Zunächst ist es ein großer Spaß: Man lädt ein Selfie in eine App, drückt ein paar Knöpfe und schon sieht das eigene Gesicht älter, jünger, pickelfrei, niedlich oder gruselig aus. Durch die Fotofilter, die soziale Netzwerke wie Snapchat und Instagram schon seit Jahren anbieten und mit denen man sich selbst Krönchen aufsetzen oder Hundezungen verpassen kann, ist die wilde Veränderung des eigenen Gesichts vor allem für junge Nutzer*innen längst normal.
Mit optimierten Selfies lässt sich auch Geld verdienen: Viele Apps dieser Art finanzieren sich durch Werbung und In-App-Käufe, ihre Download-Zahlen gehen in die Hundertmillionen. Doch was passiert mit den hochgeladenen Fotos und den Informationen, die sich daraus generieren lassen?
Nicht alle Selfie-Apps sind ein Problem für die Privatsphäre. Insbesondere FaceApp, die 2019 einem breiten Publikum bekannt wurde, weil viele Prominente ihre bearbeiteten Selfies in sozialen Netzwerken teilten, lässt Bemühungen erkennen, die Inhalte von Nutzer*innen diskret zu behandeln. So werden Fotos laut Datenschutzerklärung nur kurz auf Servern gespeichert und dort sogar Ende-zu-Ende-verschlüsselt abgelegt.
Nach unserer aktuellen Testreihe können wir dennoch für keine der geprüften Selfie-Bearbeitungs-Apps eine Empfehlung aussprechen. Sie alle binden Software-Bausteine von Drittanbietern ein, die personalisierte Werbung ermöglichen. Darüber hinaus normalisieren sie es, Fotos seines eigenen Gesichts bei Online-Diensten hochzuladen, über die man wenig weiß und deren Datenverarbeitungspraxis oft zweifelhaft ist.
Perfect365 verkauft biometrische Daten
Ein sehr gutes Beispiel für eine fragwürdige Datenverarbeitungspraxis ist unser Testverlierer, die App Perfect365. In der Datenschutzerklärung des gleichnamigen Unternehmens mit Sitz in Kalifornien, USA, heißt es: „In den vergangenen zwölf Monaten haben wir einer oder mehreren Drittparteien folgende Kategorien persönlicher Informationen verkauft, die einen bestimmten Kunden oder Haushalt identifiziert, sich auf ihn bezieht, ihn beschreibt oder anderweitig direkt oder indirekt mit ihm in Verbindung gebracht werden kann“ (Übersetzung d. Red.).
Es folgt eine lange Liste sehr persönlicher Informationen, darunter der volle Name, E-Mail-Adresse und Telefonnummer, Geräte- und Internetprotokolldaten. Auch biometrische Daten, also Fotodaten, die der Identifikation von Personen dienen, werden vom App-Anbieter explizit gesammelt und verkauft. An wen diese Daten weitergegeben werden, sagt der App-Anbieter nicht.
Gesichtsbiometrische Daten sind vergleichbar mit einem Fingerabdruck, nur dass sie jede Kamera erfassen kann, der wir vor die Linse laufen. Sei es die Handykamera eines Passanten, die Überwachungskamera der Tankstelle oder die Videokamera eines Polizisten – wer die biometrischen Daten eines Gesichtes hat, kann diese Person auf jedem Bild der Welt identifizieren. Anders als eine Telefonnummer oder eine E-Mail-Adresse lässt sich diese Information nicht mehr ändern, sollte sie einmal in falsche Hände geraten sein.
Nicht ohne Grund sind solche Daten gesetzlich besonders gut geschützt. Wer sie erfasst, braucht eine explizite Einwilligung. Ein Hinweis irgendwo in den Datenschutzbestimmungen genügt nicht. Schon gar nicht, wenn diese nur in englischer Sprache vorliegt, wie das bei der App Perfect365 der Fall ist. Wenn entscheidende Informationen so schwer zugänglich sind, hat das mit Transparenz nicht mehr viel zu tun.
Gesichtserkennung durch Foto-Datenbanken
Mit Fotos aus Apps und Online-Diensten werden schon jetzt Datenbanken aufgebaut, die dabei helfen, Menschen zu identifizieren. Das US-amerikanische Start-up Clearview AI verdient mit Gesichtserkennung Geld: Eine Software des Unternehmens durchsucht das Internet nach öffentlich verfügbaren Bildern von Personen, analysiert diese und fügt sie seiner Sammlung hinzu. So können beispielsweise Fotos, die Nutzer*innen bei Facebook mit ihrem Namen verknüpft hochgeladen haben, in einem Datensatz mit anderen Fotos zusammengeführt werden, die sie bei Demonstrationen zeigen.
Was ebenfalls klar ist: Clearview AI verkauft seine Informationen an staatliche Institutionen. Laut einer Recherche des Online-Magazins Buzzfeed News kamen die Foto-Sammlungen des Unternehmens zumindest testweise in 24 Ländern zum Einsatz, darunter Dänemark, Schweden, Frankreich, Großbritannien, Spanien, Australien, Kanada und Brasilien.
Für diese Praxis bekommt Clearview AI durchaus Gegenwind. In Großbritannien droht dem Unternehmen für das Sammeln biometrischer Daten ohne Zustimmung eine Strafe von umgerechnet 20 Millionen Euro. In Schweden hat die dortige Datenschutzbehörde eine Geldbuße von 250.000 Euro gegen eine örtliche Polizeibehörde verhängt, die unerlaubterweise mit Clearview AI gearbeitet hatte.
In Deutschland wurde bisher noch kein Fall bekannt, in dem Clearview AI zum Einsatz kam. Das heißt aber nicht, dass sich nicht längst Fotos von Menschen aus Deutschland in der Datenbank des Unternehmens befinden. Bisher fühlt sich noch keine deutsche Datenschutzbehörde zuständig, der Sache auf den Grund zu gehen.
Was wir dagegen tun können
Je mehr Fotos Personen in Apps und Online-Diensten teilen, umso einfacher wird es, sie per Gesichtserkennung wiederzufinden. So können Behörden Menschen potenziell immer leichter identifizieren, wenn sie sich im öffentlichen Raum bewegen.
Komplett auf das Hochladen eigener Fotos im Netz zu verzichten, scheint in dieser Zeit keine realistische Lösung zu sein. Die Zahl der eigenen Fotos, die online sind, so klein wie möglich zu halten, ist aber trotzdem eine gute Idee.
Gleichzeitig braucht es eine aktive öffentliche Diskussion und politische Regulation. Einen Anfang macht ReclaimYourFace: Die europäische Initiative engagiert sich gegen Gesichtserkennung und staatliche biometrische Massenüberwachung. Eine entsprechende Petition ist hier online.
