HERE GOES INVISIBLE HEADER

Biometrie: Wie TikTok unsere Kinder vermisst und hochsensible Daten speichert

Biometrie: Wie TikTok unsere Kinder vermisst und hochsensible Daten speichert

Smartphone-Display auf dem ein TikTok-Logo zu sehen ist.
TikTok Warum stört sich keiner daran, dass TikTok – die unter Kindern und Jugendlichen meistgenutzte App 2020 – biometrische Daten sammelt?

TikTok hätte auch in seiner Datenschutzerklärung schreiben können, dass es Kinderfotos an Bildagenturen weiterverkauft. Der Aufschrei unter Eltern und Heranwachsenden wäre genauso leise ausgefallen. Warum stört sich keiner daran, dass TikTok – die unter Kindern und Jugendlichen meistgenutzte App 2020 – biometrische Daten sammelt?

Anfang Juni 2021 verkündete TikTok in seiner aktualisierten USA-Datenschutzerklärung, biometrische Merkmale wie "Gesichts- und Stimmenausdrücke" aus Nutzerinhalten erfassen zu wollen. Hintergrund der aktualisierten Datenschutzerklärung ist eine Sammelklage im US-Staat Illinois, welcher mit einem Vergleich in Höhe von 92 Millionen US-Dollar endete. Gegen Bytedance, die Mutterfirma von TikTok, wurde geklagt, weil sie rechtswidrig schützenswerte personenbezogene Daten – vor allem von Kindern – verarbeitet hat, um damit Werbeeinblendungen zu optimieren.

Bei den Daten handelt es sich u.a. um „die Identität, […] biometrische Informationen aus Audio-, Bild- und Videodaten, Inhalte der Zwischenablage, Telefonnummern, E-Mail-Adressen und Konten in den sozialen Medien sowie weitere vertrauliche, nicht-öffentliche Daten“, so heise.de. Einzelne Klagen richteten sich auch gegen TikToks Vorgänger-App „Musical.ly“. Die deutsche Version der TikTok-Datenschutzerklärung beinhaltet keine Passage über „biometrische Daten“ – wohl, weil EU-Gesetze dies verbieten. TikTok schreibt in seiner deutschen Datenschutzerklärung von Juli 2020:

„Wir verarbeiten die von Ihnen erstellten und auf der Plattform angezeigten Inhalte, einschließlich der von Ihnen festgelegten Präferenzen (z. B. Sprachwahl), der von Ihnen hochgeladenen Fotos und Videos, der von Ihnen gemachten Kommentare und Live-Streams ('Nutzerinhalte').“

Eine Verarbeitung biometrischer Daten kann also nicht hundertprozentig ausgeschlossen werden – vor allem, weil „Inhalte“ und „verarbeiten“ sehr unspezifische Sammelbegriffe sind, die theoretisch auch das Verarbeiten von Gesichtern und Stimmen beinhalten könnten.

Was sind denn biometrische Daten?

Jeder Mensch verfügt über einzigartige Körpermerkmale: Fingerabdrücke, Irismuster, Gesichtsproportionen, Stimme. Wenn solche Merkmale gemessen, analysiert und gespeichert werden, spricht man von der Erfassung „biometrischer Daten“. Die Datenschutzgrundverordnung (DSGVO) stuft biometrische Daten als eine besonders schützenswerte Kategorie personenbezogener Daten ein, weil sie Menschen eindeutig identifizierbar machen. Laut Artikel 9 im Absatz 1 der DSGVO ist es mit wenigen Ausnahmen verboten, biometrische Daten zu verarbeiten.

Sind biometrische Daten fälschungssicher?

Biometrische Daten sind nicht unfehlbar und können künstlich verändert werden. Mithilfe von Make-up, Perücken, Kontaktlinsen oder Masken können die biometrischen Daten stark beeinflusst oder verändert werden. Zwar gelten biometrische Daten deutlich sicherer als Passwörter, wenn es darum geht, sich bei Diensten zu verifizieren. Trotzdem gelang es Hackern bereits, Fingerabdruckscanner, welche solche Daten nutzen, zu überlisten. Die Verifizierung biometrischer Daten wird aber ständig weiterentwickelt, sodass man davon ausgehen kann, dass sie zukünftig noch zuverlässiger funktionieren wird.

Was ist so brisant an den biometrischen Daten?

Biometrische Daten sind öffentlich zugängliche und schwer schützenswerte Daten – Aufzeichnungen und Fotos unserer Gesichtsprofile können jederzeit und ohne unser Wissen angefertigt werden. Auch Fingerabdrücke können heimlich erstellt und „entwendet“ werden. Andererseits soll mit genau diesen Daten der Zugriff auf hochsensible Bankkonten, soziale Netzwerke oder Smartphones hergestellt werden.

Damit biometrische Systeme lernen, Gesichter oder Stimmen zu erkennen, werden sie mit einer Vielzahl von Testbildern oder Stimmen trainiert. Leider sind bei den Testbildern bestimmte Hautfarben oder Geschlechter deutlich überrepräsentiert. Man kann davon ausgehen, dass ein Großteil der Testbilder, welche im Umlauf sind, von Menschen mit weißer Hautfarbe stammt. Biometrische Systeme tun sich daher schwerer dabei, Menschen mit einer dunklen Hautfarbe oder Transgender-Personen eindeutig zuzuordnen und zu erkennen.

Wenn Unternehmen oder staatliche Akteure sensible personenbezogene und biometrischer Daten verwenden, stellt dies einen besonderen Eingriff in unser Recht auf Datenschutz dar, welches die informationelle Selbstbestimmung jedes Einzelnen gewährleisten soll. Informationelle Selbstbestimmung bedeutet, dass jeder über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst bestimmen kann. Bei der Nutzung von TikTok und anderen sozialen Netzwerken verzichtet man auf diese informationelle Selbstbestimmung und erlaubt einer Firma die Nutzung seiner personenbezogenen Daten. Was diese Firma mit den personenbezogenen Daten macht, bleibt größtenteils intransparent und ein Widerspruch dagegen scheint unmöglich.

Wer sammelt biometrische Daten?

Nicht nur TikTok sammelt biometrische Daten. Eine weitere Klage wegen unrechtmäßiger Erhebung biometrischer Daten wurde 2020 gegen Facebook bzw. gegen deren Instagram-App erhoben. Die Nutzerinnen und Nutzer der iOS 14-Beta-Version bekamen eine Benachrichtigung, dass beim Öffnen von Instagram automatisch die Kamera aktiviert wurde – ohne dass sie absichtlich eine Aufnahme gestartet hatten. Instagram behauptete später, dass es sich um einen Bug – also einen Programmierfehler – handelte.

Auch bei Smart-TVs sollten Verbraucherinnen und Verbraucher skeptisch sein: Laut einer Untersuchung des Bundeskartellamtes sind Smart-TVs in der Lage, „das generelle Fernsehverhalten einer Person, ihre App-Nutzung, ihr Surf- und Klickverhalten oder auch biometrische Daten wie Stimme“ zu erfassen und auszuwerten.

Ein weiteres Beispiel ist „Windows Hello“. Hiermit können sich Microsoft-Kundinnen und -Kunden mithilfe ihrer Iris, ihres Gesichtes oder ihres Fingerabdruckes bei ihren Geräten anmelden. Dieses Anmeldeverfahren kann aber deaktiviert werden.

Wie nutzen Regierungen biometrische Daten?

In der biometrischen Datenbank Aadhaar sammelt die indische Regierung bereits seit 2009 „Informationen über jede Person, die sich registrieren lässt, einschließlich Name, Geburtsdatum, Adresse und Telefonnummer sowie – und dies halten Kritiker für besonders beunruhigend – Iris-Scans, Fingerabdrücke und Fotos“. Aadhaar ist die weltweit größte Datenbank dieser Art und enthält über eine Milliarde Datensätze. Um Betrug beim Zugang zu staatlichen Sozialleistungen zu verhindern, werden Inderinnen und Inder mithilfe von Aadhaar erfasst und verifiziert – u.a. beim Abgeben der Steuererklärung, dem Kauf von Zugtickets oder bei den Meldebehörden.  

In China werden bereits seit 2019 biometrische Daten von den dortigen Behörden gesammelt. Laut Deutschlandfunk werden in China bei „Abschluss eines Telefon- oder Internetvertrags […] die biometrischen Merkmale des Gesichtes von allen Kundinnen und Kunden erfasst und gespeichert.“

Der Verarbeitung biometrischer Daten – in Form des Fingerabdruckes – ist in Deutschland seit 2020 im Bereich des Meldewesens Pflicht. Das Gesetz „zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ verpflichtet alle EU-Staaten dazu, zwei Fingerabdrücke in einem maschinenlesbaren Format auf einem Chip in Ausweisen oder Reisepässen zu speichern. Datenschützer sehen darin einen Verstoß gegen die Grundrechte auf Datenschutz.

Was machen soziale Netzwerke mit unseren biometrischen Daten?

Im Fall von TikTok, Instagram oder den Smart-TVs helfen biometrische Daten den Anbietern dabei, ihre Werbeanzeigen, Werbevideos etc. noch zielgerichteter auszuspielen. Durch die biometrischen Daten wäre eindeutig bestimmbar, wer gerade das Gerät benutzt – und ob die Person männlich oder weiblich ist oder ein bestimmtes Alter hat.              

In der eingangs erwähnten Klage gegen TikTok wurde auch thematisiert, dass TikTok die biometrischen Daten anderen Unternehmen zugänglich gemacht haben könnte. Theoretisch könnten die biometrischen Daten verkauft oder an staatliche Akteure weitergegeben werden.

Wie kann man sich dagegen schützen?

Auch wenn dadurch die Teilnahme am sozialen Leben eingeschränkt wird – der einzige Schutz vor der Preisgabe biometrischer Daten bedeutet, auf die genannten sozialen Netzwerke und Dienste zu verzichten. Alternativ kann versucht werden, die Dienste nur partiell zu nutzen – ohne jedoch eigene Bilder und Videos hochzuladen, was aufgrund deren Funktionsweise nur ansatzweise gelingen wird.

Wichtiger als bestimmte Dienste zu meiden, ist, sich über die Funktionsweise und die Einsatzfelder von Biometrie genauer zu informieren. Nur wer versteht, wo biometrische Daten verarbeitet werden, kann sich dagegen wehren. Dies kann auch als Antwort auf die eingangs gestellte Frage verstanden werden, warum sich niemand über die Nutzung biometrischer Daten empört. Nur aufgeklärte Nutzerinnen und Nutzer können selbstbestimmt mit ihren Daten umgehen.

Die Nutzung personenbezogener Daten wird von den Anbietern meist sehr intransparent kommuniziert, was dazu führt, dass die große Mehrheit der Nutzerinnen und Nutzer keine Kenntnis darüber hat. Der Teil derjenigen, der sich über die Nutzung seiner Daten im Klaren ist, geht von keinem Nachteil aus, wenn Dritte und Firmen über personenbezogene Daten verfügen. Die Geschichte der Gegenwart zeigt aber, dass in der Ansammlung persönlicher Daten viel Missbrauchspotenzial steckt – einschließlich medialer Manipulation, staatlicher Kontrolle und Repression.

 

Stand: August 2021

Weiterführende Informationen

Über den Autor

Christian Reinhold ist seit über 10 Jahren Redakteur der Initiative Kindermedienland. Privat fotografiert er leidenschaftlich gern und spielt Gitarre.