Thema DATENSCHUTZ HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand E 38 Datenschutz in Online-Spielen Wer spielt da mit unseren Daten? Kai Janneck / Henry Krasemann Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Datenschutz in Online-Spielen 2
Datenschutz als Wettbewerbsvorteil Datenschutz-Audit Datenschutz-Gütesiegel Innovationszentrum Datenschutz & Datensicherheit Datenschutz in Online-Spielen 3 Identitätsmanagement - Prime und FIDIS Europäisches Datenschutz-Gütesiegl - EuroPriSe Anonymität im Internet - AN.ON Datenschutz in Online-Spielen DOS Audit für Biobanken bdc-audit Datenschutz in Bürgerportalen Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung PRISE Virtuelles Datenschutzbüro www.datenschutz.de Projekte Datenschutz in Online-Spielen 4
Projekt - DOS Datenschutz in Online-Spielen Projektdauer: Sept. 2007 Aug. 2009 Projektziel: - Evaluierung der Datenschutzproblematiken in Online-Spielen - Erarbeiten von Leitfäden und Handlungsempfehlungen für Entwickler und Betreiber von Online-Spielen für den Bereich Datenschutz - Information von Usern/Online-Spieler Gefördert durch das Bundesministerium für Bildung und Forschung Datenschutz in Online-Spielen 5 Das Grundproblem Verwendung vieler Teil-Identitäten im Internet
Digitale Identitäten Teil-Identität: Xing Datenschutz in Online-Spielen 7 Digitale Identitäten Teil-Identität: StudiVZ Meine Fotos Max Tina Meine Gruppen Sport macht fit Wochenende ist Party Datenschutz in Online-Spielen 8
Digitale Identitäten Teil-Identität: ebay Sie kaufen Produkt A Produkt B Sie verkaufen Produkt C Produkt D Rückschluss Sie fahren Fahrzeug X Sie haben Hobby Z Datenschutz in Online-Spielen 9 Digitale Identitäten Teil-Identität beim Shoppen im WWW Was hat Kunde PMustermann gekauft? Was hat er sich auf der Homepage angesehen? Konto- und Versanddaten Evtl. Einzugsermächtigung Das alles in JEDEM genutzten Online-Shop Dazu versteckte Daten Zahlungsmoral Manchmal weiß die Hotline Ihres Händlers zwar Schufa-Score nichts über das Produkt, Wohnort-Score aber eine ganze Menge über Sie! Q-Faktor Datenschutz in Online-Spielen 10
Digitale Identitäten Teil-Identitäten beim Mailen Peter-Mustermann@firma.de Arbeitet bei Unternehmensberatung F.I.R.M.A. Auf Firmenhomepage mit Bild zu finden PM@Mustermann-home.de Hat Mailinglisten für Spieler abonniert Kontakte: Harry, Hans, Elvira und Bärbel Spielt online Poker Dumbo_79_@gmx.de Beschwert sich in Foren über F.I.R.M.A. Datenschutz in Online-Spielen 11 Uns was machen Sie sonst so im Netz? Surfen Chatten Online-Spiele Bankgeschäfte Diskussionsforen Für jede Anwendung eine eigene (Teil-) Identität?! Wieviele Teil-Identitäten haben Sie wirklich? Datenschutz in Online-Spielen 12
Ja und? Ich hab nix zu verbergen! Trennung von Teil-Identitäten im Alltag ist normal. Verstöße gegen diese Trennung fallen sofort auf: Drei Vollkornbrötchen. Macht Eins Achtzig. Und wie lautet Ihre Blutgruppe? Im Internet fällt diese Vermischung oft nicht auf Datenschutz in Online-Spielen 13 Teil-Identitäten und ihre Verknüpfung Oft werden aus Profilen Informationen gezogen Der Spieler, der Spiel X spielt Interessiert sich auch für. Die Werbebranche ist an Werbung mit geringen Streuverlusten interessiert. Verknüpfung vieler Profile ergibt große Profile und große Schlussfolgerungen. Wer diese Schlüsse zieht, weiß man in der Online-Welt nicht: Data-Mining Scoring Targetting Terror-Prävention Datenschutz in Online-Spielen 14
Beispiel für Rollen und Merkmale Aus: Sebastian Clauß / Marit Köhntopp (2001); Identity Management and Its Support of Multilateral Security; Datenschutz in Online-Spielen in: Computer Networks 37 (2001) 15 Zwischenfazit Es gibt viele Teil-Identitäten von Ihnen - Online & Offline. Je mehr Teil-Identitäten zusammengeführt werden, desto mehr werden Sie zum Gläsernen Menschen. Sie wissen nicht, wo diese Informationen verwendet werden und welche Auswirkungen es hat. Datenschutz in Online-Spielen 16
Online-Spiele Wo bleibt dort der Datenschutz? Ein paar Zahlen Verkaufszahlen Europa 2007 1,9 Mio. Xbox 360 2,8 Mio. Sony Playstation 3 3,8 Mio. Sony Playstation 2 8,7 Mio. Nintendo DS 4,8 Mio. Nintento Wii Abonnenten World of Warcraft weltweit: 10 Mio. Nutzer Online-System Valve Steam weltweit: 15 Mio. Mitglieder Xbox Live: ca. 8 Mio. Jeden Tag werden 2,4 Millionen IM, Text- und Sprachnachrichten versendet. Datenschutz in Online-Spielen 18
Valve Steam Datenschutz in Online-Spielen 19 Valve Steam [ ] räumen Sie Valve ausdrücklich das umfassende und unwiderrufliche Recht ein, die Nutzerinformationen zu verwenden, vervielfältigen, bearbeiten, darauf basierende Werke zu erschaffen, sie zu verbreiten, übertragen, zu senden und anderweitig zu übertragen [ ] Personally identifiable information will be processed and stored by Valve in databases situated in the United States. Valve may allow third parties performing services under contract with Valve to access stored information but such access shall only be to the extent necessary to provide those services. IP-Adresse werden in der Regel entgegen der deutschen Sicht nicht als personenbezogene Daten angesehen. Datenschutz in Online-Spielen 20
World of Warcraft Datenschutz in Online-Spielen 21 World of Warcraft Datenschutz in Online-Spielen 22
World of Warcraft Datenschutz in Online-Spielen 23 World of Warcraft Verspricht Einhaltung der europäischen Datenschutzrichtlinie(n) Wir können unter Umständen diese IP-Adressen in Verbindung mit Ihrem ISP verwenden falls wir der Meinung sind, das die Nutzungsbedingungen verletzt wurden oder falls eine entsprechende Anfrage einer rechtlichen Instanz vorliegt. Wenn Sie diese Möglichkeit nicht ausschließen, können wir außerdem Ihre persönlichen Daten anderen Firmen oder Organisationen zur Verfügung stellen, die Produkte anbieten, für die Sie sich interessieren könnten. Oder nur nach Einwilligung? Datenschutz in Online-Spielen 24
Bibi und Tina Treffpunkt Martinshof Online-Rollenspiel für Kinder zwischen 7 und 12 Jahren Problem: Jugendschutz Einwilligung / Anmeldung über Eltern (Post) Chats etc. werden überwacht Online nur zwischen 14 und 19 Uhr spielbar Datenschutzerklärung Stand 26.11.2007: Yusho wird bei allen Maßnahmen die hohen Sicherheitsstandards des Teledienste- Datenschutzgesetzes und der Datenschutzverordnung für Telekommunikationsunternehmen sowie des Bundesdatenschutzgesetzes und sämtlicher sonstiger anwendbarer datenschutzrechtlicher Bestimmungen beachten. Teledienstedatenschutzgesetz wurde 01. März 2007 durch Telemediengesetz ersetzt. Datenschutz in Online-Spielen 25 Hellgate: London You agree that EA, its affiliates, and each Related Party may collect, use, store and transmit technical and related information that identifies your computer, including without limitation your Internet Protocol address, operating system, application software and peripheral hardware, that may be gathered periodically to facilitate the provision of software updates, dynamically served content, product support and other services to you, including online play. Developer: This catch-all statement was included so that we have the ability to determine if someone is using hacks, unauthorized mods or other abusive applications while playing the game which spoils the gameplay for everyone else. Datenschutz in Online-Spielen 26
Xbox Live Ich weiß, was Du gestern getan hast Datenschutz in Online-Spielen 27 Xbox Live Ich weiß, was Du gestern getan hast Datenschutz in Online-Spielen 28
Beispiel Xbox Live Der gläserne Spieler? Dezember 2005: neue Xbox 360 neues Xbox Live Zentrale Eigenschaft: wenn möglich ständig online Über 2/3 der Nutzer (ca. 8 Mio.) mit Xbox Live verbunden Einsehbar: Wer ist gerade online? Was spielt / tut diese Person gerade auf der Xbox? Wann das letzte Mal online? Gespielte Spiele / erzielte Highscores Defaulteinstellung: Daten können von Dritten eingesehen werden (zumindest wer Passport-Kunde ist) Öffentliche Übermittlung kann jedoch abgestellt werden (Default bei Kindern) Microsoft hat Überblick über die meisten Aktivitäten auf der Xbox Zum Beispiel regelmäßige Liste der am meisten gespielten Spiele verfügbar Durchschnittlich verbrachten die Xbox Live Mitglieder im Jahr 2007 pro Tag eine Stunde vor der Konsole Datenschutz in Online-Spielen 29 Playstation Home Datenschutz in Online-Spielen 30
Second Life Datenschutz in Online-Spielen 31 Online-Spiele und Datenschutzrecht
Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983 (BVerfGE 65, 1): Recht auf informationelle Selbstbestimmung Das Grundrecht gewährleistet [...] die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Der Bürger hat das Recht, zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Es gibt keine belanglosen Daten. Datenschutz in Online-Spielen 33 Computer Grundrecht (Februar 2008) Schutz vor Ausspähen von Daten auf dem eigenen Computer Grundsätzlich Abwehrecht gegen den Staat (Online-Durchsuchung) Aber auch Grundsätze anwendbar auf andere Verhältnisse (P) Ausspähen von Daten durch Online-Spiele Ziel: Schutz vor Cheatern / Raubkopierern Z.B. Everquest2: You expressly permit SOE to upload CPU, operating system, video card, sound card and memory information from your computer to analyze and optimize your Game experience, improve and maintain the Game and/or provide you with customer service. Was passiert noch? Datenschutz in Online-Spielen 34
Sieben Goldene Regeln des Datenschutzes 1. Rechtmäßigkeit Jede DV bedarf einer rechtlichen Grundlage (entweder Gesetz/ Vertrag oder betriebliche Regelung oder Einwilligung des Betroffenen). 2. Einwilligung Eine Einwilligung ist nur wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat. 3. Zweckbindungsprinzip Personen bezogene Daten dürfen nur für den explizierten Zweck verwendet werden. 4. Erforderlichkeit und Datensparsamkeit Die DV ist auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Es umfasst auch Löschung von Teildaten, sobald diese nicht mehr benötigt werden. 5. Transparenz und Betroffenenrechte Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein. Dies schließt Auskunfts-, Berichtigungs-, Sperrungsund Löschungsrechte ein. 6. Datensicherheit DS ist nur dann gewährleistet, wenn personenbezogene Daten auch sicher verarbeitet werden. 7. Kontrolle Die DV muss einer internen und externen Kontrolle unterliegen. Datenschutz in Online-Spielen 35 Keine generelle Verpflichtung zur Offenbarung der eigenen Identität Generelle Freiheit, selbst über Preisgabe der eigenen Identität zu entscheiden Ausweispflicht / Identifikationspflicht nur gegenüber bestimmten Personengruppen (z.b. Polizei) Ausweispflicht: 1 Abs. 1 PersAuswG (Ausweis muss nicht ständig mit dabei sein / Vorlegbarkeit reicht aus) Zahlreiche Länder Europas haben gar keine Ausweispflicht Sogar ggf. falsche Angaben über die eigene Identität zulässig (Art. 2 Abs. 1 GG / ev. Art. 5 GG) Grenzen: Gesetze, Rechte Dritter, gute Sitten Datenschutz in Online-Spielen 36
Datenschutz und Anonymität 3a BDSG Datenvermeidung/Datensparsamkeit: Insbesondere ist von der Möglichkeit der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 13 Abs. 6 TMG (für Mediendienste wie z.b. Websites) Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren. Datenschutz in Online-Spielen 37 Hat ein Avatar eigene Rechte? Grundrechte richten sich an Menschen Mensch dahinter jedoch ggf. mittelbar betroffen Zu unterscheiden: Mensch dahinter betroffen / personenbezogene Daten (z.b. auch bei Beleidigung) Nur Spielfigur innerhalb der Spielwelt betroffen Fließender Übergang, wenn eigene Reputation mit Spielfigur aufgebaut wurde Datenschutz in Online-Spielen 38
Weitere Problembereiche Werbung in Online-Spielen Welche Daten werden an wen weitergegeben? Profilbildung durch Betreiber / Mitspieler Jugendschutz Überwachung von Online-Spielen wie Bibi und Tina Treffpunkt Martinshof Datenschutz in Online-Spielen 39 WoW-Spieler als Terroristen? British Broadcasting Corporation berichtet: Vor dem Hintergrund Terroristen aufspüren zu wollen, habe die US-Regierung ihren Geheimdiensten ein Projekt genehmigt, das ihnen erlaube Online-Spiele zu überwachen, um typische Verhaltensmuster von Spielern in virtuellen Welten zu erfassen. Ein an den US-Kongress adressierter Bericht des Office of the Director of National Intelligence (im folgenden ODNI) sei an die Öffentlichkeit gekommen. Dieser beinhalte einige Details rund um ein Überwachungsprojekt der US-Geheimdienste mit dem Codenamen "Reynard", das Forschern im Auftrag des ODNI die in den USA absolut legale Möglichkeit zur Überwachung vieler Onlinespiele gebe. Offiziell will man so terroristische Aktivitäten aufspüren? ODNI-Senior Officer: Forschungsprojekt ODNI: es ist höchst unwahrscheinlich, dass sich Terroristen in Spielen wie World of Warcraft formieren Datenschutz in Online-Spielen 40
Vielen Dank für Ihre Aufmerksamkeit! Besuchen Sie uns! HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand E 38 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Kai Janneck / Henry Krasemann Telefon: 0431 988 1399 / -1398 dos@datenschutzzentrum.de http:/// Datenschutz in Online-Spielen 41