Die Datenschutzbestimmungen von Pokémon GO – einige Kritikpunkte
Pokémon Go ist seit Kurzem auch in der Schweiz erhältlich und entwickelt sich hier ebenfalls zu einem Hype. Als sogenanntes Augmented Reality Game birgt es aber auch Gefahren für den Datenschutz, da nebst den üblichen Anmeldedaten auch per GPS der Standort des Spielers getrackt und gespeichert wird.
Pokémon GO ist eine Entwicklung von Nintendo und dem Google-Unternehmen Niantic. Es darf also nicht verwundern, dass die eher umfangreichen Datenschutzbestimmungen von Niantic stammen. Sie sind auf Deutsch hier zu finden: https://www.nianticlabs.com/terms/pokemongo/de. Auch wenn wohl viele Leser diese Bestimmungen nach Download des Spiels bereits akzeptiert haben – ob vorher gelesen oder nicht – soll doch noch auf einige kritische Punkte darin hingewiesen werden (nicht abschliessend).
Um Pokémon GO spielen zu können, benötigt die App nicht wenige Berechtigungen. So muss der Spieler Zugriff auf folgende Daten (Test mit HTC-Android-Handy) gewähren:
- Kamera (aufgenommene Bilder und Videos)
- Standort und GPS-Daten
- Netzkommunikation (Google-Play Rechnungsdienst, Internetdaten, Netzwerkverbindungen, voller Netzwerkzugriff)
- Bluetooth-Einstellungen
- Verwendete Konten auf dem Gerät
- USB-Speicherinhalte
- Auswirkungen auf den Akku (Ruhezustand, Vibration)
- Personenbezogenen Daten (Aktivitätserkennung)
Daneben ist eine Anmeldung per Konto bei Google, beim Pokémon Trainer Club („PTC“) oder bei Facebook nötig, wobei Niantic dadurch natürlich auch Daten wie den Namen oder die E-Mailadresse erhält. Dabei handelt es sich um Personendaten und im Falle der Kombination mehrerer Personendaten kann sogar ein Persönlichkeitsprofil über den Nutzer entstehen, dessen Bearbeitung (auch schon die Speicherung!) der ausdrücklichen Einwilligung von diesem bedarf. Durch die Annahme von Datenschutzbestimmungen kann die Einwilligung eingeholt werden, wobei der Nutzer aber klar über die Art und Verwendung seiner gespeicherten Daten aufgeklärt werden muss. Diese Aufklärung durch Niantic ist bezüglich Umfang der Beschreibung gar nicht so schlecht, immerhin wird vieles offengelegt, jedoch klickt sich der Durchschnitts-Spieler wohl einfach kurz durch die Bestimmungen durch oder nimmt diese an, ohne sie inhaltlich zur Kenntnis zu nehmen. Dadurch weiss er gar nicht, welche Daten für welchen Zweck erhoben werden. Ein paar Gedanken über die nachfolgenden Punkte bezüglich Datenschutz sollte sich jedoch jeder machen.
Google-Kontodaten
Niantic erhält nach der Installation der Pokémon GO App offenbar den vollen Zugriff auf die Konten auf dem verwendeten Gerät, somit auch auf das Google-Konto. Kurz nach Veröffentlichung der App gab es diesbezüglich einen Aufschrei von Sicherheitsexperten, denn ein solcher Voll-Zugriff bedeutet nicht nur Zugriff auf notwendige Funktionen wie Standort und Kamera, sondern auch auf die E-Mails, Google Drive, Passwörter etc. Eine diesbezüglich explizite Warnung erfolgt bei der App-Installation darüber nicht.
Niantic gab daraufhin bekannt, es habe sich dabei um einen „Fehler“ gehandelt, welcher zwischenzeitlich für die iOS App in einer neuen Version behoben worden sei. Die App erhalte nur noch Zugriff auf effektiv für das Spiel notwendige Daten. Dies kann man in seinem eigenen Google-Konto überprüfen. Bei der Autorin war keine Verlinkung des Google-Kontos zu Pokémon GO vorhanden, weshalb diese Daten wohl effektiv nicht mehr von Niantic gespeichert werden. Ein richtiger Schutz ist dies jedoch nicht, solange die Einwilligung für den Zugriff auf die Konten vor der App-Installation immer noch abgegeben werden muss und somit Niantic die Daten daraus theoretisch – im rechtlich zulässigen Rahmen – verwenden dürfte.
Unter folgendem Link kann man prüfen, ob eine Verlinkung zum eigenen Konto besteht: https://myaccount.google.com/intro (unter „Anmeldung & Sicherheit“, „Verbundene Apps & Websites“). Die Verlinkung wäre durch ein Icon mit Bezeichnung zu erkennen.
Standort-Daten
Die Pokémon GO App zeichnet auf, wo ein Spieler sich befindet und wann er sich wohin bewegt. Dabei erfährt sie auch, welche Nutzer sich an welchen Orten gemeinsam wie lange aufgehalten haben. Dies führt zu einer Dauer-Überwachung des Spielers. Zudem stellt sich das gleiche Problem wie bei allen Tracking-Tools: Einbrecher können Pokémon GO theoretisch nutzen um zu erfahren, ob das potenzielle Opfer zu Hause ist oder nicht. Die GPS-Funktion sollte deshalb mindestens bei Beenden des Spiels sofort ausgeschaltet werden, da die App auch im Hintergrund noch weiterläuft.
Dauer der Datenspeicherung
Gespeichert werden alle Daten auf unbestimmte Zeit, obwohl für den aktuellen Spielstand eigentlich immer nur ein paar erforderlich sind. Dem Spieler muss also bewusst sein, dass er selber eine Datenlöschung bei Niantic verlangen muss, sollte er die App einst nicht mehr spielen und deinstallieren wollen. Dies führt zu einem zweiten Problem: Laut Datenschutzbestimmungen werden die Personendaten nach Widerruf der Einwilligung lediglich nicht mehr der Öffentlichkeit zugänglich sein, von einer definitiven Löschung, wie sie im EU-Raum die kommende Datenschutzgrundverordnung verlangen wird, ist nicht die Rede. Dadurch behält sich Niantic ein Schlupfloch vor, um die Daten wohl selber weiterhin noch für eigene Zwecke nutzen zu können. Nach dem Schweizerischen Datenschutzgesetz muss aber auch dies verhindert werden können.
Weitergabe der Daten an Dritte
Folgendes steht in den Datenschutzbestimmungen von Pokémon GO und macht stutzig: Wir arbeiten mit der Regierung, mit Strafverfolgungsbehörden oder privaten Beteiligten zusammen, um das Gesetz durchzusetzen und einzuhalten. Wir könnten jegliche Informationen über Sie (oder über das von Ihnen ermächtigte Kind), die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte offenlegen, wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten: (a) um auf Ansprüche, Gerichtsprozesse (einschließlich Vorladungen) zu reagieren; (b) um unser Eigentum, unsere Rechte und unsere Sicherheit, sowie das Eigentum, die Rechte und die Sicherheit von Dritten oder der allgemeinen Öffentlichkeit zu schützen; und (c ) um jegliche Aktivität, die wir als illegal, unethisch oder rechtlich anfechtbar erachten, aufzudecken und zu stoppen.
Auch in der Schweiz können staatliche Strafverfolgungsbehörden unter gewissen Voraussetzungen Daten herausverlangen. Die Klausel von Pokémon GO ist jedoch extrem weit gefasst und umgekehrt formuliert. So kann Niantic nach eigenem Gutdünken die Personendaten insbesondere auch an Private weitergeben und dies auch ohne Aufforderung der Polizei oder anderer Behörden. Fühlt sich die Firma folglich irgendwie in ihren Rechten bedroht (man denke an eine potenzielle Urheberrechtsverletzung durch Verwendung des Pokémon-Logos auf der eigenen Facebook-Page oder Ähnliches), könnte Niantic sämtliche den Spieler betreffende Daten an einen Privatdetektiv oder irgendwelche sonstige Dritte weiterleiten. Einmal weitergeleitet wird es schwierig, die Daten zu kontrollieren, weshalb diesem Punkt höhere Beachtung geschenkt werden sollte.
Benachteiligung von Schweizern beim Newsletter-Versand
Für alle anderen Nutzer gilt, dass wir Ihnen (oder dem von Ihnen ermächtigten Kind) regelmäßig kostenlose Newsletter oder E-Mails, die unsere Services direkt bewerben, übersenden werden, falls Sie sich nicht bei der Anmeldung des Kontos gegen die Eintragung auf unsere Versandliste von sich selbst (oder von dem von Ihnen ermächtigen Kind) entschieden haben.
Durch diese Klausel in den Datenschutzbestimmungen werden Nicht-EU-Bürger schlechter gestellt als EU-Bürger. Vorangehend wird nämlich festgehalten, dass EU-Bürger sich explizit für den Erhalt von Newslettern anmelden müssen (Opting-in), wir Schweizer erhalten diesen automatisch nach der Anmeldung bei Pokémon GO und müssten uns aktiv abmelden, falls dieser nicht gewünscht ist (Opting-out). In der EU ist ein Opting-in zwingend, ansonsten z.B. eine Persönlichkeitsverletzung vorliegen kann, doch ist fraglich, ob dies nicht auch für die Schweiz so gehandhabt werden sollte. Zwar gibt es noch keine gesetzlichen Vorgaben hierzulande dazu, von datenschutzrechtlicher Seite wird dies aber schon länger empfohlen und die Schweiz nähert sich diesbezüglich immer mehr dem EU-Recht an. Folglich haben wir Schweizer den höheren Aufwand, unliebsame E-Mailwerbung abzubestellen.
Als Fazit kann festgehalten werden, dass die Datenschutzbestimmungen von Pokémon GO nicht perfekt sind, jedoch auch keine groben Gesetzesverletzungen beinhalten. Es soll niemandem davon abgeraten werden, diese App zu verwenden, doch sollte man manchmal mehr hinterfragen, was mit den eigenen Personendaten genau geschieht, da damit eine Identifizierung der Person möglich ist. Seine Handynummer möchte man ja auch nicht an jeden verteilen und so sollte auch mit den restlichen Daten umgegangen werden. Zudem sollte ein Fantasiename für den Pokémon-Avatar verwendet werden, damit mindestens für die anderen Spieler in der Pokémon-Welt unklar bleibt, wer sich gerade wo aufhält.
Wem die Datenbearbeitung durch Niantic nun zu viel wurde, kann seine Einwilligung in die Zugänglichmachung der Daten per E-Mail widerrufen: pokemongo-privacy@nianticlabs.com
Gerne berate ich Sie auch bei anderen Datenschutzbelangen.
Rechtsgebiete: Datenschutz