Die spanische Datenschutzbehörde AEPD hat gegen ein Medienunternehmen mit Entscheid vom 15. Mai 2025 eine Busse von EUR 30’000 verhängt, weil die Stimmen von mindestens drei minderjährigen Personen – darunter Opfer und Täter einer Gewalttat – in einem online veröffentlichten Nachrichtenbeitrag nicht ausreichend anonymisiert waren. Die Gesichter waren zwar verpixelt, aber die Stimmen nicht verfremdet.
Massgebend für die AEPD war, dass die Stimme ein Personendaten darstelle. Aufgrund ihrer Einzigartigkeit und Wiedererkennbarkeit könne eine Stimme eine Person identifizieren oder zumindest identifizierbar machen (Original auf Spanisch):
Die Stimme einer Person ist gemäß Artikel 4 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) ein personenbezogenes Datum, da sie die Identifizierung ermöglicht, und fällt somit in den Anwendungsbereich der DSGVO: […]
Die Stimme ist ein persönliches, individuelles Merkmal jeder natürlichen Person und wird durch Tonhöhe, Lautstärke und Klangfarbe definiert. Sie besitzt einzigartige und unverwechselbare Charakteristika, die eine direkte Zuordnung zu einer bestimmten Person ermöglichen. Durch die Stimme lassen sich zudem Alter, Geschlecht, Gesundheitszustand, Persönlichkeit, kultureller Hintergrund sowie hormoneller, emotionaler und psychischer Zustand eines Individuums erkennen. Elemente wie Ausdrucksweise, Idiolekt oder Intonation sind ebenfalls personenbezogene Daten, wenn sie im Zusammenhang mit der Stimme betrachtet werden.
Daher stellt der Bericht 139/2017 des Juristischen Dienstes dieser Behörde fest, dass „das Bild sowie die Stimme einer Person personenbezogene Daten sind, ebenso jede Information, die eine direkte oder indirekte Feststellung ihrer Identität ermöglicht (…)“.
Eine nähere Analyse der Identifikationswahrscheinlichkeit findet sich nicht. Aber die Identifikation werde durch KI erleichtert:
Die heutige Technologie, insbesondere die auf künstlicher Intelligenz basierenden Tools, ermöglichen es, eine Person anhand ihrer Stimme zu identifizieren.
Die Übermittlung der unveränderten Stimmen sei für die Information der Öffentlichkeit auch nicht erforderlich gewesen, und eine Verfremdung der Stimmen analog zur Verpixelung wäre zumutbar gewesen. – Neben der Busse wurde das Unternehmen verpflichtet, TOMs zur Vermeidung vergleichbarer Verletzungen zu ergreifen.
Folgende Schlussfolgerungen liegen nahe:
- In praktischer Hinsicht überrascht der Entscheid nicht. Die Begriffe des Personendatums (und der besonders schützenswerten Personendaten) werden generell weit ausgelegt.
- Der Begriffs des Personendatums wird hier risikoorientiert ausgelegt. Bei Minderjährigen wird der Personenbezug offenbar weiter verstanden, und die Verwendungsrisiken bei Stimmaufnahmen scheinen ebenfalls zurückzuwirken. Konzeptionell ist das eigentlich falsch. Die Identifikationswahrscheinlichkeit steigt nicht per se, weil sich Daten auf Minderjährige beziehen oder besonders schützenswert sind. Das wäre vielmehr im Einzelfall zu prüfen.
- Dass KI breit zur Verfügung steht, dürfte in der Praxis aber ebenfalls dazu führen, die Identifikationsmöglichkeiten grundsätzlich höher einzuschätzen und damit den Anwendungsbereich des Datenschutzrechts auszuweiten. Das ist nicht unbedingt falsch, ersetzt aber wiederum keine Prüfung im Einzelfall.
- In Datenschutz-Folgenabschätzungen sollten diese Faktoren eingezogen werden, insb. die Identifikationsmöglichkeiten durch Dritte unter Berücksichtigung der heutigen oder für die nahe Zukunft zu erwartenden Technologie. Dabei kann auch geprüft werden, welche technischen Möglichkeiten zur Anonymisierung (z.B. Voice Distortion) eingesetzt werden können. Für eine solche Prüfung eignen sich DSFA, die oft auch auf freiwilliger Basis durchgeführt werden (Vorlage). Sie können auch zum Ergebnis führen, dass nicht von einer ausreichenden Identifikationsmöglichkeit auszugehen ist.