Beauty Apps und Datenschutz: Wer schön sein will, muss leiden

Fachbeitrag

Um Schönheitsideale zu erreichen, braucht man keinen Beauty Doc und kein teures Make-up, eine Beauty App tut’s auch: Mit nur wenigen Klicks zaubert man sich ein neues Gesicht. Doch Apps wie Perfect365 verkaufen biometrische Daten ungeniert weiter – an wen auch immer, ohne wirksame Einwilligung, ohne Kontrolle. Umwerfend aussehen um jeden Preis? Nein danke, mein Foto kriegt ihr nicht. Ein Kommentar.

Schönheit liegt im Auge … der Werbeindustrie?

Wer schon immer wissen wollte, wie einem rote Lippen stehen, der sollte lieber zum realen Lippenstift als zu Beauty Apps greifen. Eine Untersuchung von mobilsicher.de offenbart den Datensumpf hinter Apps, mit welchen sich das eigene Selfie (oder sogar Video) bearbeiten, schminken und digital schönheitsoperieren lässt. Bei Beauty Apps ist nicht alles Gold was glänzt, aber die personenbezogenen Daten der Nutzer sind Gold wert. Darum sind viele der Anbieter eher dubios unterwegs und verkaufen die biometrischen Daten der Probierfreudigen zusammen mit weiteren Daten an die Werbeindustrie.

Um dem Ego der Nutzer zu schmeicheln, haben manche der Apps auch gleich das passende soziale Netzwerk integriert. Auf Instagram noch nicht genug Follower? Dann vielleicht hier. Die Anbieter haben längst erkannt: Mit Schönheit lässt sich Geld machen – und die Instagram- bzw. TikTok-verwöhnten Kiddies sind bereit, alles für mehr Klicks, mehr Likes, mehr Aufmerksamkeit zu tun. Alles – außer Datenschutz.

Den Schutz deiner biometrischen Daten kannst du dir abschminken

Von mobilsicher.de wurden folgende sechs Apps geprüft:

  • Photo Lab Bildbearbeitung (Linerock Investments, britische Jungferninseln, über 100 Millionen Nutzer)
  • YouCam MakeUp: Selfiekamera (Perfect Corp., Taiwan, über 100 Millionen Nutzer)
  • BeautyPlus-Foto, Retusch, Filter (Pixocial, Singapur, über 100 Millionen Nutzer)
  • FaceApp: Gesichtsbearbeitung (FaceApp Technology Ltd., Zypern, über 100 Millionen Nutzer)
  • Perfect365: Gesichts-Make-Up (Perfect365 Inc, USA, über 50 Millionen Nutzer)
  • Facetune2 (Lightricks Limited, Israel, über 50 Millionen Nutzer)

Ergebnis? Von Perfect365, YouCam MakeUP und Facetune2 wird klar abgeraten. Die anderen drei Apps seien weniger bedenklich. Empfohlen wird die Verwendung von Tracking-Blockern und die Löschung der Werbe-ID. Ich sage: Finger weg, das Zeug braucht kein Mensch. Wenn selbst mit den besten Kameras, dem besten Licht, den besten Insta-Filtern und dem besten sonstigen Equipment kein tolles Foto zu kreieren ist, dann liegt das nicht am eigenen Aussehen, sondern am völlig falschen Selbstbild.

Dein Gesicht bringt Geld – nur hast du nichts davon

Zurück zur Untersuchung: Wenig überraschend haben alle geprüften Apps Kontakt zu Drittanbietern aus den Bereichen Werbung, Marketing oder Nutzeranalyse. Alle Apps versendeten dabei unter anderem die Werbe-ID, wodurch die Informationen aus der App-Nutzung einem bestehenden Personenprofil zugeordnet werden können. Interessen, Vorlieben, Standort, sogar Kontakt- und Adressdaten – greifen App-Anbieter die Werbe-ID ab, lassen sich umfangreiche und aussagekräftige Profile bilden.

Perfect365

Den Schmink-Vogel schießt Perfect365 ab. In seiner Datenschutzerklärung gibt der Anbieter ungeniert zu, beispielsweise folgende personenbezogenen Daten verkauft zu haben:

  • Name
  • Anschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Eindeutige persönliche Kennung
  • IP-Adresse
  • Führerscheinnummer
  • Ausweisnummer
  • Ausbildung
  • Beruf und beruflicher Lebenslauf
  • Bankdaten
  • Körperliche Merkmale
  • Medizinische Informationen
  • Kauf- und Konsumgewohnheiten
  • Biometrische Informationen
  • Browserverlauf
  • Geolokalisierungsdaten
  • Aus den genannten Daten gezogene Rückschlüsse zur Bildung eines Profils

Das ist nicht nur allerhand, das ist unter aller Sau! Die Einwilligungserklärung will ich sehen, die das informiert und transparent darstellt. Moment … bei App-Start erscheint zwar ein umfangreiches Einwilligungsmenü, konkrete Datentypen nennt der Text (mit Ausnahme von „Gerätekennungen“ und „Cookies“) allerdings nicht. Also, Rechtsgrundlage? Fehlanzeige.

YouCam MakeUp

YouCam MakeUp betont in der Datenschutzerklärung, keine Namen, E-Mail-Adressen, Fotos und Videos an Werbepartner weiterzugeben, aber dafür die über die App-Nutzung erhobenen Daten (z.B. Hautzustand). Zudem erhält der Facebook-Analysedienst die Werbe-ID, sodass der Meta-Konzern die App-Nutzungsdaten mit dem Social-Media-Profil verbinden kann. Beschönigend spricht YouCam MakeUp anstelle von biometrischen Daten von „Gesichtsmerkmalsvektoren“.

Facetune 2

Der Anbieter gibt an, biometrische Daten würden nicht erhoben. Gleichzeitig werden hochgeladene Fotos und die daraus gewonnenen Daten (z.B. geschätztes Alter, Geschlecht) laut Datenschutzerklärung jedoch für die Bewerbung der eigenen Dienste genutzt.

FaceApp

Bei FaceApp wird von künstlichen neuronalen Netzen gesprochen, die das Gesicht untersuchen. In der Datenschutzerklärung wird erläutert, die bearbeiteten Fotos würden Ende-zu-Ende-verschlüsselt und maximal 48 Stunden nach der letzten Bearbeitung auf Servern externer Cloud-Dienstleister gespeichert. Die Fotos würden nur für das Editieren genutzt, Videos zudem nur lokal auf dem Gerät bearbeitet. Klingt gut? Durchaus. Was die Angaben allerdings wenig vertrauenswürdig macht, ist die Tatsache, dass die Datenschutzerklärung bald zwei Jahre nicht überarbeitet wurde und immer noch auf den EU-U.S. Privacy Shield verwiesen wird. Wer das verpennt hat, ist vielleicht auch im Übrigen nicht ganz auf dem aktuellen Stand.

Photo Lab Bildbearbeitung

Die Speicherdauer der Bilder auf den Servern des Anbieters beträgt laut Datenschutzerklärung bis zu zwei Wochen. Informationen aus den bearbeiteten Fotos würden zwar nicht an Dritte weitergegeben, aber für Werbung genutzt. Biometrische Daten werden hier übrigens als „nötige Schlüsselpunkte“ bezeichnet.

BeautyPlus

Nach Angaben des Anbieters in der Datenschutzerklärung würden die Bilder auf den eigenen Servern gespeichert, beim Beenden der App aber wieder gelöscht. Eine Weitergabe an Dritte oder Marketing-Partner gebe es nicht, biometrische Daten würden nicht generiert. Daten gehen aber an China und Co., also hurra! Nicht.

Aus dem Datenschutz-ABC: Biometrische Daten

Biometrie? Nein, das ist kein Mix aus Bio und Mathe, also kein Grund zur Sorge. Wobei … doch. Biometrische Daten sind gemäß Art. 4 Nr. 14 DSGVO:

„mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Nicht jedes Bild eines Gesichts fällt direkt unter die Definition der biometrischen Daten. Erst wenn besondere technische Verfahren eingesetzt werden, beispielsweise um bestimmte einzigartige Partien genau zu erfassen (z.B. Gesamtbild aus: Verhältnis des Abstands zwischen den Augen zum Abstand zwischen Augen und Mund, Nasengröße und -form, etc.), erhält man Daten, die eine Person eindeutig identifizieren oder authentifizieren und sie überall wiedererkennbar machen.

Biometrische Daten gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten, die äußerst sensibel sind und deren Verarbeitung hohe Anforderungen zu wahren hat, wenn deren Verarbeitung der eindeutigen Identifizierung dienen soll. Problematisch im Sinne des Art. 9 Abs. 1 DSGVO ist die Verarbeitung durch die Beauty Apps also dann, wenn

  • die Apps bestimmte Technologien nutzen, um körperliche Merkmale aus den Bildern zu entnehmen, die Personen danach eindeutig identifizieren können
  • und wenn die Verarbeitung als Ziel die eindeutige Identifizierung hat (Auswertungsabsicht muss bestehen).

Zumindest bei einigen der genannten Apps würde ich mir hier Sorgen machen. Je nachdem, ob die Apps eindeutig identifizierbare Merkmale aus den Fotos ziehen und was sie damit vorhaben, kann das durchaus unter Art. 9 Abs. 1 DSGVO fallen. Dann gilt erst einmal ein Verbot der Verarbeitung, es sei denn, Art. 9 Abs. 2 DSGVO greift. In Betracht kommt hier Art. 9 Abs. 2 lit. a DSGVO:

„Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,“

Ohne wirksame ausdrückliche Einwilligung läuft da also gar nichts. Und an dieser dürfte es bei den Anbietern mangeln. Leider scheint das niemanden auch nur die Bohne zu interessieren, denn die Apps erfreuen sich größter Beliebtheit.

Hübsch, eitel, überwacht: Wie wir unser Gesicht verlieren

Big Business lässt sich mit Biometrie auch abseits der Werbeindustrie machen. Weltweit setzen staatliche Stellen biometrische Überwachung ein. Gesichtssuchmaschinen wie Pimeyes oder Clearview verkaufen ihre Datensätze auch an Polizei, Geheimdienste und andere staatliche Akteure. Die Anbieter spielen Catch me if you can mit den Behörden und verschwinden in wenig kontrollierte Länder. In diesen Datensammelparadiesen hat (zumindest die deutsche) Datenschutzaufsicht nicht viel mitzureden. Kritik verläuft im Sande der äußerst langsam mahlenden bürokratischen Mühlen.

Immerhin hat das Europäische Parlament im Oktober 2021 deutlich gemacht, dass es von biometrischer Massenüberwachung in der EU nicht viel hält. Da dessen Resolution allerdings nicht verbindlich ist, werden bestimmte Interessensgruppen auch weiterhin für Videoüberwachung mittels Gesichtserkennung eintreten. Die Kampagne „Reclaim Your Face“ kämpft dagegen weiterhin um Stimmen für eine Europäische Bürgerinitiative.

Währenddessen wachsen die Gesichtsdatenbanken auch hierzulande an. Allein 2019 nahmen Ermittler im Gesichtserkennungssystem des BKA rund 54.000 Anfragen nach Gesichtern vor, wie eine Antwort auf eine Kleine Anfrage verrät. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, warnt vor massenhafter Gesichtserkennung:

„Was hier gemacht wird, hat das Potenzial, unsere Verhaltensweisen und Umgangsformen in der Gesellschaft zu verändern. Das bedeutet ja nichts weniger, als dass wir die Anonymität verlieren, wenn wir uns im öffentlichen Raum bewegen, und dass wir im Prinzip jederzeit und an jeder Stelle identifizierbar werden können.“

Für die „Sicherheit statt Freiheit“-Junkies und Datensammler da draußen ein Traum, für die Überwachten wohl kaum. Ob die über Beauty Apps gesammelten biometrischen Daten ebenfalls in staatlichen Gesichtsdatenbanken landen? Who knows. Überraschen würde es mich jedenfalls nicht, denn wo Datenfutter ist, findet sich immer einer, der das Maul aufreißt.

Schön blöd, aber wenigstens nicht hässlich

Dass manche für gutes Aussehen (unwissentlich) ihre Daten opfern, wundert mich nicht. Die meisten von ihnen würden es wohl auch tun, wenn dick und fett ein Stoppschild mit einer Warnung erschiene. Ich meine, die anderen tun es ja auch. Ob Hundeohren-Filter, Germany’s Next Topmodel oder Insta-Influencer: Niemand will auf der digitalen Resterampe landen. Also wird gefaked, geschminkt und in die Kamera gegrinst, damit auch ja keiner merkt, dass man eigentlich überhaupt nichts beizutragen hat und genauso Mainstream ist wie alle anderen, von denen man sich ständig abzugrenzen versucht.

Doch in einer Gesellschaft, die jeden Schwachsinn online stellt und kein Privatleben mehr kennt, hebt sich hervor, wer nicht mitmacht, wer vor dem Posten nachdenkt und sich fragt: Braucht es das überhaupt? Im Falle von datenverkaufenden Beauty Apps: Nö, Tschö mit ö.


Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.