pokémon go nutzerdaten,pokémon go datensammlung
Nach eine Analyse der Landeszentrums für Datenschutz in Schleswig-Holstein enthalten die Nutzungsverträge von Pokémon Go erhebliche Mängel.

Henry Krasemann ist Jurist und Referatsleiter beim Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, wo er unter anderem das Projekt "Datenschutz in Online-Spielen" geleitet hat. Für heise online hat er die Datenschutzrichtlinie des Spiels analysiert. Nur wenn Spieler dieser zustimmen, können sie das Spiel starten. Wir drucken seine Analyse im vollen Wortlaut ab:

Zugriff auf Google-Konto

Aktuell beschäftigt die Öffentlichkeit zwei Fragen rund um den Datenschutz bei Pokémon Go. Zum einen hatte sich die iOS-Version in der Version 1.00 umfassende Rechte des Zugriffs auf das Google-Konto des Nutzers einräumen lassen, was theoretisch zumindest auf Zugriffe durch den Betreiber des Spiels auf zum Beispiel E-Mails etc. erlaubt hätte. Dies ist laut Aussage der Betreiber ein Fehler gewesen und wurde in der Version 1.01 offensichtlich behoben. Tatsächlich hat die App nur noch Zugriff auf "Allgemeine Informationen zum Konto (Wissen, wer Sie auf Google sind / Ihre E-Mail-Adresse abrufen)", was jeder selber über die Google-Konto-Seite überprüfen kann. Dort können der App die Rechte auch wieder entzogen werden. Eine Änderung der Datenschutzerklärung erfolgt nicht, was aber konsequent ist, da der vorherige Vollzugriff dort ebenfalls nicht erwähnt wurde. Die Android-App soll hiervon nicht betroffen gewesen sein.

Zu beachten ist dabei auch, dass Niantic zwar nicht (mehr) zum Alphabet-Konzern gehört, aber Google als ehemaliger Inhaber des Unternehmens Investor ist. Damit ist die Konzentration auf Google-Accounts (wie auch schon bei Ingress) nicht überraschend - aber technisch auch eigentlich nicht notwendig. Ein "anonymes" Spielen wird schon hierdurch praktisch unmöglich. Auch die inzwischen mit Version 1.02 eingeführte alternative Anmeldemöglichkeit über den Pokémon Trainer Club macht es nicht besser. Unter anderem wird dort in der Datenschutzerklärung hinsichtlich der Übermittlung von Daten in die USA auf „Safe Harbor“ als vertrauensbildende Maßnahme verwiesen. Dieses ist jedoch schon 2015 vom EuGH gekippt worden - deutlich vor der Veröffentlichung von Pokémon Go. Ungeachtet der generellen Sinnhaftigkeit von „Safe Habor“ oder nun „Privacy Shield“ deutet dieses nicht darauf hin, dass man bei Datenschutzfragen auf der Höhe der Zeit ist.

Anonymes Spielen unmöglich

Es müssen die Nutzungsbedingungen und die Datenschutzerklärung des Betreibers akzeptiert werden. Diese sind branchenüblich - was leider nicht bedeutet, dass sie vorbildlich wären. So muss sich jeder Nutzer von Pokémon Go bewusst sein, dass sein Spielverhalten inklusive der aktuellen Geolokalisierung erfasst wird und diese Daten in den USA verarbeitet werden, wo ein niedrigeres Datenschutzniveau herrscht. Verbunden sind diese Daten mit eindeutigen Daten über die Spieler, die laut den Vorgaben der Betreiber aktuell und wahrheitsgemäß sein müssen. Anonymität bei der Pokémon-Jagd ist nicht erwünscht.

Die Zugriffe auf die Positionsdaten sind zwar für das Spielprinzip erforderlich und somit nicht grundsätzlich zu kritisieren. Auch wird der Spieler hierauf hingewiesen. Allerdings behält sich der Betreiber vor, diese Daten auch für weitere, eher vage bezeichnete Zwecke auszuwerten und gegebenenfalls auch an Dritte weitergeleitet (unter anderem zur Verbesserung des Dienstes oder auch Forschungszwecke). Es wird zwar zugesagt, dass es sich dann nicht mehr um personenbezogene Daten handeln würde. Diese Aussage kann nach meiner Erfahrung jedoch bezweifelt werden, da insbesondere amerikanische Unternehmen andere Vorstellungen davon haben, wann angeblich der Personenbezug bei Daten entfällt. In der Regel wird dieses nur auf den Echtnamen bezogen, der durch einen anderen Identifier ersetzt wird. Nach deutschem Recht würde dadurch in der Regel nicht der Personenbezug entfallen - erst recht nicht bei so umfangreichen Positionsdaten, die zum Beispiel einfache Aussagen über das Lebensverhalten, Wohnhaus oder auch die Arbeitsstelle ermöglichen. Eine eindeutige Aussage hierzu wäre jedoch nur möglich, wenn die genauen Vorgänge bei Niantic bekannt wären.

Das Kamerabild scheint nicht an den Betreiber des Dienstes übermittelt zu werden; konkret überprüfen ließ sich das aber nicht. Wer hier misstrauisch ist, kann das Spiel auch ohne Zugriff auf die Kamera spielen. Die Augmented-Reality-Funktion wird dadurch zwar abgeschaltet und der Hintergrund bei der Pokémon-Jagd ist Computergrafik - aber dafür erscheint der Pokémon zentriert auf dem Bildschirm, was sein Einfangen erleichter.

Datenweitergabe an Dritte

Aufhorchen lässt der folgende Passus in der Datenschutzerklärung:

"e. Informationen, die zu unserem Schutz und zum Schutze anderer offengelegt werden: Wir arbeiten mit der Regierung, mit Strafverfolgungsbehörden oder privaten Beteiligten zusammen, um das Gesetz durchzusetzen und einzuhalten. Wir könnten jegliche Informationen über Sie (oder über das von Ihnen ermächtigte Kind), die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte offenlegen, wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten: (a) um auf Ansprüche, Gerichtsprozesse (einschließlich Vorladungen) zu reagieren; (b) um unser Eigentum, unsere Rechte und unsere Sicherheit, sowie das Eigentum, die Rechte und die Sicherheit von Dritten oder der allgemeinen Öffentlichkeit zu schützen; und (c) um jegliche Aktivität, die wir als illegal, unethisch oder rechtlich anfechtbar erachten, aufzudecken und zu stoppen."

Tatsächlich muss man dem Unternehmen zugestehen, dass gegebenenfalls Daten zu Strafverfolgungszwecken auf Anordnung von Richter beziehungsweise Staatsanwaltschaft herausgegeben werden können müssen. Doch hier geht man deutlich darüber hinaus, indem auch "private Beteiligte" und "Regierungen" einbezogen werden. Auch die Frage, wann etwas weitergegeben werden darf, wird in das "Erachten" beziehungsweise "Ermessen" des Betreibers gestellt und auch auf schwierig zu fassende Begriffe wie "unethisch" gestützt. Dies ist meiner Einschätzung zu weitgehend. Nach deutschem Recht muss der Vertragspartner beziehungsweise Betroffene einschätzen können, was mit seinen Daten passiert. Dies kann er meiner Einschätzung nach diesem Passus nicht.

Keine Löschfristen

Hinzu kommt, dass insbesondere die Datenschutzerklärung viele Punkte enthält, die einer konkreten Einwilligung des Nutzers bedürfen (zum Beispiel Übermittlung der Daten in die USA, Datenerhebung über Nutzerverhalten, Weitergabe an Dritte etc.). Die Darstellung dieser Punkte nur in einer derartigen Datenschutzerklärung reicht meiner Einschätzung nicht aus. Vielmehr müssen diese Punkt gesondert abgefragt und deren Einwilligung protokolliert werden.

Und schließlich ist mir noch aufgefallen, dass keine konkreten Angaben zu Löschfristen gemacht werden. Einzig kann der Nutzer um Löschung seiner Daten bitten, aber selbst dieses Recht wird dadurch eingeschränkt, dass der Betreiber sich vorbehält, diese Daten trotzdem in Archiven etc. weiter zu speichern: „Bitte beachten sie jedoch, dass einige Informationen in archivierten/gesicherten Kopien für unsere Aufzeichnungen oder falls anderweitig gesetzlich erforderlich, verbleiben könnten.“.

Kaufverträge

Unabhängig von seiner Position beim ULD geht Krasemann als Jurist auch noch auf die weiteren Nutzungsbedingungen in puncto In-Game-Käufe ein:

Der Einzug von virtuellen Gütern ist ein Problem, das viele Online-Spiele und auch zum Beispiel Steam betrifft und teilweise auch schon zu Gerichtsverfahren geführt hat. Im Ergebnis kann festgehalten werden, dass dann, wenn man Geld für virtuelle Güter bezahlt hat (was ja ein Monetarisierungsprinzip bei Pokémon Go ist), auch eine angemessene Gegenleistung erwarten darf. Eine willkürliche Löschung der virtuellen Güter wäre nicht zulässig, aber selbst eine Anlass bezogene (zum Beispiel Verstoß gegen Spielregeln) muss stets einer Abwägung beziehungsweise dem Prinzip der Verhältnismäßgkeit unterliegen. Es kommt dann stark auf die Art des Verstoßes und den Umfang der bezahlten virtuellen Güter an (inklusive auch, wie lange man hiermit schon spielen konnte - also welcher "Spielspaß" schon erreicht wurde). Ein Recht auf Erhalt der Güter im Rahmen des kostenlosen Spiels dürfe es jedoch kaum geben.

Folgender Passus der Nutzungsbedingugen fällt auf: "Wir behalten uns das Recht vor, virtuelles Geld oder virtuelle Güter ohne jegliche Verpflichtung Ihnen gegenüber zu kontrollieren, zu regeln, zu verändern oder zu entfernen." Das ist meines Erachtens zu weitgehend und ließe dem Betreiber alle Freiheiten, Geld ohne Gegenleistung zu bekommen. In dem folgenden Absatz ("Wirksamkeit der Kündigung auf Tauschobjekte, virtuelles Geld und virtuelle Güter") werden zwar die Fälle aufgezählt, bei denen ein Konto gesperrt werden kann, diese beziehen sich aber nicht auf den oben zitierten Satz. Das ist überraschend und benachteiligt Verbraucher in übermäßigem Maße und ist daher meines Erachtens nach deutschem Recht nicht gültig.

Käufe ohne Erlaubnis der Eltern

Bei Minderjährigen gelten auch bei virtuellen Gütern die §§ 106 ff. Bürgerliches Gesetzbuch (BGB). Wer das siebte Lebensjahr vollendet hat, ist beschränkt geschäftsfähig. In den Einkauf müssen in der Regel die Eltern einwilligen oder diesen zumindest im Nachhinein genehmigen. Zwar fordern die Nutzungsbedingungen für den Fall, dass der Käufer unter 18 Jahren alt ist, dass die Einwilligung der Eltern vorliegt und dieses in den App-Einstellungen entsprechend eingerichtet werden kann. Überprüfen kann dieses die App jedoch nicht, so dass meines Erachtens durchaus auch der Fall vorliegen kann, dass Jugendliche einkaufen, keine Einwilligung der Eltern vorlag und die Eltern dann auch keine Genehmigung erteilen. Dann könnte der Fall eintreten, dass Gelder wieder zurückgezahlt werden müssten. Beachtet werden muss jedoch, ob gegebenenfalls (gerade bei kleineren Beträgen) eigene Mittel des Minderjährigen im Sinne des § 110 BGB (Taschengeldparagraph) verwendet wurden und der Minderjährige (insbesondere Jüngere) auch ordnungsgemäß über die Verwendung des Smartphones und die Bezahlmöglichkeiten aufgeklärt wurde. In der Praxis kann die Rückforderung des Geldes steinig werden.

Einen festen Betrag gibt es bei § 110 BGB nicht. Es muss sich um Geld handeln, dass dem Jugendlichen zur freien Verfügung überlassen wurde und da kommt es sehr auf die Familienverhältnisse an beziehungsweise auch das Alter. 100 Euro können da noch im Rahmen sein, sind meines Erachtens nach insbesondere bei jüngeren Jugendlichen aber schon an der Grenze.

Ein Sechsjähriger ist hingegen nicht geschäftsfähig, weshalb der Vertrag nicht wirksam werden würde. Allerdings kann unter Umständen ein Schadensersatzanspruch gegen die Eltern bestehen, wenn dieser Kauf (und der Schaden) auf deren Verschulden (mangelnde Aufsicht, Smartphone unkontrolliert überlassen) zurückzuführen ist. Dies gilt, wenn der Sechsjährige selber sich bei Pokémon Go beziehungsweise Google anmeldet. Der nach den Nutzungsbedingungen geregelte Fall wäre, dass die Eltern Vertragspartner werden und dann gegebenenfalls direkt aus Vertrag für das Handeln des Kindes einstehen müssen.

Klagen verboten?

Überraschend für Verbraucher (und Juristen) ist auch die "Schiedsgerichts-Verzichtsklausel": "Wenn Sie Niantic keine Schiedsverfahrens-Verzichtserklärung innerhalb der 30-Tagesfrist zukommen lassen, wird davon ausgegangen, dass Sie wissentlich und vorsätzlich von Ihrem Recht, jede Unstimmigkeit vor Gericht klären zu lassen, zurückgetreten sind [...]". Diese Klauseln dürfte für deutsche Verbraucher nicht gelten, da sich das Spiel (auch) an deutsche Spieler richtet, was sich schon daraus ergibt, dass alle Texte auch auf Deutsch verfügbar sind und auch die Sprache im Spiel für hiesige Spieler Deutsch ist. Man könnte sogar die Meinung vertreten, dass für einen Spieler nicht offensichtlich ist, dass es sich um einen amerikanischen Anbieter handelt. Dann wäre schon die Rechtswahl (Kalifornisches Recht) nach deutschem AGB-Recht im BGB unwirksam.

Dies gilt erst recht für derartige Schiedsverfahren und Regelungen zu Rechtsverzicht mit kurzen Fristen, die völlig überraschend für den Verbraucher und damit unwirksam sind. In der Praxis kann jedoch trotz dieser Unwirksamkeit die Rechtsdurchsetzung aufwendig und teuer werden, da man gegen das US-Unternehmen Niantik direkt vorgehen müsste und dieses nach meinem Wissen keine Niederlassung in der EU hat.

Eine Klage wegen eines Verkehrsunfalls beim Pokémon-Go-Spielen hätte zwar kaum Aussicht auf Erfolg, da es schwierig werden dürfte, der Firma für eigene offensichtliche Unachtsamkeit ein Verschulden nachzuweisen. Praxisnaher könnte jedoch eine Klage gegen das Sperren eines Accounts und Entziehung von bezahlten virtuellen Gütern sein. Dann können Recht-haben und Recht-bekommen sehr merklich auseinander fallen.