News

Künstliche Intelligenz ermöglicht heute die Erstellung täuschend echter Bilder, Videos und Tonaufnahmen von Personen. Sogenannte «Deepfakes» können z.B. Politikerinnen, Schauspielerinnen oder Sportlerinnen Handlungen oder Aussagen zuschreiben, die nie stattgefunden haben. Besonders problematisch sind Deepfakes, die zunehmend zur Rufschädigung, für Betrugsversuche oder im Rahmen von Cybermobbing eingesetzt werden.

Wie real die Gefahr ist, zeigen aktuelle Fälle aus der Schweiz: So wurden mehrere Schweizer Influencerinnen Opfer von KI-generierten Pornobildern (siehe SRF News: «Deepfake-Pornos: Wo das Schweizer Recht greift – und wo nicht» vom 21.04.2026). Auch Schulen berichten vermehrt über gefälschte Nacktbilder von Jugendlichen, die über soziale Medien verbreitet werden (siehe SRF News: KI-Nacktbilder: neue Form des Psychoterrors an Schulen vom  11.02.2026).

Juristisch existiert in der Schweiz derzeit kein spezielles Deepfake-Gesetz. Betroffene sind jedoch nicht schutzlos. Je nach Fall greifen der Persönlichkeitsschutz nach Art. 28 ff. ZGB, das Datenschutzgesetz (DSG) sowie strafrechtliche Bestimmungen, beispielsweise bei Ehrverletzungen oder Identitätsmissbrauch. Der Nationalrat vertritt bislang die Auffassung, dass die bestehenden Rechtsgrundlagen grundsätzlich ausreichen (am 6. Mai 2025 hat der Nationalrat gegen ein spezifisches Deepfake-Gesetz votiert). Allerdings sind mehrere regulatorische Entwicklungen in Arbeit: wie eine umfassendere Vorlage zur schweizerischen KI-Regulierung, welche auch Fragen zu Deepfakes neu beurteilen könnte. Ausserdem wurde kürzlich die Vernehmlassung zu einer Änderung des Strafgesetzbuches (StGB) eröffnet, welche das strafrechtliche Instrumentarium gegen Mobbing und Cybermobbing verstärken soll.

Die eigentliche Herausforderung liegt deshalb weniger im Fehlen von Normen als in deren raschen und konsequenten Durchsetzung. Deepfakes verbreiten sich innert kürzester Zeit und können erhebliche persönliche, gesellschaftliche und wirtschaftliche Schäden verursachen.

Auch Unternehmen sollten das Thema ernst nehmen: Werden Führungskräfte oder Mitarbeitende Ziel von Deepfakes, drohen Reputationsschäden, Vertrauensverluste und neue Cyberrisiken. Deepfakes sind damit längst nicht mehr nur ein Problem der Prominenz, sondern ein relevantes Compliance- und Governance-Thema.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat geprüft, ob die PostFinance AG bei der Nutzung von Stimmerkennung zur Authentifizierung datenschutzrechtliche Bestimmungen verletzt hat.

Gemäss seiner heutigen Medienmitteilung hat der EDÖB bereits am 16. Mai 2025 seine Untersuchung gegen die PostFinance AG abgeschlossen. Dabei stellte er fest, dass es sich bei Stimmabdrücken um biometrische Daten handelt. Wenn diese eine Person eindeutig identifizieren, kategorisiert das schweizerische Datenschutzgesetz sie als besonders schützenswerte Personendaten. Daher benötigt jede Nutzung von Stimmabdrücken die ausdrückliche Einwilligung der betroffenen Personen. Mittels Verfügung hat der EDÖB die PostFinance AG verpflichtet, von betroffenen Personen ausdrückliche Einwilligungen einzuholen und die Stimmabdrücke ohne solche Einwilligung zu löschen. Grundlage ist das schweizerische Datenschutzgesetz (DSG), das unter anderem hohe Anforderungen an Transparenz, Datenminimierung und Datenschutz-Folgenabschätzungen stellt.

Auch andere europäische Datenschutzbehörden nehmen die Nutzung der Stimme zunehmend kritisch unter die Lupe. So verhängte die spanische Datenschutzbehörde AEPD am 15. Mai 2025 eine Geldbusse von EUR 30'000 gegen das Medienunternehmen ATRESMEDIA, weil in einem Online-Video die Stimmen von minderjährigen Personen nicht ausreichend anonymisiert worden waren. Nach Art. 4 DSGVO gelten Stimmen als personenbezogene Daten – und sobald sie zur Identifizierung verarbeitet werden, sogar als besonders schützenswerte biometrische Merkmale im Sinne von Art. 9 DSGVO (mehr zu diesem Entscheid finden Sie auf datenrecht.ch sowie direkt auf der Website der AEPD).

Ebenfalls auf EU-Ebene verschärft der kürzlich in Kraft getretene Artificial Intelligence Act (AI Act) die Regeln: Echtzeit-Biometrie – wozu auch Voice Authentication zählen kann – ist in öffentlichen Bereichen grundsätzlich verboten, Echtzeit-Biometrie darf nur mit strengen Auflagen und richterlicher Genehmigung genutzt werden (z.B. zur Identifizierung eines Entführungs-Opfers). Der AI Act setzt auf Risikoklassen, fordert Transparenz, menschliche Aufsicht und Impact‑Analysen, besonders bei Hochrisiko-KI-Systemen.

Der Einsatz von KI‑basierter Stimmerkennung bietet zwar spannende Aussichten – beispielsweise für nahtlose Nutzererlebnisse oder Barrierefreiheit –, doch Deepfakes und KI‑Imitation machen die Technologie zu einem attraktiven Einfallstor für Identitätsbetrug. OpenAI‑Chef Sam Altman warnt aktuell, dass Voice Authentication in Banken „eine verrückte Idee“ sei – KI habe die meisten Authentifizierungsverfahren bereits geknackt. Forscher zeigen zudem, wie generative KI biometrische Systeme angreift, und empfehlen Schutzschichten, dynamische biometrische Signale und Datenschutz‑Governance.

Governance und Lösungsansätze: Wichtig sind Privacy‑by‑Design‑Prinzipien, lokale Verarbeitung statt Cloud, transparente Nutzungserklärungen, Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme (Art. 27 AI Act), sowie Multi‑Faktor-Authentifizierung durch Stimme plus PIN oder Token. Eine zusätzliche Schutzebene bieten technische Gegenmassnahmen wie Stimm‑Anonymisierung und regelmässig aktualisierte Deepfake‑Erkennungssysteme.

Fazit: Die Authentifizierung per Stimme ist technisch faszinierend, aber nur tragbar, wenn KI‑Risiken durch robuste Governance, klare Normen und technische Sicherungen eingedämmt werden.

Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat heute seinen 32. Tätigkeitsbericht veröffentlicht – und macht klar: Datenschutz ist keine Checkbox, sondern ist und bleibt Führungsaufgabe im digitalen Alltag.

Der EDÖB hat insbesondere digitale Transformationsprojekte des Bundes – etwa im Bereich E-ID, KI und Cloud – kritisch begleitet. Auch in der Privatwirtschaft wächst der Regulierungsdruck: Mit dem revidierten Datenschutzgesetz (DSG) und dem Swiss-US Data Privacy Framework (Swiss-US DPF) stehen international tätige Unternehmen immer wieder vor neuen Herausforderungen beim Umgang mit sensiblen Personendaten und automatisierten Datenbearbeitungen.

Auffällig: Die Zahl der Aufsichtsfälle steigt, formelle Beanstandungen nehmen zu. Der EDÖB macht einmal mehr klar, dass Datenschutz auch im digitalen Raum nicht verhandelbar ist – und dass technische Innovation ohne datenschutzkonforme Umsetzung nicht zukunftsfähig ist.

Ein weiteres Hauptanliegen: Cyberkriminalität. Angriffe auf Personendaten – insbesondere durch Phishing, Ransomware und Sicherheitslücken – sind längst Realität. Der EDÖB fordert klarere Schutzmassnahmen und technische sowie organisatorische Vorkehrungen.

Für uns Unternehmer:innen heisst das: Prozesse schärfen, Transparenz leben – und Compliance als Wettbewerbsvorteil denken. Der EDÖB zeigt, wo der Standard liegt. Jetzt liegt’s an uns.

Zum Tätigkeitsbericht des EDÖB