Die Nutzerdaten in Pokémon Go & Co. sind ein lukratives Geschäftsmodell – und sie unterliegen deutschem Datenschutzrecht. Rechtsanwalt Kai Bodensiek plädiert in seiner Kolumne für die Selbstregulierung der Plattformen.

Vorbemerkung: Wie bei allen Gastbeiträgen und Kommentaren auf GamesWirtschaft.de spiegelt auch diese Kolumne ausschließlich die Meinung des Verfassers und nicht zwingend die Meinung der Redaktion wider.

[toc]FOTM – Favorite of the Month. So nennt man das Phänomen bei Onlinespielen leicht spöttisch: Pokémon Go sprengt Rekorde im Mobile-Bereich – und das mit einem Spiel, das eigentlich wenig Gameplay bietet. Auch die Ingame-App-Verkäufe in Apples App-Store und im Google Play-Store scheinen rekordverdächtig.

Viel beachtenswerter an diesem Spiel ist jedoch die Tatsache, dass Spieler nur dann erfolgreich sein können, wenn sie dauerhaft die App geöffnet haben und die App ihre Bewegungen nachverfolgt. Dabei kann je nach GPS-Empfang metergenau festgestellt werden, wann, wo und wie lange sich der Spieler aufgehalten hat und wo er sich hinbewegt hat. Sogar das Verkehrsmittel kann anhand der Bewegungswege und Geschwindigkeit genau bestimmt werden. Das sind Informationen, die Rückschlüsse auf Kaufverhalten und Arbeitsplatz, aber auch auf den Gesundheitszustand, Hobbies oder Familienstand ermöglichen. Wer regelmäßig bei einem Kindergarten vorbeischaut, wird wohl Kinder haben und wer sich länger in einem Fitnessstudio aufhält, wird dort wohl Sport treiben. Tatsächlich reden wir also nicht nur davon, dass derjenige, der über diese Daten verfügt, ein Bewegungsprofil erstellen kann. Vielmehr ist er darüber hinaus in Verbindung mit dem Google-Datenmaterial in der Lage, Persönlichkeitsprofile zu erstellen.

Pokémon Go: Unterliegt deutschem Datenschutzrecht

In der Datenschutzerklärung des Betreibers heißt es lapidar: „We may also use location information to improve and personalize our Services for you (or your authorized child).“ Mit einer solchen Aussage, die nach US-Recht wahrscheinlich völlig unscheinbar wirkt, ist natürlich viel möglich und wenig klar. Die „Services“ können selbstverständlich beliebig ausgeweitet werden. Aber der deutsche Nutzer muss sich zumindest in der Theorie ja keine Sorgen machen. Denn wer gezielt – zum Beispiel durch Veröffentlichung im deutschen App-Store – Daten auf dem deutschen Markt erhebt, aber keinen Sitz innerhalb der EU hat, der unterliegt deutschem Datenschutzrecht. Eine Einwilligung in eine Datenverarbeitung, die nicht notwendig ist, um vertragliche Zwecke zu erfüllen, bedarf einer ausdrücklichen Einwilligung des Betroffenen.

Eine solche Einwilligung ist nur wirksam, wenn der Betroffene über alle Aspekte der Datenerhebung, -verarbeitung und –weitergabe sowie deren Zweck im Detail informiert worden ist. Dazu gehören auch Risiken mit Blick auf die Verbringung der Daten in Drittländer außerhalb der EU, wie zum Beispiel die USA. Es hätte nicht einmal einer gemeinsamen Mitteilung der Datenschutzbeauftragten der Länder bedurft, um festzustellen, dass eine derartumfangreiche Aufklärung praktisch kaum möglich ist. Eine so pauschale Beschreibung wie in den Pokémon-Go-Datenschutzbedingungen ist in keinem Fall als wirksame Einwilligung geeignet.

Pokémon Go: Datenverarbeitung verstößt gegen deutsches Recht

Die Datenverarbeitung im Fall von Pokémon Go dürfte also rechtswidrig sein. Das sieht auch der Verbraucherschutzverband vzbv so und hat den Entwickler Niantic Labs abgemahnt. Man darf davon ausgehen, dass es hier auch zur Klage kommt. Der Deutsche ist also ausreichend geschützt, oder?

Natürlich nicht, denn ein US-Unternehmen oder ein japanisches Unternehmen werden bei Bußgeldandrohung einer deutschen Behörde nicht in Panik verfallen oder ihre Geschäftsmodelle ändern. Anders verhält es sich natürlich bei europäischen Unternehmen, denn gegen diese könnte EU-weit effektiv vorgegangen werden. Unser verbraucherorientiertes Datenschutzrecht in der EU hat also nur eine Wirkung: Es zwingt europäische Unternehmen dazu, sich an geltendes Datenschutzrecht zu halten, während außereuropäische Wettbewerber nach Belieben personenbezogene Daten auswerten und kommerziell nutzen können. Der Verbraucher weiß sowieso nicht, was mit seinen Daten passiert.

Pokémon Go: App-Store-Betreiber in der Pflicht

Die Forderung nach einer Deregulierung im Bereich des Datenschutzrechts mag bei Verwertern populär sein, aber die kürzlich verabschiedete Datenschutzgrundverordnung der EU, die in zwei Jahren in Kraft tritt, spricht eine andere Sprache. Wer also den europäischenVerbraucher sinnvoll schützen und gleichzeitig die Wettbewerbsnachteile europäischer Unternehmen abbauen will, wird daher um den Gedanken der Plattformregulierung nicht herumkommen.

Apps für mobile Endgeräte werden derzeit zentral über wenige App-Stores vertrieben. Anbieter wie Apple, Google, Amazon und Microsoft sind hier Teilhaber an einem Oligopol. Die Stores sind daher der Flaschenhals, der übersichtlich genug ist, um mit Regulierung anzusetzen.Die Plattformregulierung ist derzeit eines der wichtigsten Themen in Brüssel und ein zentrales Thema der digitalen Agenda der EU-Kommission. Das betrifft nicht nur Handys, sondern auch Smart-TVs, Video-on-Demand-Plattformen und viele andere  Medienbereiche. Will man sowohl Verbraucherschutz als auch fairen Wettbewerb innerhalb der EU, wird man daher die App-Store-Anbieter als Plattformbetreiber vor allem im Bereich des Datenschutzes in die Verantwortung nehmen müssen. Wer seine App in der EU verbreiten will, muss sich an die hiesigen Standards halten, sonst wird die App nicht für den Vertrieb innerhalb der EU zugelassen.

Datenschutz in der EU: Wer nicht selbst reguliert, wird reguliert

Das wirft viele Fragen im Detail auf: Wie müssen Apps gestaltet sein, welche Daten dürfen wofür erhoben werden, wie ist der Kunde aufzuklären? Doch auch dies sollte im konkreten Fall kein Hindernis darstellen. Die Industrie hat mit der Unterhaltssoftware Selbstkontrolle (USK) gezeigt, dass zum Beispiel im Bereich des Jugendschutzes eine Selbstregulierung sehr wohl möglich und auch effektiver als staatliche Einflussnahme ist. Es sollte daher im Interesse der Stores, aber auch der App-Entwickler liegen, im Bereich des Datenschutzes ähnliche Mechanismen der Selbstkontrolle zu schaffen – und mit den Gesetzgebern im Bund und in Brüssel präventiv in Kontakt zu treten.

Der GAME Bundesverband ist bereit, sich wie bei der USK an solchen Themen richtungsweisend zu beteiligen. Denn eins dürfte über kurz oder lang klar sein: Wer nicht selbst reguliert, wird von Brüssel reguliert. Und wollen wir wirklich, dass demnächst EU-Beamte Apps auf Datenschutzkonformität prüfen?

Über den Autor: Kai Bodensiek ist Rechtsanwalt und Partner der Medienkanzlei Brehm & von Moers am Standort Berlin. Er ist spezialisiert auf die Beratung von Publishern und Entwicklern von Games aller Plattformen, vor allem in den Bereichen Entwicklung und Lizensierung von Spielen und IPs sowie dem Verbraucher- und Datenschutz. Seit 2015 berät er darüber hinaus den GAME Bundesverband als Justitiar.