Die Nase schmaler, die Augen größer, eine andere Augenfarbe, ein bisschen Make-Up oder etwas Lippenstift auftragen? Es gibt viele, millionenfach genutzte Apps, mit denen Nutzer:innen digital ihren Körper und Gesicht bearbeiten können. Damit das funktioniert, analysieren diese Apps biometrische Merkmale.
Eine Untersuchung von Mobilsicher.de zeigt nun: Wer Selfies in einer App hochlädt, die mit Gesichtserkennung arbeitet, muss damit rechnen, dass biometrische Daten erfasst und verkauft werden können. Sechs beliebte Android-Anwendungen haben die Verbraucherschützer untersucht. Alle Apps gaben dabei Daten an bis zu 14 Drittanbieter weiter. Doch bei dieser recht verbreiteten Weitergabe von Nutzungsdaten blieb es nicht.
Namen und biometrische Daten weitergeben
Die Verbraucherschützer:inen haben zusätzlich die Datenschutzerklärungen untersucht und dabei große Unterschiede entdeckt. Während eine App namens „FaceApp“ angibt, Fotos nur kurzfristig und Ende-zu-Ende-verschlüsselt zu speichern, geben andere Apps wie „YouCam MakeUp“ an, dass auch Informationen wie den Hautzustand der Nutzer:innen für Werbung verwenden dürfen.
Besonders deutlich wird es bei der App Perfect365: Hier heißt es in der Datenschutzerklärung, dass das Unternehmen biometrische Daten, den vollen Namen, Standortdaten und viele weitere sensible Informationen zu Geschäftszwecken weitergeben darf. Das Unternehmen gibt in der Erklärung auch zu, und das ist eher ungewöhnlich, dass es in den letzten 12 Monaten solche Informationen weitergegeben hat.
Das Geschäftsmodell von Perfect365 ist vielfältig. Die Macher lassen sich neben der Datenweitergabe laut Mobilsicher auch von Kosmetikunternehmen dafür bezahlen, dass deren Produkte dort zum virtuellen Ausprobieren vertreten sind. Darüber hinaus gibt es auch noch In-App-Käufe.
Presseanfrage nicht beantwortet
Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, sagte gegenüber mobilsicher.de: „Biometrische Daten von EU-Bürger:innen dürfen nur unter besonderen Umständen verarbeitet und weitergegeben werden. Diese Daten sind besonders sensibel. Bei Apps zur Bearbeitung nicht veröffentlichter Fotos setzt dies in der Regel voraus, dass die betroffenen Personen ausdrücklich eine informierte Einwilligung in die geplante Verarbeitung gegeben haben.“
Dass die Zustimmung zur Datenschutzerklärung eine wirklich informierte Einwilligung ist, ist zu bezweifeln. Denn laut Mobilsicher erscheint nach der Installation der App einmal ein umfangreiches Einwilligungsmenü, das aber keinen Hinweis auf biometrische Daten enthält.
Wir haben bei den Betreibern von Perfect365 nachgefragt, wie viele biometrische Daten sie in den letzten zwölf Monaten weitergegeben haben. Wir wollten wissen, an wen sie die Daten verkauft haben und ob auch staatliche Behörden dabei waren. Wir haben gefragt, wie sie ihre Weitergabepraxis mit der Datenschutzgrundverordnung in Einklang bringen wollen und wie sie die Daten Minderjähriger schützen. Perfect365 hat auf die Presseanfrage auch nach Tagen nicht geantwortet.
Biometrie als Business
Das Geschäft mit biometrischen Daten für private Unternehmen steht seit Längerem in der Kritik. Unternehmen wie Pimeyes oder Clearview analysieren unzählige Gesichter im Internet und bieten ihre Dienste teils staatlichen Stellen zur biometrischen Überwachung an. Datenschutzbehörden sind teilweise machtlos, weil die Firmen in andere Länder abwandern oder zeigen sich resigniert.
Neben den kommerziellen Unternehmen, die biometrische Daten sammeln und weitergeben, gibt es auch staatliche Bestrebungen, solche Daten, zum Beispiel für Videoüberwachung mit Gesichtserkennung zu nutzen. In der Europäischen Union ist die Gesichtserkennung noch nicht vom Tisch. Im Oktober 2021 hatte sich allerdings das Europäische Parlament überraschend mehrheitlich gegen biometrische Massenüberwachung gestellt.
Auf zivilgesellschaftlicher Ebene kämpft die Initiative „Reclaim Your Face“ für ein Verbot von biometrischer Massenüberwachung. Die Initiative versucht auf ihrer Kampagnenwebseite eine Million Unterschriften zu sammeln, um damit das Quorum für eine „Europäische Bürger:innen-Iniative“ zu erreichen.
Als Ergänzung ein paar weitere Links
https://www.crunchbase.com/organization/perfect365
https://www.newswire.com/news/perfect365-brings-accurate-virtual-makeup-to-video-with-free-21578962
(incl. Media Contact)
Hier finden wir etwas über die „monetizing your app“
https://kin.org/built-with-kin-perfect365/
Strategie
Welches Risiko mit der Sammlung biometrischer Daten verbunden ist, haben offenbar noch nicht viele Menschen verstanden. Die Kampagne „Reclaim your face“ läuft nun schon seit fast genau einem Jahr und wird von mehr als 50 Vereinen und Initiativen unterstützt – und hat trotzdem per heute nur 67.908 Unterschriften erhalten…!
Was für ein trauriges Ergebnis.
Hübsch blöd.