Aufregung um Alterungs-Handy-App FaceApp: nicht DSGVO-konform? | Compliance

Haufe Online Redaktion

Aufregung um Alterungs-Handy-App FaceApp: nicht DSGVO-konform? — Bild: Haufe Online Redaktion Das Preisgeben biometrischer Daten durch Fotos ist nicht harmlos. Es ermöglicht Gesichtserkennung und Bewegungsprofile.

Altern in Sekunden: Die aktuell überaus beliebte FaceApp liefert nicht nur Falten-Grusel, sie sorgt auch für Datenschutz-Schlagzeilen. Nachdem in den USA Politiker die Behörden aufforderten, die App zu untersuchen, warnte auch der Bundesdatenschutzbeauftragte Kelber vor der Verwendung der Software. Doch warum so heikel im Vergleich zum Datenabfluss über Social Media-Riesen und Betriebssysteme?

FaceApp ist eine eigentlich schon etwas ältere Software zur bei Teenies so beliebten Manipulation von Porträtfotos. Mit ihr lassen sich unter anderem die Gesichter der Personen ohne spezielle Bildbearbeitungskenntnisse künstlich altern. Die abgebildeten Personen erscheinen Zeit als Greise oder zumindest deutlich gealtert, wobei die von der App genutzten Bildfilter erstaunlich hochwertige und realistische Ergebnisse liefern.

Populär wurde die Software in den letzten Wochen vor allem dadurch, dass sich in den Sozialen Medien auch viele Prominente hierüber virtuell altern ließen. Doch sie zog auch Datenschutzaufregung nach sich.

Fragwürdige Nutzungsbedingungen von FaceApp

Schon recht früh nach Beginn des Booms gab es erste Kritiken. So wurden etwa die weitgehenden Nutzungsrechte an den Fotos kritisiert, die sich der App-Anbieter in den Nutzungsbedingungen einräumen lässt. Generell wurde beanstandet, dass diese Nutzungsbedingungen nicht DSGVO-konform seien.

Eine Handy-App die Fotos altern lässt und das "Reizwort" Russland

Erschwerend dürfte im Falle von FaceApp jedoch noch hinzukommen, dass der Anbieter der App, das Unternehmen Wireless Lab, in Russland beheimatet ist. In den USA etwa verlangte der Fraktionschef der Demokraten im Senat wohl auch deshalb, dass sich die dortigen Behörden genauer mit der Software beschäftigen sollten, die seiner Meinung nach möglicherweise ein nationales Sicherheitsrisiko und eine Gefahr für Millionen von US-Bürgern darstellen könne.

Upload von Bilddateien auf Server

Ein Grund zur Beunruhigung besteht wohl darin, dass FaceApp die von den Nutzern zur Bildbearbeitung ausgewählten Fotos auf Server im Internet überträgt.

Wie der Hersteller mittlerweile versicherte, geschehe dies ausschließlich deshalb, um den Datentransfer zu reduzieren, indem hierdurch das mehrfache Übertragen der Bilddateien für die Anwendung mehrerer Filter vermieden werden können.
Unabhängige Experten konnten bestätigten, dass die Daten zudem nicht auf Servern in Russland, sondern auf üblichen Cloud-Servern von Google oder Amazon landeten.
Nach Angaben des App-Herstellers werden die Bilder nach der Bearbeitung auch wieder gelöscht.

Als falsch stellten sich mittlerweile Gerüchte heraus, dass die App außer den für die Bearbeitung ausgewählten Fotos noch weitere Aufnahmen auf die Server überträgt.

Datenschutzbeauftragte Kelber ist skeptisch Handy-App FaceApp

In einem Gespräch im SWR-Radio zeigte sich auch der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, misstrauisch gegenüber der App. So kritisierte er neben „schwammigen“ Nutzungsbedingungen auch weitere Unklarheiten darüber, welche Daten bei der Nutzung erhoben würden und befürchtet letztlich, dass wichtige persönliche Daten in die falschen Hände geraten könnten. Eine Sorge die gerade bei biometrischen Daten nicht von der Hand zu weisen ist (s. u.).

Reaktionen des Unternehmens

In einer Stellungnahme reagierten mittlerweile die Entwickler von Wireless Lap auf die Vorwürfe.

In diesen Ausführungen betont das Unternehmen, dass ausschließlich die von den Nutzern ausgewählten Bilder auf die Cloud-Server übertragen werden, um sie zu bearbeiten.
Die „meisten“ Aufnahmen sollen demnach innerhalb von 48 Stunden wieder gelöscht werden.
Zudem beschreiben sie einen Weg, wie die Nutzer über die App veranlassen können, dass alle von ihnen gespeicherten Daten sofort wieder gelöscht werden.

Sie weisen zudem darauf hin, dass es möglich sei die Funktionen der App ohne Log-In zu nutzen, sodass das Unternehmen in der Regel keinen Zugang zu personenbezogenen Daten habe. Nahezu alle Nutzer machten von dieser Option Gebrauch. Daten würden nicht an Dritte verkauft oder weitergegeben und es erfolge auch kein Transfer der Daten nach Russland.

Skepsis eigentlich immer angeraten

Doch wie verträgt sich die große Welle um diese App mit dem oft eher sorglosen Umgang mit anderen Anwendungen und Betriebssystemen? Dass FaceApp jetzt so vehement in die Kritik geraten ist, verwundert etwas, denn letztlich passiert hier auch nicht so viel mehr als bei anderen etablierten Cloud-Anwendungen und Sozialen Netzwerken wie Facebook & Co, die in der Vergangenheit immer wieder durch unzureichenden Datenschutz aufgefallen sind.

Big-Player wie Facebook oder Twitter zeigen wenig Interesse an striktem Einhalten der DSGVO

Die Nutzer laden persönliche Inhalte und auch Bilder hoch, obwohl die Nutzungsbedingungen oftmals zweifelhaft sind und sich die Anbieter sich weitgehende Rechte auf diese Inhalte einräumen lassen. Dass auch Brancheriesen wie Facebook oder Twitter wenig Interesse an einer strikten Einhaltung der DSGVO-Vorgaben zeigen, hat erst kürzlich eine Untersuchung von Verbraucherschützern gezeigt, die nahezu allen großen Anbietern wesentliche Defizite attestierte.

Zudem laufen zahlreiche Ermittlungen wegen möglicher Datenschutzverstöße und gerade erst hat sich Facebook mit der US-Verbraucherschutzbehörde auf eine milliardenschwere Geldstrafe wegen der Datenweitergabe im Cambridge-Analytica-Fall geeinigt.

Datenrisiko bei Nutzung gratis nutzbaren Dienste aus aller Herren Länder ist schwer abschätzbar

Letztlich liegt die Entscheidung über den Umgang mit den eigenen Daten ganz wesentlich in der Eigenverantwortung der Anwender. Wer die meist gratis nutzbaren Dienste nutzen will, sollte sich immer zunächst Gedanken darüber machen, welche Daten, wie etwa in diesem Fall die privaten Fotos, man diesen Diensten anvertrauen will und welche nicht.

Dabei gilt es aufgrund der in den meisten Fällen nicht klar nachzuvollziehenden Nutzungsbedingungen abzuwägen, ob einem der Spaß mit derartigen Diensten das mögliche Risiko eines Datenmissbrauchs Wert ist, oder eben nicht.

Ob und welchen Unterschied es dabei macht, ob die Datensammler russische Unternehmen, US-Konzerne oder chinesische Staatsfirmen sind und welche Konsequenzen daraus resultieren, wird nur schwer feststellbar sein.

FaceApp-Hype zeigt auch auf, wenig andere Anwendungen hinterfragt werden

Manche Datenschützer und IT-ler sehen gerade den Hype um diese augenfällige Anwendung im Kontext der selten hinterfragten Nutzung andere Anwendungen wie etwa Betriebssysteme in denen auch jede Menge Daten anfallen: Windows, MacOS, iOS und vor allem Android. Nur bei Reizbegriffen wie Russland aufzuschrecken, sei zu kurz gesprungen. So befindet etwa Internetexperte Jörg Scheib auf WDR.de gar FaceApp ist vielleicht das kleinste Übel.

Hintergrund:

Hohes Missbrauchspotenzial für biometrische Daten

Spätestens seit Facebook die Funktion zur automatischen Gesichtserkennung bei hochgeladenen Fotos aktiviert hat, machen Datenschützer auf die möglichen Gefahren der Nutzung biometrischer Merkmale aufmerksam. Die europäischen Datenschützer weisen auf die hohe Sensibilität der biometrischen Daten hin, da über die Gesichtserkennung auch genaue Bewegungsprofile und eine automatische Verfolgung von Personen möglich seien. Dementsprechend hoch müssten die rechtlichen Anforderungen an die Speicherung und Nutzung dieser Daten sein.

Daher halten es die Datenschützer in jedem Fall für zwingend, dass die Betroffenen dieser Nutzung ihrer personenbezogenen Daten explizit zustimmen müssen. Beim Hochladen von Bildern in sozialen Netzwerken sollten die Anbieter vorab eine Zustimmung für diese Art der Nutzung einholen. Dabei spiele es keine Rolle, ob ein Nutzer eigene Fotos einbinde, oder ob Dritte Fotos von anderen Personen veröffentlichen. An andere Stellen dürften die Vorlagen in keinem Fall ohne Zustimmung der Betroffenen weitergegeben werden.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Aufregung um "Alterungs-App" FaceApp - plötzliche Datensensibilität?