Online-Spiele erfreuen sich immer mehr Beliebtheit. Inzwischen existiert sogar schon Software, die das Mogeln beim Spielen, sogenanntes Cheaten, erkennt.
Der folgende Beitrag erläutert, wie Anti-Cheat-Mechanismen aus Datenschutzsicht zu bewerten sind.
Multiplayer-Spiele sind Spiele, die von mehreren Spielerinnen und Spielern gleichzeitig gespielt werden. Es kann sowohl miteinander als auch gegeneinander gedaddelt werden. In der Regel erfolgt die Vernetzung der weltweit verstreuten Spieler in Echtzeit über das Internet. Bekannte Spiele auf diesem Gebiet sind das Rollenspiel „World of Warcraft“, das Kriegsspiel „Call of Duty: Warzone“, das Shooter-Game Fortnite oder das MOBA League of Legends.
Mittlerweile ist eine vollständige Ökonomie um die Spiele herum gewachsen. Da wird es immer lukrativer, dem Spielerfolg ein bisschen nachzuhelfen. Sogenanntes Cheaten ist sowohl für andere Mitspieler als auch für den Spielehersteller nicht immer leicht erkennbar. So gibt es beispielsweise für das Online-Battlegame „League of Legends“ nicht nur Schummelskripte, sondern auch Hacks und Cheats, die im Netz kursieren.
Anti-Cheat-Software kommt zum Einsatz
Zum Einsatz kommen bei Spielern sogenannte Cheat-Bots oder Cheat-Software. Diese erlauben, ein Spiel in einer nicht dem gewöhnlichen Spielverlauf entsprechenden Weise zu beeinflussen. So können zum Beispiel Abschnitte übersprungen werden oder ein Spieler erhält mehr Lebensenergie, Geld, Munition oder ähnliches. Im Fall von Bots tätigt ein Roboter automatisch simulierte Tastatureingaben oder Mausbewegungen.
Allerdings haben Spieleanbieter mittlerweile Software entwickelt, die Cheaten erkennen kann. Im Mai wurden über eine halbe Million Call-of-Duty-Accounts aus dem Spiel verbannt. Die Software analysiert die Daten von Spielern, um zu erkennen, ob Cheat-Software eingesetzt wird.
Wie ist die Rechtslage?
Damit es sich um eine zulässige Datenverarbeitung handelt, müssen die Voraussetzungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.
In Betracht kommt bei der Nutzung der Daten eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Danach ist eine Verarbeitung nur rechtmäßig, wenn etwa die betroffene Person „ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“ hat. Mit guten Argumenten kann die Auffassung vertreten werden, dass die Datenverarbeitung im Sinne von Art. 6 Abs. 1 lit. b DSGVO „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“ erforderlich ist. Denn der Spieleanbieter hat sich auch gegenüber dem einzelnen User verpflichtet, ihm kein Spiel zu verkaufen, welches voll von Unregelmäßigkeiten ist. Fairer Wettbewerb und dessen Ermöglichung dürfte auch eine Aufgabe eines Spieleherstellers sein.
Wahrnehmung berechtigter Interessen
Eine Einwilligung nach Art. 6 DSGVO käme dort nicht in Betracht, wo Anti-Cheat-Software ohne Wissen oder Zustimmung des Betroffenen erfolgt und personenbezogenen Daten verarbeitet werden. Im User Agreement von Electronic Arts heißt es etwa: „EA nutzt Technologien, um Cheaten zu erkennen und zu verhindern…in…EA Games“.
Eine Datenverarbeitung kann allerdings nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig sein, wenn die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen“ erforderlich ist. Es stellt zweifelsohne ein berechtigtes Interesse eines Spiele(plattform)anbieters dar, Cheaten einzudämmen, da die Mogelei Regeln aushebelt, anderen Spielern Erfolgschancen und Spielspaß nimmt und dies Einfluss auf die Vermarktungs- und Refinanzierungsmöglichkeiten des Spiels hat. Problematischer wird es, wenn der Spieler minderjährig und nicht selbst geschäftsfähig ist. Dann stellt sich auch die Frage einer wirksamen Einwilligung in die Spiele-AGB.
Technischer und organisatorischer Datenschutz
In jedem Fall ist es erforderlich, dass ein Spieleanbieter personenbezogene Daten, die er im Zusammenhang mit einer Anti-Cheat-Software erhebt und verarbeitet, in sicherer Weise, die dem Stand der Technik entspricht, speichert. Der Kreis der Personen, die Zugriff auf die Daten haben, muss begrenzt sein. Die Speicherdauer muss festgelegt sein, Daten sollten nur so lange gespeichert werden wie unbedingt erforderlich und so schnell gelöscht werden wie möglich.
Generelles Verbot automatisierter Entscheidung
Anti-Cheat-Software kann, wenn sie Cheaten erkennt, automatisiert Entscheidungen treffen. Es gibt auch zusätzlcihe Systeme, bei denen Spieler andere Spieler bei auffälligem Verhalten melden können und dann eine Untersuchung eingeleitet wird. Art. 22 Abs. 1 DSGVO setzt automatisierten Entscheidungen jedoch strenge Grenzen. So hat betroffene Person „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Wird jemand ohne menschliches Zutun durch eine Entscheidung einer Anti-Cheat-Software aus einem Spiel verbannt, liegt darin jedoch eine automatisierte Entscheidung. Deshalb muss immer auch ein Mensch an einer solchen Entscheidung beteiligt sein. Dem Menschen, der ein Mindestmaß an fachlicher Qualifikation für die anstehende Aufgabe mitbringen muss, muss immer noch ein gewisser Entscheidungsspielraum zustehen, die Person darf eine automatisierte maschinelle Entscheidung nicht einfach nur pro forma „abnicken“. Häufig werden Ticketsysteme benutzt, bei denen Spieler nicht dauerhaft gesperrt werden, sondern auf eine Sperre nochmals reagieren können.
Anders liegt der Fall, wenn einer der in Art. 22 Abs. 2 genannten Ausnahmefälle vorliegt. Demnach gilt die Einschränkung des Art. 22 Abs. 1 DSGVO nämlich etwa dann nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. Wenn ein Spieler eine automatisierte Entscheidung selbst bestätigt oder annimmt, ist keine automatisierte Entscheidung mehr gegeben.
Grundsätzlich stehen Betroffenen nach Art. 15 DSGVO Auskunftsrechte zu. Ein Problem entsteht dort, wo das Recht zur Auskunft über Daten nur dazu genutzt wird, um Wissen in Erfahrung zu bringen, welches helfen soll, Anti-Cheat-Software zu umgehen. Die Rechtsprechung hat dem DSGVO-Auskunftsrecht einen Riegel vorgeschoben, wo es vorwiegend nur um die Verfolgung von Interessen geht, die den Datenschutz nichtberühren. Die Geltendmachung eines Auskunftsanspruchs nach der DSGVO ist demnach rechtsmissbräuchlich, wenn damit Ziele verfolgt werden, die außerhalb des Datenschutzes liegen. Ein Spieleanbieter ist darüber hinaus nicht verpflichtet, im Rahmen eines DSGVO-Auskunftsersuchens Betriebs- oder Geschäftsgeheimnisse preiszugeben.
Rechtsanwälte Lampmann, Haberkamm & Rosenbaum Partnerschaft berät Vereine und Profi-Sportler im E-Sport. Zögern Sie nicht, unsere Expertise in Anspruch zu nehmen, falls Sie ein juristisches Problem im Bereich E-Sport haben. Wir helfen Ihnen gerne.