Android: Selfie-App verkauft biometrische Daten der Nutzer

Mit Selfie-Apps lassen sich die Größe von Mund, Nase oder Augen verändern und Make-up auftragen. Doch die Apps erheben teilweise nicht nur biometrische Daten, sondern verkaufen sie auch an Dritte, wie das Verbraucherschutzportal Mobilsicher.de herausgefunden hat.

Das Portal hat die sechs beliebtesten Selfie-Bearbeitungs-Apps aus Googles Play Store auf Datenschutzprobleme hin überprüft. Zusammen wurden die Apps bisher über 500 Millionen Mal heruntergeladen.

Insbesondere die Datenschutzerklärung der App Perfect365 hat es demnach in sich. Laut Mobilsicher.de gibt der Anbieter dort an, dass in den vergangenen zwölf Monaten umfangreiche Datensätze über die Nutzer an Dritte verkauft wurden. Enthalten waren demnach die vollen Namen, biometrische Daten, Standortdaten sowie alle weiteren Angaben, die in der App gemacht wurden.

Unter Android 10, 11 und 12 erscheine anfangs ein umfangreiches Einwilligungsmenü, das Verarbeitungszwecke aufliste und eine teilweise Widerspruchsmöglichkeit bezüglich der Datenweitergabe enthalte, erklärt Mobilsicher.de. Konkrete Datentypen würden jenseits von Cookies und Gerätekennungen jedoch nicht genannt - also auch nicht die biometrischen Daten. Unter Android 9 und früher erscheine dieses Menü jedoch nicht.

"Biometrische Daten von EU-Bürger:innen dürfen nur unter besonderen Umständen verarbeitet und weitergegeben werden. Diese Daten sind besonders sensibel", betont die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen. "Bei Apps zur Bearbeitung nicht veröffentlichter Fotos setzt dies in der Regel voraus, dass die betroffenen Personen ausdrücklich eine informierte Einwilligung in die geplante Verarbeitung gegeben haben." Mobilsicher erklärt, dass keine ausdrückliche, informierte Einwilligung bei der App Perfect365 erkennbar sei.

Auch andere Apps geben persönliche Daten weiter

Nicht viel besser sieht es bei der App Youcam Makeup aus. Dort weist die Datenschutzerklärung darauf hin, dass alle über die App erhobenen Daten - beispielsweise Informationen über den Hautzustand - für Werbezwecke genutzt und an Dritte weitergegeben werden dürfen. Allerdings schließt die Erklärung die Weitergabe von Namen, E-Mail-Adressen, Fotos und Videos an Werbepartner aus. Da zumindest die Werbe-ID an Meta (Facebook/Instagram) übermittelt wird, kann diese mit den dort vorliegenden Daten verknüpft werden.

Etwas besser liest sich die Analyse der Datenschutzerklärungen der Apps Facetune2, Faceapp, Photo Lab Bildbearbeitung und Beautyplus. So schließt Facetune2 das Erheben von biometrischen Daten aus, nutzt aber die Daten aus der Analyse der hochgeladenen Fotos - beispielsweise das geschätzte Alter oder Geschlecht - zu Werbezwecken. Ähnlich sieht es bei Photo Lab Bildbearbeitung aus.

Alle Apps enthalten Tracker und geben Werbe-ID weiter

Faceapp gibt an, dass die Bilder Ende-zu-Ende-verschlüsselt und maximal 48 Stunden auf Servern externer Cloud-Dienstleister gespeichert würden. Sowohl Faceapp als auch Beautyplus geben an, die Fotos nicht an Dritte weiterzugeben oder zu Marketingzwecken zu nutzen.

Alle Apps enthalten zudem Tracker und übermitteln Daten an externe Tracking-Unternehmen wie Google, Facebook oder etliche andere Anbieter. An viele Dienste wird zudem die Werbe-ID übertragen, mit der die in verschiedenen Apps gesammelten Daten zusammengeführt werden können - woraus sich ein sehr detailliertes Bild über einen Nutzer oder eine Nutzerin ergeben kann. Beispielsweise können Namen und Adresse aus der einen App mit den biometrischen oder Gesundheitsdaten aus einer anderen App verknüpft werden.