本发明涉及用于处理由机动车所检测的数据的方法、设备和具有指令的计算机可读的存储介质。本发明尤其涉及保证对客户数据的匿名化的、用于处理由机动车所检测数据的方法、设备和具有指令的计算机可读的存储介质。
背景技术:
:在现代机动车中收集多种多样的数据。所述数据也许允许推论出确定的或至少能确定的自然人的个人状况或实际状况,例如关于(über)所述机动车的驾驶员。在增大的车辆联网的过程中,存在如下兴趣:将由车辆所收集的数据用于继续评估,例如用于检测交通数据或天气数据。根据分别适用的数据保护法,通常仅以驾驶员的同意声明来使得对数据的这样的获取和使用是可能的。虽然当今的消费者尤其在软件领域中对接受使用条件和对授予对于数据评估的许可十分熟悉,然而迄今这在汽车领域中不是普遍的。因此,获得对于数据使用的同意声明并不总是简单的。此外,在软件更新的范畴内,必要时必须从使用者征得新的同意声明,长此以来这对于使用者可能是不快的事。在所述背景下,出版物US2013/0117857A1描述一种用于处理在车辆的控制设备中的数据的方法。在车辆与后端系统通信的范畴内,用户特定的数据被交换,所述数据使得能够对用户的个人或其行为或其习惯进行推论。为了保护免于滥用,所述数据被匿名化。附加地,对于控制设备来说,能够通过车辆的用户来激活数据保护模式。在经激活的数据保护模式情况下,预先确定的数据从车辆出发的传送被禁止或者只有在输入车辆的使用者处所要求的确认之后才被容许。利用所描述的方法,给予使用者如下可能性:禁止对特定的数据的转发。当然,这并不改变:为了获取没有从其中排除的、所涉及的数据必须征得用户的同意声明。技术实现要素:本发明的任务是:揭示如下解决方案,所述解决方案允许对由机动车所检测的数据进行处理,所述数据不需要使用者的同意。所述任务通过一种具有权利要求1的特征的方法、通过具有权利要求12的特征的设备和通过根据权利要求13所述的具有指令的计算机可读的存储介质得以解决。本发明的优选的扩展方案是从属权利要求的主题。根据本发明的第一方面,用于处理由机动车所检测的数据的方法包括如下步骤:-接收由机动车所检测的数据;-将地点上或时间上的掩盖应用到所接收的数据上或者将所接收的数据从由机动车所检测的其他数据分离;和-将经掩盖的或经分离的数据转发以用于评估。根据本发明的另一方面,用于处理由机动车所检测的数据的设备具有:-用于接收由机动车所检测的数据的输入端;-用于将地点上或时间上的掩盖应用到所接收的数据上的数据掩盖单元或用于将所接收的数据从由机动车所接收的其他数据分离的数据分离单元;和-用于将经掩盖的或经分离的数据转发以用于评估的输出端。根据本发明的另一方面,计算机可读的存储介质包含如下指令,所述指令在由计算机来执行时促使所述计算机实施用于处理由机动车所检测的数据的以下步骤:-接收由机动车所检测的数据;-将地点上或时间上的掩盖应用到所接收的数据或将所接收的数据从由机动车所检测的其他数据分离;和-转发经掩盖的或经分离的数据以用于评估。根据本发明的解决方案在如下范围内实现对用户数据进行匿名化:不再存在个人联系(Personenbezug)并且可以在没有用户的批准的情况下获取所述数据。为此基本上使用三种方案:地点上的掩盖、时间上的掩盖和内容上的聚焦(Fokussierung)。在地点上的掩盖的情况下,数据鉴于其检测的地点方面被掩盖。与此相应地,在时间上的掩盖的情况下,数据鉴于其检测的时间点方面被掩盖。在内容上的聚焦的情况下,将所接收的数据从由机动车所检测的其他数据分离。地点上或时间上的掩盖或者所接收的数据从由机动车所检测的其他数据的分离在此可以在机动车之内或者在与机动车联系(inVerbindungstehenden)的接收系统中进行。通过地点上的掩盖和时间上的掩盖来实现组匿名性(Gruppenanonymität)。因此这应理解为:所检测的数据仅还被分配给车辆的足够大的组,而不再被分配给唯一的车辆或一些少量车辆。因此,不再可能或者仅以过度大的花费而可能的是:基于所述数据取得对与个人有关的数据的推论。在内容上的聚焦的情况下有如下可能性:以非常逐点地(sehrpunktuell)的方式交出信息。所述数据在此虽然以鉴于位置和时间方面非常高的精确度被输出,然而所述数据通过信道分离来有意地从所有其他数据分离。因此实现:不能建立个人联系。根据本发明的一个方面,所接收的数据的个人联系越大,则地点上或时间上的掩盖就越大。以这种方式确保:关键数据、也即具有高个人联系的数据与较不关键的数据相比受到更大的掩盖。为了确定:数据是否关键,例如可以顾及:对于推论出个人来说需要多少数据。在驾驶员的地产上所检测的数据容许例如能够正好容易地推论出所述驾驶员,而在在高速公路上所检测的数据的情况下则并不是这种情况。根据本发明的一个方面,地点上或时间上的掩盖与关于由机动车进行的数据检测的地点或时间点的交通流有关。例如,关于由机动车进行的数据检测的地点或时间点的交通流越大,则所述地点上或时间上的掩盖就越小。掩盖的目标是组匿名性。所述目标在大的交通流的情况下已经以小的掩盖被达到。相反,在小的交通流情况下,大的掩盖是有意义的,以便有效地排除个人联系。例如,在日间在高速公路上,测量值通常短时间内由大量的车辆检测。在这里,略微掩盖是足够的。在夜间,在少行驶的支路上也许仅由唯一的车辆来检测测量值。在这种情况下,施加广泛(weitreichend)的掩盖。所述交通流可以借助机动车的机载(Onboard)传感装置来确定。可替代地或附加地,交通流的数据由服务器来提供。根据本发明的一个方面,通过将所接收的数据分配给格网(Raster)来进行地点上的掩盖。所述数据可以例如被集成到km-格网中,而不将所述数据的价值(Wert)过度减小。尽管如此,还是不再可能基于所述数据来得到对与个人有关的数据的推论。根据本发明的一个方面,通过随机推移(Verschiebung)所接收的数据的测量时间点来进行时间上的掩盖。在最简单的情况下,测量时间点经推移时间点来被均匀分布。但是特别有利的是:使用不对称的分布函数、例如帕累托分布(Pareto-Verteilung)。因此,对车辆的可靠推论是不可能的,然而同时,数据的推移在平均起来仅是适当小的。尽管如此,原则上,数据的非常大的推移是可能的,使得不能以高可靠性来对特定的车辆作出陈述,也即陈述:数据的创作者(Urheber)以高概率是特定的车辆。根据本发明的一个方面,在将所接收的数据从由机动车所检测的其他数据分离之后,对于一个时间段,不从所述机动车传送所检测的其他数据。以这种方式,可靠地排除可能的交叉相关性分析。根据本发明的一个方面,机动车的位置被接收并且被与任务存储器中的任务对比。如果所述机动车的位置与在所述任务存储器中的任务相配,则从机动车请求数据。以这种方式可能的是:有针对性地从车辆请求数据,所述车辆处于如下位置处,对于所述位置还需要数据。同时,因此可以限制相同信息的重复传输。例如,如果所识别的交通示意标志由大量车辆来传送,则用处是很小的。通过有针对性地请求数据,因此可以将产生的数据量保持在有意义的极限内。优选地,根据本发明的方法或根据本发明的设备被使用在以自主或手动的方式来控制的车辆中、尤其是机动车中。附图说明本发明的其他特征与附图相关联从接下来的描述和所附权利要求中示出。其中:图1示意性地示出用于处理由机动车所检测的数据的方法;图2示出用于处理由机动车所检测的数据的设备的第一实施方式;图3示出用于处理由机动车所检测的数据的设备的第二实施方式;图4示意性地示出用于从车辆请求数据的方法;图5示意性地示出用于从车辆传输数据到后端(Backend)的第一机制,在所述机制情况下在所述后端中进行匿名化;图6示意性地示出用于从车辆传输数据到后端的第二机制,在所述机制情况下在所述后端中进行匿名化;图7示出用于从车辆传输数据到后端的系统,在所述系统情况下在车辆中进行匿名化;和图8示意性地示出在车辆中对数据进行匿名化的流程。具体实施方式为了更好理解本发明的原理,接下来根据附图更详细地阐述本发明的实施方式。理解为:本发明并不限制于所述实施方式并且所描述的特征也可以被组合或修改,而不偏离如在所附权利要求中所定义的那样的本发明的保护范围。图1示意性地示出用于处理由机动车所检测的数据的方法。在第一步骤中,接收10由机动车所检测的数据。随后,将地点上或时间上的掩盖11应用在所接收的数据上。可替代地或附加地,所接收的数据被从由机动车所检测的其他数据分离12。经掩盖或经分离的数据最终被转发13以用于评估。地点上或时间上的掩盖11或所接收的数据从由机动车所检测的其他数据的分离12在此可以在机动车之内或在与机动车联系的接收系统中进行。图2示出用于处理由机动车所检测的数据的设备20的第一实施方式的简化的示意图。所述设备20具有用于接收由机动车所检测的数据的接收端21。数据掩盖单元22将地点上或时间上的掩盖应用到所接收的数据上。可替代地或附加地,设备20具有数据分离单元23,用于将所接收的数据从由机动车所接收的其他数据分离。由数据处理单元24来确定并提供对于地点上或时间上的掩盖来说需要的参数。经掩盖的或分离的数据最终经由输出端25被转发以用于评估。经由用户接口27,可以在必要时更改对数据掩盖单元22、数据分离单元23或数据处理单元24的设定。在设备20中产生的数据可以此外被保存在设备20的存储器26中,例如用于之后的评估。输入端21和输出端25可以被实施为分离的接口或经组合的双向接口。数据掩盖单元22、数据分离单元23以及数据处理单元24可以被实现为专用的硬件,例如集成电路。然而当然地,数据掩盖单元22、数据分离单元23以及数据处理单元24也可以以部分地或完全地组合的方式或以在适合的处理器上运行的软件的形式来实施。图3示出用于处理由机动车所检测的数据的设备30的第二实施方式的简化的示意图。所述设备30具有处理器32和存储器31。例如,设备30是计算机、工作站或控制设备。在存储器31中保存指令,所述指令在由处理器32来执行时促使所述设备30实施根据所描述的方法之一所述的步骤。在存储器31中所保存的指令因此体现(verkörpern)能够通过所述处理器32来运行的程序,所述程序实现根据本发明的方法。所述设备具有输入端33,用于接收信息。由处理器32所产生的数据经由输出端34被提供。此外,所述数据可以被保存在存储器31中。输入端33和输出端34可以被合并成双向的接口。所述器32可以包括一个或多个处理器单元,例如微处理器、数字的信号处理器或其组合。所描述的实施方式的存储器26、31既可以具有易失性的存储区又可以具有非易失性的存储区并且包括最不同的存储设备和存储介质,例如硬盘、光学的存储介质或半导体存储器。所述设备的所述两种实施方式可以被集成到机动车中或者可以是与机动车联系的接收系统的组成部分。图4示意性地示出用于从车辆请求数据的方法。在接收14机动车的位置之后,所述位置被与任务存储器中的任务对比15。任务存储器44包含所有对于所限定的位置的、有效的所委托的测量任务。如果所述机动车的位置与在所述任务存储器中的任务相配,则从机动车请求16数据。优选的实施方式的描述接下来应根据图5至图8来描述本发明的优选的实施方式。在此,在图5和图6中在后端中进行数据的匿名化。在图7和图8中,所述数据已经在车辆中被匿名化。图5示出用于从车辆40传输数据到后端45的第一机制,例如用于由计算机支持的评估。在此,这涉及的是“Push(推)机制”,在所述“Push机制”情况下,所述车辆40主动地将数据传送给后端45。用于从车辆40传输数据到后端45的第二机制在图5中被示出。在此,这涉及的是“Pull(拉)机制”。在这里,后端45从车辆40请求数据,所述数据然后才从车辆40被传送到后端45。对于所述两个情况适用:车辆40能够获取数据并且将所述数据发送到接收系统41。这要么以自主的方式要么以基于请求的方式来发生。在此,所述接收系统41的伪匿名化单元42(Pseudonymisierungseinheit)实施对所接收的数据的伪匿名化。伪匿名化在此表示:由标志来代替标识特征,其目的为:排除对所涉及的标识特征(Betroffenen)的确定或者使其明显变困难。例如,从车辆40所传送的标识号码由伪匿名化的标识号码来代替,以便排除对车辆40的确定。接收系统41的匿名化单元43将车辆40的所传送的数据匿名化。在此,匿名化表示:改变数据,使得各个数据不再能够或者仅能够以过度大的对时间、成本和工作力的花费来被分配给所确定的车辆或能够确定的车辆并因此被分配给所确定的自然人或能够确定的自然人。为此目的,匿名化单元43视所传送的数据的类别而定地可以使用继续在下面所描述的机制,所述机制也可以被组合。后端45描述(beschreiben)使用数据的单元。在这里,数据被处理。具有在数据之内的与个人有关的使用内容的数据的每次接收在此不再是容许的。在图6中所示出的系统附加地具有任务存储器44。所述任务存储器44包含所有有效的、由后端所委托的对于所限定的位置的测量任务。车辆40可以经由伪匿名化单元42将所述车辆的自我位置(Egoposition)报告给任务存储器44。所述任务存储器44于是检验:是否所述自我位置与未完成的(offen)测量任务相配。如果是这种情况,则任务存储器44经由伪匿名单元42从车辆40请求测量数据。所述测量数据于是反过来从车辆40传送到接收系统41。为了对数据匿名化,匿名化单元43提供三种不同的方法,所述方法视所传送的数据的类别而定地被使用并且也可以被组合。第一种方法在于对数据的地点上的掩盖,也就是说,数据鉴于自身的检测位置方面被掩盖。对于以这种方式被掩盖的数据的例子是降雨数据和天气数据,所述降雨数据和天气数据例如可以为了天气服务被检测。这样的数据可以例如被集成到km-格网,而不将所述数据的价值过度减小。尽管如此,还是不再可能基于所述数据来得到对与个人有关的数据的推论。第二种方法在于对数据的时间上的掩盖,也就是说,数据鉴于检测的时间点方面被掩盖。对于以这种方式被掩盖的数据的例子是所识别的标牌的数据。所述数据在时间上来看是恒定的,使得所述检测的所述时间点在例如0-24小时的范围内的推移仅有限制地减小所述数据的价值。同时,在实际上不可能得到对驾驶员的推论。优选地,时间点的推移由随机分布所决定。在最简单的情况下,测量时间点可以经推移时间点被均匀分布。但是特别有利的是:使用不对称分布函数、例如帕累托分布。因此,对驾驶员的可靠推论是不可能的,然而同时,数据的推移在平均起来仅是适当小的。因此例如能以高概率来确定:在确定时间,车辆曾在确定的地点,但是还留有不确定因子,因为恰恰在所述车辆处可能进行了大的推移。时间上和地点上的掩盖的目标是:实现组匿名性。这因此应被理解为:所检测数据仅还可以被分配给车辆的足够大的组,而不再被分配给唯一的车辆或一些少量的车辆。在此相关的可以是,数据在哪里和在何时被检测。在日间,在高速公路上通常由大量车辆在短时间内检测测量数据。在这里,略微的掩盖是足够的。在夜间,在较少行驶的支路上也许仅由唯一的车辆检测测量数据。在这种情况下,需要足够的掩盖。由匿名化单元43通过顾及交通流的数据来考虑这种状况。第三种方法在于内容上的聚焦。在这里存在如下可能性:非常逐点地交出信息。所述数据在此甚至利用鉴于位置和时间方面非常高的精确度被输出,然而所述数据通过信道分离来有意地从所有其他数据分离。因此实现:不能建立个人联系。另一可能性在于:车辆在对于既定时间的“聚焦的数据供应(fokussierteDatenlieferung)”之后禁止所述通信。以这种方式可靠地排除可能的交叉相关性分析。对于在内容上的聚焦可得到的(zugänglich)的数据的例子是:危险地点、可变交通示意标志或信号灯阶段(Ampelphasen)。这样的数据在没有足够精确的地点和时间信息的情况下在实际上是无用处的。此外,尤其是在危险地点、例如事故或所识别的弄错方向的驾驶员的情况下有意义的是:为了防止事故,相对于数据保护而言对于数据的使用给予优先权。加油状态的数据也可以以这种方式来处理。这样的数据例如是有用的,以便确定与实际有关的消耗信息(Verbrauchsinformation)。这例如允许:对发动机控制的改变的作用进行评估。因为在没有地点信息和时间信息的情况下不能够确定有意义的消耗信息,对数据的地点上或时间上的掩盖并不予以考虑。图7示出用于从车辆40传输数据到后端45的系统,在所述系统情况下在车辆40中进行匿名化。在此情况下,借助车辆40的环境传感装置来估计交通流。由此确定需要的时间上或空间上的掩盖,以便在所限定的匿名组中对所述车辆40的身份进行掩盖。匿名化组应被理解为如下组,在所述组中,尽管个体的行动,所述个体仍然保持匿名,也即是所述组的不能识别的部分。在数据被传送给接收系统41之后,所述车辆的ID在所有通信层上由伪匿名单元42在接收系统41中被去除。详细地,所述方案基于接下来所描述的流程。所有车辆传感器46、诸如摄像机、雷达传感器、超声波传感器、温度传感器或气候传感器将所测量的数据报告给通信单元47。在这里,只要这并不是通过传感器已经所发生的,则给所述数据配备时间戳和地点戳。匿名化单元43接收所述数据并且就此而言改变所述时间戳或地点戳,使得所述车辆40的身份在车辆的组中被足够地隐藏。所述匿名化单元43的功能继续在下面根据图8来描述。经匿名化的数据借助移动无线电被发送给接收系统41,其中所述经匿名化的数据仍还具有车辆特定的、基于移动无线电的连接数据,在所述接收系统中伪匿名化单元42将所述数据从车辆特定的连接数据隔离并且以伪ID来配备所述数据。车辆40的登录(Anmeldung)在此情况下经由组证书来进行,所述组证书在所有车辆中是相同的。在此的目标是:使未授权者在没有给出(preisgeben)车辆40的ID的情况下很难上传。所述数据然后经由数据适配单元48被适配于后端45的接口并且相应地被发送。数据的使用者然后与其分析目标相应地对所检测的用户数据进行评估。在图7中,伪匿名单元42是由车辆制造商所提供的接收系统41的组成部分。然而伪匿名单元42可以也由外部的服务商来提供(stellen)。相应地,数据的使用者可以是车辆制造商或者与所述车辆制造商无关的企业。图8示意性地示出,在车辆中对数据匿名化的流程。作为用于匿名化单元43的输入端使用个人化的数据50。此外,匿名化参数51被提供,尤其是匿名化组的所要求的大小和详细的数据组的自由度鉴于时间戳和地点戳的推移方面被提供。从环境中的所检测的车辆的数据52计算出在车辆的环境中的交通流预测。在需要的情况下可以顾及对于所述数据的附加的边界参数(Randparameter)53。例如可以规定:并不对车辆移动的最后100m的数据进行传输,以便因此保护驾驶员的居所的位置。基于输入参量于是由匿名化单元43来与时间戳或地点戳相应地对所述数据进行推移。在推移时间戳的情况下,首先根据所述参数来计算所需要的时间区间和可能的分布。然后,经由随机算法来计算在测量时间点上的推移并且将其相加于测量数据。在推移地点戳的情况下,首先从参数确定所需要的推移区间和可能的分布。然后,经由随机算法来计算在所述地点戳上的推移并且将其相加于测量数据。在此情况下重要的是:所述推移仅仅可以沿着已经所行驶的路段来实施。对此,优选地存储例如最后5km的最后的GPS测量。所述数据于是仅仅沿着所述所存储的位置被推移。在没有所述限制的情况下,可以在自由推移的情况下通过“MapMatching(地图匹配)”算法来至少部分地修正所述推移。经匿名化的数据54最终由匿名化单元43输出以用于进一步处理。也在车辆中匿名化的情况下,可以在推移数据时使用优化的随机分布,例如已经在上面提及的帕累托分布。在此情况下,数据可以这样被推移,使得所述推移平均起来较小,然而在最大值方面是非常大的。以这种方式一方面仅较小地歪曲(verfälschen)大多数据的质量,而另一方面通过大的、最大推移进行的安全的标识仅在大的匿名化组之内是可能的。无关于所述匿名化是在车辆中还是后端中进行,所述匿名化的实施与数据种类自身有关或与其自由度有关。在此的目标必须是:并不通过匿名化来使所述数据贬值(entwerten)。对此,可以例如如接下来所描述的那样对数据分类。作为第一标准应区分:所述信息本身是如何暂时性的(vergänglich)。在这里能够构成多个组:暂时性对于其他交通参与者来说的用处数据的例子<1秒对于驾驶员辅助系统、直接干预的系统来说的利用车辆的制动、加速过程、行驶机动动作、交通<1分对于直接的机动动作规划(下个10秒)有用信号灯状态、来回交通时间(Wechselverkehrszeit)、停车场的占用<10分对于间接的机动动作规划(对于行驶的一般调控(Konditionierung))、路线规划有用交通流状态、当地危险地点(lokaleGefahrenstellen),车辆的移动轨迹、天气、道路状态、气候、光<1小时对于间接的机动动作规划(对于行驶的一般调控)、路线规划、根据所识别的地图特征进行的车辆自定位有用静态的标牌、道路划线>1小时对于路线规划、根据所识别的地图特征进行的车辆自定位有用道路走向、道路名称作为第二标准,在下面的表格中限定接收车辆中的反应时间,所述反应时间对于新的信息的处理来说是容许的:反应时间客户功能功能的使用数据<1秒驾驶员辅助系统、直接干预的系统制动、加速过程、车辆的行驶机动动作、交通、当地危险地点<1分直接的机动动作规划(下个10秒)信号灯状态、来回交通时间、停车场的占用、当地危险地点、道路状态、在车道(Spur)之内的车辆的移动轨迹<10分间接的机动动作规划(在行驶期间的一般调控)交通流状态、天气、气候、光<1小时路线规划道路走向、道路名称、交通流状态>1小时根据所识别的地图特征进行的车辆自定位静态标牌、道路划线、道路走向从用于在组之内隐藏车辆的身份数据的对测量时间点的推移出发。在此情况下适用:掩盖车辆位置的本身(Identitaet),然而不使所述数据贬值。为了实现所述目标,例如可以使用具有以下划分类别的指数分布。在此情况下,K表示对于95%分布来说的匿名化组的组大小。组Gx组大小a(Gx,K)概率P(Gx)1K95%2K*102.5%3K*1021.25%4K*1030.625%5K*1040.3125%6无穷(报告的抑制(Unterdrückung))0.3125%数据到95%组大小(Gruppengröße)的分配在下面的表格中被描述。数据暂时性标准95%组大小当地危险地点<10分<1秒K=2信号灯状态、来回交通时间<1分<1分K=2停车场的占用<1分<1分K=2在车道之内的车辆的行驶轨迹<10分<1分K=5交通流状态<10分<10分K=10天气、气候、光<10分<10分K=10道路状态<10分<10分K=10静态的标牌、道路划线<1小时<1小时K=20道路走向、道路名称>1小时>1小时K=20接下来应该描述两个具体的例子。第一个例子是当地危险地点、例如错方向驾驶员(Falschfahrer)。在时间点,机载传感装置识别出错方向驾驶员,例如从由前方雷达或摄像机所检测的数据来识别。此外,从在时间点已经观测到的车辆来确定平均的流速度和车辆间隔。需要的时间推移因此得出:。例子:在平均的流速度和平均的车辆间隔的情况下得出需要的时间上的推移3秒。借助第一随机算法,利用分配P来确定组Gx。例子:作为在区间0…1中的随机数产生0.96,由此组G2被选择。组大小因此是20个车辆。借助第二随机算法,在组大小之内确定推移。例子:作为在区间0…1中的随机数产生0.56,由此以11的平均车辆时间区间来推移车辆。所识别的危险地点因此以延迟33秒的方式连同(mit)相应的时间戳被发送。第二例子观察对静态标牌和车道划线的识别。机载传感装置,例如前方摄像机在时间点和之间、在2km的路段上识别多样的标牌和车道划线。此外,从在时间点时已经观测到的车辆测确定平均的流速度和车辆间隔。需要的时间上的推移因此得出:。例子:在平均的流速度和平均的车辆间隔的情况下,得出需要的时间上的推移4秒。借助于第一随机算法,利用分布P来确定组Gx。例子:作为在区间0…1中的随机数产生0.52,由此选择组G1。组大小因此是20个车辆。借助第二随机算法,在组大小之内确定推移。例子:作为在区间0…1中的随机数产生0.34,由此以6的平均车辆时间区间来推移车辆。所识别的数据因此以延迟30秒的方式连同相应的时间戳被发送。在上面的考虑方案中由此出发:在交通中所检测的所有车辆可以潜在地参与数据上传并且因此是匿名化组的成员。然而,只有当具有数据上传可能性的车辆已经替代了全部的、已经容许的车辆时,所述假设才适用。尽管如此,为了达到匿名化组的正确大小,因此有意义的是:与组大小相应地以修正因子(Korrekturfaktor)kA来扩展所述组。所述修正因子通过车辆在总车辆保有量的比例来得出,其中所述车辆经由接收系统来引入数据。附图标记列表10接收数据11应用掩盖12从所接收的其他数据分离13转发以用于评估14接收车辆位置15将位置与所存储的任务对比16在一致的情况下请求数据20设备21输入端22数据掩盖单元23数据分离单元24数据处理单元25输出端26存储器27用户接口30设备31存储器32处理器33输入端34输出端40机动车41接收系统42伪匿名化单元43匿名化单元44任务存储器45后端46车辆传感器47通信单元48数据适配单元50个人化的数据51匿名化的参数52所检测的车辆的数据53边界参数54匿名化的数据当前第1页1 2 3