Kommentar

Gesichtserkennung in Apps: Was soll da schon schiefgehen?

Ein Artikel von , , veröffentlicht am 13.02.2022
Wer Fotos von sich in Apps hochlädt, kann nicht sicher sein, dass sie dort auch bleiben. Foto: iStock

Selfies in Apps hochzuladen und mit Filtern zu bearbeiten, ist für viele Nutzer*innen schon lange normal. Doch die Selbstporträts können in Datenbanken landen, auf die schon jetzt Sicherheitsbehörden und Staaten zugreifen.

Zunächst ist es ein großer Spaß: Man lädt ein Selfie in eine App, drückt ein paar Knöpfe und schon sieht das eigene Gesicht älter, jünger, pickelfrei, niedlich oder gruselig aus. Durch die Fotofilter, die soziale Netzwerke wie Snapchat und Instagram schon seit Jahren anbieten und mit denen man sich selbst Krönchen aufsetzen oder Hundezungen verpassen kann, ist die wilde Veränderung des eigenen Gesichts vor allem für junge Nutzer*innen längst normal.

Mit optimierten Selfies lässt sich auch Geld verdienen: Viele Apps dieser Art finanzieren sich durch Werbung und In-App-Käufe, ihre Download-Zahlen gehen in die Hundertmillionen. Doch was passiert mit den hochgeladenen Fotos und den Informationen, die sich daraus generieren lassen?

Nicht alle Selfie-Apps sind ein Problem für die Privatsphäre. Insbesondere FaceApp, die 2019 einem breiten Publikum bekannt wurde, weil viele Prominente ihre bearbeiteten Selfies in sozialen Netzwerken teilten, lässt Bemühungen erkennen, die Inhalte von Nutzer*innen diskret zu behandeln. So werden Fotos laut Datenschutzerklärung nur kurz auf Servern gespeichert und dort sogar Ende-zu-Ende-verschlüsselt abgelegt.

Nach unserer aktuellen Testreihe können wir dennoch für keine der geprüften Selfie-Bearbeitungs-Apps eine Empfehlung aussprechen. Sie alle binden Software-Bausteine von Drittanbietern ein, die personalisierte Werbung ermöglichen. Darüber hinaus normalisieren sie es, Fotos seines eigenen Gesichts bei Online-Diensten hochzuladen, über die man wenig weiß und deren Datenverarbeitungspraxis oft zweifelhaft ist.

Perfect365 verkauft biometrische Daten

Ein sehr gutes Beispiel für eine fragwürdige Datenverarbeitungspraxis ist unser Testverlierer, die App Perfect365. In der Datenschutzerklärung des gleichnamigen Unternehmens mit Sitz in Kalifornien, USA, heißt es: „In den vergangenen zwölf Monaten haben wir einer oder mehreren Drittparteien folgende Kategorien persönlicher Informationen verkauft, die einen bestimmten Kunden oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt oder anderweitig direkt oder indirekt mit ihm in Verbindung gebracht werden kann“ (Übersetzung d. Red.).

Es folgt eine lange Liste sehr persönlicher Informationen, darunter der volle Name, E-Mail-Adresse und Telefonnummer, Geräte- und Internetprotokolldaten. Auch biometrische Daten, also Fotodaten, die der Identifikation von Personen dienen, werden vom App-Anbieter explizit gesammelt und verkauft. An wen diese Daten weitergegeben werden, sagt der App-Anbieter nicht.

Gesichtsbiometrische Daten sind vergleichbar mit einem Fingerabdruck, nur dass sie jede Kamera erfassen kann, der wir vor die Linse laufen. Sei es die Handykamera eines Passanten, die Überwachungskamera der Tankstelle oder die Videokamera eines Polizisten – wer die biometrischen Daten eines Gesichtes hat, kann diese Person auf jedem Bild der Welt identifizieren. Anders als eine Telefonnummer oder eine E-Mail-Adresse lässt sich diese Information nicht mehr ändern, sollte sie einmal in falsche Hände geraten sein.

Nicht ohne Grund sind solche Daten gesetzlich besonders gut geschützt. Wer sie erfasst, braucht eine explizite Einwilligung. Ein Hinweis irgendwo in den Datenschutzbestimmungen genügt nicht. Schon gar nicht, wenn diese nur in englischer Sprache vorliegt, wie das bei der App Perfect365 der Fall ist. Wenn entscheidende Informationen so schwer zugänglich sind, hat das mit Transparenz nicht mehr viel zu tun.

Gesichtserkennung durch Foto-Datenbanken

Mit Fotos aus Apps und Online-Diensten werden schon jetzt Datenbanken aufgebaut, die dabei helfen, Menschen zu identifizieren. Das US-amerikanische Start-up Clearview AI verdient mit Gesichtserkennung Geld: Eine Software des Unternehmens durchsucht das Internet nach öffentlich verfügbaren Bildern von Personen, analysiert diese und fügt sie seiner Sammlung hinzu. So können beispielsweise Fotos, die Nutzer*innen bei Facebook mit ihrem Namen verknüpft hochgeladen haben, in einem Datensatz mit anderen Fotos zusammengeführt werden, die sie bei Demonstrationen zeigen.

Was ebenfalls klar ist: Clearview AI verkauft seine Informationen an staatliche Institutionen. Laut einer Recherche des Online-Magazins Buzzfeed News kamen die Foto-Sammlungen des Unternehmens zumindest testweise in 24 Ländern zum Einsatz, darunter Dänemark, Schweden, Frankreich, Großbritannien, Spanien, Australien, Kanada und Brasilien.

Für diese Praxis bekommt Clearview AI durchaus Gegenwind. In Großbritannien droht dem Unternehmen für das Sammeln biometrischer Daten ohne Zustimmung eine Strafe von umgerechnet 20 Millionen Euro. In Schweden hat die dortige Datenschutzbehörde eine Geldbuße von 250.000 Euro gegen eine örtliche Polizeibehörde verhängt, die unerlaubterweise mit Clearview AI gearbeitet hatte.

In Deutschland wurde bisher noch kein Fall bekannt, in dem Clearview AI zum Einsatz kam. Das heißt aber nicht, dass sich nicht längst Fotos von Menschen aus Deutschland in der Datenbank des Unternehmens befinden. Bisher fühlt sich noch keine deutsche Datenschutzbehörde zuständig, der Sache auf den Grund zu gehen.

Was wir dagegen tun können

Je mehr Fotos Personen in Apps und Online-Diensten teilen, umso einfacher wird es, sie per Gesichtserkennung wiederzufinden. So können Behörden Menschen potenziell immer leichter identifizieren, wenn sie sich im öffentlichen Raum bewegen.

Komplett auf das Hochladen eigener Fotos im Netz zu verzichten, scheint in dieser Zeit keine realistische Lösung zu sein. Die Zahl der eigenen Fotos, die online sind, so klein wie möglich zu halten, ist aber trotzdem eine gute Idee.

Gleichzeitig braucht es eine aktive öffentliche Diskussion und politische Regulation. Einen Anfang macht ReclaimYourFace: Die europäische Initiative engagiert sich gegen Gesichtserkennung und staatliche biometrische Massenüberwachung. Eine entsprechende Petition ist hier online.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Ratgeber: So surfen Sie anonym mit Tor (Android)

Wer im Internet surft, hinterlässt Spuren. Das Anonymisierungsnetzwerk Tor kann helfen, diese zu verschleiern. Wie Sie den Tor-Browser auf Ihrem Android-Gerät installieren und nutzen können, erklären wir hier Schritt für Schritt.

Mehr
Reportage 

„Wo sind Sie?“ – Warum diese Frage beim Notruf immer noch gestellt werden muss

Egal ob Unfall, Feuer oder Flut: Im Notfall wählt man 112. Aber wo ruft man da eigentlich an? Und warum ist es fast nirgendwo in Deutschland möglich, Verunglückte per GPS zu orten? Wir haben eine der rund 250 Rettungsleitstellen besucht.

Mehr
YouTube-Video 

Handy-Privacy: 10 Fragen und Antworten | Vol. 3

Warum die Luca-App zum Heulen ist, Datenschutzerklärungen nicht in erster Linie für Sie geschrieben werden und woher mobilsicher eigentlich sein Geld hat – darüber reden wir in unserem neuen Video. Außerdem gibt es Einordnungen zum Aurora-Store und zum Messenger Teleguard.

Ansehen
Ratgeber 

Tibor Kaputa: “I’m not interested in working for some company”

Tibor Kaputa from Slovakia develops Android apps that are designed to replace preinstalled programs such as contacts, calender, gallery and more. His “Simple Mobile Tools” are privacy friendly and open source. Today, working on the apps is his full-time job, Tibor told mobilsicher.

Mehr