> PokemonGo

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.