Pokémon Go hat ein fettes Datenschutzproblem. Datenschützer und Sicherheitsexperten laufen momentan Sturm. Niantic kassierte bereits eine Abmahnung vom Verbraucherschutz. Diese Miesepeter, alles machen die uns kaputt. Doch das Thema herunterzuspielen oder totzuschweigen macht es nicht besser. Das Problem besteht weiterhin. Also sollten wir darüber reden und nach Lösungen suchen, damit wir entspannt weiter Pokémon fangen können. Ein Gegenkommentar zu Philipp Steuers Meinungsbeitrag auf BASIC thinking.
Pokémon Go ist seit seinem Start förmlich durch die Decke gegangen. Immer neue Erfolge befeuern den nicht endend wollenden Hype um das AR-Game. Doch bei Pokémon Go geht es nicht nur um das Sammeln der kleinen Monster, sondern genauso um die Daten der User. Laut Daten- und Verbraucherschützer sowie Sicherheitsexperten greift Pokémon Go weitaus mehr personenbezogene Daten ab, als für den Spielbetrieb eigentlich notwendig wäre. Zudem räumt sich Niantic mit den Nutzungsbedingungen für das Spiel weitreichende Rechte ein, um etwa den Vertrag jederzeit zu ändern oder den Dienst vollständig einzustellen.
Ein unliebsames Thema, ich weiß. Es verdirbt einem geradezu jeglichen Spielspaß und am liebsten ignoriert man das Datenschutzgebrabbel. Mir geht es auch gar nicht darum, euch jetzt davon zu überzeugen, die Finger von Pokémon Go zu lassen. Trotzdem müssen wir uns mit diesem „Hassthema“ beschäftigen. Die Probleme verschwinden ja nicht einfach, bloß, weil wir sie wie Philipp Steuer herunterspielen. Seinen Kommentar halte ich trotz dieser kleinen Kritik für richtig. Wir machen uns Neuerungen oftmals mit unserer Einstellung selbst kaputt. Aber Datenschutz ist kein lapidares Thema, das wir unter den Teppich kehren sollten. Stattdessen ist es besser, darüber zu reden und Lösungen zu finden, damit alle damit gut leben können.
Neue Stellenangebote
Content- & Social Media Manager:in (m/w/d) fischerAppelt in Hamburg |
||
Content Creator Social Media (m/w/d) Erlebnisbauernhof Gertrudenhof GmbH in Hürth |
||
Studentisches Praktikum – Video- & Social-Media-Marketing im Bankwesen (m/w/d) Taunus Sparkasse in Bad Homburg vor der Höhe |
Wer hat Zugriff auf eure Daten?
Sicherheitsexperte Mike Kuketz hat sich für das Infoportal mobilsicher.de Pokémon Go genauer angeschaut. Neben der Auswertung der AGB, auf die ich später noch zu sprechen komme, hat er den Datenverkehr überwacht und dabei sehr interessante Beobachtungen gemacht. Auf seinem Blog präsentiert er seine Ergebnisse sehr anschaulich und ausführlich. Pokémon Go baut während des Spiels Verbindungen zu den Servern von Niantic und drei weiteren Unternehmen auf:
- Unity Technologies liefert für viele Computer- und Smartphone-Spiele die Game-Engine. Nebenbei betreiben sie auch einen Analyse- und Werbe-Dienst, um personalisierte Werbung auszuliefern
- Apteligent Inc. stellt Nutzeranalysen in Echtzeit zur Verfügung
- Upsight Inc. ist einen klassischen Tracking- und Marketing-Unternehmen. Sie analysieren Nutzerdaten und erarbeiten Profile für gezieltes Marketing
Alle drei Unternehmen haben ihren Firmensitz in Kalifornien, USA. Als Pokémon-Go-Trainer befindet man sich also bereits in bester Gesellschaft.
Welche Daten sendet Pokémon Go?
Steht noch die Frage im Raum, welche Daten an diese Unternehmen gesendet werden. Aus den veröffentlichen Logs von Kuketz geht hervor, dass unter anderem folgende Informationen übermittelt werden:
- Eindeutige Geräte-ID (bestehend vermutlich aus Device-ID und MD5 gehashtem Salt)
- Google-Werbe-ID
- Länderkennung
- Mobilfunkanbieter
- Code für das Mobilfunknetzwerk
- Geräteinformationen: Gerätebezeichnung; Plattform (Android/iOS), inklusive Version; Prozessor; Arbeitsspeicher; freier Speicherplatz intern/SD-Karte usw.
- Google-Kontoname oder E-Mail-Adresse (nur bei Anmeldung mit Google-Konto)
- Daten zu Pokémon Go + Analyse des Spielverlaufs: Username, App-ID, Erfahrungspunkte, Pokécoins, Level, gefangene Pokémon, mit Pokéball getroffen oder daneben geworfen, usw.
All diese Daten gehen an die weiter oben benannten Unternehmen. Kuketz Mitschnitte beziehen sich nur auf die Drittanbieter. Niantic selbst sammelt natürlich auch personenbezogene Daten, unter anderem Name, E-Mail-Adresse, Telefonnummer und GPS-Daten. Die Erfassung dieser Daten sei allerdings rechtlich unzulässig, da hierzu die App dekompiliert und der Quellcode modifiziert werden muss.
Im Grunde müssen wir es auch nicht genauer wissen. Die wenigen Logs genügen bereits, um zu sehen, wie hier gesammelt wird. Es ist das reinste Datengrab und nur darauf ausgelegt, eure personenbezogenen Daten abzugreifen, um sie dann vermutlich für Marketingzwecke zu verwerten. Noch viel schlimmer ist die Übermittlung in die USA. Das Safe-Harbor-Abkommen ist nicht mehr und nun soll das Ganze unter dem umstrittenen Folgeabkommen Privacy Shield erfolgen. Die freizügigen AGB von Niantic sorgen für das i-Tüpfelchen.
Reichlich Kritik an Niantics Nutzungsbedingungen
Der Verbraucherzentrale Bundesverband (vzbv) beanstandet insgesamt 15 Vertragsklauseln, die nach deutschem Recht unzulässig sind. Heiko Dünkel, Rechtsreferent beim vzbv, sagt: „Wer in Deutschland Geschäfte machen will, muss sich auch an die hier geltenden Verbraucherrechts- und Datenschutzstandards halten“. Harte, aber zutreffende Worte, besonders angesichts der monierten Klauseln. Niantic behält sich vor, den Vertrag jederzeit zu ändern oder aufzuheben, falls der Dienst eingestellt wird. Eine Erstattung von In-App-Käufen wird in diesem Fall verweigert. Genauso sollen die Haftung und die Gewährleistung nach kalifornischem Recht erfolgen. Wer dem nicht im Vorfeld widerspricht, müsse sich laut vzbv im Streitfall an ein US-Schiedsgericht wenden.
Bezüglich des Datenschutzes verlangt Niantic noch mehr Freifahrtscheine. In den Augen des vzbv sind die geforderten Einwilligungserklärungen schwer verständlich und zu weitreichend. Neben dem obligatorischen Passus, dass Daten auch an Strafverfolgungsbehörden herausgegeben werden dürfen, kann Niantic quasi auch nach Gutdünken personenbezogene Daten an Drittanbieter weitergeben.
Niantic räumt ganz geschickt den drei oben aufgeführten Unternehmen das Recht ein, dass sie als Service-Anbieter auftreten und damit auch Zugriff auf personalisierte Daten erhalten. Welche Zwecke damit verbunden sind, wird nicht näher erläutert. Clever, denn alle anderen Drittanbieter sollen dieses Option nicht erhalten.
Die Zeche zahlt ihr, wer sonst?
Ihr bezahlt beim Spielen von Pokémon Go mit euren Daten und das nicht zu knapp. Das muss euch bewusst sein. Also verwendet besser einen eigenen Google-Account oder besser noch ein Pokémon-Club-Konto zum Spielen und überlegt euch, welche Standorte ihr Niantic mitteilen wollt. Schaltet die GPS-Ortung ein paar Kilometer vorher ab. Sicher vor der Datensammelwut seid ihr leider nur, wenn ihr gänzlich auf Pokémon Go verzichtet. Es kommt auf Niantic an, ob sie den Datenhahn zudrehen, was ich mir allerdings kaum vorstellen kann. Pokémon Go ist die reinste Goldgrube. Alleine wenn ich mir anschaue, wie mittlerweile bereits Unternehmen mit und über Pokémon Go werben. Auch die entstehende App-Kultur ist schon beachtlich.
Ich finde es schade, dass wir einer Welt leben, in der ungefragtes Datensammeln mittlerweile schon zum „best practice“ zählt. Es spricht nichts dagegen, Daten zu sammeln, aber dann sollte das bitteschön auch klar kommuniziert werden. Genauso, wenn ein Entwickler bei einer Fehlfunktion seiner Anwendung einen Absturzbericht haben möchte. Aber dann sollte er doch bitte auch den Nutzer fragen, ob er dieses senden möchte. So versaut einem diese dreiste Datensammelwut jegliche Freude am Spiel.
Worum geht’s in Pokémon nochmal? Genau, alle verfügbaren Pokémon fangen und Pokémon-Meister werden und nicht um den Meistertitel im Datenabgreifen. Und nicht vergessen, auch in der echten Welt lauern einige Gefahren.