Mit einem Tweet teilte Swisscom versteckt mit, dass seit Mitte April 2019 auf Voiceprint verzichtet wird und alle Stimmabdrücke gelöscht wurden.
Swisscom hatte Voiceprint im August 2016 als vermutlich erstes Schweizer Unternehmen eingeführt. Bei Telefonanrufen von Kunden ersetzte der Stimmabdruck die aufwendige Identitätsüberprüfung mit Sicherheitsfragen.
In den letzten Wochen war Kritik an Voiceprint bei Swisscom aufgekommen. So wurden Kunden nicht um ihre Einwilligung gebeten («Opt-in»), sondern mussten Widerspruch im Online-Kundencenter oder nachträglich am Telefon erheben («Opt-out»).
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte bereits 2017 erklärt, betroffene Kunden müssten ausdrücklich und freiwillig in die Verwendung von Voiceprint einwilligen. Der EDÖB sah erhebliche Risiken hinsichtlich der Wahrung der Freiheits- und Grundrechte, auch mit Verweis auf einen kritischen «Beobachter»-Artikel.
Ich ging und gehe davon aus, dass gemäss dem heutigen Datenschutzrecht in der Schweiz für die Verwendung von Stimmabdrücken zur Identitätsüberprüfung wie bei Swisscom keine ausdrückliche Einwilligung erforderlich ist. Information und «Opt-out»-Möglichkeit genügen. Anders sieht es allenfalls im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) aus, der Swisscom aber nur in Bezug auf Kunden im Fürstentum Liechtenstein und anderswo im europäischen Ausland unterliegt.
Diese Einschätzung gilt nur, wenn für Voiceprint überhaupt Personendaten bearbeitet werden, was nicht zwingend ist.
So funktionierte Voiceprint bei Swisscom
Swisscom beschreibt – auch heute noch – Voiceprint unter anderem wie folgt (Erklärvideo):
«[…] Die Sprecher-Erkennung mit Voice-Biometrie ist eine sehr sichere und effiziente Methode, Personen anhand der individuellen Merkmale ihrer Stimme zu identifizieren und so sicherzustellen, dass ein Anrufer tatsächlich die Person ist, die er zu sein angibt.
Beim ersten Anruf erstellt das System einen ‹Stimmabdruck›, der alle identifizierenden Merkmale der Stimme erfasst. Dafür sind etwa 40 Sekunden Gespräch nötig. Dieser Voice Print steht dann für die Identifikation bei künftigen Anrufen bereit. Es braucht etwa 10 bis 15 Sekunden, bis der Anrufer identifiziert ist. Er muss dabei keinen vordefinierten Text sprechen, sondern kann frei kommunizieren – die Identifizierung findet im Hintergrund statt, ohne dass der Anrufer etwas davon merkt. Und die Methode ist kaum störungsanfällig, die Stimme wird auch erkannt, wenn der Sprecher zum Beispiel erkältet ist.
Die Methode kommt auch für sensitive Bereiche wie Gesundheitswesen und Finanzwirtschaft infrage, denn die Stimme kann während des Anrufs laufend weiter analysiert werden – Betrug etwa durch Austausch des Sprechers im Verlauf des Gesprächs wird sofort erkannt. Voice-Biometrie eignet sich überdies auch als zusätzliche Sicherheitsstufe, wenn es im Verlauf eines Gesprächs um besonders vertrauliche Angelegenheiten geht.
Der Voice Print ist keine Audioaufzeichnung und enthält keine personenbezogenen Daten – gespeichert werden nur Metadaten. Die Verbindung zwischen Person und Voice Print ist nicht offensichtlich. Trotzdem sollten die betroffenen Kunden ihre Zustimmung zur Sprechererkennung geben können – idealerweise durch explizite Zustimmung per Opt-in oder über eine klar kommunizierte Opt-out-Möglichkeit. In der EU ist die Opt-in-Variante bereits Vorschrift.»
Nach Angaben von Swisscom betrug die Erkennungsquote 85 Prozent und 8 Prozent der Kunden erhoben Widerspruch gegen die Verwendung von Voiceprint.
Bei Geschäftskunden sowie Personen mit Staatsbürgerschaft in einem EU-Land verzichtete Swisscom auf Voiceprint.
Fazit: Fehlendes Vertrauen in den Datenschutz bei Swisscom
Mit Voiceprint sparte Swisscom einerseits Kosten bei Telefonanrufen von Kunden, denn Anrufe dauerten ohne Sicherheitsfragen weniger lange. Andererseits profitierten Kunden von einem besseren Schutz ihrer Nutzerkonten, denn Sicherheitsfragen sind anfällig für Social Engineering beziehungsweise Social Hacking.
Swisscom gelang es offensichtlich nicht, genügend Kunden (und Journalisten) von dieser Win-win-Situation zu überzeugen. In der Schweiz ist eine erhebliche Zahl von Personen nicht bereit, Swisscom und anderen Unternehmen ihr Vertrauen zu schenken, wenn es um den Schutz ihrer Daten geht.
Swisscom kommunizierte unglücklich. Wenn Swisscom – wie oben zitiert – die ausdrückliche Einwilligung selbst als Idealfall beschreibt, ist nicht vermittelbar, wieso darauf verzichtet wird. Auf der Website wird ausserdem weiterhin so informiert, als wäre Voiceprint immer noch in Gebrauch. Bei Twitter wird prompt misstrauisch nach Beweisen gefragt …
Voiceprint in der Schweiz: PostFinance, NICE und Spitch
Gemäss einem Medienbericht gehört PostFinance zu den Unternehmen, die Voiceprint in der Schweiz verwenden. PostFinance hatte Voiceprint mit «Opt-in» eingeführt, dann aufgrund von «positiven Reaktionen» aber darauf verzichtet und verwendet heute nur noch «Opt-out».
Bei PostFinance und Swisscom wird beziehungsweise wurde Software von NICE aus Israel verwendet («NICE Real-Time Authentication [RTA]»), wobei der Vertrieb in der Schweiz durch Mobatime erfolgt. NICE bezeichnet «Passive Enrollments» als «Key to High Volume Voiceprint Utilization».
Eine schweizerische Voiceprint-Anbieterin ist Spitch mit ihrer «Voice Biometrics Platform» VeryFi. Sie empfiehlt ihren Kunden anscheinend, auf «Opt-in» zu setzen. Spitch ist insbesondere auf die Erkennung von Schweizerdeutsch spezialisiert.
PostFinance und andere Unternehmen, die in der Schweiz mit Erfolg auf Voiceprint setzen möchten, werden wesentlich mehr Aufwand betreiben müssen, um das Vertrauen der betroffenen Personen zu gewinnen.
Dazu gehört, dass Unternehmen ihre Kunden umfassend informieren sowie um ihre ausdrückliche und freiwillige Einwilligung ersuchen, selbst wenn die Rechtslage nicht dazu zwingt. Wünschenswert sind auch Transparenzberichte nach amerikanischem (!) Vorbild, ein schweizerisches Vorbild ist Tresorit.
(Vielen Dank an Cornelia Diethelm für ihren Hinweis!)
Nachtrag: Su Franke beschreibt die Vorgeschichte und bei Inside IT versucht Swisscom glaubwürdig zu erklären, man habe aus Kostengründen auf Voiceprint verzichtet, zumal man Voiceprint nur für einen kleinen Teil der Anrufe verwendet habe.
Vielen Dank lieber Martin für die vertiefte Beleuchtung juristischer Aspekte des Voice Profiling. Wichtig scheint mir auch, dass es eben nicht darum geht, die Technologie per se zu verteufeln, sondern wie du sagst Transparenz und Vertrauen in die in jeder Hinsicht korrekte Anwendung derselben zu schaffen. Also nicht nur technologische und juristische Aspekte, sondern eben auch „weiche“ Kundenbedürfnisse zu berücksichtigen.
Das Beispiel zeigt auch sehr schön den Unterschied zwischen dem rechtlich Erlaubten und dem aus ethisch-gesellschaftlicher Perspektive Erwünschten. Dieser Diskurs ist enorm wichtig für die weitere Entwicklung im gesamten Bereich der Digitalisierung und sollte im Interesse aller verstärkt gefördert werden.
Kennst du (oder sonst jemand der mitliest) noch weitere Schweizer Firmen, die Stimmdaten sammeln?
@Chris Bühler: «Kennst du (oder sonst jemand der mitliest) noch weitere Schweizer Firmen, die Stimmdaten sammeln?»: Wir wissen es nicht, Hr. Bühler, können aber davon ausgehen, dass dies der Fall ist. Es wird jedoch wohl kaum eine Firma freiwillig zugeben, dass sie Voiceprint einsetzt. Ein Callcenter im Ausland, welcher für ein Schweizer Unternehmen arbeitet, schon gar nicht.
Exzellent e Beobachtungen – die blosse Stimmerkennung ist ja nur der Anfang – mit der Stimmanalyse geht es weiter und dann feiert der gute alte Lügendetektor wieder Urstände – es könnten dann solche Programme bei Zeugenaussagen im Zivil- oder Strafprozess eingesetzt werden – oder bei Inkassoabteilungen von Unternehmen – oder wenn ich in Telephonkonferenzen die jeweiligen Gesprächspartner in entscheidenden Momenten analysieren lasse –
Der Artikel zum Voiceprint der Swisscom gefällt mir. Nachdem man nun wohl von ca. 80 – 90 % aller Swisscom-Kunden über Voiceprints verfügt, kann man damit getrost aufhören. Die Daten hat man ja.
Die Sache mit den Transparency-Reports ist eine ganz spezielle Angelegenheit. Während diese im amerikanischen Raum, wg. der rechtlichen Lage, eine komplett andere Bedeutung haben (und standardisiert sind), trifft dies auf Schweizer «Transparency»-Reports wohl kaum zu. So sind z.B. die informellen Anfragen, welche m.E. den Löwenanteil ausmachen, nicht berücksichtigt. Auch braucht es in der Schweiz, im Gegensatz zu den U.S.A., keine Verfügung der Staatsanwaltschaft um Daten zu verlangen.
Auch frage ich mich, wie unbefangen Schweizer ESPs sind. Protonmail, z.B. hat soeben mitgeteilt, von der EU euro 2 Mio. erhalten zu haben (https://protonmail.com/blog/eu-funding/).
Ein «Klassiker» für das eigenmächtige und halbinformelle Herumwursteln der Schweizer Behörden zeigt der Versuch der Kapo Zürich, in den U.S.A. eine Website zu löschen (http://archive.is/WnB1A).
Während Metadata bei ESPs sehr relevant sind, trifft dies bei Cloud-Providern weniger zu. Hier können die Daten zudem verschlüsselt hochgeladen (nicht synchronisiert) werden. Kommt hinzu, dass den Behörden andere Mittel zur Beweiserhebung in der Cloud zur Verfügung stehen (Burgermeister, 2015).
Zu guter Letzt sei zu den Transparency-Reports soviel gesagt: Prozentual haben Schweizer ESPs und ISPs mehr Anfragen der Behörden als Festlandchina. Und hier sprechen wir lediglich vom formellen Teil…