Quell-Ziel-Relationen im ÖV

Der KVV steht im Spannungsfeld, für die Qualitätssicherung und Weiterentwicklung von Angeboten im Öffentlichen Personennahverkehr standortabhängige Analysen der Anfragestatistiken für Haltestellen durchführen zu wollen. Gleichzeitig müssen jedoch Datensparsamkeit, „Privacy by Design“ und Zweckbindung gewährleistet werden, um den Personenbezug und damit das Risiko einer Re-Identifikation so gering wie möglich zu halten. Ein einfacher, zentralisierter Ansatz mit Erfassung und Speicherung der Suchanfragen zur späteren Analyse würde zwar die funktionalen Anforderungen erfüllen, aber keine der Datenschutzanforderungen.

In Zusammenarbeit mit dem FZI wurden deshalb zwei Konzepte entwickelt, um den Datenschutz technisch bestmöglich umzusetzen, ohne bei den funktionalen Anforderungen Abstriche zu machen.

1. Lokale Vorverarbeitung im Smartphone: Die Geo-Koordinaten der Suchanfrage der anfragenden Person werden in sogenannte „Zellen-Informationen“ transformiert (z. B. die Voronoi-Zelle des Hauptbahnhofs). Diese Zelleninformation dient als Meta-Information für die Anfragequelle und wird zusätzlich durch einen Vektor ergänzt, der anzeigt, für welche Zielstation sich die Person interessiert. Der Vektor ist so lang wie es Haltestellen im Stadt- und Landkreis Karlsruhe gibt, ist überall mit dem Wert 0 gefüllt und enthält an genau einer Stelle eine 1 (Index der Zielstation). Dieses Konzept adressiert bereits den Großteil der Datenschutzanforderungen, ohne die Funktionalität der Statistiken zu beeinträchtigen.

2. Homomorphe Verschlüsselung: Um auch das verbleibende Restrisiko einer Re-Identifikation durch den spezifischen (0,…,1,…,0)-Anfragevektor auszuschließen, kommt homomorphe Verschlüsselung zum Einsatz. Dabei wird der Anfragevektor unverändert, aber verschlüsselt übertragen und aggregiert. So ist sichergestellt, dass selbst im schlimmsten Fall (z. B. durch interne oder externe Angriffe bzw. Malware) keine Re-Identifikation möglich ist, ohne die Korrektheit und Genauigkeit der Statistiken zu beeinträchtigen.

3. Potenziale für Erweiterungen: Dank der breiten Einsatzmöglichkeiten homomorpher Verschlüsselung lassen sich Anwendungsfall und Architektur aus den beiden Konzepten beliebig erweitern – auch für statistische Berechnungen, die über eine einfache Aggregation hinausgehen. Auf diese Weise können zusätzliche Kennzahlen erhoben werden, während Datenschutz und volle Funktionalität jederzeit gewahrt bleiben.

Die INIT hat zusammen mit dem FZI und dem KVV ein Backend System, basierend auf Apache Airflow, bereitgestellt. Dies ermöglicht die automatisierte Abfrage von Nutzerdaten aus der KVV regiomove App sowie die homomorphe Verschlüsselung der Daten (FZI) und deren Aufbereitung. Anschließend werden die anonymisierten Daten in einer Datenbank gespeichert und nach Möglichkeit mit weiteren Daten datenschutzkonform verschnitten, sowie in einem Frontend für den Nutzer dargestellt.

Auf Basis der homomorphen Verschlüsselung ist es möglich zusätzliche Kennzahlen zu erheben, während Datenschutz und volle Funktionalität jederzeit gewahrt bleiben. Im Anwendungsfall Öffentlicher Verkehr wurden die Nutzungsdaten aus der regiomove App aufbereitet und daraus Fahrgastströme abgeleitet und diese in einem Dashboard visualisiert. Dies ermöglicht dem Verkehrsunternehmen Angebote besser auf die Nachfrage abzustimmen. Durch die Anwendung der homomorphen Verschlüsselung ist es möglich Daten weiteren Akteure wie unter andrem Verkehrsplaner:innen und externen Unternehmen datenschutzkonform weiterzugeben. Folgende Abbildung zeigt die Nutzeranfragen in Form von Quell-Ziel-Relation als Kartendarstellung.

Des Weiteren ist es möglich anonymisiert alle Quell-Ziel-Relationen zeitlich in einer sogenannten O-D-Matrix darzustellen.

Darüber hinaus lässt sich die anonymisierte Bereitstellung der Daten mittels homomorpher Verschlüsselung beliebig erweitern. Als Beispiele im Anwendungsfall wurden statistische Kennzahlen zu Ticketverkäufen ermittelt. Die folgende Abbildung zeigt Ticketkäufe im Vergleich zu den Suchanfragen, die innerhalb eines Stadtteils über die regiomove App erfasst wurden.

Eine ausführliche Darstellung des Ansatzes der homomorphen Verschlüsselung ist in unserer Publikation zu finden.