Thought Leadership
Pokémon GO heißt der neueste Hype auf dem Smartphone: Die Augmented Reality-App versetzt kleine virtuelle Monster in die reale Welt – und bringt genauso reale Datenschutz-Bedenken mit. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam.
Via GPS stoßen die Nutzer der App auf mehr als 100 Pokémons, die sie einfangen und gegeneinander kämpfen lassen. Vor einer Woche kam das Spiel aus den USA nach Deutschland und führt seither nahezu alle App-Charts an. Kurzweilig und spaßig ist die App, dafür jedoch verlangt Pokémon GO sehr viele Zugriffsrechte: Unter Android greift Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus ruft Pokémon GO Daten aus dem Internet sowie Netzwerkverbindungen ab, steuert den Vibrationsalarm, führt Pairing mit Bluetooth-Geräten durch, verwendet Konten auf dem Gerät und deaktiviert den Ruhezustand des Smartphones. „Aufgrund der Augmented Reality-Basis des Spiels ist die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um Pokémon GO nutzen zu können, ist ein Großteil der Berechtigungen unabdingbar. Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.
So äußert die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt werden, „die zur Identifizierung genutzt werden können“. Welche Daten wie gespeichert werden geht nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen. Durch die GPS-Informationen wird zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, veranschaulicht Heutger.
Schwammige Formulierungen: Welche Daten werden gesammelt und was passiert mit ihnen?
Zwar ist nicht alles an der Datenschutzrichtlinie negativ, denn immer hin ist sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren sind durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen. „Es fällt jedoch auf, dass sich Niantic weitgehend unklar ausdrückt. Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Christian Heutger. Dies äußert sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“
Schwammig formuliert sind auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet […]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern […]“. Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, fällt der Konjunktiv extrem auf: Nahezu jeder Absatz beginnt mit „Wir könnten…“. „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet“, kritisiert Heutger.
„Die Datenschutzrichtlinie ist ganz nach dem Motto “Friss, oder stirb” gestaltet: Entweder der Nutzer lässt sich gefallen, dass seine Daten wichtiger als deren Schutz sind, oder er fängt gar nicht erst an zu spielen. Denn einmal angemeldet, verbleiben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, werden archiviert und munter weiterverwendet. In welchem Land das geschieht, ist unklar“, so das Fazit des IT-Sicherheitsexperten.
Weitere Informationen finden Sie hier.
