Der EDÖB hat am 20. April 2017 Erläuterungen zu Stimmerkennungsverfahren veröffentlicht, d.h. zu biometrischen Verfahren, die Personen anhand ihrer Stimme identifizieren. Dabei sind den Erläuterungen zufolge u.a. folgende Punkte einzuhalten:
- Die Datenbearbeitung darf nur mit Mitteln erfolgen, die im Hinblick auf den Zweck notwendig und geeignet sind, und das System muss vor unbefugten Zugriffen geschützt werden.
- Im Freizeitbereich sei eine zentrale Speicherung biometrischer Daten unverhältnismässig: Da die zu verifizierende Person anwesend ist, kann sie sich mit einem Token (z.B. einer Smartcard) identifizieren, auf dem ihre biometrischen Daten gespeichert sind.
- Beim Schutz geheimer Daten (z.B. im Fernmelde- oder Bankbereich) sei eine zentrale Speicherung biometrischer Daten dagegen zulässig, besonders bei Applikationen, bei denen die Authentifizierung remote erfolgt, d.h. telefonisch oder online. Die Betroffenen seien aber vorgängig umfassend zu informieren, und ihnen müsse eine Alternative zum biometrischen Erkennungssystem angeboten werden. Erforderlich sei ferner eine explizite und freiwillige Einwilligung in die Datenbearbeitung.
Zu biometrischen Erkennungssystemen hat der EDÖB einen Leitfaden verfasst, mit einer Ergänzung zur hier angesprochenen Datenspeicherung.
Unklar ist – wie bei zahlreichen Erläuterungen des EDÖB –, weshalb grundsätzlich eine Einwilligung verlangt wird. Im schweizerischen Datenschutzrecht ist eine Rechtfertigung bekanntlich nicht erforderlich, solange kein Tatbestand von Art. 12 DSG vorliegt, d.h. insbesondere solange die allgemeinen Bearbeitungsgrundsätze eingehalten werden. Das gilt selbst dann, wenn biometrische Daten besonders schützenswert sein sollten, wie es der Vorentwurf des DSG vorschlägt (de lege lata sind biometrische Daten nicht grundsätzlich besonders schützenswert, entgegen einer Aussage des EDÖB vor einigen Jahren). Selbst der Leitfaden des EDÖB zu biometrischen Erkennungssystemen verlangt nicht grundsätzlich eine Einwilligung. Weitere Informationen finden sich auf der Website des EDÖB und auf dieser Website.
Sollte eine Einwilligung im konkreten Fall erforderlich sein, so muss sie de lege lata überdies nicht ausdrücklich sein. Abzulehnen ist auch die Auffassung, es müsse eine Alternative geboten werden. Diese Forderung beruht auf der Idee eines Kopplungsverbots, das in der Schweiz so nicht existiert und auch nicht datenschutzrechtlich, sondern – wenn schon – kartellrechtlich bzw. entlang der Rechtsprechung zum obligationenrechtlichen Kontrahierungszwang begründet werden müsste. Selbst der Vorentwurf zum neuen DSG sieht, zu Recht, kein Kopplungsverbot vor, obwohl es hier mit einer Anlehnung an die DSGVO hätte begründet werden können.