Technologie

Pokémon Go: Wir müssen uns über den Datenschutz unterhalten! [Gegenkommentar]

Pokemon Go
geschrieben von Markus Werner

Pokémon Go hat ein fettes Datenschutzproblem. Datenschützer und Sicherheitsexperten laufen momentan Sturm. Niantic kassierte bereits eine Abmahnung vom Verbraucherschutz. Diese Miesepeter, alles machen die uns kaputt. Doch das Thema herunterzuspielen oder totzuschweigen macht es nicht besser. Das Problem besteht weiterhin. Also sollten wir darüber reden und nach Lösungen suchen, damit wir entspannt weiter Pokémon fangen können. Ein Gegenkommentar zu Philipp Steuers Meinungsbeitrag auf BASIC thinking.

Pokémon Go ist seit seinem Start förmlich durch die Decke gegangen. Immer neue Erfolge befeuern den nicht endend wollenden Hype um das AR-Game. Doch bei Pokémon Go geht es nicht nur um das Sammeln der kleinen Monster, sondern genauso um die Daten der User. Laut Daten- und Verbraucherschützer sowie Sicherheitsexperten greift Pokémon Go weitaus mehr personenbezogene Daten ab, als für den Spielbetrieb eigentlich notwendig wäre. Zudem räumt sich Niantic mit den Nutzungsbedingungen für das Spiel weitreichende Rechte ein, um etwa den Vertrag jederzeit zu ändern oder den Dienst vollständig einzustellen.

Ein unliebsames Thema, ich weiß. Es verdirbt einem geradezu jeglichen Spielspaß und am liebsten ignoriert man das Datenschutzgebrabbel. Mir geht es auch gar nicht darum, euch jetzt davon zu überzeugen, die Finger von Pokémon Go zu lassen. Trotzdem müssen wir uns mit diesem „Hassthema“ beschäftigen. Die Probleme verschwinden ja nicht einfach, bloß, weil wir sie wie Philipp Steuer herunterspielen. Seinen Kommentar halte ich trotz dieser kleinen Kritik für richtig. Wir machen uns Neuerungen oftmals mit unserer Einstellung selbst kaputt. Aber Datenschutz ist kein lapidares Thema, das wir unter den Teppich kehren sollten. Stattdessen ist es besser, darüber zu reden und Lösungen zu finden, damit alle damit gut leben können.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Wer hat Zugriff auf eure Daten?

Sicherheitsexperte Mike Kuketz hat sich für das Infoportal mobilsicher.de Pokémon Go genauer angeschaut. Neben der Auswertung der AGB, auf die ich später noch zu sprechen komme, hat er den Datenverkehr überwacht und dabei sehr interessante Beobachtungen gemacht. Auf seinem Blog präsentiert er seine Ergebnisse sehr anschaulich und ausführlich. Pokémon Go baut während des Spiels Verbindungen zu den Servern von Niantic und drei weiteren Unternehmen auf:

  • Unity Technologies liefert für viele Computer- und Smartphone-Spiele die Game-Engine. Nebenbei betreiben sie auch einen Analyse- und Werbe-Dienst, um personalisierte Werbung auszuliefern
  • Apteligent Inc. stellt Nutzeranalysen in Echtzeit zur Verfügung
  • Upsight Inc. ist einen klassischen Tracking- und Marketing-Unternehmen. Sie analysieren Nutzerdaten und erarbeiten Profile für gezieltes Marketing

Alle drei Unternehmen haben ihren Firmensitz in Kalifornien, USA. Als Pokémon-Go-Trainer befindet man sich also bereits in bester Gesellschaft.

Welche Daten sendet Pokémon Go?

Steht noch die Frage im Raum, welche Daten an diese Unternehmen gesendet werden. Aus den veröffentlichen Logs von Kuketz geht hervor, dass unter anderem folgende Informationen übermittelt werden:

  • Eindeutige Geräte-ID (bestehend vermutlich aus Device-ID und MD5 gehashtem Salt)
  • Google-Werbe-ID
  • Länderkennung
  • Mobilfunkanbieter
  • Code für das Mobilfunknetzwerk
  • Geräteinformationen: Gerätebezeichnung; Plattform (Android/iOS), inklusive Version; Prozessor; Arbeitsspeicher; freier Speicherplatz intern/SD-Karte usw.
  • Google-Kontoname oder E-Mail-Adresse (nur bei Anmeldung mit Google-Konto)
  • Daten zu Pokémon Go + Analyse des Spielverlaufs: Username, App-ID, Erfahrungspunkte, Pokécoins, Level, gefangene Pokémon, mit Pokéball getroffen oder daneben geworfen, usw.

All diese Daten gehen an die weiter oben benannten Unternehmen. Kuketz Mitschnitte beziehen sich nur auf die Drittanbieter. Niantic selbst sammelt natürlich auch personenbezogene Daten, unter anderem Name, E-Mail-Adresse, Telefonnummer und GPS-Daten. Die Erfassung dieser Daten sei allerdings rechtlich unzulässig, da hierzu die App dekompiliert und der Quellcode modifiziert werden muss.

Im Grunde müssen wir es auch nicht genauer wissen. Die wenigen Logs genügen bereits, um zu sehen, wie hier gesammelt wird. Es ist das reinste Datengrab und nur darauf ausgelegt, eure personenbezogenen Daten abzugreifen, um sie dann vermutlich für Marketingzwecke zu verwerten. Noch viel schlimmer ist die Übermittlung in die USA. Das Safe-Harbor-Abkommen ist nicht mehr und nun soll das Ganze unter dem umstrittenen Folgeabkommen Privacy Shield erfolgen. Die freizügigen AGB von Niantic sorgen für das i-Tüpfelchen.

Reichlich Kritik an Niantics Nutzungsbedingungen

Der Verbraucherzentrale Bundesverband (vzbv) beanstandet insgesamt 15 Vertragsklauseln, die nach deutschem Recht unzulässig sind. Heiko Dünkel, Rechtsreferent beim vzbv, sagt: „Wer in Deutschland Geschäfte machen will, muss sich auch an die hier geltenden Verbraucherrechts- und Datenschutzstandards halten“. Harte, aber zutreffende Worte, besonders angesichts der monierten Klauseln. Niantic behält sich vor, den Vertrag jederzeit zu ändern oder aufzuheben, falls der Dienst eingestellt wird. Eine Erstattung von In-App-Käufen wird in diesem Fall verweigert. Genauso sollen die Haftung und die Gewährleistung nach kalifornischem Recht erfolgen. Wer dem nicht im Vorfeld widerspricht, müsse sich laut vzbv im Streitfall an ein US-Schiedsgericht wenden.

Bezüglich des Datenschutzes verlangt Niantic noch mehr Freifahrtscheine. In den Augen des vzbv sind die geforderten Einwilligungserklärungen schwer verständlich und zu weitreichend. Neben dem obligatorischen Passus, dass Daten auch an Strafverfolgungsbehörden herausgegeben werden dürfen, kann Niantic quasi auch nach Gutdünken personenbezogene Daten an Drittanbieter weitergeben.

pokemon-go-privacy

Datenschutzrichtline für Pokémion Go (Auszug, Quelle: Niantic)

Niantic räumt ganz geschickt den drei oben aufgeführten Unternehmen das Recht ein, dass sie als Service-Anbieter auftreten und damit auch Zugriff auf personalisierte Daten erhalten. Welche Zwecke damit verbunden sind, wird nicht näher erläutert. Clever, denn alle anderen Drittanbieter sollen dieses Option nicht erhalten.

Die Zeche zahlt ihr, wer sonst?

Ihr bezahlt beim Spielen von Pokémon Go mit euren Daten und das nicht zu knapp. Das muss euch bewusst sein. Also verwendet besser einen eigenen Google-Account oder besser noch ein Pokémon-Club-Konto zum Spielen und überlegt euch, welche Standorte ihr Niantic mitteilen wollt. Schaltet die GPS-Ortung ein paar Kilometer vorher ab. Sicher vor der Datensammelwut seid ihr leider nur, wenn ihr gänzlich auf Pokémon Go verzichtet. Es kommt auf Niantic an, ob sie den Datenhahn zudrehen, was ich mir allerdings kaum vorstellen kann. Pokémon Go ist die reinste Goldgrube. Alleine wenn ich mir anschaue, wie mittlerweile bereits Unternehmen mit und über Pokémon Go werben. Auch die entstehende App-Kultur ist schon beachtlich.

Ich finde es schade, dass wir einer Welt leben, in der ungefragtes Datensammeln mittlerweile schon zum „best practice“ zählt. Es spricht nichts dagegen, Daten zu sammeln, aber dann sollte das bitteschön auch klar kommuniziert werden. Genauso, wenn ein Entwickler bei einer Fehlfunktion seiner Anwendung einen Absturzbericht haben möchte. Aber dann sollte er doch bitte auch den Nutzer fragen, ob er dieses senden möchte. So versaut einem diese dreiste Datensammelwut jegliche Freude am Spiel.

Worum geht’s in Pokémon nochmal? Genau, alle verfügbaren Pokémon fangen und Pokémon-Meister werden und nicht um den Meistertitel im Datenabgreifen. Und nicht vergessen, auch in der echten Welt lauern einige Gefahren.

Über den Autor

Markus Werner

Markus Werner ist Redakteur.

5 Kommentare

  • Richtig guter Artikel wie ich finde. Datenschutz wird da noch nicht gross geschrieben trotz aller Hype-Entwicklung und dafür wird es endlich mal Zeit! Gut gegenübergestellt mit der Realitätssicht und diese dabei nicht zu vergessen. Ich hatte das auch mal auf meinem Blog diskutiert und reichlich Häme der Pokomon-Go-Anhänger eingefahren. Man sollte wirklich das ganze betrachten (auch die Entwicklung und die Patches und die Sicherheit) – und nicht nur die süssen Monster, die man überall jagen kann. LG aus Bochum

  • Ein Wahnsinns-Trend 😉
    Obwohl ich ihn für sehr bedenklich halte… Warten wir mal bis es die ersten Aufschreie gibt.

    In diesem Sinne ein schönes Wochenende.

  • Es ist ja auch ein rhetorischer Trick zu behaupten, wenn jemand das Datenschutzproblem thematisiert würde dieser Mensch sofort das ganze Spiel verbieten, vermiesen. So kommen wir nie weiter diese Probleme zu lösen. Mit dem Artikel schon! Danke!

  • Danke für den differenzierten Artikel, der die Datenschutzproblematik fachkundig darstellt. Ich frage mich nur, wie sich die Diskussion ausgerechnet an Pokemon go entzündet. Bei dem vielgenutzten Facebook handelt es sich beispielsweise noch um wesentlich sensiblere Daten. Pokemon go ist da eher ein Epiphänomen, in einer langen Reihe von nicht weniger problematischen Vorgängern. Letztlich ist dies auch nicht den Unternehmen vorzuwerfen, sondern der Politik, welche offenbar immer noch nicht imstande ist, internationale (und sogar häufig auch nationale) Datenschutzregelungen aufzustellen UND durchzusetzen. Unternehmen werden immer alle rechtlichen Spielräume ausnutzen. Es ist aber an der Politik, hier Grenzlinien zu ziehen und – meiner Ansicht nach ebenso wichtig – diese bei Überschreiten auch mit entsprechenden Geldeinbußen auch zu ahnden. Von daher halte ich wenig von einer Personifizierung des Bösen in Form einzelner fragwürdiger Firmen. Genau dies sollte eher ein Aufruf an die Politik sein, sich mit dem Thema wirklich auseinanderzusetzen…