Pokemon Go und Datenschutz

Pokemon Go
Pokemon Go sammelt Nutzerdaten

Pokemon Go – die App und ihre Sammelwut

Pokemon Go ist nicht irgendeine App – es ist derzeit DAS Smartphone Spiel und es macht in vielerlei Hinsicht derzeit von sich Reden.

Die Smartphone Applikation bietet dem Spieler zunächst eine kurzweilige Unterhaltung. Über das Programm kann man in der „realen Welt“ mit Hilfe des Smartphones Pokemons (kleine Taschenmonster) fangen kann. Mittlerweile wurde dieses Spiel seit Mitte Juli 2016 – seither ist es in Deutschland offiziell verfügbar – über 50.000.000 mal heruntergeladen und zählt sich somit zu einer der erfolgsreichsten Apps des Jahres.

Bei Pokemon Go können die Spieler über die aktivierte Kamera kleine Monster fangen, die sie im Anschluss trainieren und gegeneinander kämpfen lassen. Aber während die Spieler die kleinen Monster fangen, sammelt der kalifornische Hersteller Niantic jede Menge Daten der Nutzer. Um diese datenschutzrechtlichen Bestimmungen machen sich jedoch die wenigsten Nutzer Gedanken. Auf welche Daten genau zugegriffen wird und wie das aus juristischer Sicht zu beurteilen ist wird im Folgenden dargestellt.

Pokemon Go und die Google Daten

Als sich nach Release des Spiels herausstellte, dass sich die Hersteller unbemerkt Zugriff auf die persönlichen Google Daten verschaffen könnten, war die Verunsicherung in der Casual Gaming Gemeinde zunächst groß. Es hieß, dass Niantic auf die gesamten Emails, Suchverläufe usw. zugreifen könne. Daraufhin gab Niantic Entwarnung und stellte klar, dass lediglich auf die Email Adresse und den Namen des Nutzers zugegriffen werde. Dies wurde auch durch die Google Inc. später bestätigt. Laut Niantic sei dieser Datenzugriff auf einen Fehler zurückzuführen, der durch ein Update behoben werden sollte.

Was macht die App sonst noch so mit den Daten des Users?

Bei der Nutzung der App bzw. bereits bei der Anmeldung werden viele persönliche Daten der Spieler gesammelt und gespeichert. Hierbei greift Niantic nicht nur auf die für den Spielbetrieb unerlässlichen Daten, wie auf die Kamera und den aktuellen Standort zu, sondern auch auf personenbezogene Daten, wie zum Beispiel auf die Kontakte zu. Ebenfalls werden Bewegungsprofile der Nutzer erstellt und das Nutzungsverhalten genau analysiert. Niantic nimmt sich sogar das Recht heraus, Chatverläufe zwischen den Spielern speichern zu können. Eine entsprechende Regelung findet sich in den Datenschutzbestimmungen von Niantic.

Gelten deutsche Datenschutzmaßgaben für Pokemon Go?

Gilt das deutsche Datenschutzrecht überhaupt für die us amerikanische Firma? Die Antwort lautet für deutsche Pokemon Go Spieler im Bundesgebiet: Ja. Soweit im Bundesgebiet Daten durch eine nicht im Inland belegene Stelle (Niantic Inc. mit Hauptsitz in Kalifornien, US) erhoben werden, gelten gem. § 1 Abs. 5 S. 2 BDSG deutsche Datenschutzbestimmungen.

Aber die User wissen doch, was auf sie zukommt… oder nicht?

Das deutsche Datenschutzrecht bestimmt, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder wenn der betroffene Spieler hierin eingewilligt hat. Für die mit der Applikation erhobenen Datenverwertungs- und Nutzungsmaßnahmen existieren keine legitimierenden Rechtsvorschriften. Insoweit hat Niantic die Einwilligung der Spieler einzuholen.

Diese Einwilligung ist allerdings nur wirksam, wenn sie auf der freien Entscheidung des von der Datennutzung Betroffenen beruht. Der Pokemon Go Spieler muss also auf den vorgesehenen Zweck der Datennutzung explizit hinzuweisen werden. Seine Einwilligung bedarf außerdem grds. der Schriftform, es sei denn wegen besonderer Umstände erscheint eine andere Form angemessen.

In diesem Zusammenhang ist herauszustellen, dass die Datenschutzrichtlinien von Pokémon Go sehr schwammig formuliert sind. So erschließt sich dem geneigten Leser derselben nicht direkt, welche Daten genau betroffen sind und zu welchen Zwecken diese gespeichert werden. Klar jedoch ist, dass der Hersteller sich das Recht zur Speicherung und Verwertung der persönlichen Daten einräumt und die Weitergabe nicht nur an Privatpersonen, sondern auch an staatliche Stellen offenhält.

Mit Rücksicht auf die intransparenten Datenschutzbestimmungen hat die „Verbraucherzentrale Bundesverband“ Niantic abgemahnt und insgesamt 15 Klauseln in der Datenschutzerklärung gefunden, die gegen die deutschen Verbraucherrechts- und Datenschutzstandards verstoßen. Besonders brisant mutet an, dass laut Niantic die Daten der Nutzer auch nach der Löschung des Accounts für einige Zeit weiterhin auf den Servern des californischen Unternehmens gespeichert bleiben. Diese Speicherung und Verarbeitung der Daten findet in den USA statt und damit in einem Land, in dem ein weitaus niedriger Datenschutzstandard gilt, als in der EU. Hierüber sollten sich alle Pokemon Go Spieler vor der Anmeldung im Klaren sein. Aber gerade diese Klarheit wird dem Nutzer durch die intranspanenten Datenschutzklauseln der Niantic Inc. verwehrt.

Dabei betont das Unternehmen in den (zum Zeitpunkt dieses Artikels (22.09.2016) aktuellen Datenschutzrichtlinien (Stand 01.07.2016): „Unser vorrangiges Ziel bei der Datenerhebung liegt in der Bereitstellung und Verbesserung unserer Services, um Ihnen […] die Anwendung der Services bereitzustellen und um Sie […] in die Lage zu versetzen, unsere Services zu nutzen und leicht durch sie hindurch zu navigieren.“

Bereits hier muss  auf den genauen Wortlaut geachtet werden. Hier ist von einem „vorrangigen Ziel“ und von „Services“ die Rede. Schon diese Formuliereungen lassen erahnen, dass die Erklärungen zur Datenverwendung von Niantic dürftig und mißverständlich sind. Insoweit stellt sich mir die begründete Frage, ob die Nutzungsbedingungen nach deutschem Datenschutzrecht überhaupt eine wirksame Grundlage für die Datenerhebnung und Nutzung darstellen. Denn ich will noch einmal betonen, dass die Einwilligung in eine Datennutzung nur dann wirksam ist, wenn sie auf der freien Entscheidung des Betroffenen beruht, was wiederrum bedingt, dass der Betroffene auf den vorgesehenen Zweck der Datennutzung deutlich hinzuweisen. Bereits hieran kranken die Datenschutzbestimmungen von Niantic.

Beispielsweise sei auf die nachstehenden Ausführungen aus der derzeit aktuellen Pokemon Go Datenschutzrichtline verwiesen, die Nutzer zum Nachdenken anregen sollten.

„Im Spielverlauf und wenn Sie […] sich anmelden, um bei uns ein Konto zu erstellen, werden wir bestimmte Informationen einholen, die zur Identifizierung verwendet werden können oder um Sie wiederzuerkennen […] Insbesondere, weil Sie über ein Konto bei Google […] oder Facebook verfügen müssen, bevor Sie sich anmelden, um ein Konto zu eröffnen, werden wir die PII (wie z. B. Ihre Google-E-Mail-Adresse, Ihre bei PTC registrierte E-Mail-Adresse und/oder Ihre bei Facebook registrierte E-Mail-Adresse) erheben, damit uns Ihre Datenschutzeinstellungen bei Google, PTC oder Facebook den Zugriff erlauben. […] Unsere Server zeigen automatisch gewisse Informationen darüber auf, wie eine Person unsere Services nutzt […] Wir benutzen Protokolldaten, um die Services zu verwalten und wir analysieren (und könnten Drittanbieter zur Analyse heranziehen) Protokolldaten, um unsere Services zu verbessern, anzupassen und nutzerfreundlicher zu gestalten […]“

Wohlwollend ausgedrückt hält sich Niantic eine (so will ich meinen) großzügige Datennutzung vor. Zugleich ermangelt es aber nach meinem Dafürhalten an einer hinreichenden Transparenz, wie weitreichend Daten denn final genutzt werden und zu welchen Zwecken dies erfolgt. Die oben von mir hevorgehobenen Begrifflichkeiten lassen Auslegungsspielräume zu, die nach meinem Dafürhalten in einer Datenschutzrichtlinie nichts zu suchen haben. Schwammige Formulierungen wie „bestimmte Informationen“ oder „gewisse Informationen“, die eben nicht ausschließlich zu bestimmten Zwecken erwendet werden, sondern zur Identifizierung „verwendet werden können“. Welche daten also konkret wozu verwendet werden, erschließt sich dem Nutzer nicht abschließend.

Niantics Schiedverfahrensverzicht

Auch in die Pokemon Go Nutzungsbedingungen sollte sich jeder Spieler neben der Datenschutzrichtlinie einlesen. Dort heißt es in der Version vom 01.07.2016 etwa im Abschnitt Hinweis zu Schiedverfahren: „Ausgenommen Sie kündigen und außer bei bestimmten Arten von Unstimmigkeiten […] stimmen Sie zu, dass […] Sie auf das Recht auf ein Schwurgerichtsverfahren oder die teilnahme als Kläger oder Mitglied einer Sammelklägergruppe in einer sammelklage oder einer repräsentativen Gemeinschaftsklage verzichten.“

Durch diese sogenannte „Schiedsgerichts-Verzichtsklausel möchte sich der Hersteller vor zukünftigen Klagen schützen. bereits nach dem Wortlaut bezieht sich die Klausel aber auf das amerikanische Verfahrensrecht. Dies dürfte insoweit nicht für deutsche Spieler gelten, da das kalifornische Recht auf das deutsche Recht des BGB nicht anwendbar ist.

Muss der Spieler der Datenschutzrichtlinie zustimmen?

Ja. Wer das Spiel nutzen möchte, ist die Zustimmung der Datenschutzbestimmungen unerlässlich. Dass durch diese App ein erhöhtes Missbrauchsrisiko in Bezug auf die Daten vorliegt, lässt sich nicht abstreiten. Wer sich aber dennoch den Spaß am Fangen der kleinen Monster nicht nehmen lassen will, muss sich mit den Datenschutzbestimmungen abfinden.

Weiteres Problem In-App-Käufe

Eigentlich hat dies nur am Rande mit Datenschutz zu tun – ich will es dennoch nicht unerwähnt lassen. Die App an sich ist zwar kostenlos, aber man kann durch sogenannte In-App-Käufe virtuelle Güter, wie zum Beispiel „Pokemünzen“ erhalten. Dabei gestaltet sich der Kauf von virtuellen Gütern meist problematisch. Denn laut den Nutzungsbedingungen behält sich Niantic das Recht vor, virtuelles Geld oder virtuelle Güter ohne jegliche Verpflichtung den Nutzern gegenüber zu kontrollieren, zu regeln, zu verändern oder sogar zu entfernen. So könnte Niantic an Geld kommen, ohne die dazu vereinbarten Nebenleistungen zu bringen.

…und wenn ein Minderjähriger In-App-Käufe tätigt?

Zwar fordert Niantic, dass bei Kindern und Jugendlichen unter 18 Jahren eine Einwilligung der Eltern vorliegt, überprüfen lässt sich dies allerdings nicht. Auch bei virtuellen Gütern gelten die §§ 106ff. BGB. Demnach ist ein Kind ab dem siebten Lebensjahr nur beschränkt geschäftsfähig. Das heißt, dass es grundsätzlich ohne die Einwilligung oder die spätere Genehmigung der Eltern keine dieser Käufe tätigen kann. Eine Ausnahme dazu bietet der sogenannte Taschengeldparagraph § 110 BGB. Demnach kann ein Kind Käufe ohne Zustimmung der Eltern tätigen, wenn es das dafür benötigte Geld zu seiner freien Verfügung hat. Hier ist es allerdings streitig, wie hoch eine solche Summe anzusetzen ist. Unter Umständen können auch Schadensersatzansprüche gegen die Eltern geltend gemacht werden, wenn der Kauf wegen mangelnder Aufsicht (z.B. durch überlassen des Smartphones) getätigt wurde. In einem solchen Fall müssen die Eltern für den Vertrag des Kindes haften.