanken des Anzeige Sicherheit auf der ganzen Linie! Markierungen + Signalisationen • Stadt- und Gemeindestrassen • Kantonsstrassen • Autobahnen Tel. 0848 22 33 66 / Fax 0848 22 33 77 Morf AG Aspstrasse 6 8154 Oberglatt www.morf-ag.ch info@morf-ag.ch Filialen Emmenbrücke LU Niederurnen GL St. Gallen SG Steinhausen ZG Trimmis GR Oberentfelden AG Oberglatt ZH fachartikel articles techniques20 strasseundverkehrNR.9,september2014 routeettraficNo 9,september2014