Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

"Pokémon Go": Der Jäger wird zum Gejagten

(c) Clemens Fabry
  • Drucken

Wer die Onlinemonster sammelt, muss viele Daten preis- und Einverständniserklärungen abgeben. Das könnte rechtswidrig sein. Brisant ist, dass Daten aus der virtuellen und der realen Welt miteinander verknüpft werden können.

Wien. Der aktuelle Hype um „Pokémon Go“ des Spieleentwicklers Niantic, Inc. verblüfft dieser Tage so manchen. Spannend und bisweilen bedenklich ist das Computer-Reality-Spiel aber auch aus datenschutzrechtlicher Sicht. Ein Überblick.

Herunterladen der App. Bereits vor Start der App ist vom Nutzer das Geburtsdatum anzugeben. Der tiefere Sinn dafür bleibt auf den ersten Blick verborgen. Studiert man die „Pokémon Go“-Datenschutzrichtlinie (https://www.nianticlabs.com/privacy/pokemongo/de, Stand 1. Juli 2016), zeigt sich, dass dies zur Verknüpfung mit einem Google-Konto notwendig ist und auch dazu dienen kann, gegebenenfalls den Zugang und die Nutzung durch Kinder zu verhindern. Nicht auszuschließen ist, dass das Geburtsdatum für altersspezifische Werbung herangezogen wird.


Kontoerstellung. Im Zuge der Anmeldung zur Erstellung eines Kontos wird klar, dass Google- oder Facebook-E-Mail-Adressen erhoben werden, „damit uns Ihre Datenschutzeinstellungen bei Google oder Facebook den Zugriff erlauben“. Zu diesem Zweck sei die Erhebung von persönlich identifizierenden Informationen notwendig. Ist es – im wahrsten Sinn des Wortes – ein Spiel dieser Großkonzerne, und dient es vornehmlich deren wirtschaftlichen Zwecken?

Zugriff auf Standortdaten. Für die Nutzung der App ist es unerlässlich, auf den Standort des Nutzers zuzugreifen. „In order to play the game“ heißt es lapidar, was grundsätzlich einleuchtet, weil das Spiel ja davon lebt, dass man die virtuelle Welt verlässt und in die reale hinausgeht. Daraus ergibt sich ein permanentes Tracking, also das Aufzeichnen des Nutzerverhaltens, in diesem Fall der Bewegungen in der realen Welt.

Speicherung und Offenlegung der Standortdaten. Die „Pokémon Go“-Datenschutzrichtlinie weist darauf hin, dass jene Informationen über den Standort gespeichert werden, die vom Betriebssystem des Mobilgeräts zur Verfügung gestellt werden. Der Nutzer stimmt zu, dass durch die Nutzung der App Gerätestandort und einige Standortinformationen (welche, bleibt verborgen) durch die App auch anderen Nutzern, die das Spiel spielen, offengelegt werden. Aufenthaltsorte werden somit anderen ebenfalls bekannt.

Protokolldaten. Bei Nutzung der Services kommt es zur umfassenden Speicherung von Protokolldaten, z. B. IP-Adresse, Betriebssystem, User-Agent, Browser-Art oder auch der Website, die ein Nutzer vorab besucht, sowie von Suchbegriffen und Links, die er angeklickt hat. Diese Protokolldaten werden analysiert, wobei auch Drittanbieter zur Auswertung herangezogen werden können. Unklar bleibt, welche Dritte das sind. Wer weiß also, welche Websites und Links der Nutzer wann besucht hat? Nach derzeit anwendbarem und künftigem Datenschutzrecht müssen Empfänger von Daten offengelegt werden.

„Do not track“. „Pokémon Go“ ist nicht darauf ausgerichtet, auf „Do not track“-Behelfe zu reagieren, die den Wunsch von Usern vermitteln, dass über sie kein Nutzungsprofil erstellt wird. Die künftig in Europa geltende Datenschutz-Grundverordnung sieht jedoch auch Datenschutz durch Technik vor.
Opt-out statt Opt-in. Die Zusendung von Newslettern und E-Mails zur Bewerbung der Dienste erfolgt auf Basis der Eintragung in Versandlisten und der Möglichkeit zum Opt-out. Ob damit die strengen Vorgaben für eine datenschutzrechtliche Einwilligung nach derzeitigem oder auch künftigem europäischen Recht erfüllt werden, erscheint fraglich.

Datentransfer in die USA. Personenbezogene Daten werden in die USA übertragen und auf Computer in Länder transferiert, in denen die „Datenschutz-Gesetze weniger Schutz bieten als in Ihrer Gerichtsbarkeit“. In Zeiten nach Safe Harbor und von Privacy Shield erscheint dies problematisch.
Staatliche Behörden. Freigiebig wird ausgeführt, dass man mit der Regierung und den Strafverfolgungsbehörden sowie privaten Beteiligten zusammenarbeite, um das Gesetz durchzusetzen. Somit könnte man „jegliche Informationen über Sie, die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteilige offenlegen, wenn wir es nach unserem Ermessen für notwendig und angemessen erachten“. Unter welchen (rechtsstaatlichen?) Voraussetzungen die Preisgabe erfolgt, wird nicht gesagt.

Europäische Gesetze. Die „Pokémon Go“-Datenschutzrichtlinie erwähnt die Einwohner von Mitgliedstaaten der Europäischen Union sowie „europäische Gesetze“ bzw. die „Datenschutz-Direktive“. Nach der künftigen Datenschutz-Grundverordnung, die ab 2018 gilt, würde europäisches Datenschutzrecht anwendbar sein, wenn man sich mit einem Dienst an europäische Nutzer wendet oder deren Verhalten in der Union beobachtet.

Das Resümee: Bei der Suche nach Pokémon-Monstern werden umfassend Daten erhoben, vor allem Standort- und Protokolldaten, die auch Dritten offengelegt werden. Neu dabei ist, dass sich Online- und Offline-Life quasi verbinden. Sowohl unser Verhalten in der realen Welt (wo halten wir uns auf) als auch in der virtuellen (besuchte Websites) kann aufgezeichnet, verknüpft und ausgewertet werden. Vom Datentransfer in die USA einmal ganz abgesehen, hat dies mit europäischem Datenschutz, vor allem mit der ab 2018 geltenden Datenschutz-Grundverordnung, wenig zu tun. Und man muss feststellen: „Pokémon Go“ – Datenschutz NO!


Dr. Michael M. Pachinger ist Rechtsanwalt und Partner bei SCWP Schindhelm sowie Avocat inscrit (Paris) und Abogado inscrito (Valencia).

("Die Presse", Print-Ausgabe, 25.07.2016)