Drohender Kontrollverlust: Datenschutz bei Pokémon Go (Update)
Der kalifornische Medienprofessor Dan Gillmor bezeichnete die Datenpraktiken als „horrend“: „Es ist nicht nur einfach ein Spiel, sondern ein bewusster und tiefgreifender Eingriff in deine Privatsphäre.“ Die Pokémon-Go-App erfasst, wo ein Nutzer sich befindet und wann er sich wohin bewegt hat. Dabei erfährt sie auch, welche Nutzer sich an welchen Orten gemeinsam wie lange aufgehalten haben.
Gespeichert werden alle Daten auf unbestimmte Zeit, obwohl für den aktuellen Spielstand immer nur einige erforderlich sind. Die Daten können zudem an Dritte weitergegeben werden.
Loggt der Nutzer sich nicht über den „Pokémon Trainer Club“ ein, sondern mit seinem bestehenden Google- oder Facebook-Account, kann der App-Hersteller Niantic auch die Identität der Nutzer erfahren. Beide Plattformen versuchen zumindest, eine pseudonyme Nutzung auszuschließen.
Wer später vom Login per Google-Account zum Login per Pokémon Club wechselt, verliert seinen Spielefortschritt. (Update:) Anfangs erhielt die App Zugriffsrechte auf alle Inhalte des Google-Accounts, somit auch auf andere Inhalte wie E-Mail oder Google Docs. Mittlerweile hat Niantic den umfangreichen Zugriff als unbeabsichtigten Fehler behandelt und reduzierte ihn auf das Nötigste. Wie weitreichend die Zugriffsrechte für den einzelnen Nutzer sind, dokumentiert Google auf einer Informationsseite.
Datenschutzbestimmungen wieder unverändert online
Als gestern kurz nach dem Start die Webseiten der deutschen wie auch der englischen Bestimmungen mit einer 404-Fehlermeldung offline waren, wurde spekuliert, ob Niantic sich wohl überstürzt für eine Überarbeitung entschieden hat. Doch davon kann wohl keine Rede sein, nachdem die Texte heute unverändert wieder online verfügbar sind. Im Grunde handelt es sich bei der deutschen Version der Datenschutzbestimmungen nur um eine Übersetzung der US-amerikanischen Bestimmungen.
Die europäischen Datenschutzgesetze werden darin drei Mal explizit genannt. Immerhin: In der „Privacy Policy“, die etwa für das Niantic-Spiel Ingress gilt, ist das nicht der Fall.
- Im ersten Fall behandelt Niantic die EU-Bürger anders als Nicht-EU-Bürger. So räumt der Spiele-Anbieter beim Newsletter- und Werbeversand ein Opt-in-Recht ein, für alle anderen gilt Opt-out.
- Im zweiten Fall nimmt Niantic nur formal Bezug auf die europäischen Datenschutzregeln, indem das Unternehmen versichert, dass Drittanbieter, die Protokolldaten analysieren, das „in Übereinstimmung mit maßgeblichen europäischen Datenschutzgesetzen“ tun. Niantic sagt darin aber nicht, was der genaue Zweck der Datenverarbeitung ist.
- Im dritten Fall verlangt der Anbieter eine Einwilligung der Eltern, falls ihre Kinder das Spiel nutzen wollen. Niantic verspricht dabei zu „verifizieren“, ob Eltern ihrem Kind die Erstellung eines Spielekontos erlaubt haben. Dabei nennt die Firma eine Altersgrenze von 13 Jahren, die es etwa im deutschen Recht für eine gesetzeskonforme Einwilligung gar nicht gibt. Die Einwilligung muss übrigens informiert erfolgen. Das bedeutet, dass der Anbieter über den Zweck der Datenerhebung, -speicherung und -verarbeitung möglichst genau informieren muss.
Verbraucherschützer sehen viele Mängel
Heiko Dünkel vom Verbraucherzentrale Bundesverband sieht gleich mehrere kritische Punkte in den Datenschutzbestimmungen: So richtet sich das Spiel auch an Kinder, die über einen besonders hohen Grundrechtsschutz verfügen. Er erklärt: „Ich habe ein Problem damit, dass Standortdaten so genau erfasst werden. Die Kinder kriegen ja offensichtlich auch die Nutzernamen und Standortdaten anderer Kinder angezeigt.“ Der Medienratgeber „Schau Hin“ empfiehlt Eltern deshalb, „gemeinsam mit dem Kind einen Namen auszuwählen, von dem nicht direkt auf die Person geschlossen werden kann“. Auch sei der Standort nach dem Spiel immer auszuschalten.
Dünkel hält es auch für unzureichend, dass die Verwendungszwecke der Nutzungsdaten nur beispielhaft aufgeführt werden. Das sei nicht vollständig und überdies ungenau: „Gerade wenn es um die informierte Einwilligung in die Datenverarbeitung geht, werden wir als Verbraucherschützer genau hinsehen. Sie entsprechen nämlich heute oftmals nicht den genauen Vorgaben des Datenschutzrechts.“ Dazu gehöre auch die Generalklausel, in der sich das Unternehmen das Recht einräumt, die Nutzerdaten jederzeit an nicht weiter bezeichnete Sicherheitsbehörden in den USA herauszugeben.
Den Hauptknackpunkt sieht Dünkel aber in einer weiteren Klausel. Nach dieser willigen Nutzer in eine Datenübermittlung an Dritte ein, die die Weitergabe personenbezogener Daten auch an „private Beteiligte“ nach Ermessen von Niantic erlaubt. Darüber hinaus dürften Niantic, deren Kunden und verbundene Unternehmen nach kundenfeindlichster Interpretation die sensiblen Nutzungsdaten zu nicht näher definierten „Prüfzwecken“ behalten. Niantic verpflichtet sich nicht dazu, die erfassten Nutzungsdaten nach einer hinreichend bestimmbaren Frist wieder zu löschen.
Nutzer können auch nicht wie bei ihrem Google-Account nachverfolgen, wer welche Daten speichert. Sie können zwar eine Löschung beantragen, Niantic weist jedoch darauf hin, dass „einige Informationen“ in archivierten Kopien oder aufgrund gesetzlicher Aufbewahrungspflichten doch nicht gelöscht werden könnten.
Datenschützer: Safe-Harbor-Problem nicht im Spiel
Nach Auffassung des Hessischen Datenschutzbeauftragten spielt die Problematik des vom Europäischen Gerichtshof gekippten Safe-Harbor-Übereinkommens zum Datentransfer bei Pokémon Go vorerst keine Rolle. Die Daten könnten auch direkt auf Grundlage eines Vertrags mit der in San Francisco ansässigen Firma Niantic übermittelt werden.
Die Behörde teilt dazu mit: „Da die Nutzer der App direkt und ausschließlich ein vertragliches Verhältnis mit der für die Erhebung und Verarbeitung der Nutzerdaten verantwortlichen Niantic, Inc. eingehen, ist diese aus dem Vertragsverhältnis heraus zur Erhebung und Verarbeitung von personenbezogenen Daten im gesetzlichen Rahmen berechtigt.“ Die Daten würden direkt durch Niantic erhoben und verarbeitet, womit kein Datentransfer von einer europäischen Stelle in die USA stattfände.
Wie Heise Online heute berichtet, beziehen sich die Datenschutzbestimmungen der Pokémon-Webseite des Lizenzgebers Nintendo aber noch auf Safe Harbor. Die Pokémon Company International ist Betreiberin des „Pokémon Trainer Clubs“, über den man sich anmelden kann, aber nicht muss. Inwieweit Niantic und die Pokémon Company International Nutzerdaten austauschen, ist nicht bekannt.
Update, 20.7.: Verbraucherschützer mahnen Niantic ab
Der Verbraucherzentrale Bundesverband hat heute bekannt gegeben, dass er den Pokémon-Go-Hersteller Niantic wegen insgesamt 15 Klauseln abgemahnt hat. Die Verbraucherschützer beziehen sich dabei auf die geschilderten weitreichenden Einwilligungen, wie Nutzerdaten verwendet werden dürfen, außerdem auf den versuchten Ausschluss von Haftungs- und Gewährleistungsansprüchen. Zudem werde anonymes Spielen bei Pokémon Go „praktisch unmöglich gemacht“, so der VZBV. Niantic hat demnach bis zum 9. August Zeit, um die beanstandeten Klauseln nicht mehr zu verwenden, andernfalls wolle der VZBV eine Klage prüfen.
Der Jurist Henry Krasemann, Referatsleiter beim Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, weist in einer Analyse für Heise Online auch auf eine rechtswidrige Klausel zum Verzicht auf eine Schiedsgerichtsbarkeit hin: Reicht der Nutzer demnach binnen 30 Tage keinen Widerspruch ein, verzichtet er auf sein Recht, vor Gericht zu ziehen.
4 Kommentare
1 Phil Thessler am 15. Juli, 2016 um 10:31
Stimmt das wirklich, dass Niantic Zugriffsrechte auf alle Inhalte des Google-Accounts erhält? Auf der verlinkten Google-Info-Seite steht davon nichts. Wäre auch ungewöhnlich bei einem Login per Google-Account – Rechteeinräumung erfolgt meines Wissen dabei immer explizit, und hier erfolgte bei der Anmeldung über Pokemon Go gar keine … die Passage würde ich nochmal überprüfen. Danke!
2 David Pachali am 15. Juli, 2016 um 11:58
Wir prüfen das gerade noch einmal und melden uns. Vielen Dank!
3 David Pachali am 15. Juli, 2016 um 13:03
@Phil Tessler: Es stimmte in frühen Versionen, in den aktuellen wird der Vollzugriff nicht mehr abgefragt. Wir haben den Artikel oben aktualisiert.
Hier einmal dokumentiert, was die aktuellen Versionen abfragen:
4 Phil Thessler am 15. Juli, 2016 um 14:41
@David Pachali: Danke für das Update. Bei Android (von mir genutzte Version: 6.0.1) werden bei Nutzung des Logins über Google noch nicht mal solche allgemeinen Infos angefordert – Pokemon Go taucht bei den Googles App- und Websites-Zugriffs-Infos erst gar nicht auf. Ist bei iOS aufgrund der geringeren Integration der Google-Dienste ins OS wahrscheinlich grundsätzlich anders geregelt.
Was sagen Sie dazu?