Pokémon Go: Fliegen mit den Pokémons auch Ihre Daten wild herum?

Pokémon GO bedeutet: Der Nutzer gibt freiwillig dem Hersteller der App umfangreiche Smartphone-Daten heraus. Niantic Labs verschafft sich Zugang zu dem im Handheld-Mobilgerät befindlichen Bildern und Videoaufnahmen sowie auf die verwendeten Konten, erkennt den Standort und die GPS-Daten, nimmt eine Aktivitätserkennung vor, unternimmt einen Netzwerkzugriff und erfasst den Ruhezustand des Smartphones. Die App erstellt Bewegungsprofile. Zudem können andere Spieler den Standort und Benutzernamen sehen.

Zur Registrierung bedarf es eines Accounts von Google oder der Pokémon-Seite, die aber zeitweise keine neuen Mitglieder aufnahm, so besteht nur die Möglichkeit über Google. Und sofort wurde in der Öffentlichkeit hinterfragt, ob und wie die App auf das Google-Konto zugreift. Zunächst hatte sich die iOS-Version in der Version 1.00 umfassende Zugriffsrechte auf das Google-Konto des Nutzers einräumen lassen, also auch auf alle E-Mails etc.. Der Hersteller stellte schnell klar, dies wäre ein Fehler gewesen und sei mit der Version 1.01 behoben. So soll die App nur noch Zugriff auf "Allgemeine Informationen zum Konto (Wissen, wer Sie auf Google sind / Ihre E-Mail-Adresse abrufen)" gewähren, was jeder Nutzer über die Google-Konto-Seite selbst überprüfen kann. Dort können der App die Rechte auch wieder entzogen werden. Die Android-App soll nach Angaben von Niantic Labs hiervon nicht betroffen gewesen sein.

Eine Empfehlung bei der Registrierung wäre es also, beim Google-Account die Zugriffsrechte der App zu beschränken, das Deinstallieren einer App bewirkt diesbezüglich nichts. Wer sich erst registrieren will, könnte auch einen eigenen Google-Account nur für die App dafür erstellen, dann spielt es keine Rolle, wie viele Daten die App erhält.

Der Datenschutz ist veraltet: Ein "anonymes" Spielen ist praktisch unmöglich: Google war als ehemaliger Inhaber des Unternehmens Investor der App, so erklärt sich die Konzentration auf die Google-Accounts. Ausweislich der Datenschutzerklärung zur Übermittlung von Daten in die USA wird auf „Safe Harbor“ als vertrauensbildende Maßnahme verwiesen. „Safe Harbor“ ist in Europa nicht rechtsgültig, wurde schon 2015 vom Europäischen Gerichtshof verboten.

Nach den Geschäftsbedingungen der App räumt sich Niantic Labs das Recht ein, „jegliche Informationen über Sie ..., die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte offenzulegen, wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten“. Mit anderen Worten: Die Daten des Nutzers sind nicht mehr seine, der Hersteller kann und wird diese an wen auch immer (Werbebranche, Geheimdienste) weitergeben, der NSA kann also mitlesen, wir kennen das von George Orwell in „1984: Big brother is watching you“. Der Nutzer wird nie erfahren, ob und i n welchem Umfang das geschieht.

In Deutschland müssen zwar gegebenenfalls auch Daten zu Strafverfolgungszwecken herausgegeben werden, doch die Weitergabe an "private Beteiligte" und "Regierungen" ist mehr als kritisch zu hinterfragen. So sagen die Nutzungsbedingungen auch nichts dazu, wann etwas weitergegeben werden darf, das wird in das "Erachten" beziehungsweise "Ermessen" des Betreibers gestellt und auch auf merkwürdige Begriffe wie "unethisch" gestützt. Nach deutschem Recht hat der Nutzer ein Recht darauf zu erfahren, wer welche Daten wie lange und zu welchem Zweck speichert, das passiert hier bei Pokémon Go nicht.

Jeder Nutzer von Pokémon Go sollte wissen, dass sein Spielverhalten inklusive der aktuellen Geolokalisierung erfasst wird und diese Daten in den USA verarbeitet werden, einem Land, in dem der Datenschutz nicht so hoch gehalten wird wie in Europa. Niantic Labs räumt sich ein, diese Daten auch für weitere nicht näher bezeichnete Zwecke auszuwerten. Soweit die Daten auch Dritten zur Verfügung gestellt werden können, sollen nach den Nutzungsbedingungen nicht die personenbezogenen Daten betroffen sein. Da aber amerikanische Unternehmen andere Vorstellungen davon haben, wann der Personenbezug bei Daten entfällt, in der Regel wird dies nur auf den Echtnamen bezogen, bestünde eine Kollision zum deutschem Recht, weil dadurch in der Regel nicht der Personenbezug entfällt, wie beispielsweise bei den Positionsdaten, die Aussagen über das Lebensverhalten, Wohnhaus oder auch die Arbeitsstelle ermöglichen.

Kritisch ist zu würdigen, dass die konkrete Einwilligung des Nutzers zur Übermittlung der Daten in die USA, Datenerhebung über Nutzerverhalten, Weitergabe an Dritte etc. nicht etwas gesondert abgefragt und die Einwilligung hierzu protokolliert wird, sondern in der Datenschutzerklärung mitumfasst ist.

Konkreten Angaben zu Löschfristen sehen die Nutzungsbedingungen nicht vor. Sofern ein Nutzer um die Löschung seiner Daten bitten wird, behält sich Niantic Labs vor, diese Daten trotzdem weiter zu speichern: „Bitte beachten sie jedoch, dass einige Informationen in archivierten/gesicherten Kopien für unsere Aufzeichnungen oder falls anderweitig gesetzlich erforderlich, verbleiben könnten.“

Und was gilt bei rechtlichen Problemen mit Pokémon Go? Nach den Nutzungsbedingungen gilt das Recht von Kalifornien, der Nutzer darf sich dann dort einen Anwalt nehmen, um seine Rechte in die Hand zu nehmen. Das US-Unternehmen Niantik dürfte über keine Niederlassung in der EU verfügen.

Unüblich ist die "Schiedsgerichts-Verzichtsklausel": "Wenn Sie Niantic keine Schiedsverfahrens-Verzichtserklärung innerhalb der 30-Tagesfrist zukommen lassen, wird davon ausgegangen, dass Sie wissentlich und vorsätzlich von Ihrem Recht, jede Unstimmigkeit vor Gericht klären zu lassen, zurückgetreten sind [...]". Diese Klausel kann unmöglich deutsches Recht berühren, immerhin ist die App auch für deutsche Spieler programmiert, die deutsche Sprache kann gewählt werden. Ob vor diesem Hintergrund überhaupt kalifornisches Recht gelten kann, ist nach dem Bürgerlichen Gesetzbuch mehr als nur fraglich. Dann wären die Regeln über das Schiedsverfahren und zum Rechtsverzicht überraschend und damit unwirksam.

Deutsche Verbraucherschützer haben den US-Entwickler von "Pokémon Go" wegen fehlenden Datenschutzes nun auch abgemahnt. Insgesamt würden 15 Klauseln aus den Nutzungs- und Datenschutzbestimmungen beanstandet, teilte der Bundesverband der Verbraucherzentralen (vzbv) mit. Gebe Niantic keine Unterlassungserklärung ab, drohe ein Klageverfahren.


Verfasser/in: RA Bastian Kaumanns
 
Webdesign & CMS by bekalabs Webmedien