News

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat geprüft, ob die PostFinance AG bei der Nutzung von Stimmerkennung zur Authentifizierung datenschutzrechtliche Bestimmungen verletzt hat.

Gemäss seiner heutigen Medienmitteilung hat der EDÖB bereits am 16. Mai 2025 seine Untersuchung gegen die PostFinance AG abgeschlossen. Dabei stellte er fest, dass es sich bei Stimmabdrücken um biometrische Daten handelt. Wenn diese eine Person eindeutig identifizieren, kategorisiert das schweizerische Datenschutzgesetz sie als besonders schützenswerte Personendaten. Daher benötigt jede Nutzung von Stimmabdrücken die ausdrückliche Einwilligung der betroffenen Personen. Mittels Verfügung hat der EDÖB die PostFinance AG verpflichtet, von betroffenen Personen ausdrückliche Einwilligungen einzuholen und die Stimmabdrücke ohne solche Einwilligung zu löschen. Grundlage ist das schweizerische Datenschutzgesetz (DSG), das unter anderem hohe Anforderungen an Transparenz, Datenminimierung und Datenschutz-Folgenabschätzungen stellt.

Auch andere europäische Datenschutzbehörden nehmen die Nutzung der Stimme zunehmend kritisch unter die Lupe. So verhängte die spanische Datenschutzbehörde AEPD am 15. Mai 2025 eine Geldbusse von EUR 30'000 gegen das Medienunternehmen ATRESMEDIA, weil in einem Online-Video die Stimmen von minderjährigen Personen nicht ausreichend anonymisiert worden waren. Nach Art. 4 DSGVO gelten Stimmen als personenbezogene Daten – und sobald sie zur Identifizierung verarbeitet werden, sogar als besonders schützenswerte biometrische Merkmale im Sinne von Art. 9 DSGVO (mehr zu diesem Entscheid finden Sie auf datenrecht.ch sowie direkt auf der Website der AEPD).

Ebenfalls auf EU-Ebene verschärft der kürzlich in Kraft getretene Artificial Intelligence Act (AI Act) die Regeln: Echtzeit-Biometrie – wozu auch Voice Authentication zählen kann – ist in öffentlichen Bereichen grundsätzlich verboten, Echtzeit-Biometrie darf nur mit strengen Auflagen und richterlicher Genehmigung genutzt werden (z.B. zur Identifizierung eines Entführungs-Opfers). Der AI Act setzt auf Risikoklassen, fordert Transparenz, menschliche Aufsicht und Impact‑Analysen, besonders bei Hochrisiko-KI-Systemen.

Der Einsatz von KI‑basierter Stimmerkennung bietet zwar spannende Aussichten – beispielsweise für nahtlose Nutzererlebnisse oder Barrierefreiheit –, doch Deepfakes und KI‑Imitation machen die Technologie zu einem attraktiven Einfallstor für Identitätsbetrug. OpenAI‑Chef Sam Altman warnt aktuell, dass Voice Authentication in Banken „eine verrückte Idee“ sei – KI habe die meisten Authentifizierungsverfahren bereits geknackt. Forscher zeigen zudem, wie generative KI biometrische Systeme angreift, und empfehlen Schutzschichten, dynamische biometrische Signale und Datenschutz‑Governance.

Governance und Lösungsansätze: Wichtig sind Privacy‑by‑Design‑Prinzipien, lokale Verarbeitung statt Cloud, transparente Nutzungserklärungen, Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme (Art. 27 AI Act), sowie Multi‑Faktor-Authentifizierung durch Stimme plus PIN oder Token. Eine zusätzliche Schutzebene bieten technische Gegenmassnahmen wie Stimm‑Anonymisierung und regelmässig aktualisierte Deepfake‑Erkennungssysteme.

Fazit: Die Authentifizierung per Stimme ist technisch faszinierend, aber nur tragbar, wenn KI‑Risiken durch robuste Governance, klare Normen und technische Sicherungen eingedämmt werden.

Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat heute seinen 32. Tätigkeitsbericht veröffentlicht – und macht klar: Datenschutz ist keine Checkbox, sondern ist und bleibt Führungsaufgabe im digitalen Alltag.

Der EDÖB hat insbesondere digitale Transformationsprojekte des Bundes – etwa im Bereich E-ID, KI und Cloud – kritisch begleitet. Auch in der Privatwirtschaft wächst der Regulierungsdruck: Mit dem revidierten Datenschutzgesetz (DSG) und dem Swiss-US Data Privacy Framework (Swiss-US DPF) stehen international tätige Unternehmen immer wieder vor neuen Herausforderungen beim Umgang mit sensiblen Personendaten und automatisierten Datenbearbeitungen.

Auffällig: Die Zahl der Aufsichtsfälle steigt, formelle Beanstandungen nehmen zu. Der EDÖB macht einmal mehr klar, dass Datenschutz auch im digitalen Raum nicht verhandelbar ist – und dass technische Innovation ohne datenschutzkonforme Umsetzung nicht zukunftsfähig ist.

Ein weiteres Hauptanliegen: Cyberkriminalität. Angriffe auf Personendaten – insbesondere durch Phishing, Ransomware und Sicherheitslücken – sind längst Realität. Der EDÖB fordert klarere Schutzmassnahmen und technische sowie organisatorische Vorkehrungen.

Für uns Unternehmer:innen heisst das: Prozesse schärfen, Transparenz leben – und Compliance als Wettbewerbsvorteil denken. Der EDÖB zeigt, wo der Standard liegt. Jetzt liegt’s an uns.

Zum Tätigkeitsbericht des EDÖB

Künstliche Intelligenz (KI) verändert, wie wir arbeiten, entscheiden und denken. Während die Schweiz ihren Regulierungsansatz noch sorgfältig abwägt, hat die EU mit dem Artificial Itelligence Act (AI Act) bereits ein deutliches Signal gesetzt: Innovation braucht klare Spielregeln. Ein wichtiger Schritt hat die Schweiz am 27. März 2025 getan: sie hat die Europaratskonvention zu KI, Menschenrechten, Demokratie und Rechtsstaatlichkeit unterzeichnet – ein deutliches Bekenntnis zu ethischer KI-Nutzung auf internationaler Ebene.

Schweizer Unternehmen sind zunehmend gefordert. Wer KI-Technologien einsetzt – insbesondere im Umgang mit personenbezogenen Daten – steht in der Verantwortung, ethische Grundsätze und regulatorische Entwicklungen proaktiv mitzudenken. Es geht längst nicht mehr nur um technische Machbarkeit, sondern um Vertrauen und Transparenz.

Impulse aus der Wissenschaft zeigen, wie ein verantwortungsbewusster Umgang mit KI gelingen kann: Forschende am Massachusetts Institute of Technology (MIT) plädieren dafür, KI nicht nur technologisch zu denken, sondern auch gesellschaftlich zu gestalten – etwa durch transparente Algorithmen und überprüfbare Entscheidungslogik. Die Botschaft: Innovation und Regulierung sind keine Gegensätze, sondern zwei Seiten derselben Medaille.

Vertiefende Einblicke:

• Schweizer Regulierungsansatz für KI – BAKOM
• Europäische Kommission: Künstliche Intelligenz – Fragen und Antworten
• EDSB – Datenschutz und KI im europäischen Kontext
• MIT – Philosophy Eats AI

Und zum Schluss: Der Algorithmus rechnet, wir (be)urteilen und entscheiden - noch. Also: Hirn an, bevor’s die KI tut!