Ratgeber

Apps gecheckt: Diese Selfie-Apps sammeln deine Gesichtsdaten (Android)

Ein Artikel von , veröffentlicht am 13.02.2022
Wer Selfies per App bearbeitet, vertraut oft Software-Firmen sein Gesicht an. Foto: iStock

Bild hochladen, Katzenohren dran, fertig: Fotofilter für Selfies gibt es schon lange. Doch was passiert, wenn Software-Firmen ihr Geschäftsmodell ganz auf die Gesichter von Nutzer*innen ausrichten? Sechs beliebte Apps im Test.

Mit ihnen kann man sich eine andere Frisur verpassen, Lippenstift auftragen oder Pickel entfernen: In Selfie-Apps wie etwa BeautyPlus, Facetune2 oder Perfect365 steckt Technologie zur Gesichtserkennung, die auf dem Smartphone sofort sichtbar macht, was analog auf die Schnelle unmöglich ist.

Oft sind die Programme zusätzlich als soziale Netzwerke konzipiert. Man kann die Ergebnisse der eigenen Selfie-Optimierung mit anderen Nutzer*innen teilen und Likes oder Follower*innen sammeln.

Wo Ausprobieren neuer Beauty-Produkte auf digitale Selbstoptimierung trifft, sind hohe Nutzungszahlen nicht weit. Die sechs beliebtesten Selfie-Bearbeitungs-Apps im Google Play-Store wurden insgesamt über 500 Millionen Mal heruntergeladen.

Nur: Wie sicher ist es, Fotos seines Gesichts in diese Apps zu laden? Wir haben ihr Datensendeverhalten und die Datenschutzerklärungen geprüft.

Wie arbeiten die Apps?

Um realistisch wirkende Ergebnisse zu produzieren, analysieren die Apps das Gesicht auf dem hochgeladenen Foto (oder Video), bevor sie das digitale Make-up auftragen oder die Größe von Nase, Mund oder Augen verändern. Dabei kommt bei einigen Apps Software zum Einsatz, die individuelle Merkmale des Gesichts erhebt: beispielsweise die Maße von Augen, Mund und Nase und ihren jeweiligen Abstand zueinander.

Mit solchen biometrischen Merkmalen können Gesichter auch auf anderen Bildern und außerhalb der ursprünglichen Anwendung maschinell identifiziert werden.

Nicht alle Apps machen genaue Angaben dazu, ob sie aus den hochgeladenen Fotos biometrische Daten generieren – ob sie also Merkmale erfassen, die geeignet sind, Gesichter zu identifizieren. Bei FaceApp sind es „künstliche neuronale Netze“, die das Gesicht untersuchen, Photo Lab möchte „nötige Schlüsselpunkte auf dem Gesicht finden“ und bei YouCam MakeUp ist von „Gesichtsmerkmalsvektoren“ die Rede. Einzig Perfect365 nennt biometrische Daten explizit als Daten, die erfasst werden können.

Der Anbieter der App BeautyPlus hingegen gibt an, keine solche Daten zu generieren und der Anbieter von Facetune2 verspricht, biometrische Daten nur lokal auf dem Gerät zur Gesichtserkennung zu nutzen. Das ist durchaus plausibel: Wer sensible Daten erhebt und speichert, muss sich juristisch mit Datenschutzfragen befassen und bestimmte Anforderungen erfüllen. Verdient ein App-Anbieter also zum Beispiel mit Produktverkäufen Geld, spart er sich Arbeit, wenn sein System keine Identifikation ermöglicht.

Diese Apps haben wir geprüft

 

Unser Testsystem: Der AppChecker

  • Unser AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet das Tool sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Wir vergeben einen Privacy-Score von 1 (empfehlenswert) bis 5 (sehr hohes Risiko) an Apps. Die Testberichte finden Sie auf appcheck.mobilsicher.de.
  • Mehr Infos zum AppChecker gibt's in diesem Video.

 

Testbedingungen

Wir haben jeweils die kostenlose Basis-Version der Apps getestet. Wo es möglich war, haben wir ein Konto mit Nutzernamen und Passwort angelegt und alle weiteren geforderten Angaben gemacht, zum Beispiel zum Geschlecht oder zum Geburtsdatum. Danach haben wir ein Foto hochgeladen, bearbeitet und, wenn in der App möglich, mit der Community geteilt.

Unser Test: Werbung ohne Ende

Sämtliche Apps kontaktierten mehrere Drittanbieter aus den Bereichen Werbung, Marketing oder Nutzeranalyse, was bei Werbung als Geschäftsmodell nicht überraschend ist.

Alle Apps versendeten dabei mit der Werbe-ID eine Kennnummer, mit der Informationen aus der App-Nutzung einem bestehenden Personenprofil zugeordnet werden können.

Klarer Testverlierer ist die App Perfect365. Sie kontaktierte 20 Drittanbieter, von denen 14 die Werbe-ID erhielten.

So funktioniert die Werbe-ID:

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.

Darüber hinaus konnten wir im Test keine Datenübermittlungen an Dritte feststellen.

Hinweis: Zum aktuellen Zeitpunkt kann unser Testsystem bei diesem App-Typ nur die Übertragung persönlicher Angaben und Identifier, nicht aber hochgeladener Fotos feststellen. Die Datenschutzerklärungen der getesteten Produkte weisen jedoch darauf hin, dass Bilddaten gesammelt und teilweise im großen Stil an Dritte verkauft werden können.

Das sagen die Datenschutzerklärungen

Perfect365

  • Die App gibt in der Datenschutzerklärung an, in den vergangenen zwölf Monaten umfangreiche Datensätze von Nutzer*innen an Dritte verkauft zu haben, darunter den vollen Namen, biometrische Daten, Standortdaten, sowie alle weiteren Angaben, die man in der App macht.
  • Installiert man die App auf einem Smartphone mit Android 10, 11 oder 12, erscheint am Anfang ein umfangreiches Einwilligungsmenü, in dem verschiedene Verarbeitungszwecke aufgelistet sind und man der Übermittlung der eigenen Daten teilweise widersprechen kann. Konkrete Datentypen werden mit Ausnahme von "Gerätekennungen" und "Cookies" jedoch nicht genannt, biometrische Daten ebenfalls nicht erwähnt. Bei Smartphones mit Android-Version 9 oder älter erscheint das Einwilligungsmenü nicht.
  • Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, sagte dazu auf Anfrage von mobilsicher.de: „Biometrische Daten von EU-Bürger:innen dürfen nur unter besonderen Umständen verarbeitet und weitergegeben werden. Diese Daten sind besonders sensibel. Bei Apps zur Bearbeitung nicht veröffentlichter Fotos setzt dies in der Regel voraus, dass die betroffenen Personen ausdrücklich eine informierte Einwilligung in die geplante Verarbeitung gegeben haben.“
  • Eine ausdrückliche, informierte Einwilligung können wir hier nicht erkennen.

 

YouCam MakeUp

  • Die App weist in der Datenschutzerklärung darauf hin, dass alle über die App-Nutzung erhobenen Daten, die zum Beispiel auch Informationen über den Hautzustand enthalten, für Werbezwecke genutzt und an Dritte weitergegeben werden können. Die Weitergabe von Namen, E-Mail-Adressen, Fotos und Videos an Werbepartner wird ausgeschlossen.
  • Da unser Test gezeigt hat, dass der Facebook-Analysedienst hier die Werbe-ID erhält, ist davon auszugehen, dass mindestens der Meta-Konzern (Facebook, Instagram) die Nutzungsdaten aus der App den Social-Media-Profilen von Nutzer*innen zuordnen kann.

 

Facetune2

  • Hier heißt es, man erhebe keine biometrischen Daten. Allerdings gibt die Firma an, hochgeladene Fotos und daraus generierte Daten – beispielsweise das geschätzte Alter und Geschlecht – für die Bewerbung seiner Dienste zu nutzen.

 

FaceApp

  • Die App legt die bearbeiteten Fotos laut Datenschutzerklärung Ende-zu-Ende-verschlüsselt und maximal 48 Stunden auf Servern externer Cloud-Dienstleister ab. Man nutze die Fotos für keine anderen Zwecke als für das Bearbeiten der Fotos in der App. Hochgeladene Videos würden lokal auf dem Gerät bearbeitet und nicht auf Servern gespeichert.

 

Photo Lab Bildbearbeitung

  • Die App führt die Bildbearbeitung nach eigenen Angaben auf eigenen Servern durch. Dort würden die Bilder und die erfassten Gesichtspunkte bis zu zwei Wochen aufbewahrt, falls man dasselbe Bild noch einmal bearbeiten möchte. Informationen aus den bearbeiteten Fotos könnten für Werbung genutzt, aber nicht an Dritte weitergegeben werden.

 

BeautyPlus

  • Die App bearbeitet die Bilder nach eigenen Angaben ebenfalls auf eigenen Servern. Von dort werden sie beim Beenden der App laut Firmenangabe wieder gelöscht. Die Fotos sollen nicht an Dritte weitergegeben oder für Marketingzwecke genutzt werden.

 

Warum wir nicht bewerten, ob Apps juristisch sauber arbeiten, lesen Sie hier: Dürfen die das? Unsere App-Bewertungen und das Recht.

Anbieter und Geschäftsmodelle

Die Anbieter der geprüften Apps sind reine Software-Unternehmen. Ihre Firmensitze sind quer über den Erdball verteilt (siehe App-Liste). Alle sechs Apps finanzieren sich durch In-App-Käufe, durch die man weitere Funktionen freischalten kann, und durch Werbung.

Einige der App-Anbieter, zum Beispiel Perfect Corp (YouCam MakeUp) und Perfect365, lassen sich auch von Kosmetikfirmen wie Benefit Cosmetics oder Estee Lauder dafür bezahlen, dass Nutzer*innen ihre Produkte in der App am eigenen Gesicht ausprobieren können – mit Links, die direkt zum Shop des Unternehmens führen.

Um die neuesten Produkte ihrer Lieblingsmarken ausprobieren zu können, werden auch die Nutzer*innen selbst per In-App-Kauf zur Kasse gebeten.

Gleichzeitig verkauft beispielsweise Perfect Corp sogenannte Try-On-Module als Software Development Kits (SDKs). Das sind Software-Bausteine, die Anbieter von Make-up- und Pflegeprodukten auf ihrer Website einbauen können, damit ihre Kund*innen nicht in den Laden gehen müssen, um sich eine neue Lippenstiftfarbe auszusuchen. Gerade in Pandemiezeiten sind solche Technologien Gold wert, wie eine Analyse der Unternehmensberatung McKinsey zeigt.

Das können Nutzer*innen tun

Von der Nutzung von Perfect365, YouCam MakeUp und Facetune2 raten wir nach unserer Analyse klar ab.

Die anderen drei Apps – FaceApp, PhotoLab Bildbearbeitung oder BeautyPlus – sind weniger bedenklich. Wer eine davon verwenden möchte, kann einen Tracking-Blocker wie Blokada verwenden (siehe Box unten), wodurch der Kontakt zu bekannten Werbenetzwerken verhindert wird. Ab Android 12 lässt sich außerdem die Werbe-ID löschen, sodass personalisierte Anzeigen und Profilbildung verhindert werden.

Dass Gesichtsdaten in falsche Hände geraten, ist bei der Verwendung von Selfie-Apps jedoch nie ganz ausgeschlossen. Firmen können ihre Datenverarbeitungspraxis jederzeit ändern – vielleicht möchte man gewisse Daten daher lieber überhaupt nicht erfasst wissen.

Lesen Sie hierzu auch unseren Kommentar: Gesichtserkennung in Apps: Was soll da schon schiefgehen?

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App Blokada (Android und iOS) erkennt viele Tracking-Verbindungen und blockiert sie. Mehr Infos hier.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Der Autor

E-Mail

t.baulig@mobilsicher.de

PGP-Key

BE4B0538AA06645A

Fingerprint

3577 45E7 ECC4 7372 DFF8 0A80 BE4B 0538 AA06 645A

Thorsten Baulig

ist Social-Media-Manager und Autor bei mobilsicher.de. Außerdem kümmert er sich um die Presse- und Öffentlichkeitsarbeit. Davor studierte er Kulturwissenschaft in Siegen und Berlin und organisierte kulturelle und stadtpolitische Veranstaltungen.

Weitere Artikel

Ratgeber 

Sicherheit bei Apples iOS 10

Das aktuelle Betriebssystem für iPhones und iPads ist iOS 10. Apple hat ihm zahlreiche Funktionen und Einstellungsmöglichkeiten zu Datenschutz und Datensicherheit verpasst. Wir geben einen Überblick.

Mehr
Ratgeber 

Handy für Kinder einrichten (Android)

Wenn ein Kind sein erstes eigenes Smartphone bekommen soll, tun sich für Eltern viele Fragen auf. Mit unseren Tipps werden die Weichen in Sachen Privatsphäre gleich richtig gestellt.

Mehr
Ratgeber 

Apps des Monats – die Besten im April

Die soziale Isolation im April 2020 zeigt sich in unseren App-Vorstellungen: Es ging vor allem um Corona-Tracing und Video-Chats. Doch ein bisschen Ausgleich muss sein - also raus in den Frühling, mit Apps zum Bestimmen von Blumen und Vogelgesang!

Mehr
Ratgeber 

Backup-App Helium kurz vorgestellt

Bilder und Musik vom Smartphone lassen sich einfach auf dem eigenen Rechner sichern. Bei Apps und App-Daten – zum Beispiel Spielständen – ist das schwieriger. Mit „Helium“ funktioniert es zumindest für viele Apps. Wir zeigen, wie es geht.

Mehr