Verschlüsselung

Pokémon GO: virtuelle Monster bringen reelle Datenschutz-Probleme

15. Juli 2016
  • Verschlüsselung

© djile & Arūnas Gabalis - Fotolia.com

Pokémon GO heißt der neueste Hype auf dem Smartphone: die Augmented Reality-App (AR-App) versetzt die kleinen virtuellen Monster in unsere reale Welt – und bringt genauso reale Datenschutz-Bedenken mit. Wir erklären, wer hinter der App steckt, wie diese sich finanziert und welche datenschutzrechtlichen Probleme das AR-Game mit sich bringt.

Pokémon GO: eine App geht durch die Decke

„Hype“ ist fast schon ein zu kleines Wort für das, was aktuell mit Pokémon GO passiert: via GPS macht das Smartphone des Gamers diesen auf mehr als 100 Pokémon aufmerksam, die der Spieler einfängt und gegeneinander kämpfen lässt. Klingt kurzweilig und spaßig. Die Auswüchse, die das AR-Game mit sich bringt, sind aber gigantisch: in den USA verbringen die User mittlerweile mehr Zeit mit dem Daddeln des Games als auf Facebook. Am Mittwoch kam das Spiel auch nach Deutschland und führt seither nahezu alle App-Charts an.

Überall sieht man Menschen, die auf ihr Handy starren und mit Pokébällen auf die virtuellen Monster schießen. Menschen sind verwirrt, dass sich aufs Smartphone starrende Fremde in ihre Gärten und Einfahrten verirren. In den USA wird unter anderem im Holocaust-Museum gedaddelt – inmitten der Erinnerungen an die Opfer des Nationalsozialismus. Das Museum in Washington, DC wehrt sich mittlerweile und möchte aus dem Spiel herausgenommen werden. Gerade lesen wir von Pokémon-Jagden in Auschwitz. Selbst im Straßenverkehr wird in den USA gedaddelt: zahlreiche Autounfälle waren die Folge. Der ADAC und die Berliner Polizei warnen vor ähnlichen Auswüchsen in Deutschland.

Wer steckt eigentlich hinter dem Augmented Reality-Game?

Im Jahre 2014 sehen wir schon die Ursprünge von Pokémon GO: Google brachte einen Aprilscherz mit dem Konzept; die Monster aus dem Spiel wurden im hauseigenen Dienst Google Maps versteckt. Der Entwickler der jetzigen Hype-App ist Niantic. Von ihm stammt auch die App Ingress, es ist also nicht das erste AR-Game aus dem Hause. John Hanke ist der Kopf von Niantic. Sein ehemaliges Start-up Keyhole wurde im Jahre 2004 von Google aufgekauft. Mit dem Kauf wurde Hanke zum Hauptbeauftragten fürs Verarbeiten geografischer Daten, er arbeitete maßgeblich an der Google Maps-Entwicklung mit.

Und wie wird mit der App Geld verdient?

Die Pokémon GO-App wird kostenfrei für iOS und Android angeboten. Man kann durch In-App-Käufe die Monster trainieren und zusätzliche Features freischalten; die Kosten liegen bei 99 Cent bis 99,99 Euro. Derzeit wird zudem an einem Konzept für ein weiteres Werbeformat gearbeitet: John Hanke erklärte gegenüber der Financial Times, man wolle „gesponserte Locations“ einführen.

Bedeutet: Unternehmen können künftig dafür bezahlen, eine der Anlaufstationen für die virtuelle Pokémon-Welt zu werden. Im Spiel nennen sich diese Anlaufstationen Pokéstops oder auch Arenen. Hankes Ziel: so könne man Laufkundschaft erhalten. Bisher haben Ladenbetreiber wenig Mitspracherecht und sehen sich zuweilen mit Besucheranstürmen konfrontiert, mit denen sie erst mal klarkommen müssen. Dafür sieht Hanke das „Cost per Visit“-Modell als sinnvoll an: jeder Spieler, der durch das Game ins Geschäft geführt wird, kostet den Ladenbesitzer. Durch das aktivierte GPS-Signal lassen sich Nutzer und Geräte sehr klar lokalisieren, was die Abrechnung vereinfachen würde.

Der Spielehersteller Nintendo ist der größte Profiteur: die Aktie des Japaners schoss in den vergangenen Tagen immens in die Höhe, Tendenz weiter steigend. Jedoch besitzt Nintendo lediglich Lizenzrechte, und das nicht mal alleine. Die Rechte werden mit der Pokémon Company geteilt, die zum Teil wieder Nintendo gehört. Analysten schätzen, dass beide rund 40 % aller Einnahmen aus Pokémon GO erhalten.

Apple und Google verdienen ebenfalls: 30 % der Einnahmen gehen an die jeweiligen App Stores, womit diese mehr verdienen als Nintendo selbst (Aktienwerte ausgelassen). Google verdient zudem indirekt mit: Niantic Labs ist eine Ausgründung von der Google-Mutter-Holding Alphabet. Alphabet ist nach wie vor mit Risikokapital an dem Entwickler beteiligt, Nintendo gehört ebenfalls zu den Investoren.

Pokémon GO verlangt sehr viele Rechte

Unter Android greift die Version 0.29.2 auf Folgendes zu:

  • Identität: Konten auf dem Gerät suchen
  • Kontakte: Konten auf dem Gerät suchen
  • Standort:
    • Genauer Standort (GPS- und netzwerkbasiert)
    • Ungefährer Standort (netzwerkbasiert)
  • Fotos/Medien/Dateien:
    • USB-Speicherinhalte ändern oder löschen
    • USB-Speicherinhalte lesen
  • Speicher:
    • USB-Speicherinhalte ändern oder löschen
    • USB-Speicherinhalte lesen
  • Kamera: Bilder und Videos aufnehmen
  • Sonstige:
    • Daten aus dem Internet abrufen
    • Vibrationsalarm steuern
    • Pairing mit Bluetooth-Geräten durchführen
    • Auf Bluetooth-Einstellungen zugreifen
    • Zugriff auf alle Netzwerke
    • Konten auf dem Gerät verwenden
    • Netzwerkverbindungen abrufen
    • Ruhezustand deaktivieren

Sinnhaftigkeit dieser Rechtevergabe

Das Aufnehmen von Bildern und Videos ist notwendig, denn das Spiel wird im Kamera-Modus gespielt. Auch GPS ist unabdingbar, denn die App muss wissen, ob sich nahe beim Spieler Pokémon, Arenen oder Pokéstops befinden. Auch der Speicherzugriff muss sein: dort werden Speicherdaten ausgelesen, beispielsweise der Speicherstand, wenn Sie eine neue Runde spielen möchten. Das Gros des aktuellen Speicherstands wird allerdings über den Google-Account des Spielers oder aber über den Trainer-Club-Account abgewickelt – sicher wäre es eine Überlegung wert, alle Daten ein- oder auszulagern und sich für eine Methode zu entscheiden.

Das Suchen und Verwenden von Konten auf dem Gerät erlaubt der App, eine Liste anzufertigen, auf der alle Log-ins zu finden sind, die Sie auf Ihrem Smartphone benutzen. Haben Sie also Konten durch Ihre heruntergeladenen Apps erstellt, werden diese ebenfalls dieser Liste hinzugefügt. Die App bekommt zudem das Recht, Authentifizierungs-Token anzufordern. Diese zeigen dem Pokémon GO-Server, dass Sie berechtigter Nutzer sind und die Verbindung wird hergestellt. So müssen Sie sich nach einem ersten Anmelden nur noch selten einloggen. Melden Sie sich erstmals über Google an und haben Sie Ihren Google-Account mit Ihrem E-Mail-Programm auf dem Smartphone verknüpft, berechtigen Sie die App, sich die Liste aus Apps zu nehmen und sich für Sie einzuloggen.

Die Berechtigungen um den Netzwerkzugriff erlauben der App das Erkennen Ihres Online-Status‘. Weiter kann Pokémon GO auf Ihre Internetverbindung zugreifen und somit Daten sowohl senden als auch herunterladen. Besitzen Sie ein Pokémon GO Plus, ein Armband, das Sie mit der App verknüpfen, ist diese Berechtigung unabdingbar. Die Berechtigung sorgt dafür, dass das Spiel Verbindungen zu Geräten herstellen und Ihr Smartphone so konfigurieren darf, dass Bluetooth-Verbindungen möglich sind. Das Deaktivieren des Ruhezustands und Steuern des Vibrationsalarms ist deshalb wichtig, damit Sie benachrichtigt werden, ob sich ein Pokémon in Ihrer Nähe aufhält.

Datenschutzbedenken sind hoch

© sdecoret - Fotolia.com
© sdecoret – Fotolia.com

Unter iOS wurde ein uneingeschränkter Zugriff aufs Google-Konto verlangt, der mit einem Update künftig entfernt werden soll. Mit diesem Zugriff war es möglich, sämtliche Google-Inhalte, die Sie in Ihrem Account nutzen, zugänglich zu machen: die Dokumente, die in Google Drive liegen, genauso wie die Inhalte Ihrer Mails. Niantic hat einen Fehler eingeräumt und kündigt Besserung an.

Bedenken Sie nun aber, dass sich Niantic als Start-up innerhalb des Google-Konzerns gründete, lässt sich bereits erahnen, dass Daten für das Unternehmen irgendwie wichtig sein könnten. Beim Lesen der Datenschutzbedingungen kann einem das kalte Grausen kommen! Nicht alles an dieser Datenschutzrichtlinie ist kritikwürdig: dass die Richtlinie deutschsprachig veröffentlicht und dass betont wird, dass Kinder vom Nutzer zu ermächtigen sind, ist positiv. Es muss sich ein Elternteil bzw. ein gesetzlicher Vertreter über den hauseigenen Pokémon Trainer Club („PTC“) anmelden, um einen Account für Kinder unter 13 Jahren zu erstellen. Nach der Verifikation des Elternteils müssen Erziehungsberechtigte erneut der Account-Erstellung zustimmen.

Beim weiteren Lesen der Datenschutzrichtlinie fällt auf, dass sich Niantic darin weitestgehend unklar ausdrückt: schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten denn tatsächlich gesammelt und/ oder weitergegeben werden. Das äußert sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“

Schwammig geht es weiter

Auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, sind schwammig formuliert: „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet, wenn Sie (oder das von Ihnen ermächtigte Kind) unsere Services nutzen wie Gerätekennung, Nutzereinstellungen und das Betriebssystem Ihres Gerätes (oder das des von Ihnen ermächtigen Kindes) sowie die Informationen über Ihre Nutzung unseres Services, während Sie das Mobilgerät verwenden. Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern und für Sie (oder das von Ihnen ermächtigte Kind) zu verbessern und zu personalisieren.“ Im Absatz 3, „Weitergabe von Informationen an Drittanbieter“, fällt der Konjunktiv extrem auf: nahezu jeder Absatz beginnt mit „Wir könnten …“.

Insgesamt bleibt unklar, auf welche Daten die App zugreift. Beim Login äußert Niantic beispielsweise, dass „bestimmte Informationen“ eingeholt werden, „die zur Identifizierung genutzt werden können“. Welche Daten wie gespeichert werden, geht nicht konkret aus den Datenschutzbedingungen hervor. Je nachdem, wie die Daten denn nun gespeichert werden, wäre es nämlich extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen.

Wenn Sie spielen, sammelt die App weiter. Neben dem Usernamen wären dies „zum Beispiel“ Benachrichtigungen, die Sie an Mitspieler senden. Dieses Feature existiert bislang nicht, Niantic scheint sich hier für künftige Weiterentwicklungen schon abzusichern. Durch die GPS-Informationen wird jeder Wegpunkt, den Sie beim Spielen zurücklegen, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo Sie leben und arbeiten, wo Sie sich gerne aufhalten und auch, mit wem Sie befreundet sind. Das treibt schon jetzt sonderliche Blüten: in Missouri nahm die Polizei drei Verdächtige fest, die mehrere Menschen ausgeraubt haben sollen. Die 17- bis 18-Jährigen erwarteten ihre Opfer an Pokéstops.

Ebenfalls fehlt uns die Information, wo all die gesammelten Daten landen. Besitzt sie Google bzw. Alphabet? Bleiben sie bei Niantic? Wer hat Zugriff darauf? Wir wissen es leider nicht, denn Informationen darüber fehlen, während Tag für Tag Millionen weiterer Menschen eben diese Datenbanken mit neuen Informationen füttern.

Weitergabe von Daten an Dritte

Wenngleich personenbezogene Daten ausgeschlossen sein sollen, heißt es in der Datenschutzerklärung: „Wir könnten gesammelte Informationen und nicht-identifizierende Informationen Drittanbietern zu Forschungs- und Analysezwecken, demografischen Erhebungen und ähnlichen, anderen Zwecken offenlegen.“ Gruselig wird es auch unter Punkt 3e; Niantic schreibt: „Wir könnten jegliche Informationen über Sie (oder über das von Ihnen ermächtigte Kind), die sich in unserem Besitz oder Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte offenlegen, wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten […]“ Möchten Behörden also etwas wissen, ist Niantic offenbar der Letzte, der sich sträubt. Gesträubt haben sich allerdings die Nackenhaare von Ingo Dachwitz, der diesen Passus auf Netzpolitik.org genauer analysiert.

Selbst wenn Sie nun aufschreien und Ihren Account sofort löschen möchten, bleiben Ihre bisher gesammelten Daten beim Entwickler (oder sonstwo): „für einen kaufmännisch angemessenen Zeitraum“ werden Ihre Daten archiviert und weiterhin genutzt. In welchem Land das geschieht, ist wieder unklar: „Wenn sich Ihr Wohnsitz außerhalb der Vereinigten Staaten befindet und Sie sich entschließen, uns Ihre personenbezogenen Daten (oder die des von Ihnen ermächtigten Kindes) zu übermitteln, könnten wir Ihre personenbezogenen Daten (oder die des von Ihnen ermächtigten Kindes) in die Vereinigten Staaten übertragen und dort verarbeiten. […] Sie könnten beantragen, dass wir Ihre personenbezogenen Daten (oder die des von Ihnen autorisierten Kindes) nicht in die Vereinigten Staaten transferieren, aber dann könnten wir nicht mehr in der Lage sein, Ihnen (oder dem von Ihnen ermächtigten Kind) einige bis alle Services bereitzustellen.“

„Friss, oder stirb“ – nach diesem Motto ist die Datenschutzrichtlinie gestaltet. Entweder Sie lassen es sich gefallen, dass Ihre Daten wichtiger als deren Schutz sind, oder Sie spielen das Spiel nicht. Haben Sie sich bereits angemeldet, haben Sie Pech, denn Ihre Daten werden munter weiterverwendet – irgendwo auf diesem Planeten.

Folgen der Kritiken zum Datenschutz

Während viele mit dem Smartphone vor Augen vor lauter Pokémon den Datenschutz nicht mehr zu sehen scheinen, haben andere bereits aufgeschrien. Der von Niantic als „Versehen“ bezeichnete Rundum-Zugriff aufs Google-Account soll mit der Version 1.02 der Vergangenheit angehören. Nun könnte man womöglich neue Datenschutzstandards erwarten, die Daten auch wirklich schützen. Stattdessen setzt Niantic lieber auf Safe Harbor. Dass der Europäische Gerichtshof eben dieses Programm aufgrund mangelndem Schutz für private Daten voriges Jahr kippte, scheint unwesentlich zu sein.

© oneinchpunch - Fotolia.com
© oneinchpunch – Fotolia.com

Fazit: Pokémon GO – ein unverständlicher Hype

Aufgrund der Augmented Reality-Basis des Spiels gehen wir bei einer Vielzahl der notwendigen Berechtigungen mit: um Pokémon GO nutzen zu können, ist ein Großteil der Berechtigungen einfach unabdingbar. So weit, so gut. Erste Zweifel dürften Spielern jedoch kommen, wenn sie von der indirekten Google-Zugehörigkeit lesen. Google lässt sich genauso wenig als „datensparsam“ bezeichnen, wie sich Sozialbauwohnungen als „charmant“ bezeichnen lassen. Das Entsetzen sollte aber spätestens beim Lesen der Datenschutzbedingungen derartig groß sein, dass die Nutzerzahlen noch und nöcher sinken müssten. Tun sie jedoch nicht, im Gegenteil. Was denken Sie:

Ist der Suchtfaktor von Pokémon GO derartig hoch, dass es Nutzern egal wird, was mit ihren Daten passiert? Oder ist das eher in der Alltagsblindheit zu begründen, die dafür sorgt, dass Datenschutzbedingungen einfach ignoriert werden? Die Datenschutz-Kritiken gehen derzeit durch alle Medien. Wird das Einfluss auf die Nutzerzahlen haben? – Diskutieren Sie gerne mit!



0 Kommentar(e)

Schreibe einen Kommentar