EDÖB schliesst Untersuchung zur Stimmerkennung bei PostFinance ab

Stimmabdrücke sind biometrische Daten. Wenn sie eine Person eindeutig identifizieren, gelten sie nach Datenschutzgesetz als besonders schützenswerte Personendaten. Stimmerkennungsverfahren und andere biometrische Erkennungssysteme können sowohl Betreibern als auch betroffenen Personen Vorteile bieten. Sie bergen aber vor dem Hintergrund des zunehmenden technologischen Fortschritts auch Risiken hinsichtlich der Wahrung der Grund- und Freiheitsrechte. So ist die Stimme ein eng und dauerhaft mit einer Person verbundenes Merkmal und stellt einen einzigartigen Aspekt der Persönlichkeit dar. Im Unterschied zu einem Passwort kann dieses Merkmal bei unbefugter Entwendung nicht einfach neu erstellt werden.

Die Untersuchung des EDÖB ergab, dass die Bearbeitung von biometrischen Daten zu Authentifizierungszwecken durch die PostFinance AG gegen den Grundsatz der Verhältnismässigkeit verstösst. Zudem werden die Stimmabdrücke ohne die aktive Abgabe einer Willenserklärung von Kundinnen und Kunden erstellt. Das heisst, die Kundinnen und Kunden, welche den Einsatz von Stimmerkennung ablehnen, müssen selber aktiv werden. Die PostFinance AG sieht damit lediglich ein sog. «Opt-out» vor.

Der EDÖB erachtet dieses Vorgehen als datenschutzrechtswidrig und hat die PostFinance AG mittels Verfügung verpflichtet, von betroffenen Personen bei Erstellung von Stimmabdrücken zur Authentifizierung durch Stimmerkennung eine ausdrückliche Einwilligung einzuholen. Die PostFinance AG wird zudem angewiesen, diejenigen Stimmabdrücke zu löschen, bei welchen keine ausdrückliche Einwilligung der betroffenen Person vorliegt. Die PostFinance AG hat gegen die Verfügung vor Bundesverwaltungsgericht Beschwerde erhoben. Die Verfügung des EDÖB ist damit noch nicht rechtskräftig.