Stichwort Battlefield: Wie Softwarehersteller die PCs ihrer Kunden ausspähen

Mittwoch, 30. November 2011, 17:33 Uhr

Es ist das wohl sehnlichst erwartete Spiel des Jahres. Die einschlägigen Testzeitschriften sind voll des Lobes für Grafik, Sound und Spielatmosphäre. Ein nicht ganz unwesentlicher Aspekt in der Vorweihnachtszeit, der dem Absatz zuträglich ist.

Einziger Wermutstropfen dabei:

Der Nutzer wird gezwungen sich auf der Spieleplattform des Herstellers mittels einer mitgelieferten Software zu registrieren und diese anschließend zu nutzen. Folge dieses Prozesses ist, dass die Software im Anschluss den Rechner des Nutzers nach bestimmten Inhalten durchsucht und so quasi den PC des Kunden ausspäht. Konkret geht es um den Egoshooter Battlefield 3 von Electronic Arts und die dazugehörige Online-Vertriebsplattform Origin.

Militärische Aufklärung

Militärische Aufklärung ist auf dem Schlachtfeld unabdingbar. Electronics Arts (EA) scheint sich kurzerhand den Namen seines Produkts zum Vorbild genommen zu haben und ebenfalls Aufklärungsarbeiten ganz eigener Art zu leisten. Wie ZEIT ONLINE berichtet, hieß es in den AGB anfänglich:

Du gestattest EA und seinen Partnern das Sammeln, Nutzen, Speichern und Übertragen von technischen und verwandten Informationen, die deinen Computer (einschließlich IP-Adresse), dein Betriebssystem, deine Nutzung der Anwendung (einschließlich erfolgreicher Installation und/oder Deinstallation), Software, Software-Nutzung und deine Hardware-Peripherie identifizieren (…). EA kann diese Daten ebenfalls in Verbindung mit personenbezogenen Informationen zu Marketingzwecken und zur Verbesserung seiner Produkte und Dienste nutzen.(…)

(…) EA behält sich das Recht vor, die über die Anwendung stattfindende Kommunikation zu überwachen und jegliche Information zu veröffentlichen, die EA für nötig hält, um

(i) deine Einhaltung dieser Lizenz sicherzustellen;
(ii) geltende Gesetze, Regelungen oder Bestimmungen rechtlicher Verfahren einzuhalten;
(iii) die Rechte, Interessen und das Eigentum von EA, seinen Angestellten oder der Öffentlichkeit zu schützen.”

Dies stellt eine interessante Formulierung dar, hatte doch der Bundesgerichtshof bereits mit dem Payback-Urteil (Urteil vom 16. Juli 2008, Az.: VIII ZR 348/06) entschieden, dass elektronische Werbung nur aufgrund der gesonderten Erteilung einer Einwilligung zulässig ist.

Unklar ist zudem, ob EA mit “Marketingzwecken” überhaupt elektronische Werbung oder etwas anderes meint, weshalb die Klausel schon aus diesem Grund intransparent und daher nichtig ist (§ 307 Abs. 1 Satz 2 BGB). Diese umfassenden Überwachungsrechte (z.B zugunsten der “Interessen von EA”) sind nicht nur völlig intransparent, sondern benachteiligen den Nutzer zudem unangemessen und sind schon deshalb unwirksam (§ 307 Abs. 1 Satz 1 BGB).

Radar zwar vorhanden…

Zumindest scheint EA nicht völlig blind zu sein für die Befindlichkeiten seiner Kunden, denn nach massiver Kritik passte EA seine Nutzungsbedingungen an. Ein Kundenradar scheint also zunächst vorhanden zu sein.

Der nächste Entwurf der Nutzungsbedingungen lautete wie folgt:

(…) Zusätzlich zu den Informationen, die Sie selbst direkt an EA weitergeben, sammelt EA nicht-personenbezogene (oder anonyme) Informationen (…). Die nicht-personenbezogenen Informationen, die EA sammelt, schließen technische und zugehörige Informationen ein, die Ihren Computer (einschließlich IP-Adresse) und Ihr Betriebssystem identifizieren, sowie Informationen über Ihre Nutzung der Anwendung (einschließlich erfolgreicher Installation und/oder Deinstallation), Software, Software-Nutzung und Ihre Hardware-Peripherie.(…)

Eine nicht ganz uninteressante Ansicht, stellen doch gerade IP-Adressen aufgrund einer potentiellen Identifizierbarkeit des Anschlussinhabers nach herrschender Meinung personenbezogene Daten dar (ohne weitere Differenzierung z.B. EuGH Urteil vom 24. November 2011, Az.: C-70/10).

Zudem wird man wohl davon ausgehen können, dass der Nutzer im Zusammenhang mit der Installation von Computerspielen nicht unbedingt damit rechnen muss, dass die Installation das Ausspähen seines PCs zur Folge hat, weshalb die Wirksamkeit schon allein aus diesem Grund fraglich ist (§ 305c Abs. 1 BGB). Hinzu kommt, dass der verwendete Begriff “nicht-personenbezogene Informationen” zum einen völlig undifferenziert ist und zum anderen gerade durch die Erwähnung der IP-Adresse (welche nach h.M. personenbezogen ist) widersprüchlich und somit intransparent wird (§ 307 Abs. 1 Satz 2 BGB).

…aber nur bedingt funktionsfähig

Da die Aufklärung mittels Kundenradrar nur bedingt funktioniert hatte, entschloss sich EA sodann anscheinend dazu die Nutzungbedingungen erneut zu überarbeiten.

In den Nutzungsbedingungen heißt es nunmehr:

(…) Die Erhebung und Nutzung von Daten durch Origin hilft sicherzustellen, dass Sie auf Ihre Spiele so einfach wie möglich zugreifen können und den besten Service und das beste Spielerlebnis bekommen, das EA zu bieten hat.

  1. Indem Sie diesen Endbenutzer-Lizenzvertrag akzeptieren, willigen Sie in die Verarbeitung, Speicherung, Nutzung und Übermittlung Ihrer IP-Adresse und Ihrer MAC-Adresse zu den oben genannten Zwecken an Electronic Arts (…) ein.
  2. Sie willigen ebenfalls ein, dass EA personenbezogene Daten mit technischen Informationen über Ihr System und Ihre Hardware kombiniert (…), um Origin zu erlauben sicherzustellen, dass die Anwendung richtig funktioniert, um seine Produkte und Dienstleistungen zu verbessern, Fehler zu beheben und Ihnen einen exzellenten Service zu bieten.
  3. Sie willigen ein, dass alle nach diesem Vertrag verarbeiteten, gespeicherten und verwendeten personenbezogenen Daten in den Vereinigten Staaten von Amerika und/oder in Kanada gespeichert werden. (…)

Weiterhin heißt es:

Automatisierte Datenerhebung.

Zusätzlich zu den oben in der Einwilligungserklärung beschriebenen Daten, sowie Informationen, die Sie selbst direkt an Origin weitergeben, sammelt Origin nicht-personenbezogene Informationen, wie Nutzungsstatistiken der Anwendung (beispielsweise ob und wann ein erfolgloser Installationsversuch stattgefunden hat), Informationen über das Betriebssystem (beispielsweise Service Pack, Treiber, und unterstützende DLLs wie die DirectX-Version), Informationen über Hardwaretypen und über den Prozessor (CPU).

Wie vorstehend beschrieben werden diese Informationen benötigt, um Ihnen einen exzellenten, führenden Service zu bieten. Von der Anwendung werden keinerlei Daten wie Bilder, Dokumente oder sonstige mit der Leistung der Anwendung auf Ihrem System nicht in Zusammenhang stehende persönliche Daten aufgerufen oder erhoben. Die Erhebung und Nutzung dieser Daten durch Origin hilft sicherzustellen, dass Sie auf Ihre Spiele mit so wenigen technischen Schwierigkeiten wie möglich zugreifen können und das beste Spielerlebnis genießen können, das EA zu bieten hat.

Inwieweit zur Spieleoptimierung die IP-Adresse und die MAC-Adresse erforderlich sind, ist ebenso unklar wie die Frage, ob die Software der nunmehr eingeschränkten Datensammelwut überhaupt Rechnung trägt und entsprechend angepasst wurde.

Grundsätzlich gilt im Datenschutzrecht das Prinzip der Datenvermeidung und Datensparsamkeit (§ 3a BDSG), weshalb so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen sind. Wesentliche Abweichungen hiervon sind jedenfalls auch in Nutzungsbedingungen kaum möglich (§ 307 Abs. 2 Nr. 1 BGB) und wären unwirksam.

Jemand der sich zwar regelmäßig nicht mit militärischer Aufklärung, dafür aber mit dem Thema Datenschutz und IT-Sicherheit auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Mit unserem Newsletter verpassen Sie keinen Beitrag.

So bleiben Sie immer über aktuelle News, Fachbeiträge und Gerichtsurteile im Datenschutz informiert.

Datenschutz-Newsletter jetzt bestellen
 

Jetzt kommentieren


Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen.