FaceApp: Kein angemessener Datenschutz und alle Freiheiten für Anbieterin in Russland

Foto: Frau, die sich eine Maske vor das Gesicht hält

Mit FaceApp kann man Gesichter kreativ verändern lassen. Mit der russischen App, die es seit Anfang 2017 gibt, kann man Gesichter beispielsweise älter oder jünger werden lassen oder das Geschlecht ändern.

Breite Aufmerksamkeit erhält FaceApp in diesem Sommer, nachdem Kritik am Umgang mit Nutzerdaten geäussert wurde.

Wie steht es wirklich um den Datenschutz bei FaceApp?

Wenn man die iOS-App zum ersten Mal startet, sind keine Spuren von Datenschutz zu erkennen. Es wird versucht, ein kostenpflichtiges Abonnement zu verkaufen, aber es werden keinerlei Angaben zum Datenschutz angezeigt und es müssen keine Einwilligungen erteilt werden.

In den Einstellungen der iOS-App sind auf Anhieb keine Angaben zum Datenschutz zu finden.

Für die iOS-App werden lediglich in der Beschreibung im App Store die Internet-Adressen (URLs) der «Privacy Policy» und der «Terms of use» (sic!) erwähnt. Die URLs sind nicht verlinkt.

Datenschutzerklärung: Veraltet und ohne Anzeichen für angemessenen Datenschutz

Die Datenschutzerklärung ist unter https://faceapp.com/privacy zu finden (Sicherheitskopie). Sie stammt vom 20. Januar 2017 und damit aus der Zeit vor Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO).

Wer für die Bearbeitung von Personendaten im Rahmen der App verantwortlich ist, lässt sich der Datenschutzerklärung nicht entnehmen. Die Datenschutzerklärung nennt keinen EU-Datenschutz-Vertreter, wie ihn Art. 27 DSGVO in vielen Fällen vorschreibt.

In der Datenschutzerklärung erklärt FaceApp, grundsätzlich keine Nutzerdaten zu vermieten oder zu verkaufen, nennt dann aber zahlreiche allgemein formulierte Ausnahmen.

Weiter fällt auf, dass die Datenschutzerklärung aus (veralteter) amerikanischer Sicht formuliert ist, was nicht zu einer russischen App passt. Dazu gehört das Mindestalter von 13 Jahren für die Nutzung der App, das aus den USA stammt (Children’s Online Privacy Protection Act, COPPA).

Schliesslich behauptet FaceApp, betroffene Personen würden durch die Nutzung der App in allfällige Änderungen der Datenschutzerklärung einwilligen. Auf diesem Weg kommt aber keine rechtsgültige Einwilligung zustande (und eigentlich dient eine Datenschutzerklärung sowieso der Information, wozu keine Einwilligung der betroffenen Personen erforderlich ist).

Gemäss der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist in Russland kein angemessener Datenschutz gewährleistet. In Bezug auf die USA müsste sich FaceApp insbesondere dem Privacy Shield unterwerfen, um einen angemessenen Datenschutz zu gewährleisten, was aber nicht der Fall ist.

Aufgrund der Datenschutzerklärung ist davon auszugehen, dass FaceApp aus europäischer Sicht keinen angemessenen Datenschutz gewährleistet und weder das Datenschutzgesetz (DSG) in der Schweiz noch die DSGVO, wie sie in Bezug auf Personen im Europäischen Wirtschaftsraum (EWR) anwendbar ist, einhält.

Nutzungsbedingungen: Unbeschränkte und un­wi­der­ruf­liche Lizenz für «User Content»

Die «Terms of Use», das heisst die Nutzungsbedingungen, sind unter https://faceapp.com/terms zu finden (Sicherheitskopie). Sie stammen vom 8. März 2017 oder 3. August 2017.

Einleitend behauptet FaceApp, mit der Nutzung der App oder mit dem Zugriff auf die FaceApp-Website, stimme man den Nutzungsbedingungen zu. Auf diesem Weg kommt aber keine rechtsgültige Einwilligung zustande.

Sitz in Russland und Briefkasten in den USA?

Immerhin erfährt man aus den Nutzungsbedingungen, wer FaceApp anbietet. Es handelt sich um die Wireless Lab OOO in St. Petersburg in Russland. OOO steht für Obshchestvo s ogranichennoy otvetstvennost’yu, eine Art Gesellschaft mit beschränkter Haftung (GmbH).

Im App Store hingegen wird eine FaceApp Inc. mit Sitz in Wilmington im amerikanischen Bundesstaat Delaware erwähnt. Gemäss der Adresse handelt es sich um ein «Virtual Office». Die Rolle dieser amerikanischen Gesellschaft ist unklar.

Auch bei den Nutzungsbedingungen fällt auf, dass sie aus amerikanischer Sicht formuliert sind. Es wird amerikanisches beziehungsweise kalifornisches Recht für anwendbar erklärt. Der Gerichtsstand soll im Santa Clara County in Kalifornien liegen.

Nutzung von «User Content» ohne Grenzen

In Bezug auf Inhalte, die Nutzer selbst erstellen («User Content»), erklärt FaceApp, man beanspruche kein Eigentum. Anschliessend sieht FaceApp aber die Erteilung einer faktisch unbeschränkten Lizenz vor, das heisst FaceApp möchte sämtlichen «User Content» unter anderem kostenlos, in jeder Hinsicht unbeschränkt – auch öffentlich – verwenden können:

«You grant FaceApp a perpetual, irrevocable, nonexclusive, royalty-free, worldwide, fully-paid, transferable sub-licensable license to use, reproduce, modify, adapt, publish, translate, create derivative works from, distribute, publicly perform and display your User Content and any name, username or likeness provided in connection with your User Content in all media formats and channels now known or later developed, without compensation to you. When you post or otherwise share User Content on or through our Services, you understand that your User Content and any associated information (such as your [username], location or profile photo) will be visible to the public.

You grant FaceApp consent to use the User Content, regardless of whether it includes an individual’s name, likeness, voice or persona, sufficient to indicate the individual’s identity. By using the Services, you agree that the User Content may be used for commercial purposes. You further acknowledge that FaceApp’s use of the User Content for commercial purposes will not result in any injury to you or to any person you authorized to act on its behalf. You acknowledge that some of the Services are supported by advertising revenue and may display advertisements and promotions, and you hereby agree that FaceApp may place such advertising and promotions on the Services or on, about, or in conjunction with your User Content. The manner, mode and extent of such advertising and promotions are subject to change without specific notice to you. You acknowledge that we may not always identify paid services, sponsored content, or commercial communications as such.»

Gemäss diesen Bestimmungen darf FaceApp beispielsweise Bilder von Gesichtern, die man hochlädt, faktisch unbeschränkt und für alle Zeit verwenden. Das gilt ausdrücklich für alle Personendaten. Der «User Content» darf für Werbung verwendet werden, wobei sich FaceApp nicht verpflichtet fühlt, solche Werbung in jedem Fall offenzulegen.

Weiter behält sich FaceApp vor, gelöschten «User Content» im eigenen Ermessen aufzubewahren:

«User Content removed from the Services may continue to be stored by FaceApp, including, without limitation, in order to comply with certain legal obligations.»

Jegliche Gewährleistung und Haftung lehnt FaceApp «to the fullest extent permitted by applicable law» ab. Wer gegen FaceApp vorgehen möchte, muss sich auf ein Schiedsverfahren in Kalifornien einlassen, sofern man nicht rechtzeitig Widerspruch gegen die entsprechende Schiedsklausel erhoben hat. Der Widerspruch muss per Briefpost an Wireless Lab OOO in St. Petersburg gerichtet werden.

Rechtlich eine Zumutung, aber «mostly harmless»?

FaceApp versucht gar nicht erst den Eindruck zu erwecken, man gewährleiste einen angemessenen Datenschutz oder verwende «User Content» nur, um die App anbieten zu können.

Es gibt keine Anzeichen dafür, dass FaceApp die Datenschutz-Grundverordnung (DSGVO) einhält und beim «User Content» möchte sich FaceApp beliebige Freiheiten auf Kosten der Nutzer nehmen. Die Einwilligungen allein durch die Nutzung der App sind nicht rechtswirksam. Wieso sich eine russische Anbieterin dem amerikanischen Recht unterwirft, ist unklar.

Gegenüber den Medien erklärte Yaroslav Goncharov, der als Gründer von FaceApp auftritt, unter anderem, man bearbeite Nutzerdaten in der Cloud bei Amazon sowie Google und es würden keine Nutzerdaten in Russland bearbeitet. Auch damit ist aber die russische Wireless Lab OOO in St. Petersburg für die Bearbeitung von Personendaten im Rahmen der App verantwortlich.

Ob man die App unter diesen Umständen nutzen möchte, muss jeder selbst wissen. Rechtlich gesehen ist FaceApp eine Zumutung, aber vermutlich für die meisten Nutzer dennoch «mostly harmless»

(Auch via @valerieWoW.)

Nachtrag vom 19. Juli 2019

Mike Kuketz hat sich den Datenverkehr der FaceApp näher angeschaut. Demnach ist Tracking von Facebook und Google – unter anderem für Crashlytics und Firebase – integriert.

Fazit:

«Einer netter Spaß für zwischendurch – sofern man damit einverstanden ist, dass die App-Nutzung von Facebook und Co. getrackt wird. Die Datenschutzerklärung schweigt sich über Drittanbieter aus. Daher kann sich auch niemand im Vorfeld darüber informieren, welche Daten, zu welchem Zweck, an welchen Drittanbieter übermittelt werden. In Anbetracht dieser groben Schnitzer würde ich FaceApp bzw. den Protagonisten dahinter meine Daten bzw. Bilder nicht anvertrauen. Man muss nicht auf jeden Hype-Zug aufspringen und anschließend fragwürdige Unternehmen mit Daten beliefern – egal wie ‹trendy› etwas gerade ist.»

Offenlegung: Die Verlinkung von EU-Datenschutz-Vertreter führt zu einem Angebot der Datenschutzpartner AG, an der Rechtsanwalt Martin Steiger unter anderem als Mitgründer beteiligt ist.

Bild: Pixabay / kiragrafie, Public Domain-ähnlich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.