Kommentar

Gesichtserkennung in Apps: Was soll da schon schiefgehen?

Ein Artikel von , , veröffentlicht am 13.02.2022
Wer Fotos von sich in Apps hochlädt, kann nicht sicher sein, dass sie dort auch bleiben. Foto: iStock

Selfies in Apps hochzuladen und mit Filtern zu bearbeiten, ist für viele Nutzer*innen schon lange normal. Doch die Selbstporträts können in Datenbanken landen, auf die schon jetzt Sicherheitsbehörden und Staaten zugreifen.

Zunächst ist es ein großer Spaß: Man lädt ein Selfie in eine App, drückt ein paar Knöpfe und schon sieht das eigene Gesicht älter, jünger, pickelfrei, niedlich oder gruselig aus. Durch die Fotofilter, die soziale Netzwerke wie Snapchat und Instagram schon seit Jahren anbieten und mit denen man sich selbst Krönchen aufsetzen oder Hundezungen verpassen kann, ist die wilde Veränderung des eigenen Gesichts vor allem für junge Nutzer*innen längst normal.

Mit optimierten Selfies lässt sich auch Geld verdienen: Viele Apps dieser Art finanzieren sich durch Werbung und In-App-Käufe, ihre Download-Zahlen gehen in die Hundertmillionen. Doch was passiert mit den hochgeladenen Fotos und den Informationen, die sich daraus generieren lassen?

Nicht alle Selfie-Apps sind ein Problem für die Privatsphäre. Insbesondere FaceApp, die 2019 einem breiten Publikum bekannt wurde, weil viele Prominente ihre bearbeiteten Selfies in sozialen Netzwerken teilten, lässt Bemühungen erkennen, die Inhalte von Nutzer*innen diskret zu behandeln. So werden Fotos laut Datenschutzerklärung nur kurz auf Servern gespeichert und dort sogar Ende-zu-Ende-verschlüsselt abgelegt.

Nach unserer aktuellen Testreihe können wir dennoch für keine der geprüften Selfie-Bearbeitungs-Apps eine Empfehlung aussprechen. Sie alle binden Software-Bausteine von Drittanbietern ein, die personalisierte Werbung ermöglichen. Darüber hinaus normalisieren sie es, Fotos seines eigenen Gesichts bei Online-Diensten hochzuladen, über die man wenig weiß und deren Datenverarbeitungspraxis oft zweifelhaft ist.

Perfect365 verkauft biometrische Daten

Ein sehr gutes Beispiel für eine fragwürdige Datenverarbeitungspraxis ist unser Testverlierer, die App Perfect365. In der Datenschutzerklärung des gleichnamigen Unternehmens mit Sitz in Kalifornien, USA, heißt es: „In den vergangenen zwölf Monaten haben wir einer oder mehreren Drittparteien folgende Kategorien persönlicher Informationen verkauft, die einen bestimmten Kunden oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt oder anderweitig direkt oder indirekt mit ihm in Verbindung gebracht werden kann“ (Übersetzung d. Red.).

Es folgt eine lange Liste sehr persönlicher Informationen, darunter der volle Name, E-Mail-Adresse und Telefonnummer, Geräte- und Internetprotokolldaten. Auch biometrische Daten, also Fotodaten, die der Identifikation von Personen dienen, werden vom App-Anbieter explizit gesammelt und verkauft. An wen diese Daten weitergegeben werden, sagt der App-Anbieter nicht.

Gesichtsbiometrische Daten sind vergleichbar mit einem Fingerabdruck, nur dass sie jede Kamera erfassen kann, der wir vor die Linse laufen. Sei es die Handykamera eines Passanten, die Überwachungskamera der Tankstelle oder die Videokamera eines Polizisten – wer die biometrischen Daten eines Gesichtes hat, kann diese Person auf jedem Bild der Welt identifizieren. Anders als eine Telefonnummer oder eine E-Mail-Adresse lässt sich diese Information nicht mehr ändern, sollte sie einmal in falsche Hände geraten sein.

Nicht ohne Grund sind solche Daten gesetzlich besonders gut geschützt. Wer sie erfasst, braucht eine explizite Einwilligung. Ein Hinweis irgendwo in den Datenschutzbestimmungen genügt nicht. Schon gar nicht, wenn diese nur in englischer Sprache vorliegt, wie das bei der App Perfect365 der Fall ist. Wenn entscheidende Informationen so schwer zugänglich sind, hat das mit Transparenz nicht mehr viel zu tun.

Gesichtserkennung durch Foto-Datenbanken

Mit Fotos aus Apps und Online-Diensten werden schon jetzt Datenbanken aufgebaut, die dabei helfen, Menschen zu identifizieren. Das US-amerikanische Start-up Clearview AI verdient mit Gesichtserkennung Geld: Eine Software des Unternehmens durchsucht das Internet nach öffentlich verfügbaren Bildern von Personen, analysiert diese und fügt sie seiner Sammlung hinzu. So können beispielsweise Fotos, die Nutzer*innen bei Facebook mit ihrem Namen verknüpft hochgeladen haben, in einem Datensatz mit anderen Fotos zusammengeführt werden, die sie bei Demonstrationen zeigen.

Was ebenfalls klar ist: Clearview AI verkauft seine Informationen an staatliche Institutionen. Laut einer Recherche des Online-Magazins Buzzfeed News kamen die Foto-Sammlungen des Unternehmens zumindest testweise in 24 Ländern zum Einsatz, darunter Dänemark, Schweden, Frankreich, Großbritannien, Spanien, Australien, Kanada und Brasilien.

Für diese Praxis bekommt Clearview AI durchaus Gegenwind. In Großbritannien droht dem Unternehmen für das Sammeln biometrischer Daten ohne Zustimmung eine Strafe von umgerechnet 20 Millionen Euro. In Schweden hat die dortige Datenschutzbehörde eine Geldbuße von 250.000 Euro gegen eine örtliche Polizeibehörde verhängt, die unerlaubterweise mit Clearview AI gearbeitet hatte.

In Deutschland wurde bisher noch kein Fall bekannt, in dem Clearview AI zum Einsatz kam. Das heißt aber nicht, dass sich nicht längst Fotos von Menschen aus Deutschland in der Datenbank des Unternehmens befinden. Bisher fühlt sich noch keine deutsche Datenschutzbehörde zuständig, der Sache auf den Grund zu gehen.

Was wir dagegen tun können

Je mehr Fotos Personen in Apps und Online-Diensten teilen, umso einfacher wird es, sie per Gesichtserkennung wiederzufinden. So können Behörden Menschen potenziell immer leichter identifizieren, wenn sie sich im öffentlichen Raum bewegen.

Komplett auf das Hochladen eigener Fotos im Netz zu verzichten, scheint in dieser Zeit keine realistische Lösung zu sein. Die Zahl der eigenen Fotos, die online sind, so klein wie möglich zu halten, ist aber trotzdem eine gute Idee.

Gleichzeitig braucht es eine aktive öffentliche Diskussion und politische Regulation. Einen Anfang macht ReclaimYourFace: Die europäische Initiative engagiert sich gegen Gesichtserkennung und staatliche biometrische Massenüberwachung. Eine entsprechende Petition ist hier online.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf. Mehr Infos dazu unter: www.ein-team.org. Davor leitete sie die Redaktion bei mobilsicher.de, recherchierte und schrieb Texte, gab Beiträgen von anderen den letzten Schliff und betreute den YouTube-Kanal.

Weitere Artikel

Ratgeber 

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Mehr
Ratgeber 

Check-In-App Luca kurz vorgestellt

Während der Corona-Pandemie soll sie die Kontaktverfolgung in Geschäften oder Restaurants erleichtern. Die App wird von einem Berliner Start-up entwickelt und bereits von vielen Gesundheitsämtern verwendet, doch es gibt auch Kritikpunkte. Ein Überblick.

Mehr
Ratgeber 

Facebook unterwegs: Zugriffsrechte, Tracking, Akkulaufzeit

Für viele Nutzer ist Facebook der wichtigste Dienst auf dem Smartphone. Das Problem: Die Facebook-App verlangt viele Zugriffsrechte und verbraucht Akku und Speicherplatz. Die meisten dieser Probleme lassen sich lösen – wir erklären, wie.

Mehr
Ratgeber 

Was Sie über Mail-Apps wissen sollten

Mail-Apps erlauben es, verschiedene E-Mail-Adressen in einer einzigen App zu verwalten. Das ist praktisch, jedoch werden dabei sehr persönliche Daten einem einzigen Anbieter anvertraut. Damit Sie nicht an die Falschen geraten, haben wir hier die wichtigsten Infos zusammengestellt.

Mehr