Ob WhatsApp, Dating Apps oder Facebook Messenger – immer wieder stehen Apps datenschutzrechtlich in der Kritik. Ein aktuelles Beispiel ist die aktuell gehypte Anwendung FaceApp. Was die genau kann und warum auch diese datenschutzrechtlich als eher kritisch zu bewerten ist, erläutern wir in diesem Beitrag.
Der Inhalt im Überblick
Datenschutzkonforme Umsetzung im Entwicklungsprozess
Bereits 200 Apps wurden ab dem Jahr 2017 hinsichtlich der Vollständigkeit und Verständlichkeit der bereitgestellten Informationen geprüft, davon 50 nach Inkrafttreten der DSGVO im Jahr 2018. Nach den Ergebnissen besteht ein erheblicher Verbesserungsbedarf bezüglich der Verbraucherinformation. Die Bundesjustizministerin Katarina Barley kritisierte, dass „nur unzureichend über den Umgang mit den erhobenen Daten informiert“ wird. „Die Datenschutzerklärungen bleiben unkonkret und zählen häufig nur die Verbraucherrechte auf, ohne verständliche Erläuterungen.“ Die Ergebnisse des zweiten Studienteils zeigen bei den Datenschutzerklärungen durch die DSGVO insgesamt im Vergleich zu der ersten Testung eine leichte Verbesserung. Dennoch kritisiert die Studie insbesondere das Fehlen app-spezifischer Datenschutzerklärungen und Zugriffsberechtigungen, über die die Nutzer nicht entsprechend informiert werden oder die für die Funktionsfähigkeit der App nicht erforderlich sind.
Um dieser Verantwortung gerecht zu werden, müssen schon im Entwicklungsprozess einer App die datenschutzrechtlichen Regelungen umgesetzt werden. Sonst können insbesondere den App-Anbieter als verantwortliche Stelle aufsichtsrechtliche Maßnahmen oder Bußgelder treffen. Auch die aktuell beliebte FaceApp steht mit ihrer vermeintlich transparenten Aufklärung über den Umgang mit den erhobenen Daten in der Kritik.
Was ist FaceApp?
Mit FaceApp können Nutzer ein Foto von sich hochladen und simulieren, wie sie in 30 Jahren aussehen werden oder sich einer Verjüngungskur unterziehen. Dieses Spielzeug ist schon bereits seit zwei Jahren auf dem Markt, hat aber erst jetzt Aufmerksamkeit durch Influencer und Promis erregt. Die App sammelt dabei eine Vielzahl an Daten der Nutzer, wie etwa die IP-Adresse, das Endgerät oder das Betriebssystem. Vermutlich werden diese Daten jedoch nicht für die Bearbeitung eines Fotos erforderlich sein. Hinzu kommt die dabei verwendete KI, welche auch biometrische Daten erfasst. Entwickelt wurde FaceApp von der russischen Firma Wireless Lab in St. Petersburg. Liest man die Datenschutzerklärung fällt jedoch auf, dass die Fotos zunächst an einen Server geschickt werden. Wo der steht, erfährt man nicht.
US-Politiker befürchten „nationales Sicherheitsrisiko“
Der Fraktionschef im US-Senat, Chuck Schumer hat das FBI aufgefordert, die App zu untersuchen. Sie könne wegen ihres Umgangs mit persönlichen Daten ein nationales Sicherheitsrisiko sowie eine Gefahr für Millionen US-Bürger darstellen. Das FBI müsse prüfen, ob Daten von US-Bürgern in die Hände der russischen Regierung oder ihr nahestehenden Stellen gelangten. Der US-Politiker geht dabei selbstverständlich davon aus, dass russische Entwickler russische Infrastruktur nutzen.
Laut dem Magazin Forbes befinden sich die Hosting Aufzeichnungen von FaceApp.io nicht etwa in Russland, sondern in Amazon Rechenzentren in den USA und einige Server liegen in anderen Ländern bei Google, einschließlich Ireland und Singapur. Für die Bildbearbeitung benötigt FaceApp eine große Rechenpower. Viele Unternehmen nutzen dafür die Dienste der großen Cloud-Anbieter, da es mit einem viel zu großen kostspieligem Aufwand verbunden wäre, dies mit einer eigenen Infrastruktur zu bewerkstelligen. Der Gründer von FaceApp, Yaroslav Goncahrov sagte gegenüber Forbes, dass die Nutzerdaten in der Cloud gespeichert werden.
„Wir laden nur ein Foto hoch, das von einem Benutzer zur Bearbeitung ausgewählt wurde. Wir übertragen keine anderen Bilder vom Telefon in die Cloud. Möglicherweise speichern wir ein hochgeladenes Foto in der Cloud. Der Hauptgrund dafür ist die Leistung und der Datenverkehr: Wir möchten sicherstellen, dass der Benutzer das Foto nicht bei jedem Bearbeitungsvorgang wiederholt hochlädt. Die meisten Bilder werden von unseren Servern innerhalb von 48 Stunden nach dem Upload-Datum gelöscht.“
Auffallend ist hier die unklare Aussage zur Löschung: Es werden die „meisten“ Bilder gelöscht. Ob die Bilder wirklich gelöscht werden, wenn FaceApp sie nicht mehr benötigt, lässt sich nicht kontrollieren. Zudem lassen sich in der App Fotos verwenden, ohne dass der Nutzer Zugriff auf seine Fotos erlauben muss. Das ist von Apple erlaubt, weil der Nutzer dabei explizit ein Foto auswählen muss. Nur dieses Foto wird dann in der App hochgeladen. Das funktioniert jedoch auch, wenn der Nutzer in seinen Smartphone Einstellungen beim Zugriff der FaceApp auf seine Fotos „Nie“ angeklickt hat. Dies ist für den Nutzer irreführend. Darüber hinaus räumt der Nutzer mit Einwilligung in die AGB ferner ein, dass der Betreiber die hochgeladenen Fotos kommerziell nutzen darf und zwar unabhängig davon, ob der Nutzer das Foto auf seinem Handy löscht.
Verstoß gegen die DSGVO
Nicht nur die intransparenten Angaben bezüglich des Serverstandorts weisen datenschutzrechtliche Lücken auf. Es gibt weder eine in Landessprache verfasste Datenschutzerklärung, noch erklärt diese die Weitergabe der Daten detailliert, noch gibt es einen konkreten Ansprechpartner für Datenschutzfragen. Allein deswegen ist die App schon ein klarer Fall für die Datenschutzaufsichtsbehörden. Auch der Bundesdatenschutzbeauftrage Ulrich Kelber äußerte in der Radiosendung „SWR Aktuell“ datenschutzrechtliche Bedenken bei der Nutzung von FaceApp.
Generell sollte man sich also bei kostenlosen Apps darüber im Klaren sein, dass man letztlich doch bezahlt – und zwar mit seinen Daten. So predigte auch der Thüringer Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit in der Pressemitteilung vom 22.07.2019:
„Das bisschen Spaß kann die Nutzer in vielerlei Hinsicht teuer zu stehen kommen. Die App ist auch nicht kostenlos – alle Nutzer zahlen in großem Umfang mit ihren biometrischen (!!) Daten, die zu Zwecken genutzt werden dürfen, von denen die Nutzer leider oft keine Vorstellung haben. Vielleicht einfach mal Verzicht üben und auf die Privatsphäre achten.“
Hallo und danke für den Artikel! Datenschutzrechtlich klar eine streitbare App! Was genau ist denn mit „Zugriff auf alle auf dem Smartphone gespeicherten Fotos“ gemeint? Schreibrechte benötigt die App logischerweise zumindest deshalb, um die veränderten Fotos auf dem Gerät abzulegen. Und laut Apple soll die App keine globalen Zugriffsrechte auf das Fotoalbum haben. Zudem will ein Twitter-User den Datenverkehr gescannt und keine Datentransfers nach Russland erkannt haben.
Vielen Dank für den Hinweis!
Laut techcrunch gibt es keine Beweise, dass FaceApp Zugriff auf die gesamte Fotogalerie erhält und diese im Hintergrund in die Cloud hochgeladen werden. Allerdings lassen sich in der App Fotos verwenden, ohne dass der Nutzer Zugriff auf seine Fotos erlauben muss. Das ist von Apple erlaubt, weil der Nutzer dabei explizit ein Foto auswählen muss. Nur dieses Foto wird dann in der App hochgeladen. Das funktioniert jedoch auch, wenn der Nutzer in seinen Smartphone Einstellungen beim Zugriff der FaceApp auf seine Fotos „Nie“ angeklickt hat. Dies ist für den Nutzer irreführend.
Wir haben den Beitrag diesbezüglich angepasst, damit keine Missverständnisse aufkommen.
Hallo, ich verstehe nicht, warum so ein Gedöns wegen dem Datenschutz gehalten wird. Daten sammeln Google & Co. doch sowieso. Klar, dass die Daten auf dem Server gespeichert werden müssen, um die Bilddaten zu bearbeiten. Um diese Ergebnisse z. B. mit Photoshop zu erzielen, braucht man teure Software und wahrscheinlich eine fundierte Ausbildung als Graphikdesigner. Mit FaceApp mache ich aus mir mit wenigen Eingaben eine ganz andere Frau, vor allem dann, wenn z. B. in Chats nicht erkannt werden möchte.