Egal ob WhatsApp, Facebook Messenger, Dating Apps oder die neue FaceApp, aus datenschutzrechtlicher Sicht sollten diese Apps kritisch betrachtet und hinterfragt werden.
Mittels der FaceApp können Nutzer Fotos von sich hochladen und simulieren wie sie in beispielsweise 30 Jahren aussehen oder als anderes Geschlecht aussehen würden.
Hierfür werden Daten erhoben und verarbeitet, u.a. die IP-Adresse des Nutzers, welches Smartphone verwendet wurde, mit welchem Betriebssystem das Gerät läuft, aber auch biometrische Daten werden erfasst und verarbeitet. Dass diese Daten für die Simulation bzw. Modifikation des Bildes erforderlich seien sollen und nur für diese und nicht für andere Zwecke verarbeitet werden, darf bezweifelt werden.
Aus datenschutzrechtlicher Sicht besteht gerade hinsichtlich der den Betroffenen zustehenden Informationsrechten allgemeiner Verbesserungsbedarf. So haben Überprüfungen kurze Zeit nach Inkrafttreten der DSGVO im Mai 2018 bei über 50 App- Anwendungen ergeben, dass Lücken gerade dort bestehen wo die Nutzer über den
Umgang mit den erhobenen Daten informiert werden sollen.
Meist sind gerade die Datenschutzerklärungen nicht konkret genug, d.h. appspezifisch, zählen nur Verbraucherrechte auf oder sind für datenschutzrechtliche Laien oft unverständlich.
Dies trifft auch auf die FaceApp zu, denn liest man deren – nicht in landesrechtlicher Sprache erhältlichen – Datenschutzerklärung, wird man darüber informiert, dass die eigenen Daten zunächst an einen Server geschickt werden. Wo dieser sich befindet erfährt man nicht. Nach Aussage des Gründers, Yaroslav Goncahrov, werden die Nutzer in verschiedenen Clouds gespeichert und, da es hierfür große Rechnerzentren bedarf, werden die größten Cloudanbieter wie Google und Amazon in den USA, Singapur und Irland benutzt.
Auch hinsichtlich der Löschung gibt die Datenschutzerklärung von FaceApp keine genauen Informationen, nur das „die meisten“ Bilder innerhalb von 48 Stunden nach dem Upload gelöscht würden.
Zudem stellt FaceApp einen Ansprechpartner für datenschutzrechtliche Fragen Betroffener nicht zu Verfügung.
Zudem willigt der Nutzer in den Allgemeinen Geschäftsbedingungen ein, dass das hochgeladene Foto auch zu anderen Zwecken, wie etwa kommerziellen Zwecken weiterverarbeiten darf. Dies gilt unabhängig davon, ob der Nutzer selbst das Foto auf seinem Smartphone löscht.
Dies entspricht zweifelsfrei keiner datenschutzkonformen Einwilligung entsprechend den strengen Vorgaben der DS-GVO. Denn hierbei sind nicht nur die Vorgaben des Art. 7 DS-GVO, sondern auch die des Art. 9 DS-GVO zu beachten, da hier biometrische Daten verarbeitet werden.
Die Forderung des Art. 9 DS-GVO nach einer ausdrücklichen Einwilligung in einen oder mehrere festgelegte Zwecke ist hier mit Sicherheit nicht erfüllt.
Wofür die App-Entwickler die hochgeladenen Bilddaten tatsächlich weiterverwenden bleibt daher nicht nur unklar, es fehlt auch die erforderliche Rechtsgrundlage.
Die Verwendung der FaceApp ist daher datenschutzrechtlich bedenklich.