Swisscom machte 2016 den Anfang. Nun hat Postfinance nachgezogen. Seit letztem Jahr identifiziert das Finanzinstitut Anrufer im Call Center über die Stimme. Die Technik macht sich die Unverwechselbarkeit der menschlichen Stimme zunutze: Die Unterschiede in Tempo, Lautstärke oder Ton lassen sich wie ein Fingerabdruck zur Authentifizierung einsetzen.

Wer als Kunde auf einen Stimmabdruck verzichten will, muss dies ausdrücklich verlangen. Und dieses Vorgehen ist aus Sicht des eidgenössischen Datenschützers rechtswidrig.

Partner-Inhalte
 
 
 
 
 
 

Zwar informiert Postfinance die Kunden über die neue Identifikationsmethode. Beim ersten Anruf ins Kundencenter hören sie eine entsprechende Ansage und die Ankündigung, dass von der Stimme ein Abdruck angefertigt wird. Dieser Stimmabdruck wird gespeichert.

Kunden, die das nicht möchten, müssen es Postfinance im Telefongespräch oder auf anderem Weg allerdings mitteilen. Sie können sich wie bisher über die Beantwortung von Fragen identifizieren. Wenn die Kunden nicht auf die herkömmliche Methode bestehen, geht Postfinance von einer stillschweigenden Einwilligung aus.

Die Software

Die beiden Unternehmen verwenden für die Spracherkennung die Software des israelischen Unternehmens Nice. In der Schweiz wird das Produkt von Mobatime vertrieben. Derzeit setzen erst Swisscom und Postfinance auf die Authentifizierungstechnik, laut Mobatime interessieren sich aber diverse weitere Unternehmen für die Software. Neben Mobatime bietet auch das Zürcher Startup Spitch ein Produkt zur Sprachauthentifizierung. Es installiere derzeit die Software bei «einigen wenigen bekannten Schweizer Unternehmen, hauptsächlich aus dem Finanzsektor», erklärt es auf Anfrage. Spitch empfiehlt den Kunden, die ausdrückliche Zustimmung der Kunden für den Sprachabdruck einzuholen.

Das Vorgehen

Die Software fertigt von den Stimmen der Kunden einen Abdruck an, in dem die unverkennbaren Merkmale der Stimme gespeichert sind. Der Inhalt des Gesprächs wird nicht erfasst. Den Stimmabruck – eine Computerdatei - speichern Swisscom und Postfinance auf ihren hauseigenen Rechnern in der Schweiz ab. Wenn die Kundenbeziehung endet, löschen beide Unternehmen die Datei automatisch. Kunden können auch jederzeit eine Löschung verlangen. Die Authentifizierungsmethode – Voice Biometrie – ist aus Sicht der Unternehmen sicherer und zeitsparender als herkömmliche Verfahren. Kritiker der Methode befürchten, dass die biometrischen Daten für andere Zwecke als die Authentifizierung missbraucht werden könnten.

Die Daten geniessen besonderen Schutz

«Eine stillschweigende Zustimmung genügt den Datenschutzbestimmungen nicht – es braucht eine ausdrückliche Einwilligung», sagt Hugo Wyler, Leiter Kommunikation des Datenschützers. Pflicht sei auch: Kunden müssen informiert werden, eine andere Methode als Alternative haben und ihre Zustimmung jederzeit widerrufen können. «Beim Stimmabdruck handelt es sich aus unserer Sicht um biometrische Daten, die ganz besonderen Schutz geniessen», sagt Wyler.

Zur Lösung der Postfinance nimmt der Datenschützer allerdings nicht konkret Stellung, da er weder eine sogenannte Sachverhaltsabklärung noch eine aufwändige Begleitung gemacht habe.

Als Postfinance die Voice Biometrie letzten September in ihren Kontaktcentern einführte, wählte sie ein anderes Vorgehen. Die Kunden mussten die Authentifizierung über die Stimmerkennung ausdrücklich wünschen. «Die grosse Mehrheit unserer Kundinnen und Kunden war einverstanden», sagt Sprecher Johannes Möri.

Wegen den positiven Reaktionen habe das Institut auf die jetzige Methode mit einer stillschweigenden Zustimmung umgestellt.

«Normalerweise wählen Kunden den einfachsten Weg»

Dass die Stimmerkennung derart populär ist, bezweifelt der Zürcher Anwalt und IT-Experte Martin Steiger. Im Call Center der Swisscom verzichten nach seinen Informationen rund acht Prozent der Anrufer auf einen Stimmabdruck. Auch beim Telekomkonzern müssen die Kunden den Verzicht ausdrücklich wünschen.

Acht Prozent sei ein hoher Anteil, wenn man sich die Vorteile der Stimmerkennung vor Augen halte, findet Steiger. Die Identifizierung mit der Methode erfolge schnell und sei weniger mühsam als die Befragung. «Normalerweise wählen Kunden den einfachsten Weg und scheuen jeglichen Aufwand», so der Rechtsexperte.

Martin Steiger, jurist, spricht an einer Medienkonferenz ueber die  Lancierung der Volksinitiative fuer ein E-Voting-Moratorium "Fuer eine sichere und vertrauenswuerdige Demokratie", am Freitag, 25. Januar 2019, im Medienzentrum Bundeshaus in Bern. (KEYSTONE/Anthony Anex)

Martin Steiger: Der Zürcher Anwalt ist auf Rechtsfragen im digitalen Raum spezialisiert.

Quelle: Keystone / Anthony Anex

Die rechtliche Situation legt der Anwalt allerdings anders aus der Datenschützer:  «Nach heutiger Rechtslage genügt die Möglichkeit, widersprechen zu können», sagt Steiger. Im Europäischen Wirtschaftsraum müssen Unternehmen heute eine ausdrückliche Einwilligung für die Stimmerkennung einholen. Mit der Revision des Datenschutzgesetzes dürfte das auch hierzulande Pflicht werden, so Steiger.

Der Anwalt kann aber nicht verstehen, wieso Postfinance und Swisscom nicht bereits heute freiwillig die ausdrückliche Einwilligung der Kunden einholen. Schliesslich gebe es gute Argumente für die Stimmerkennung, beispielsweise die Zeitersparnis, die die Methode bietet. «Wieso lassen die Unternehmen nicht diese Argumente für sich sprechen? Das wäre kundenfreundlich.»