Seit Wochen ist FaceApp in aller Munde. Mit dieser App können die eigenen Fotos bearbeitet und Gesichter täuschend echt manipuliert werden. So lassen sich natürliche Alterungsprozesse glaubhaft veranschaulichen oder Änderungen des Typs darstellen. Die Anwendung ist derzeit so angesagt, dass sogar Boulevard-Blätter oder Webportale Fotos von bekannten Politikern oder Sportlern mit dieser bearbeiten: „So sehen die Bayern-Stars in 30 Jahren aus“ betitelte ein Sportportal die Fotogallery der Spieler. Dabei existiert die App schon seit 2017.

Mit diesen Trends gehen auch immer wieder Berichte über datenschutzrechtliche Bedenken einher. Im Folgenden soll erklärt werden, warum das hiesige Recht tatsächlich viele weitreichende Fragen aufwirft und die Installation der App gut durchdacht sein sollte.

Das Datenschutzrecht

Zunächst bedarf es für die Datenverarbeitung durch den Betreiber der App (Wireless Lab) einer Rechtsgrundlage, denn mit dem Upload und der Speicherung bzw. Veränderung des Profilfotos findet eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Ziffer 2 der DSGVO statt. Soweit – wie von vielen vermutet – biometrische Daten anhand der Verarbeitung von Gesichtsmuster durch FaceApp betroffen sind und somit sogar besondere Kategorien personenbezogener Daten berührt werden, kommt bei dieser Fun-App allenfalls die Einwilligung des Nutzers in die Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO in Verbindung mit Art. 9 Abs. 2 lit. a) DSGVO in Betracht. Die Einwilligung müsste sogar vor dem Hintergrund der Schutzfunktion bei diesen besonders schützenswerten personenbezogenen Daten ausdrücklich erfolgen.

Denn bei biometrischen Faktoren eines Gesichts handelt es sich um nahezu einzigartige, nur der betroffenen Person zuordenbare natürliche Merkmale, anhand derer sie nahezu immer identifizierbar ist. Anders als bei einem Schlüssel oder Passwort „haftet“ sie dem Menschen möglicherweise ein Leben lang an. Selbst größere Veränderungen am Menschen durch den natürlichen Alterungsprozess oder eine neue Frisur können bei moderner Gesichtserkennungssoftware diese Identifizierung kaum verhindern. Das birgt Gefahren, insbesondere wenn sich zukünftig die Gesichtserkennung zunehmend bei der Authentifizierung beim Bezahlungsverkehr durchsetzt oder als Zugangskontrollsystem und dann als Schlüssel für alles gilt. Wer diese Daten des Betroffenen hat, könnte sich theoretisch zukünftig widerrechtlich Zugang zum Handy oder Haus mittels Gesichtserkennungssoftware verschaffen oder bei entsprechenden Dienstleistern hierüber einkaufen, wenn dieser Dienst genutzt wird.

Im Kontext der Anforderungen an eine Einwilligung in elektronische Prozesse dürfte es nicht ausreichend sein, die Einwilligung im Rahmen einer AGB bzw. versteckt in einer von vielen Klauseln einzuholen. Vielmehr muss durch eine „eindeutig bestätigende Handlung“ (Vgl. Erwägungsgrund 32 der DSGVO) das Einverständnis zum Ausdruck gebracht werden.

Doch so wird es offenbar zurzeit umgesetzt. Innerhalb der Nutzungsbedingungen wird dieses Rechtsinstitut der Einwilligung angewandt.

In den englischsprachigen AGB heißt es unter anderem:

„You grant FaceApp a perpetual, irrevocable, nonexclusive, royalty-free, worldwide, fully-paid, transferable sub-licensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, publicly perform and display your User Content and any name, username or likeness provided in connection with your User Content in all media formats and channels now known or later developed, without compensation to you. When you post or otherwise share User Content on or through our Services, you understand that your User Content and any associated information (such as your [username], location or profile photo) will be visible to the public.“

In einfachen Worten: Der Nutzer räumt FaceApp ein umfassendes, unbefristetes und unwiderrufliches, weltweites und sogar kommerzielles Nutzungs-/Verwertungsrecht an allen Inhalten ein, die von diesem erstellt worden sind. Dieses betrifft primär die erstellten Bilder, aber auch den Namen und sonstige Benutzerinhalte.

In Anbetracht der hohen Hürde der ausdrücklichen Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten liegt die Annahme und Begründung des Einverständnisses durch Installation von FaceApp bzw. der Zustimmung zu den Nutzungsbedingungen fern. Gerade hiervor soll die DSGVO den Einzelnen schützen.

Ferner kann nur der Betroffene ab einem Alter von 16 Jahren nach Art. 7 DSGVO in eine derartige Datenverarbeitung einwilligen. Bei Personen unter 16 Jahren müssen beide Elternteile ihrerseits die Einwilligung erteilen, was in der Realität angezweifelt werden kann. Ein funktionierendes Altersverifikationssystem könnte hierbei helfen, wird jedoch bewusst nicht eingesetzt.

Ferner dürfte es an der umfassenden Darstellung der Informationspflichten aus Art. 13 DSGVO bei FaceApp fehlen, da die Datenschutzhinweise (einsehbar unter: https://faceapp.com/privacy) nicht den Vorgaben der DSGVO entsprechen und beispielsweise die Betroffenenrechte vermissen lassen.

Und was ist mit fremden Fotos?

Doch in jünger Vergangenheit sind vermehrt Fotos von fremden Personen im Netz zu erkennen, wenn Journalisten oder Social Media Redakteure Fotos von Promis in FaceApp eingespielen und fiktive, veränderte Fotos erstellt haben. Dies allein dürfte eine unzulässige Datenverarbeitung darstellen, immer fehlt es eindeutig an der Zustimmung des Betroffenen. Dabei ist es von keiner Relevanz, ob es sich um Bildnisse von Angela Merkel oder Christiano Ronaldo handelt oder die Bilder den Nachbarn zeigen.

Datenschutzrechtliche Grundsätze

Und auch den datenschutzrechtlichen Grundsätzen dürfte nicht vollends entsprochen werden. Zu den Grundsätzen aus Art. 5 DSGVO, die jede Verarbeitungstätigkeit wahren sollte, zählt auch der Grundsatz der Datenminimierung bzw. Datensparsamkeit. Personenbezogene Daten sollten nicht ewig verarbeitet werden, sondern sind nach bestimmten, vom Verantwortlichen festzulegenden Kriterien zu löschen. Eine dauerhafte Aufbewahrung von Fotos mit sensiblen Informationen dürfte diesem Gedanken sogar entgegenstehen.

Allerdings sind Vorkehrungen zur Löschung oder Minimierung von Datensätzen bei dieser App nicht erkennbar. Bei dem Angebot werden die Daten des Nutzers vorübergehend, mindestens jedoch für 24 Stunden auf Servern des Dienstes zwischengespeichert. Inwiefern die Daten dauerhaft auf Servern verarbeitet werden ist unklar, darüber kann nur spekuliert werden.

Und selbst das eigenhändige Löschen der Daten ist nur mit viel Aufwand möglich. Es darf davon ausgegangen werden, dass die Geltendmachung der Betroffenenrechte (Art. 15 – 22 DSGVO) durch europäische Nutzer erschwert wird.

Datenverarbeitung in Russland

Ein weiterer Kritikpunkt an der App besteht darin, dass sie eine Datenverarbeitung außerhalb der EU und des Anwendungsbereichs der DSGVO hervorrufen soll. FaceApp ist ein russisches Angebot – dahinter steht Wireless Lab mit Sitz in St. Petersburg (Russland).

Die Macher der App teilten allerdings mit, dass keine Nutzerdaten nach Russland übertragen und nur kurzfristig auf Servern zwischengespeichert werden würden. Ferner sollen der Sicherheitsexpertin Jane Manchun Wong nach, die FaceApp genau untersucht hat, die Fotos auf AWS-Servern (Amazon) gespeichert werden. Auch so würden die Bilder, selbst als verschlüsselter Datensatz in einer Datenbank, die Europäische Union verlassen.

Doch es ist nicht auszuschließen, dass Backups oder Kopien der Datensätze in Russland verarbeitet werden. Schließlich erklärt der Nutzer sein Einverständnis im Rahmen der Nutzungsbedingung, dass FaceApp die Informationen für eigene Zwecke wie z.B. zum Tracking und für eigene Werbung nutzen darf oder vielleicht sogar mit den Fotos neuronale Netzwerke und KI antrainieren kann.

Bereits in der Vergangenheit wurde ausgiebig über eine weitverbreitete App aus Russland mit integrierter Gesichtserkennungssoftware berichtet. Bei FindFace herrschte sogar noch das Gerücht, der russische Geheimdienst könne sich Zugriff auf die Datensätze mit Gesichtserkennung verschaffen. Auch das sind politisch angehauchte Spekulationen.

IT-Sicherheit

Zuletzt stellt sich die Frage, ob bei FaceApp auch ausreichende technisch-organisatorische Maßnahmen gem. Art 32 DSGVO vom Betreiber ergriffen worden sind, wie es bei einer Datenverarbeitung innerhalb von Europa nach der DSGVO zu verlangen wäre. Zu den wichtigsten Vorkehrungen zählt die Verschlüsselung von Daten bzw. Übertragungswegen, die Absicherung vor Datenverlust sowie der Zugriffsschutz. Auch müsste die Anwendung dem Stand der Technik entsprechend programmiert worden sein und mit regelmäßigen Updates versehen werden, um nicht Einfallstor von Angreifern (oder fremden Apps) zu sein. Die Zukunft wird zeigen, ob dem so ist.

Fazit

Die datenschutzrechtlichen Bedenken an FaceApp sind begründet und sollten dem Nutzer zu denken geben. Eine DSGVO-konforme Nutzung des Dienstes scheint derzeit in weiter Ferne. Erwähnt werden sollte des Weiteren, dass die App auch von Kindern genutzt werden kann, was bei InApp Käufen bzw. kostenpflichtigen Filtern zusätzliche Risiken birgt und auch bei der App TIkTok als Kritikpunkt oftmals herangezogen wird.