Pokémon GO macht Spaß. Liest man sich die Datenschutzbestimmungen durch, dürfte dieser schnell verflogen sein.
- Vergesst Runtastic und Co.! Pokémon GO ist eine heimliche Fitness-App
- Pokémon GO: Tipps & Tricks für Einsteiger und Fortgeschrittene [mit Video]
Viele mögen noch denken, dass es sich hier doch nur um ein Nintendo-Spiel handelt. Und dieser Hersteller entwickelt doch nur tolle Kinderspiele - was soll daran "böse" sein? Nun, der Entwickler hinter dieser App ist eben nicht nur Nintendo, sondern Niantic, eine Firma, die sich innerhalb von Google als Startup formierte.
Update: Uneingeschränkter Google-Konto-Zugriff unter iOS wird entfernt
Wenn Ihr Pokémon GO mit einem iPhone nutzt und Euch per Google-Mail-Adresse einloggt, habt Ihr dem Entwickler automatisch uneingeschränkten Zugriff auf Euer Google-Konto inklusive Google Drive Dokumenten oder dem Inhalt Eurer Mails gewährt. Laut Niantic war das ein Fehler, der behoben werden soll.
Welche Daten werden gesammelt?
Schauen wir mal im Detail in die Privatsphäre-Bestimmungen von Entwickler Niantic. Beim näheren Betrachten wird klar, dass in jedem Abschnitt Formulierungen benutzt werden, die lediglich Beispiele von gesammelten Daten aufzählen. Was tatsächlich gesammelt und weitergegeben wird, geht aus der Datenschutzbestimmung nicht hervor.
Login: Beim Einloggen mit Google (oder später mit Facebook, wie es scheint) bekommt Niantic automatisch Zugriff auf Daten, die dabei helfen, Euch zu identifizieren. Das ist "zum Beispiel" die hinterlegte E-Mail-Adresse. Welche Daten noch gesammelt werden, sagt Niantic nicht öffentlich. Sie schreiben: "Wir werden bestimmte Informationen einholen, die zur Identifizierung verwendet werden können. Wir werden die PII (Identifikationsdaten, Anm. d. Red.) wie z.B. Ihre Google-Mail-Adresse [...] erheben, damit uns Ihre Datenschutzeinstellungen bei Google, PTC (Pokémon Trainer Club, Anm. d. Red.) oder Facebook den Zugriff erlauben."
Schwammig formuliert. Denn wir müssen die App in unserem Google-Account nicht bestätigen. Welche Daten hier also im Detail übermittelt werden, bleibt unklar. Registriert Ihr Euch mit einem Pokémon-Trainer-Club-Account, wird zusätzlich Euer Geburtsdatum benötigt. Weiter im Text finden wir die Formulierung "Wenn Sie ein Konto erstellen, werden wir ebenfalls andere Informationen (wie beispielsweise Land oder Sprache) erheben, die nicht dazu verwendet werden können Sie zu identifizieren, solange diese nicht mit anderen personenbezogenen Daten kombiniert werden." Leider verschweigt Niantic, wie die Daten gespeichert werden. Über viele denkbare Wege wäre es ziemlich einfach, alle persönlichen Daten zu kombinieren, um eindeutige Nutzerprofile herauszubekommen.
Gameplay: Während des Spielens sammelt Niantic weitere Daten. Neben Eurem Username werden "zum Beispiel" alle Benachrichtigungen gespeichert, die an andere Nutzer gesendet wurden. Bisher kann man sich untereinander noch gar nicht austauschen, doch das Feature ist vielleicht geplant. Weiter heißt es: "Wir erheben bestimmte Informationen, die Ihr Mobilgerät sendet, wenn Sie unsere Services nutzen wie Geräteerkennung, Nutzereinstellungen und das Betriebssystem Ihres Gerätes sowie Informationen über Ihre Nutzung unseres Services, während Sie das Mobilgerät verwenden." Auch aus diesem Satz geht nicht klar hervor, welche Daten genau gesammelt werden. Die erwähnten harmlosen Angaben müssen nicht alle sein, die "unser mobiles Gerät sendet".
Pokémon GO basiert auf GPS-Informationen, damit Ihr Pokéstops, Arenen und wilde Pokémon in Eurer Nähe sehen könnt. Doch jeder einzelne Wegpunkt, den Ihr zurücklegt, wenn Ihr Pokémon GO verwendet, wird aufgezeichnet, gespeichert und unter Umständen veröffentlicht oder weitergegeben. Besitzer dieser Informationen wissen so, wann Ihr wo gewesen seid und können anhand sich zum Beispiel täglich wiederholender Strecken wie Eurem Weg zur Schule oder Arbeit abschätzen, wann Ihr wo sein werdet. Auch ist dann nachvollziehbar, wo Ihr wohnt, wo Ihr arbeitet/zur Schule geht oder etwa, mit wem Ihr befreundet seid.
Diese Informationen sind äußerst sensibel und könnten in den falschen Händen gefährlich sein. Übertrieben? Mitnichten! Diebe lauern inzwischen Kindern auf, um sie zu überfallen, weil sie wissen, wo sich interessante Orte für das Spiel befinden. Außerdem stellt sich noch die Frage: Wem gehört denn jetzt die neue soziale Datenbank mit den riesigen Mengen an GPS-Daten? Hat Google oder die Alphabet Inc. Zugriff darauf? Wir wissen es nicht - doch jeden Tag füttern diese Datenbank schon Millionen Menschen mit neuen Informationen. Dabei ist das Spiel in vielen Ländern noch nicht mal offiziell erschienen.
Wenn Ihr zum Beispiel eine Arena einnehmt, befindet Ihr Euch ja im Umkreis der Location. Da Euer Username und Euer Avatar in der App geteilt werden, ist es für andere, die sich auch in der Nähe aufhalten, einfach Euch zu identifizieren. Das kann cool sein, um neue Freunde zu finden - lässt aber auch Kriminellen wieder alle Türen offen.
Daten werden weitergegeben
Daten, die über Euch gesammelt werden (und wie wir eben gesehen haben, wissen wir nicht wirklich, welche das genau sind), werden an Dritte weitergegeben. Da heißt es zum Beispiel: "Wir können gesammelte Informationen und nicht-identifizierende Informationen Drittanbietern zu Forschungs- und Analysezwecken, demografischen Erhebungen und ähnlichen, anderen Zwecken offenlegen." Personenbezogene Daten sollen nicht dazu zählen.
Unter dem Punkt 3e der Datenschutzbestimmungen dürfte Datenschützern allerdings schlecht werden. Niantic schreibt hier: "Wir arbeiten mit der Regierung, mit Strafverfolgungsbehörden oder privaten Beteiligten zusammen, um das Gesetz durchzusetzen und einzuhalten. Wir könnten jegliche Informationen über Sie, die sich in unserem Besitz befinden [...] offenlegen, wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten." Heißt: Sobald eine dieser Behörden (u.a. die NSA) etwas wissen will, gibt Niantic alle gewünschten Daten heraus.
Auch interessant: Selbst wenn Ihr Euer Profil löscht, werden die Daten, die über Euch gesammelt werden, noch eine Weile archiviert und weiter genutzt. Wie lange? Tja, das verrät Niantic nicht. Es heißt nur: "für einen kaufmännisch angemessenen Zeitraum".
Und am Ende der Datenschutzbestimmungen findet sich dann noch ein Passus, dass die Sicherheit der über uns gesammelten Daten nicht gewährleistet werden kann. Schließlich gebe es keine Möglichkeit, um Daten über das Internet sicher zu übermitteln oder Daten sicher zu speichern. Auch wird nirgends erwähnt, dass die Daten auf den Servern verschlüsselt abgelegt sind.
Spieler sind besorgt
Neben dem ganzen Hype kam irgendwann jemand auf die Idee doch mal einen Blick auf die Datenschutzbestimmungen zu werfen, jetzt verbreitet sich der Hinweis im Netz. Auch auf Twitter äußern sich viele Spieler schon kritisch zu dem Thema:
Pokemon Go has definitely gotten people to provide location data they did not mean to share, now available to law enforcement and others
— Anosognosiogenesis (@pookleblinky) July 11, 2016
Historically, Nintendo have been very good about privacy issues. But this isn't Nintendo. It's Niantic, who were born from Google. Worrying.
— @[email protected] (@LiamPomfret) July 11, 2016
Und es geht nicht nur um Euren Datenschutz als Spieler. Auch die Anwohner, deren Häuser und Gärten zu Arenen und Pokéstops umfunktioniert wurden, müssen akzeptieren, dass Menschen vor Ihren Eingängen Zeit verbringen oder sich Zutritt auf ihre Grundstücke verschaffen. Ein Spieler lebt zum Beispiel auf einem Grundstück, das früher mal eine Kirche war und möglicherweise deshalb zu einem Ort von Interesse gezählt und mit einer Arena belegt wurde. Bisher kann man als Privatperson nicht dagegen vorgehen. Entwickler Niantic nimmt nur Hinweise an, wenn die Plätze, die in Pokémon GO markiert sind, für den Spieler nur auf gefährlichem Wege zu erreichen sind.
Bleibt abzuwarten, wie die Positionen der Arenen noch genutzt werden. Vielleicht findet Ihr bei schönem Wetter an den besonderen Pokémon-Orten bald Eisverkäufer oder andere Leute, die Euch etwas verkaufen wollen. Eine große Zielgruppe dürfte an diesen Punkten erreicht werden.