Bei Messenger-Diensten hinterfragen gerade viele Nutzer den Umgang mit den eigenen Daten. Aber wie sieht das eigentlich bei den gängigen Konsolen Playstation, Xbox und Nintendo Switch aus? Eine Faktensammlung mit Kommentaren von Noyb-Datenschützer Alan Dahi und dem auf Gaming und E-Sport spezialisierten Rechtsanwalt Urim Bajrami.

Screenshots und Videos

Eigentlich müssten Spiele mittlerweile perfekt sein, schließlich wird jeder Sprung über ein Hindernis und jedes erreichte Level fein säuberlich aufgezeichnet. Das verraten unter anderem die Datenschutzrichtlinien der Playstation, wenn man sich einmal genauer damit befasst. Wenn ein Spiel abstürzt, werden sogar Screenshots und Videos der letzten Sekunden vor dem Absturz gespeichert. Nun könnte man sagen, das dient allein dazu, dass es irgendwann nur noch sehr gute Spiele gibt, weil frustrierende Stellen vermieden oder Bugs schnell gefunden werden. Natürlich geht die Datensammlung viel weiter, wie eine Recherche des STANDARD ergab.

Man spielt online

Gaming passiert zunehmend online. Egal ob man Spiele im Online-Store kauft, sich ein notwendiges Update herunterlädt oder gemeinsam mit Freunden spielen will. Auch wird gechattet, Screenshots werden geteilt und einige Spieler entdecken das Streamen für sich. All das sorgt natürlich dafür, dass Unmengen an Daten an den jeweiligen Plattformhalter geliefert werden. Abgesehen von den freiwillig mitgeteilten natürlich auch viele, über die man sich vielleicht nicht so bewusst ist.

Wenn man will, findet man bei allen aktuellen Konsolen-Herstellern sowohl online als auch auf der Plattform selbst die Datenschutzrichtlinien. Diese sind, ähnlich wie bei anderen Diensten, sehr ausführlich ausgefallen. Datenschützer Alan Dahi arbeitet für die Plattform Noyb, das europäische Zentrum für digitale Rechte. Die Textmasse ergibt sich laut ihm aus verschiedenen Gründen. "Unternehmen verwenden solche Monster-Texte zum Teil, weil sie selbst keine Übersicht über alle Daten haben, die sie erheben, und alles grob darstellen wollen. Oder aber, weil sie es sich einfach machen wollen: Es ist viel weniger Arbeit, eine generische Datenschutzerklärung für sämtliche Dienste, die man anbietet, aufzusetzen, als mehrere, auf den jeweiligen Dienst bezogene Datenschutzerklärungen."

Sieht man sich die Richtlinien im Detail an, erfährt man schnell, was man im Idealfall selbst weiß – den Umfang jener Daten, die man meist zum Aufsetzen der Konsole freiwillig angibt. Email-Adresse, Name und meist auch Zahlungsinformationen. Im Hintergrund startet das die Datensammel-Maschinerie. So werden etwa beim Aufdrehen der Playstation-Konsole oder der Playstation-App am Handy zusätzliche Informationen automatisch gespeichert. Dazu gehören die Geräteerkennung (Konsolen-ID, IDs von mobilen Geräten, Cookie-IDs, usw.), Netzwerkerkennung (IP- oder Mac-Adresse), Punktestände, Informationen über das genutzte Gerät und angeschlossene Peripherie (zB Controller oder VR-Headset). Weiters werden Informationen darüber gesammelt, wie die installierte Software auf jedem Gerät genutzt wird (auch offline), wie beispielsweise das Datum und die Uhrzeit der Nutzung, welche Spiele oder Musik gespielt werden, welche Inhalte gesucht, geteilt oder herunterladen werden und wie lange, einschließlich wie oft, Chat- und andere Kommunikationsanwendungen genutzt werden.

Die Sammlung der Daten, da sind sich alle Hersteller in den Texten einig, dienen primär als Hilfestellung, um die Produkte und Dienstleistungen zu verbessern. Die permanente Überwachung der Kommunikation in allen Chats begründet man mit der verpflichtenden Einhaltung der Richtlinien.

Marketing und Dritte

Weiter unten geht es dann um Marketing-relevante Punkte. So wird die Kommunikation mit Dritten erwähnt, um gezielt Werbung an Nutzer auszuspielen. Erwähnt werden Publisher, die im Store ihre Spiele anbieten. So sieht jeder Shop anders aus, richtet er sich doch nach den Aktivitäten des jeweiligen Nutzers und personalisiert so Kaufempfehlungen. Auch das kennt man von vielen anderen Services, die man täglich im Netz nutzt.

Die Verknüpfung mit anderen Diensten des Nutzers, etwa sozialen Netzwerken, kann dem Unternehmen auch durch das Handeln mit Dritten gelingen. So dürfen Microsoft und Co. Daten von Dritten und sogar Datenhändlern, sofern das nicht gegen die Datenschutzgrundverordnung verstößt, mit den selbst gesammelten Informationen kombinieren. Das heißt man verknüpft über zum Beispiel die Email-Adresse, die man sowohl für die Xbox als auch für andere Dienste nutzt, Daten von mehreren Anbietern, die dann ein noch klareres Profil der Person zeichnen. Das Nutzen einer Konsole von mehreren Personen macht das Profil unklarer und spielt möglicherweise einmal unpassende Werbung aus. Da aber meist verschiedene Accounts angelegt werden, um eben Spielstände nicht zu überschreiben, kommt das wohl eher selten vor.

Personalisierte Bequemlichkeit

Je personalisierter die Daten, desto mehr Vorteile hat der Nutzer in der Regel. Kein mehrmaliges Einloggen, auf die jeweiligen Interessen abgezielte Werbung und das Finden von Freunden in anderen sozialen Netzwerken nehmen viele als guten Service wahr. Rechtsanwalt Urim Bajrami sieht aber nicht nur die Bequemlichkeit als Grund für das fehlende Interesse dem Thema Datenschutz gegenüber. "Es fehlt vielen – vor allem jungen – Spielern schlichtweg auch am Bewusstsein für datenschutzrechtliche Themen. Daten sind schließlich nichts Greifbares, es ‘kostet’ uns nichts, wenn wir sie weitergeben und wir haben massenhaft davon." Mehr Informationskampagnen würden hier für mehr Aufklärung sorgen.

Obwohl Hersteller verpflichtet sind, klar und verständlich anzugeben, was genau an Daten und für wen gesammelt wird, bleibt man doch oft vage. Oft wird von "Daten und Drittanbietern" gesprochen, ohne mehr Hintergrund zu liefern. Datenschützer Dahi: "Der Nutzer muss verstehen, welche konkreten Daten zu welchem konkreten Zweck erhoben und verwendet werden. Der Wertgehalt einer abstrakten Angabe wie "Wir erhalten ebenfalls Daten von Drittanbietern" ist ungleich geringer als ‘Wir erhalten ebenfalls Daten von deiner Bank und deiner Krankenkasse’. Die Datenschutzgrundverordnung (DSGVO) ist recht klar und bürgerfreundlich in diesem Zusammenhang. Diese von der DSGVO verlangte "präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache" findet aber bei keiner Plattform statt. Wer nicht viel Geduld und eine gewisse Vorinformation was Datenschutz betrifft, wird bald die Segel streichen.

Jugendschutz

Alle Konsolen haben mittlerweile unabhägig von den Datenschutzrichtlinien Untermenüs zum Jugendschutz. So kann man einstellen, wenn etwa bestimmte Inhalte nicht angezeigt werden sollen. Die Datenerhebung findet allerdings unabhängig vom Alter statt. Obwohl es einer volljährigen Person erfordert, eine wirksame Einwilligung zu Datenschutzrichtlinien geben zu können, wird ein Werbeprofil auch von einem minderjährigen Nutzer angelegt. Rechtsanwalt Bajrami hält hier eine breitere Diskussion für nötig. "Sollte es Spieleentwicklern überhaupt erlaubt sein, Daten von minderjährigen oder unmündigen Personen (das sind Personen zwischen 7 und 14 Jahren) zu sammeln und zu benützen? Wird hierbei nicht der sogenannte gläserne Mensch von klein auf analysiert? Die Zeit wird zeigen, ob ein Umdenken und damit allenfalls eine strengere Regulierung in diesem Zusammenhang erforderlich sein könnte."

Nintendo schreibt dazu im Punkt "Persönliche Daten von Kindern": "Wenn Sie als Erziehungsberechtigter einen Nintendo-Account im Namen Ihres Kindes erstellen, werden die persönlichen Daten Ihres Kindes in Übereinstimmung mit dieser Datenschutzrichtlinie erhoben, verarbeitet und genutzt."

Wen es interessiert, welche Daten gesammelt werden, der kann innerhalb der Europäischen Union eine Kopie des eigenen Profils bei jedem Hersteller erfragen. Die Kontaktdaten dazu finden sich auf den Websites der Hersteller. Eine Löschung kann ebenfalls beantragt werden, doch sei das Einschränkungen unterworfen, so der Datenschützer. Dahi: "Für ein Spiele-Abo wie dem Game Pass muss ein Unternehmen aufgrund steuerlicher Verpflichtungen gewisse Informationen für X Jahre behalten – auch dann, wenn der Nutzer sein Konto löscht."

Es gibt keine perfekte Sicherheit

Wenn man online spielen will, dann muss man sich den Datenschutzrichtlinien der Konsolen-Hersteller ohnehin beugen. Es lohnt sich aber in jedem Fall die diversen Privatsphäre-Einstellungen einmal durchzulesen und gegebenenfalls nicht erwünschte Datensammlungen zu deaktivieren. Meist sind nämlich nicht die datenschutzfreundlicheren Einstellungen voreingestellt, sondern die unternehmerfreundlicheren Einstellungen. Genannt wird das "Dark Patterns", wenn der Nutzer ungewollt in eine bestimmte Richtung gedrängt wird.

Sich für das Thema zu sensibilisieren und bei Nichtgefallen auch aufzuschreien, kann nicht schaden. Nur durch eine längere Debatte bezüglich der Analyse von Spracheingaben passte Microsoft Ende 2020 ihre Datenschutz Richtlinien dahingehend an, dass Spracheingaben nicht länger analysiert werden. Generell wurden die Richtlinien mit mehr Transparenz versehen, als das davor der Fall war und bieten heute sehr viele Einstellungsmöglichkeiten. Auch bei Sony bietet man verhältnismäßig viel Transparenz, während man bei Nintendo keine Einstellungsmöglichkeiten in diese Richtung auf der Switch findet.

Weshalb man generell auch für Konsolen individuelle Passwörter und wenn möglich einen Nickname, der nicht der eigene Name ist, nutzen sollte, sind mögliche Hacker-Angriffe. Nicht erst seit einem erfolgreichen Angriff auf Sony vor ein paar Jahren, findet sich in den Playstation-Richtlinien auch dazu ein Hinweis. "Wir bemühen uns, angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, die den Branchenstandards entsprechen, um Ihre Daten vor unbefugter oder versehentlicher Offenlegung, unbefugtem Zugriff, Missbrauch, Verlust oder Änderung zu schützen. Obwohl wir uns bemühen, Ihre Daten zu schützen, können wir die Sicherheit dieser Daten weder gewährleisten noch garantieren. Es gibt keine perfekte Sicherheit." (Alexander Amon, 15.1.2021)