Biometrische Authentifizierung

Stimmprofile anlegen ohne explizite Zustimmung der Kunden – operiert die Postfinance auf dünnem Eis?

Darstellung von Stimmerkennung
Bild: hudiemm | Getty Images

Mehr als das, sagt Su Franke. Die Beraterin und Dozentin für Online-Kommunikation bezeichnet die Opt-out-Politik der Postfinance als "irreführend und gefährlich".

Die Hotline der Postfinance erkennt ihre Kunden an der Stimme. Ein hinterlegter Stimmabdruck wird verglichen mit der Stimme des realen Anrufers, so kann der Kunde eindeutig identifiziert werden. 

Dadurch entfallen die lästigen Authentifizierungs-Fragen nach Person und Konto. Das ist praktisch, spart Zeit und die Mitarbeiter der Hotline können sich ohne langfädige Checks direkt um das Anliegen des Kunden kümmern.

Die Sache hat einen Haken, genau genommen sogar zwei.

Der erste Haken betrifft die Postfinance selbst

Damit die biometrische Authentifizierung über die Stimme funktioniert, muss zuerst ein Stimmabdruck erfasst und hinterlegt werden. Diese Referenzdaten machen den Vergleich mit dem Anrufer erst möglich. Die Postfinance setzt hier auf das Opt-out-Verfahren. Das heisst, der Kunde muss explizit widersprechen, wenn er keinen Stimmabdruck von sich erfasst haben möchte. Ohne Widerspruch, wird sein Einverständnis vorausgesetzt. Die Postfinance spielt dazu ihren Kunden den folgenden Ansagetext vor:

«Dieses Gespräch wird zu Sicherheits- und Wiedererkennungszwecken aufgezeichnet. Postfinance erstellt aus der Aufnahme einen Stimmabdruck, um Ihre Identität bei jeden Anruf anhand Ihrer Stimme zu verifizieren. Wünschen Sie keinen Stimmabdruck, bitten wir Sie, dies dem Kundenbetreuer mitzuteilen.»

Dieses Prozedere ist insofern ungewöhnlich, als zum Beispiel nur schon ein Newsletter-Versand rechtlich an ein Opt-in-Verfahren gebunden ist. Das heisst, ein Empfänger muss vor dem Versand explizit zustimmen, dass er die Zustellung des Newsletters wünscht. Ein Newsletter in der Mailbox geht weniger auf Nähe und ist sehr viel weniger persönlich im Vergleich zu einem hinterlegten Stimmabdruck. Dennoch hat sich die Postfinance für das "abgekürzte" Verfahren ohne explizite Zustimmung entschieden.

Die Argumente der Postfinance und die Einwände der Gegner

Die Redaktion von Echo der Zeit auf Radio DRS hat letzte Woche die unterschiedlichen Argumente zusammengefasst. Die Postfinance stellt sich auf den Standpunkt, dass "Stimmabdrücke in der Schweiz nicht als besonders schützenswerte Daten gelten. Das Vorgehen von Postfinance entspreche somit, mit Blick auf das Datenschutzgesetz von 1992, vollumfänglich dem rechtlichen Rahmen."

Im Beitrag von Echo der Zeit hält der eidgenössische Datenschutzbeauftragte dagegen, "er findet diese Sichtweise zweifelhaft. Die Beschaffung eines Stimmabdrucks stelle eine Persönlichkeitsverletzung dar, da es mildere Mittel gebe um die Persönlichkeit einer Person zu verifizieren. Es gelte darum die explizite Einwilligung der betroffenen Person einzuholen."

Zudem beruft sich der eidgenössische Datenschutzbeauftragte dabei auch "auf das revidierte Datenschutzgesetz, wie auch auf die Gesetze der EU. Diese zeigen: Ein Stimmabdruck ist ein besonders schützenswerter Datensatz, für dessen Registrierung braucht es eine explizite Einwilligung."

Der Mediensprecher der Postfinance, Johannes Möri, hatte bereits im Mai 2019 im Schweizer Fernsehen im Nachrichtenformat 10vor10 von den "sehr positiven Erfahrungen" berichtet und erklärt: «Die Zustimmung der Kunden ist sehr gut, die liegt heute bei weit über 95 Prozent». 

In derselben Sendung vertrat die Dozentin für digitale Ethik, Cornelia Diethelm, die Ansicht, dass von Zustimmung keine Rede sein könne, weil die Kunden gar nicht wüssten, auf was sie sich einlassen und auf Seite der Konsumente eigentlich niemand wüsste, was genau ein Stimmabdruck wäre.

Die Beraterin und Dozentin für Online-Kommunikation, Su Franke, geht auf Widerspruch zur hohen Zustimmungsquote und argumentiert auf ihrer Website:

«Paradox: Der Postfinance-Sprecher brüstete sich im Beitrag von SRF sogar damit, dass 95 Prozent der Kunden mit dem Anlegen eines Stimmprofils einverstanden wären – dabei haben diese nur nicht widersprochen».

Franke gibt sich kämpferisch, sie hat eine Petition gestartet und verlangt, dass "die Postfinance dem Beispiel der Swisscom folgen soll, die seit April 2019 wieder auf das Anlegen von Stimmprofilen verzichtet".

Stand der Petition "Postfinance: Keine Stimmprofile ohne Einwilligung" bei Redaktionsschluss: 2'735 von anvisierten 3'000 Unterschriften.

Der zweite Haken öffnet Tore in eine neue Dimension

Bei gut informierten Konsumenten, die genau wissen, was ihre Stimme "kann", könnte der zweite Haken bei flüchtiger Betrachtung wegfallen. Dieses Wissen kann aktuell allerdings nicht vorausgesetzt werden, dazu fehlt schlicht das Bewusstsein. Die Technologie rund um Stimmerkennung, Stimmabdruck und Stimmprofil ist ein relativ junger Zweig, dennoch bereits weit fortgeschritten.

Spezialisierte Unternehmen auf der ganzen Welt forschen, entwickeln und perfektionieren, um die Stimme nicht nur zu einem Authentifizierungs-Faktor, sondern zu einem zusätzlichen Informations-Kanal zu machen. Das ist faszinierend – und birgt Sprengstoff, in mehrfacher Hinsicht.

Die biometrische Erkennung über die Stimme bietet wie zum Beispiel Gesichtserkennung, Fingerprint und andere Verfahren sehr viel Komfort und zusätzliche Sicherheit. Im Gegensatz zu anderen biometrischen Verfahren liegt in der Stimme jedoch zusätzliches und brisantes Potenzial.

Die Stimme erzählt Geschichten, die Menschen gerne für sich behalten würden

Biometrische Stimm-Analysen können über KI bereits heute erstaunliche Dinge aus der Stimme "herauslesen". Und damit Infos und Fakten über die jeweils Sprechenden zusammentragen und zu einem Profil verdichten. Zum Beispiel mit Informationen zur aktuellen Stimmung, zur allgemeinen Gemütsverfassung, über latente Gefühle bis hin zu Informationen zum Gesundheitszustand (Depressionen, Burnouts etc.) und mehr.

Die Stimme verrät Dinge, welche für Personalrecruiter, Krankenkassen, Versicherer oder auch für Big Techs wie Amazon (Sprachassistent Alexa) und zahlreiche andere Empfänger von höchstem Interesse sind. 

Die Stimmenprofile sind deshalb mehr als nur Komfort für Kunden – die biometrische Erfassung und die Analyse der Daten verschaffen auch tiefgreifende Einblicke in die Persönlichkeit und in die Psyche eines Menschen. Dieser durchleuchtete Mensch kann Bewerber, Patient, Antragsteller oder Kunde sein.

Mit einem einfachen Ja oder Nein ist das Problem nicht gelöst

Mit anderen Worten: Ist die Technologie dereinst völlig ausgereift und perfektioniert, muss ein Kunde oder ein Mensch in einer anderen Rolle nicht viel erzählen, er ist durchschaut, längst bevor er seine Geschichte zu Ende erzählt hat. Das ist brisant und kann weitreichende Konsequenzen haben. Wenig wahrscheinlich, dass sich Kunden und Konsumenten heute schon bewusst sind, was ihre Stimme alles über sie verraten kann.

Deshalb geht es übergeordnet noch weniger um Opt-in- oder Opt-out-Verfahren und auch nicht um die Postfinance, die Dimension ist ungleich grösser – das Thema spielt auf der Ebene von Politik und Gesellschaft. Es geht um gut informierte Konsumenten auf der einen Seite, zweifellos, vor allem jedoch geht es um zentrale Fragen wie zum Beispiel: Wer darf wessen Stimme für welche Zwecke in welchen Zusammenhängen erfassen, analysieren, Profile erstellen, Schlüsse daraus ziehen und letztlich Entscheidungen daraus ableiten?

Lässt man sich die Tragweite dieser Fragen und ihrer möglichen Antworten kurz auf der Zunge zergehen, wird klar, dass auch mit einer aufgepeppten Datenschutzverordnung und einem Ja oder Nein von gut oder schlecht informierten Konsumenten zahlreiche Spielräume offenbleiben. Das schafft Lücken, welche nicht durch informationshungrige Anbieter nach eigenem Ermessen gefüllt werden dürfen. Deshalb: Hier steht ein Themenkreis an, der auf die Ebene von Politik und Gesellschaft gehört und nur gemeinsam in gewünschte Bahnen gelenkt werden kann.