Perfect365Datenhölle Beauty-App

Wer Selfie-Apps benutzt, hat schnell die Kontrolle über seine biometrischen Daten verloren. Eine Untersuchung populärer Beauty-Apps zeigt, dass diese teilweise die Gesichter ihrer Nutzer:innen zu Geld machen.

Frau schaut hinter einem Blatt vor
Der Schutz der biometrischen Daten wird immer schwieriger. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Drew Dizzy Graham

Die Nase schmaler, die Augen größer, eine andere Augenfarbe, ein bisschen Make-Up oder etwas Lippenstift auftragen? Es gibt viele, millionenfach genutzte Apps, mit denen Nutzer:innen digital ihren Körper und Gesicht bearbeiten können. Damit das funktioniert, analysieren diese Apps biometrische Merkmale.

Eine Untersuchung von Mobilsicher.de zeigt nun: Wer Selfies in einer App hochlädt, die mit Gesichtserkennung arbeitet, muss damit rechnen, dass biometrische Daten erfasst und verkauft werden können. Sechs beliebte Android-Anwendungen haben die Verbraucherschützer untersucht. Alle Apps gaben dabei Daten an bis zu 14 Drittanbieter weiter. Doch bei dieser recht verbreiteten Weitergabe von Nutzungsdaten blieb es nicht.

Namen und biometrische Daten weitergeben

Die Verbraucherschützer:inen haben zusätzlich die Datenschutzerklärungen untersucht und dabei große Unterschiede entdeckt. Während eine App namens „FaceApp“ angibt, Fotos nur kurzfristig und Ende-zu-Ende-verschlüsselt zu speichern, geben andere Apps wie „YouCam MakeUp“ an, dass auch Informationen wie den Hautzustand der Nutzer:innen für Werbung verwenden dürfen.

Besonders deutlich wird es bei der App Perfect365: Hier heißt es in der Datenschutzerklärung, dass das Unternehmen biometrische Daten, den vollen Namen, Standortdaten und viele weitere sensible Informationen zu Geschäftszwecken weitergeben darf. Das Unternehmen gibt in der Erklärung auch zu, und das ist eher ungewöhnlich, dass es in den letzten 12 Monaten solche Informationen weitergegeben hat. 

Das Geschäftsmodell von Perfect365 ist vielfältig. Die Macher lassen sich neben der Datenweitergabe laut Mobilsicher auch von Kosmetikunternehmen dafür bezahlen, dass deren Produkte dort zum virtuellen Ausprobieren vertreten sind. Darüber hinaus gibt es auch noch In-App-Käufe.

Beim virtuellen Schminken werden biometrische Daten erfasst. (PR-Bilder) - Alle Rechte vorbehalten Perfect365

Presseanfrage nicht beantwortet

Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, sagte gegenüber mobilsicher.de: „Biometrische Daten von EU-Bürger:innen dürfen nur unter besonderen Umständen verarbeitet und weitergegeben werden. Diese Daten sind besonders sensibel. Bei Apps zur Bearbeitung nicht veröffentlichter Fotos setzt dies in der Regel voraus, dass die betroffenen Personen ausdrücklich eine informierte Einwilligung in die geplante Verarbeitung gegeben haben.“

Dass die Zustimmung zur Datenschutzerklärung eine wirklich informierte Einwilligung ist, ist zu bezweifeln. Denn laut Mobilsicher erscheint nach der Installation der App einmal ein umfangreiches Einwilligungsmenü, das aber keinen Hinweis auf biometrische Daten enthält.

Wir haben bei den Betreibern von Perfect365 nachgefragt, wie viele biometrische Daten sie in den letzten zwölf Monaten weitergegeben haben. Wir wollten wissen, an wen sie die Daten verkauft haben und ob auch staatliche Behörden dabei waren. Wir haben gefragt, wie sie ihre Weitergabepraxis mit der Datenschutzgrundverordnung in Einklang bringen wollen und wie sie die Daten Minderjähriger schützen. Perfect365 hat auf die Presseanfrage auch nach Tagen nicht geantwortet.

Biometrie als Business

Das Geschäft mit biometrischen Daten für private Unternehmen steht seit Längerem in der Kritik. Unternehmen wie Pimeyes oder Clearview analysieren unzählige Gesichter im Internet und bieten ihre Dienste teils staatlichen Stellen zur biometrischen Überwachung an. Datenschutzbehörden sind teilweise machtlos, weil die Firmen in andere Länder abwandern oder zeigen sich resigniert.

Neben den kommerziellen Unternehmen, die biometrische Daten sammeln und weitergeben, gibt es auch staatliche Bestrebungen, solche Daten, zum Beispiel für Videoüberwachung mit Gesichtserkennung zu nutzen. In der Europäischen Union ist die Gesichtserkennung noch nicht vom Tisch. Im Oktober 2021 hatte sich allerdings das Europäische Parlament überraschend mehrheitlich gegen biometrische Massenüberwachung gestellt.

Auf zivilgesellschaftlicher Ebene kämpft die Initiative „Reclaim Your Face“ für ein Verbot von biometrischer Massenüberwachung. Die Initiative versucht auf ihrer Kampagnenwebseite eine Million Unterschriften zu sammeln, um damit das Quorum für eine „Europäische Bürger:innen-Iniative“ zu erreichen.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

3 Ergänzungen

  1. Welches Risiko mit der Sammlung biometrischer Daten verbunden ist, haben offenbar noch nicht viele Menschen verstanden. Die Kampagne „Reclaim your face“ läuft nun schon seit fast genau einem Jahr und wird von mehr als 50 Vereinen und Initiativen unterstützt – und hat trotzdem per heute nur 67.908 Unterschriften erhalten…!
    Was für ein trauriges Ergebnis.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.