Datenschutzerklärung - Grimace Score

Version: 2026-05-24

Diese Erklärung gilt für die mobilen Grimace Score Apps für iOS und Android, die Web-Fallback-Seiten und die Grimace Score API. Sie ist zur Veröffentlichung vorgesehen, nachdem die Angaben zum Verantwortlichen ergänzt und geprüft wurden.

Verantwortlicher und Kontakt

• Verantwortlicher: FaceLab SAS
• Datenschutzkontakt: contact@facelab.me
• Öffentliche URL der Erklärung: https://staging.facelab.me/grimaces/privacy

Falls für die finale Struktur ein Datenschutzbeauftragter, EU/UK-Vertreter, Datenschutzverantwortlicher in Quebec oder brasilianischer encarregado erforderlich ist, müssen diese Angaben über denselben Kontakt veröffentlicht oder hier ergänzt werden.

Mindestalter

Grimace Score richtet sich an Nutzer ab 13 Jahren und nicht an Kinder unter 13 Jahren. Wenn lokales Recht für Nutzer über 13, aber unter dem lokalen digitalen Einwilligungsalter, elterliche Zustimmung verlangt, darf die App nur mit dieser Zustimmung genutzt werden.

Kurzfassung

• Fotos und Kamerabilder bleiben auf dem Gerät.
• Das Backend erhält nur numerische Gesichtsbewegungswerte, Sprache und eine lokale Capture-ID.
• Die App erstellt keine Nutzerkonten.
• Verlauf, lokale Fotos und optionaler Nickname werden auf dem Gerät gespeichert und können in der App gelöscht werden.
• Das Backend speichert in Produktion keine Datenbank mit Nutzeranalysen.
• OpenAI erhält nur numerische Bewegungswerte, wenn KI-Kommentare aktiviert sind.
• Werbung und Abonnements sind optionale Build-Modi. Wenn aktiv, können AdMob, Apple, Google Play und RevenueCat Werbe- oder Kaufdaten verarbeiten; Grimace Score sendet diesen SDKs aber keine Fotos, Nicknames, Scores oder vollständigen Bewegungsdaten als benutzerdefinierte Metadaten.
• Grimace Score verkauft keine personenbezogenen Daten und nutzt keine Datenbroker.

Verarbeitete Daten

Auf dem Gerät

• Kamerabilder zur Gesichtserkennung und Berechnung von Bewegungswerten.
• Aufgenommenes Selfie zur Erstellung der Teilen-Karte und des lokalen Verlaufs.
• Ergebnisverlauf mit Score, Kommentar, Zeitstempel und lokalem Bildpfad.
• Optionaler Nickname nur für die geteilte Karte.
• Lokale Einwilligungs-, Alters- und Datenschutzauswahlen.
• Abonnementstatus, wenn Grimace Plus aktiv ist.

An das Backend gesendet

• Sprache.
• Lokale Capture-ID.
• Normalisierte numerische Werte unterstützter Gesichtsbewegungen.
• Keine Fotos, Videos, Audiodaten, EXIF-Daten oder rohen Kamerabilder.

Vom Backend erzeugt

• Ergebnistyp: normal, kein Gesicht oder kein Ausdruck.
• Optionaler Score.
• Kurzer Kommentar.
• Minimale technische Logs wie Methode, Route, Status, Dauer, Sprache und KI/Fallback-Quelle.

Optionale Monetarisierungsdaten

Wenn Werbung oder Abonnements in Produktion aktiv sind:

• AdMob kann technische Anzeigenanfragedaten, Gerätekennungen, Einwilligungsstatus, ungefähren Standort und Anzeigeninteraktionen nach Google-Regeln verarbeiten.
• Apple App Store, Google Play und RevenueCat können Kaufbelege, Produktkennungen, Abonnementstatus und Store-Kontometadaten verarbeiten, die für Grimace Plus erforderlich sind.
• Der App-Code darf keine Fotos, Ergebnisbilder, Nicknames, vollständigen Bewegungsdaten oder Scores als benutzerdefinierte Metadaten an AdMob oder RevenueCat senden.
• Die Geschäftsbedingungen für Grimace Plus werden separat veröffentlicht: https://staging.facelab.me/grimaces/subscription.

Zwecke

Wir verarbeiten Daten, um Gesichtsbewegungen auf dem Gerät zu erkennen, Score und Kommentar zu erzeugen, lokalen Verlauf und Löschung bereitzustellen, freiwilliges Teilen zu ermöglichen, Grimace Plus bereitzustellen und Käufe wiederherzustellen, Werbung nur bei passendem Modus und Einwilligung zu zeigen sowie die API zu schützen, zu debuggen und zu betreiben.

Rechtsgrundlagen und Einwilligung

Die Rechtsgrundlage hängt von Region und finaler Veröffentlichungskonfiguration ab. Vor der Kameraanalyse sollte die App Alter bestätigen lassen, erklären, dass Fotos auf dem Gerät bleiben, informieren, dass nur numerische Bewegungswerte an das Backend gesendet werden, und Einwilligung für diese Unterhaltungsfunktion einholen. Ohne Einwilligung darf die Kameraanalyse nicht starten.

In EU, EWR, Vereinigtem Königreich und Schweiz sollten aus dem Gesicht abgeleitete Bewegungsdaten konservativ als kontextsensibel behandelt und auf ausdrückliche Einwilligung oder eine anwaltlich bestätigte Rechtsgrundlage gestützt werden. Nicht notwendige Werbespeicherung und personalisierte Werbung erfordern, wo anwendbar, eine Google-zertifizierte CMP oder UMP. Unter iOS muss App Tracking Transparency vor Tracking nach Apples Definition abgefragt werden.

In den USA verkauft Grimace Score keine personenbezogenen Daten und teilt sie nicht für kontextübergreifende verhaltensbasierte Werbung, sofern eine künftige Version dies nicht mit erforderlichen Hinweisen, Opt-outs und Kontrollen implementiert. Gesichtsbewegungswerte sollten vorsorglich als biometrieähnliche oder sensible Daten behandelt werden, insbesondere in Illinois, Texas, Washington und vergleichbaren Rechtsordnungen.

In Kanada und Quebec muss Einwilligung aussagekräftig und bei sensibler oder biometrieähnlicher Verarbeitung ausdrücklich sein, soweit erforderlich. In Brasilien verlangt die LGPD Transparenz, geeignete Rechtsgrundlage und Betroffenenrechte.

Hinweis zu Gesichts- und biometrieähnlichen Daten

Grimace Score identifiziert keine Personen, verifiziert keine Identität, authentifiziert keine Nutzer, vergleicht keine Gesichter und erstellt keine Gesichtsvorlagen zur Erkennung. Die App berechnet numerische Bewegungswerte aus einem für die Kamera sichtbaren Gesicht. Einige Gesetze können dies als biometrische, Gesichtsgeometrie- oder sensible Daten behandeln.

Die vorsichtige Veröffentlichungsposition lautet: vorherige In-App-Einwilligung einholen, nur normalisierte Zahlen senden, keine Bilder oder Videos senden, keine Bewegungsdatenkarten in Produktionsdatenbanken speichern, abgeleitete Gesichtsdaten nicht für fremde Zwecke verkaufen oder offenlegen, lokale Löschung ermöglichen und den Entwicklungsmonitor in Produktion deaktiviert halten.

Aufbewahrung

• Kamerabilder: flüchtig auf dem Gerät.
• Aufgenommene Fotos: nur auf dem Gerät bis zur Löschung durch den Nutzer.
• Verlauf und Nickname: auf dem Gerät bis zur Löschung.
• API-Request-Body: zur Antwort genutzt und in Produktion nicht gespeichert.
• Produktionslogs: technische, minimierte Logs nach Hosting-Einstellungen.
• Lokaler Entwicklungsmonitor: in Produktion deaktiviert; falls aktiv, Aufbewahrung nach MONITOR_RETENTION.
• OpenAI: gemäß OpenAI-Datenkontrollen; Requests nutzen store: false.
• AdMob, Apple, Google Play und RevenueCat: nach eigenen Pflichten, Kontoeinstellungen und Richtlinien.

Empfänger und Übermittlungen

Daten können durch Backend-Hosting, OpenAI bei aktiver KI, Google AdMob bei aktiver Werbung, Apple App Store, Google Play und RevenueCat bei aktivem Grimace Plus sowie Infrastrukturprovider verarbeitet werden. Wir stellen Werbe- oder Abo-SDKs keine Fotos, Videos, Nicknames, lokalen Ergebnisbilder oder vollständigen Bewegungsdaten als benutzerdefinierte Metadaten bereit.

Diese Anbieter können Daten außerhalb des Landes oder der Region des Nutzers verarbeiten. Soweit erforderlich, sollte der Verantwortliche vor dem Start geeignete Mechanismen wie Standardvertragsklauseln, Auftragsverarbeitungsverträge, Datenresidenzeinstellungen oder andere rechtmäßige Garantien verwenden.

Rechte der Nutzer

Je nach Ort können Nutzer Rechte auf Auskunft, Information, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf der Einwilligung, Datenübertragbarkeit, Opt-out von Verkauf/Weitergabe oder zielgerichteter Werbung, Einschränkung sensibler Daten und Beschwerde bei einer Aufsichtsbehörde haben. Die meisten sichtbaren Daten liegen nur auf dem Gerät und können in der App gelöscht werden. Für Anfragen, die lokal nicht lösbar sind: contact@facelab.me.

Werbeoptionen

Wenn Werbung aktiv ist, müssen Nutzer im EWR, Vereinigten Königreich und der Schweiz vor personalisierter Werbung oder zustimmungspflichtiger Verarbeitung den passenden Einwilligungshinweis erhalten. Soweit erforderlich, muss es einen Zugang zu Datenschutzoptionen geben. iOS-Nutzer müssen ATT vor Tracking erhalten. Nutzer unter dem anwendbaren Einwilligungsalter dürfen keine verhaltensbasierte Werbung erhalten.

Sicherheit

Datenminimierung ist die wichtigste Schutzmaßnahme: Fotos bleiben auf dem Gerät, Payloads sind klein und streng validiert, unbekannte Bild/Base64-Felder werden abgelehnt, Logs sollen keine Request-Bodies enthalten und API-Antworten nutzen No-Store-Header. Keine App kann perfekte Sicherheit garantieren; Nutzer sollten Gerät und Betriebssystem aktuell halten.

Store-Datenschutzhinweise

Vor Veröffentlichung müssen App Store Privacy Nutrition Labels und Google Play Data Safety zu dieser Erklärung und dem Produktionsbuild passen: Kamera/Fotos lokal verarbeitet, numerische aus dem Gesicht abgeleitete Werte für App-Funktionalität gesendet, Kaufdaten bei Abonnements, Werbedaten bei AdMob, kein Verkauf personenbezogener Daten, kein Foto-Upload und keine Konten in v1.

Änderungen

Wir können diese Erklärung aktualisieren, wenn sich App, Regionen, Anbieter oder Einwilligungssysteme ändern. Das Versionsdatum zeigt den neuesten Entwurfsstand. Wesentliche Änderungen sollten vor oder zur Veröffentlichung in App, Website und Store-Hinweisen erscheinen.