Nr. 44/2019 vom 31.10.2019

«Nicht alles, was rechtens ist, ist richtig»

Für ihre Stimmerkennung erhielt die Postfinance kürzlich den Negativpreis Big Brother Award. Nun fand eine Aussprache zwischen dem Konzern und Jurymitglied Hernâni Marques vom Chaos Computer Club statt. Es war ernüchternd. Trotzdem bleibt Marques hoffnungsvoll.

Von Florian Wüstholz (Interview) und Florian Bachmann (Foto)

Roland Bieri von der Postfinance nimmt von Hernâni Marques (Mitte) und Bernd Fix (rechts)den Big-Brother-Pokal entgegen.

WOZ: Hernâni Marques, Sie zeichneten als Jurymitglied die Postfinance mit dem Negativpreis Big Brother Award aus – für ihre Stimmerkennung beim Kundendienst. Warum genau ist diese problematisch?
Hernâni Marques: Bei der Stimmerkennung werden hochsensible biometrische Daten erfasst, gespeichert und zur Identifizierung der Kundinnen und Kunden am Telefon weiterverwendet. Wir haben aber nur eine Stimme – sie lässt sich nicht wie ein Passwort ändern, falls sie in die falschen Hände gerät. Das ist auch der Grund, weshalb der Eidgenössische Datenschutzbeauftragte solche Daten als besonders schützenswert einschätzt. Zudem lässt sich die Stimmerkennung mit sogenannten Deepfakes überlisten. So nennt man Techniken, mit denen Stimmen, aber auch Bilder und Videos digital manipuliert werden können. Dasselbe gilt für Fingerabdrücke und Gesichtserkennung, die seit Juni für die Anmeldung im E-Banking der Postfinance verwendet werden können.

Wie reagierte die Postfinance auf den Preis?
An der offiziellen Preisverleihung war leider niemand anwesend. Nun fand jedoch ein «informelles Hintergrundgespräch» statt, an dem – mit Bernd Fix von der Wau-Holland-Stiftung und mir – zwei Jurymitglieder anwesend waren. Wir haben jedoch schnell gemerkt, dass die anwesenden Personen unsere Bedenken nicht teilen. Die offizielle Haltung ist, dass die Postfinance nichts Illegales tut. Man ist sich dort keiner Schuld bewusst und sieht keine Pflicht, etwas zu ändern. Doch nicht alles, was rechtens ist, ist auch richtig. Immerhin ist unser Datenschutzgesetz fast dreissig Jahre alt. In der Zwischenzeit hat sich viel getan.

Nach der Revision dürften biometrische Daten wohl nur noch mit freiwilliger Zustimmung der Betroffenen erhoben werden. Was würde das für die Postfinance bedeuten?
Sie müsste wohl ihre Praxis ändern. Im Gespräch wurde immer wieder betont, dass man sich strikt an das Gesetz halte. Schön und gut, aber offenbar will man nicht darüber hinausgehen und die Bedenken der Bevölkerung ernst nehmen. Ethische Bedenken scheinen nicht relevant zu sein.

Die Postfinance stellt sich auf den Standpunkt, dass sich die Betroffenen schon heute gegen die Stimmerkennung entscheiden könnten.
Das stimmt. Doch die Menschen werden nicht transparent informiert, wie ihre Daten erhoben werden und was mit ihnen anschliessend geschieht. Ich bin sicher: Viel weniger würden in diese Praxis einwilligen, wenn sie am Anfang explizit gefragt würden, anstatt sich am Schluss aktiv dagegen wehren zu müssen. So muss es die Postfinance auch im Ausland handhaben, wo das sogenannte Opt-in-Verfahren Gesetz ist. Das heisst, dass die ausdrückliche Zustimmung des Konsumenten nötig ist. In der Schweiz beruft man sich darauf, dass nach eigenen Angaben über 95 Prozent der Kundinnen und Kunden die Stimmerkennung «akzeptieren».

Könnte es nicht auch sein, dass der breiten Bevölkerung ein «reibungsloses Kundenerlebnis» wichtiger ist als Sicherheit?
Das glaube ich nicht. Immerhin hat die Postfinance unseren Publikumsaward gewonnen. Und auch die Postfinance streitet nicht ab, dass es bei vielen Menschen grosse Widerstände gegen die Stimmerkennung gibt. Offenbar ist die Vorstellung, dass die eigene Stimme gehackt und missbraucht wird, sehr unheimlich.

Trotzdem kamen für eine Onlinepetition gegen die Praxis bloss einige Tausend Unterschriften zusammen.
Es gibt sicherlich einen grossen Teil der Bevölkerung, der keine ausgeprägte Meinung dazu hat. Doch sobald die Leute richtig informiert werden, schwenkt diese schnell um. Das zeigen zum Beispiel die Datenskandale rund um Cambridge Analytica oder die Enthüllungen von Edward Snowden. Das Unbehagen ist da, und auch die Postfinance weiss, dass biometrische Daten ein heisses Eisen sind. Umso mehr braucht es von Beginn an Widerstand gegen solche Praktiken. Gewöhnen wir uns erst mal an bequeme, aber hochproblematische Technologien, wird es schwierig, etwas zu ändern. Zudem verrät unsere Stimme auch unsere Gefühlslage oder unsere Herkunft. Ich will gar nicht wissen, wie sich das vermarkten oder missbrauchen lässt. Manchmal frage ich mich deshalb, welcher Schaden erst entstehen muss, damit die Bevölkerung laut wird.

Was müsste sich denn ändern?
Das Gespräch hat gezeigt, dass ohne weiteren Druck nichts geschieht. Vor allem brauchen wir offenbar ein wirklich griffiges Datenschutzgesetz. Anders lassen sich Postfinance und Konsorten nicht in die Schranken weisen. Leider habe ich auch mit dem neuen Parlament meine Zweifel, ob das tatsächlich möglich wird. Wir alle müssen es wohl selber in die Hand nehmen.

Das klingt nicht besonders optimistisch.
Im Gegenteil. Wäre ich nicht optimistisch, würde ich mich nicht ehrenamtlich dafür engagieren. Es gibt vor allem in den Protestbewegungen Lichtblicke. Hier gibt es mehr Sensibilität für Überwachung und Datenschutz. Und auch bei den Jungen merke ich, dass viele ihre Einstellung schnell ändern, wenn man sie informiert und es benutzerfreundliche Alternativen gibt.

Hernâni Marques wurde ausgerechnet 1984 geboren und setzt sich beim Chaos Computer Club Schweiz für Privatsphäre, Datenschutz und dezentrale Systeme ein. Er war Jurymitglied der dieses Jahr nach zehn Jahren Pause wieder vergebenen Big Brother Awards.

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch