Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Veröffentlichungen:

• Ausführlicher Report Datenschutz in Online-Spielen
• Leitfaden Datenschutz in Online-Spielen
• Pressemitteilung: Veröffentlichung der Studie "DOS – Datenschutz in Online-Spielen"

Aktuelle Situation

Online-Spiele erfreuen sich wachsender Beliebtheit. Betreiber aus aller Welt bieten die Spiele auf ihren unterschiedlichen Plattformen an. Waren es zunächst vor allem die PCs mit ihren Online-Rollenspielen und Browsergames, die den Trend gesetzt haben, so ist heute in den aktuellen Spielkonsolen die Online-Funktionalität eines der größten Verkaufsargumente. Doch auch Handys, wie das iPhone, oder zahlreiche andere Handheld-Geräte erlauben inzwischen das Spielen allein oder gemeinsam mit anderen Spielern von allen Orten, an denen ein (Mobil­funk-)Netz vorhanden ist. Online-Spiele erlauben die Verwaltung von Spieler-Freunden, die Kommunikation mittels Text, Sprache und Bild sowie die Integration von Sozialen Netzwerken wie Facebook und Twitter. Im Gegenzug wächst rasant die Zahl der Spiele, die direkt in Sozialen Netzwerken wie Facebook oder StudiVZ gespielt werden.

Das Problem

Online-Spiele benötigen Informationen über die Menschen, die sie nutzen. Dies sind Angaben für die Vertragsgestaltung und die Bezahlung, aber auch Daten über das Nutzungsverhalten des einzelnen Spielers. Die Erfassung einiger dieser Informationen ist für den Spieler erkennbar, etwa wenn er ein Formular ausfüllen muss. Andere Daten jedoch werden ohne sein Zutun oder sein bewusstes Einverständnis erhoben und verwendet. Mit dem Ziel, Raubkopierer und Schummler zu bekämpfen, werden etwa bei einigen Spielen im Hintergrund Informationen über den Computer und über die darauf vorhandenen Dateien und Programme erfasst – Daten, die auch viel über den Nutzer des Rechners aussagen können.

Auch Informationen darüber, welche Spiele wann und wie gut gespielt werden, werden verarbeitet und teilweise sogar frei abrufbar ins Web gestellt. Nicht nur Werbetreibende können hieran Interesse haben, sondern auch etwa (potentielle) Arbeitgeber und Kollegen. Eine Gefahr besteht insbesondere dann, wenn die öffentlichen oder auch geheimen bzw. internen Informationen mit weiteren Daten in Verbindung gebracht werden. Ist jemand etwa in der Lage, über Soziale Netzwerke, Suchmaschinen oder auch persönliche Kontakte ein umfassendes Profil über den Spieler zu erstellen, dann ergeben sich hieraus Vermutungen und Rückschlüsse über einen Menschen, die zu spürbaren Auswirkungen auf das Leben des Einzelnen führen können.

Die Studie

Diese Studie identifiziert die Datenschutzprobleme bei Online-Spielen und zeigt Lösungen auf. Hierzu haben wir aktuelle Spiele für zahlreiche Spieleplattformen auf ihre Datenverarbeitung hin analysiert. Dies betraf die gängigen Konsolen mit den Diensten bzw. Spielsystemen Xbox Live, PlayStation Network und Wii Connect, tragbare (Spiel-)Geräte wie das iPhone, Nintendo DS und PSP, Computerprogramme wie World of Warcraft oder Herr der Ringe Online, Computerspielsysteme wie Valve Steam und auch plattformübergreifende Spiele wie Browsergames und Spiele in Sozialen Netzwerken wie FarmVille.

Besonderes Augenmerk wurde dabei auf die Transparenz der Datenverarbeitung und die Datenschutzerklärungen gelegt. Auch Meinungen und Diskussionen in Fachzeitschriften und Foren wurden untersucht. Von uns veranstaltete Workshops mit Herstellern und Betreibern von Online-Spielen lieferten weitere Informationen. Besonders wertvoll war eine Umfrage mit mehr als 1.000 Teilnehmern, die wir unter Spielern durchgeführt haben. Insbesondere einige offen gehaltene Fragen, die die Spieler einluden, eigene Gedanken zu dem Thema mitzuteilen, brachten wesentliche Ergebnisse und halfen dabei, Problembereiche zu identifizieren.

Die Ergebnisse wurden auf ihre Relevanz hinsichtlich des geltenden Datenschutzrechts betrachtet. Hierzu haben wir zunächst untersucht, welches (internationale) Recht in welchen Konstellationen zur Anwendung kommt. Im weiteren Verlauf der Studie haben wir dann den Schwerpunkt auf das europäische und das in Deutschland geltende Recht gelegt, das bei den meisten Spielen, die sich an den deutschen Markt richten, anwendbar ist.

Auf Basis dieser Ergebnisse haben wir 27 Einzelfunktionen von Online-Spielen identifiziert, die datenschutzrechtlich relevant sind. Für jede dieser Funktionen haben wir die einschlägigen Datenschutzgesetze identifiziert, deren Regelungsinhalt dargelegt und Hinweise für den praktischen Einsatz gegeben. Daraus entstand ein Datenschutz-Leitfaden für Online-Spiele. Dieser wurde dann mit Herstellern und Betreibern von Online-Spielen in einem Workshop diskutiert, um Rückmeldungen aus der Praxis zu erhalten.
Neben der rechtlichen Einordnung waren für die Studie aber auch die Interessen der Spieler wichtig. Diese wurden frühzeitig eingebunden mittels der o. g. Umfrage, einem Workshop, Vorträgen und Vorlesungen.

Ein eigenes Kapitel der Studie beschäftigt sich mit den sozioökonomischen Aspekten von Datenschutz in Online-Spielen. Abschließend haben wir untersucht, welche Geschäftsmöglichkeiten sich aus dem praktizierten Datenschutz ergeben. Unter der Prämisse, dass Datenschutz in Online-Spielen auch ein Geschäftsmodell sein kann, gehen wir auf mögliche Dienstleistungen und Zertifizierungen ein.

Ergebnisse

a) Rechtsgrundlagen

Betreiber von Online-Spielen im außereuropäischen Ausland müssen sich in der Regel an deutsches Datenschutzrecht halten, wenn sie ihre Angebote direkt (auch) an deutsche Spieler richten. Innerhalb der EU kann im Rahmen des Herkunftslandsprinzip bzw. Territorialprinzip auch nur das Recht des Landes relevant sein, in dem die Daten verarbeitende Stelle (meist der Betreiber der Spiele) ihre Niederlassung hat. Da jedoch das Datenschutzrecht in der EU durch entsprechende Richtlinien in vielen Lebensbereichen vereinheitlicht ist, ergeben sich für die meisten Fälle nur geringe Abweichungen gegenüber dem deutschen Datenschutzrecht.

Bei Online-Spielen handelt es sich um Telemedien, auf die in Deutschland das Telemediengesetz (TMG) Anwendung findet. Dies bezieht sich auf Bestandsdaten und Nutzungsdaten zur Erbringung des Spiels. Darüber hinaus gehende Datenverarbeitung richtet sich in der Regel nach dem Bundesdatenschutzgesetz (BDSG), teilweise auch bei bestimmten Diensten nach dem Telekommunikationsgesetz (TKG).

Grundsätzlich gilt, dass für die Verarbeitung von personenbezogenen Daten entweder eine Rechtsgrundlage oder die Einwilligung des Spielers vorliegen muss. Ist beides nicht gegeben, so ist die Verarbeitung der Daten rechtswidrig. Typischerweise zulässig ist die Verarbeitung von Informationen für die Vertragsgestaltung oder Abrechnung. Auch die Nutzungsdaten dürfen verwendet werden, um das Spiel zu erbringen oder abzurechnen. Darüber hinausgehende Erhebung und Nutzung von personenbezogenen Daten bedarf jedoch in der Regel der Einwilligung des Spielers. Diese muss informiert und freiwillig erfolgen. Somit ist ein besonderes Augenmerk darauf zu legen, den Spieler über die gewünschte Datenverarbeitung umfassend und verständlich aufzuklären. Dabei ist zu beachten, dass Einwilligungen auch widerrufen werden können.

Betreiber von Online-Spielen müssen ihre Datenverarbeitung auf die erforderlichen Daten beschränken. Grundsätzlich sollten sie sich somit bei jedem erhobenen Datum darüber Gedanken machen, ob dieses für die Diensterbringung wirklich notwendig ist. Hinzu kommt, dass sie für jede Datenerhebung vorab auch einen Zweck festlegen müssen. Eine Abfrage von Daten mit dem Hintergedanken, dass man diese eventuell eines Tages mal für einen unbestimmten Zweck benutzen könnte, ist nicht zulässig. Der Spieler ist bei der Datenerhebung in der Regel über den gewählten Zweck zu informieren. Auch nach der Erhebung bleibt der Spiele-Betreiber in der Pflicht, regelmäßig zu überprüfen, ob inzwischen die Erforderlichkeit für die Speicherung der Daten entfallen ist bzw. der angestrebte Zweck erreicht wurde. In diesem Fall muss er die Daten löschen, sofern kein sonstiges rechtlich geregeltes Aufbewahrungsrecht vorliegt. Eine generelle Pflicht zur Vorratsdatenspeicherung für Daten von Spielern gibt es nicht.

Hinzu kommen Anforderungen, die den Betreiber dazu verpflichten, mittels technisch-organisatorischer Vorkehrungen den unzulässigen Zugriff auf die Daten zu verhindern.

Ausdrücklich im Gesetz (§ 13 Abs. 6 TMG) festgelegt ist, dass die Anbieter auch die anonyme bzw. pseudonyme Nutzung des Spiels ermöglichen müssen. Hierüber müssen sie den Spieler informieren, und es müssen Maßnahmen ergriffen werden, dass Pseudonyme nicht unzulässigerweise aufgedeckt werden.

Die Übermittlung an Dritte bedarf ebenfalls der Einwilligung des Spielers oder einer gesonderten Rechtsgrundlage. Dabei kann kein Konzernprivileg geltend gemacht werden, das größeren Spiele-Betreibern den freien Datenverkehr zwischen Tochterunternehmen und Konzernmutter erlauben würde. Auch dort gelten die allgemeinen Grundsätze des Datenschutzrechts und es bedarf einer gesetzlichen Rechtfertigung bzw. Einwilligung des Betroffenen für die Übermittlung. Innerhalb der EU gibt es jedoch mit dem Instrument der Auftragsdatenverarbeitung eine Möglichkeit, Datenverarbeitungsdienstleistungen auszulagern. Notwendig sind hierfür jedoch insbesondere entsprechend gestaltete Verträge und die sorgfältige Auswahl und Kontrolle des Auftragnehmers durch den Auftraggeber. Sollen darüber hinaus Daten etwa an Werbedienstleister übermittelt werden, ist hierfür die ausdrückliche Einwilligung des Spielers erforderlich.

Zu beachten ist, dass nach deutschem Recht auch die IP-Adresse des Rechners des Spielers ein personenbezogenes Datum ist und damit die Datenschutzgesetze hierauf anwendbar sind. Rechtlichen Problemen kann durch eine umgehende Anonymisierung der IP-Adresse nach Diensterbringung aus dem Weg gegangen werden.

Anonyme Statistiken unterfallen zwar nicht dem Datenschutzrecht. Sobald jedoch Profile unter Pseudonym erstellt werden, muss dem Spieler ein Widerspruchsrecht eingeräumt werden, worüber er aufzuklären ist.

Schließlich müssen die Betreiber von Online-Spielen die Rechte der Spieler auf Auskunft, Berichtigung, Löschung und Sperrung der über sie gespeicherten Daten umsetzen.

Die Kommunikation zwischen den Spielern unterliegt großteils dem Fernmeldegeheimnis und darf nicht überwacht werden. Ausnahmen können sich im Rahmen der Jugendschutzgesetze ergeben, sofern die Spieler über die entsprechenden Einschränkungen informiert wurden.

b) Untersuchung der Spiele

Die Untersuchung einer Auswahl der auf dem Markt befindlichen Spielsysteme und Spiele im Rahmen dieses Vorhabens hat zahlreiche Verstöße gegen die Datenschutzgesetze aufgezeigt. Kaum eine Datenschutzerklärung war so verfasst, dass sie dem Grundsatz der sowohl umfassenden als auch verständlichen Aufklärung entsprach. Einige Betreiber lassen sich dabei weitgehende Rechte an der Verwendung der personenbezogenen Daten einräumen, die nicht im Einklang mit dem Erforderlichkeitsprinzip und Zweckbindungsprinzip stehen. Insbesondere Betreiber außerhalb der EU behandeln die IP-Adresse nicht als besonders schützenswertes Datum. Einwilligungen wurden großteils nur pauschal eingeholt, ohne dass die genauen Auswirkungen für den Spieler immer erkennbar waren. Die Löschung von Daten war teilweise gar nicht oder erst auf wiederholte Nachfrage möglich. Bei der Einbindung in Soziale Netzwerke war nicht immer differenzierbar, welche Daten zu welchem Zweck dem Spiele-Betreiber zur Verfügung gestellt werden.

Einige Spiele übermittelten schon bei der Einrichtung des Spiels Daten an den Betreiber, ohne dass dieses für den Spieler ersichtlich war. Werden im Hintergrund Systeme zur Rechnerüberwachung installiert, so ist oftmals kaum erkennbar, was genau diese Programme überwachen und übermitteln.

Die Verpflichtung zur Einräumung einer pseudonymen bzw. anonymen Bezahlung und Nutzung wird nur von wenigen Betreibern umfassend umgesetzt. Selbst wenn anonyme Bezahlsysteme (Prepaid-Karten) angeboten werden, werden teilweise weitere den Spieler identifizierende Daten erhoben, ohne dass hierfür eine Erforderlichkeit, etwa aus Jugendschutzgründen, erkennbar ist.

Auch Kommunikationsinhalte werden von einigen Betreibern analysiert, teilweise aus Sicherheitsgründen, teilweise zu Werbezwecken.

c) Weitere Ergebnisse

Die Untersuchungen, Gespräche und Umfrage haben gezeigt, dass viele Spieler an dem Thema Datenschutz interessiert sind. Sie haben das Gefühl, keine wirkliche Kontrolle über ihre Daten ausüben zu können und fühlen sich schlecht informiert. Aber auch die Betreiber sind verunsichert und sind sich teilweise nicht bewusst, welche Datenschutzvorgaben sie einzuhalten haben.

Die datenschutzgerechte Gestaltung von Online-Spielen kann den beteiligten Unternehmen helfen, Vertrauen bei Spielern aufzubauen und diese langfristig an sich zu binden. Audits und Gütesiegel können die Hersteller und Betreiber dabei unterstützen. Wo nicht die technischen und fachlichen Möglichkeiten beim Betreiber für eine datenschutzgerechte Abwicklung des Spielgeschehens gegeben sind, können externe Dienstleister unterstützen.

Ausblick

Während der Erstellung der Studie haben sich zahlreiche neue Entwicklungen auf dem Markt der Online-Spiele ergeben, die neue Datenschutzprobleme mit sich bringen können. So nimmt die Integration von Spielen in Soziale Netzwerke sprunghaft zu. Im Bereich der sog. Casual Games werden auch Gesundheitsdaten wie das eigene Gewicht oder Jogging-Verhalten zu Spieldaten. Bei Online-Spielen auf Mobilgeräten kommen nunmehr auch Standortdaten hinzu, die besonderen rechtlichen Regelungen unterliegen.

Wir stehen in Deutschland immer noch am Anfang der Entwicklung von Online-Spielen zum Massenphänomen. Dies eröffnet aber auch die große Chance, Neuentwicklungen gleich datenschutzgerecht zu gestalten, um so die Fehler, wie bei vielen anderen Online-Dienstleistungen, zu vermeiden.