Erwischt: Regel-App verrät Schwangerschaften, Fotodienst baut Gesichtserkennung
Die Menstruations-App Flo hat Facebook und Google Gesundheitsdaten verraten. Ever hat Kundenfotos für die Entwicklung einer Gesichtserkennung missbraucht.
(Bild: Neosiam32896395/Shutterstock.com)
Die US-Handelsbehörde FTC hat zwei Unternehmen bei der unlauteren Verwendung von Verbraucherdaten erwischt. Sie kommen mit einem Vergleich ohne Strafe davon. Die US-App Flo, die Menstruations- und Eisprungtermine berechnet, hatte versprochen, alle eingegebenen Daten zu schützen. Insgeheim soll die Betreiberfirma Flo Health die Daten aber an Facebook, Google, AppsFlyer und Flurry weitergegeben haben – für Werbe- und Analysezwecke, sagt die FTC.
Die Firma Everalbum bot unter dem Namen Ever die Speicherung privater Fotos und Videos in der Cloud. Im Februar 2017 hat Ever Gesichtserkennung aktiviert. Zu dem Zeitpunkt führte Ever ein "Friends"-Feature ein, mit dem es Fotos automatisch anhand Gesichtserkennung zu Bildersammlungen zusammenstellt. Ab September des selben Jahres hat Everalbum von seinen Kunden gespeicherte Fotos dazu genutzt, eigene Gesichtserkennungsalgorithmen zu entwickeln.
Heimlich private Aufnahmen ausgenutzt
Die betroffenen Kunden wussten davon nichts. Im Gegenteil, von Juli 2018 bis April 2019 behauptete Ever sogar, es würde ohne explizite Zustimmung gar keine Gesichtserkennung über Kundenbilder laufen lasse. Tatsächlich aber soll Gesichtserkennung automatisch über alle Dateien gelaufen sein. Ab Mai 2018 hatten Kunden in der EU sowie in drei US-Staaten die Möglichkeit, die Gesichtserkennung abzuschalten.
Die anhand der Kundendaten trainierten Algorithmen haben die Grundlage für Everalbums Gesichtserkennungsdienst "Paravision" gebildet. E wird heute als "Nummer 1 in den USA; Großbritannien und Europa" (sic) vermarktet, insbesondere an große Unternehmen. Everalbum gibt zu, die Daten ohne Zustimmung genutzt zu haben, will aber weder Bilder noch Kundennamen an seine Paravision-Kunden verraten haben. Seinen Cloudspeicherdienst Ever hat Everalbum letzten Sommer eingestellt.
Zu allem Überdruss soll Ever behauptet haben, alle Fotos und Videos zu löschen, wenn Kunden ihre Konten löschen. Die FTC wirft der Firma vor, zumindest bis Oktober 2019 alle Fotos und Videos ehemaliger Kunden behalten zu haben.
Flo hat Schwangerschaften verraten
Flo hat laut FTC sensible personenbezogene Informationen weitergegeben, darunter die Tatsache von Schwangerschaften. Gleichzeitig soll Flo darauf verzichtet haben, den Empfängern dieser Daten Auflagen über deren weitere Verwendung zu machen. Weil auch Nutzerinnern in der EU und der Schweiz betroffen seien, habe Flo damit auch gegen den inzwischen aufgehobenen Privacy Shield sowie den Swiss-US-Privacy-Shield verstoßen.
Für Werbetreibende ist das Wissen über eine Schwangerschaft wertvoll. Sie können Schwangeren und deren Partnern eine Vielzahl von Produkten und Diensten mit saftigen Margen anbieten. Vor allem aber sind Schwangerschaften und die folgende Babyphase eine der wenigen Gelegenheiten, zu denen Verbraucher besonders empfänglich für den Wechsel zu margenstarken Markenprodukten sind.
Vergleich mit der FTC
Beide Unternehmen haben einen Vergleich mit der FTC ausgehandelt. Flo soll sich dazu verpflichten, seine Kundinnen in Sachen Datenschutz nicht anzulügen und bereits Betroffene über die Datenschutzverletzung zu informieren. Außerdem soll Flo seine Geschäftspartner anweisen, alle Gesundheitsdaten der Flo-Nutzerinnen zu löschen.
Everalbum soll die aus den Kundendaten gesaugten Gesichtsdaten und auch alle damit trainierten Algorithmen löschen. Parallel soll Everalbum die von ehemaligen Kunden hochgeladenen Dateien nun aber wirklich tilgen. Das Unternehmen verpflichtet sich des Weiteren dazu, Kunden über die Verwendung ihrer Daten nicht anzulügen. Und sollte Everalbum je wieder im Verbrauchermarkt tätig werden, muss es ausdrückliche Zustimmung einholen, bevor es biometrische Daten sammelt.
Sollten die Vergleiche rechtskräftig werden, drohen bei Verstößen Geldstrafen von bis zu 43.280 US-Dollar je Verstoß (etwa 35,500 Euro). Bei Erstverstößen kann die FTC nach US-Recht keine Strafen verhängen. Zunächst wird die FTC noch jedermann 30 Tage Zeit gewähren, zu den Vergleichsentwürfen Stellung zu nehmen.
- Vergleichsentwurf mit Flo Health, Inc. , Az. 1923133
- Vergleichsentwurf mit Everalbum, Inc. , Az. 1923172
(ds)