„Es sträuben sich mir die Nackenhaare“: Pokémon Go schnappt sich eine ganze Menge an sensiblen Daten
„Schnapp sie dir alle.“ Das Motto des gehypten Smartphone-Spiels Pokémon Go kann man nicht nur auf die virtuelle Monsterjagd anwenden, sondern auch auf die Datensammelei der App ummünzen. Denn der Macher Niantic Labs (eine ehemalige Google-Firma, in die Nintendo, die Pokémon Company und Google gemeinsam 20 Mio. US-Dollar investiert haben) bieten ihre Nutzern ein Gratis-Spiel, für das sie im Gegenzug eine ganze Menge Daten auf ihre Server in den USA übertragen bekommen. Was mit diesen Daten, die auch detailgenaue Standortinformationen enthalten, genau passiert, bleibt dabei im Unklaren. Fest steht, dass sie an andere Firmen weitergegeben werden und im Falle des Falles auch staatlichen Behörden ausgehändigt werden würden.
„Durch die GPS-Informationen wird jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, sagt Heutger, IT-Sicherheitsexperte bei der PSW Group, einem IT-Dienstleister mit Schwerpunkt auf Sicherheitsthemen. Die Nutzungsbedingungen von Pokémon Go seien so schwammig formuliert, dass quasi alles mit den Daten gemacht werden könnte. „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet“, so Heutger.
Welche Daten werden erfasst?
Gerätekennung, Nutzereinstellungen, das Betriebssystem des Smartphones, Informationen über den Standort (via Mobilfunk-Basisstationen-Triangulation, WLAN-Triangulation und GPS), Alter, Name, E-Mail-Adresse, Nutzername und natürlich Daten über die Interaktion mit dem Spiel selbst – all das braucht Niantic Labs, um den Nutzer spielen zu lassen. Übertragen werden die Daten an Server in den USA, und es ist bereits bekannt, dass die Nutzungsprofile an die drei Firmen Unity Technologies, Apteligent und Upsight weitergegeben werden. Letztere Firma ist auf mobiles Marketing und User-Tracking spezialisiert. Damit ist auch klar, dass Niantic Labs auf standortbezogene und personalisierte Werbung setzen wird, die das Game neben In-App-Käufen finanzieren soll. Und: Falls Niantic Labs an eine andere Firma verkauft wird, werden die personenbezogenen Daten „als Unternehmenswerte erachtet“, die an den neuen Eigentümer gehen.
Die deutsche Verbraucherschutzzentrale (vzbv) hat die Entwickler von Pokémon Go wegen 15 Klauseln in den erwähnten Nutzungsbedingungen abgemahnt und bis 9. August eine Unterlassungserklärung gefordert. Kommt Niantic dieser Forderung nicht nach, wird eine Klage geprüft. „Die Datenschutzerklärung verletzt nach Auffassung des vzbv deutsches Datenschutzrecht, etwa durch schwer verständliche oder zu weitreichende Einwilligungserklärungen. So können personenbezogene Daten nach Ermessen von Niantic unter anderem an private Dritte weitergegeben werden“, heißt es. Eine Reaktion von Niantic bleibt noch abzuwarten. Dass es die Entwickler mit dem Schutz der Nutzerdaten nicht so genau nehmen, zeigte sich beim Start. Nutzern, die sich mit ihrem Google-Account anmeldeten, fiel auf, dass sich die App den Zugriff auf das gesamte Konto nahm und und so die volle Kontrolle etwa über einen Gmail-Account bekommen konnte. Von den Machern der App wurde das als „Fehler“ abgetan, der behoben werden soll.
„Bei der Suche nach Pokémon-Monstern werden umfassend Daten erhoben, vor allem Standort- und Protokolldaten, die auch Dritten offengelegt werden“, so der Rechtsanwalt Michael Pachinger gegenüber „Die Presse“. „Vom Datentransfer in die USA einmal ganz abgesehen, hat dies mit europäischem Datenschutz, vor allem mit der ab 2018 geltenden Datenschutz-Grundverordnung, wenig zu tun.“
Wer die Daten über sich löschen lassen möchte, kann das übrigens nicht einfach in der App tun. Dazu muss man derzeit einen Antrag auf Löschung via eMail an pokemongo-privacy@nianticlabs.com senden.