Moderne Videospiele, insbesondere im Bereich Free-to-Play und Live-Service, basieren auf Strukturen, die eine umfassende Erhebung und Auswertung von Spielerdaten verlangen. Dieser Artikel befasst sich mit den Methoden des Profilings und zeigt, welche rechtlichen Rahmenbedingungen gelten, wie es um die Transparenz bestellt ist und welche Risiken sich für die betroffenen Personen ergeben.
Der Inhalt im Überblick
Welche Daten sind für das Profiling in Videospielen relevant?
Die Datenschutzerklärungen der Entwickler und Publisher zeigen, dass bei der Nutzung von Videospielen eine Vielzahl unterschiedlicher Daten erhoben wird. Besonders bei Online-Spielen ist regelmäßig die Erstellung eines Nutzerkontos erforderlich. In solchen Fällen beginnt die Datenerfassung bereits vor dem eigentlichen Spielstart, beispielsweise während der Registrierung.
Dabei können Daten aus verschiedenen Kategorien gesammelt werden, unter anderem:
- Identifikationsdaten: Name, E-Mail-Adresse, Benutzername, Geburtsdatum, Telefonnummer, Geschlecht, Land.
- Technische Geräte- und Verbindungsdaten: IP-Adresse, Geräteidentifikatoren, Hardware- und Softwareinformationen, Betriebssystem.
- Spiel- und Verhaltensdaten: Gameplay-Daten, Spielverlauf, Erfolge, Spielzeiten, Abbruchraten.
- Kommunikationsdaten: Chat-Nachrichten, Sprachkommunikation.
- Finanzdaten: Kaufhistorie, Zahlungsdaten, Abonnementinformationen.
- Tracking- und Werbedaten: Werbekennungen, vor und nach der Spielsitzung besuchte Websites, Cross-Device-Tracking-Informationen.
- Standortdaten: Geolokalisierung über IP-Adresse oder Geräteinformationen.
Für ein Profiling sind Spiel- und Verhaltensdaten wie beispielsweise die Spielzeiten, bestehend aus Tageszeiten und Dauer einer Spielsitzung, sowie Spielverlauf oder Abbruchraten besonders relevant. Aus Spielzeiten lassen sich Rückschlüsse auf Tagesrhythmen, Arbeitszeiten oder Schlafverhalten ziehen; es lassen sich unter Umständen sogar soziale Gewohnheiten ermitteln. Die Informationen sind außerdem für die Optimierung der Werbung und die Steuerung der Monetarisierung von zentraler Bedeutung. Aus technischen Geräte- und Verbindungsdaten wie IP-Adressen und Geräteidentifikatoren erfolgt häufig die Erstellung eines Fingerabdrucks, der die Zuordnung der Spielenden über verschiedene Geräte und Plattformen hinweg ermöglicht.
Wie regelt die DSGVO das Profiling im Datenschutz?
Gemäß Art. 4 Nr. 4 DSGVO wird der Begriff des Profilings wie folgt definiert:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […]“
Das Zusammenführen und Analysieren verschiedener Daten der Spielenden stellt dabei regelmäßig eine automatisierte Verarbeitung personenbezogener Daten dar, bei der persönliche Aspekte wie Interessen, Vorlieben und das Verhalten der Spielenden bewertet werden.
Von dem in Art. 4 Nr. 4 DSGVO definierten Profiling ist die automatisierte Entscheidungsfindung im Einzelfall nach Art. 22 DSGVO zu unterscheiden. Art. 22 Abs. 1 DSGVO gewährt betroffenen Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihren gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Nicht jedes Profiling unterfällt daher Art. 22 DSGVO. Gerade das Merkmal einer erheblichen Beeinträchtigung lässt sich im Kontext von Videospielen häufig nur schwer eindeutig feststellen. Unterfallen Spielende beispielsweise auf Grundlage ihres Profils einer personalisierten Monetarisierung, handelt es sich um eine automatisierte Entscheidung mit unmittelbaren wirtschaftlichen Auswirkungen. Je nach den konkreten Umständen könnte dies eine erhebliche Beeinträchtigung darstellen.
Auf welcher Rechtsgrundlage findet das Profiling statt?
Für Profiling gelten grundsätzlich dieselben Rechtsgrundlagen wie für andere Formen der Datenverarbeitung. Entwickler und Publisher nutzen dabei unterschiedliche Rechtsgrundlagen, insbesondere:
- die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und
- das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Stützen sich Entwickler und Publisher auf das berechtigte Interesse, so ist deren Interesse an einer wirtschaftlichen Verwertung ihres Spiels grundsätzlich legitim. Bei der erforderlichen Interessenabwägung sind dann unter anderem die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. Wer ein Free-to-Play-Spiel startet, rechnet zwar mit optionalen Käufen, nicht aber notwendigerweise mit einer tiefgreifenden Analyse des Spielverhaltens.
Greift Art. 22 DSGVO ein, darf die automatisierte Entscheidungsfindung nur unter den engen Voraussetzungen des Art. 22 Abs. 2 DSGVO erfolgen. Sie muss für den Abschluss oder die Erfüllung eines Vertrags erforderlich sein, aufgrund von Rechtsvorschriften zulässig sein oder auf einer ausdrücklichen Einwilligung beruhen.
Welche Rolle spielen Zweckbindung und Transparenz beim Profiling?
Der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 lit. b DSGVO erfordert, dass Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Problematisch ist, dass die Datenschutzerklärungen häufig breite Zweckkataloge verwenden und die Grenzen zwischen Spielbereitstellung, Personalisierung, Monetarisierung und Werbung verschwimmen können.
Gemäß Erwägungsgrund 60 der DSGVO sollte der Verantwortliche die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Es bleibt umstritten, ob sich diese Pflicht nur auf Art. 22 DSGVO oder auf jedes Profiling im Sinne des Art. 4 Nr. 4 DSGVO erstreckt. Der Begriff „Profiling“ wird von Entwicklern und Publishern indes konsequent gemieden. Häufig ist stattdessen von der Zusammenführung personenbezogener Daten zur Optimierung des Spielerlebnisses oder ähnlich blumigen Formulierungen die Rede.
Profiling in Videospielen: Mehr als ein bloßes Feature
Profiling kann durch das Kombinieren verschiedener Daten besonders sensible Informationen generieren. Aus Spielzeiten, Kaufverhalten und In-Game-Entscheidungen können theoretisch Rückschlüsse auf die wirtschaftliche Lage bis zum psychischen Zustand gezogen werden. Die personalisierte Monetarisierung birgt zudem das Risiko einer Diskriminierung. Spielenden mit höherer Zahlungsbereitschaft oder in anfälligen Zuständen können gezielt teurere Angebote unterbreitet werden. Kritisch zu beobachten ist der Einsatz von künstlicher Intelligenz, die den Spielenden kostenpflichtige In-Game-Gegenstände zu solchen Zeitpunkten anbietet, die die KI für relevant hält.
Die Branche erhebt in großem Umfang verhaltensbezogene Daten, führt diese zusammen und nutzt die daraus gewonnenen Profile, häufig ohne diese Praxis als Profiling zu kennzeichnen. Betroffene Personen werden so nicht in die Lage versetzt, Tragweite und Konsequenzen der Verarbeitung zu erfassen. Dort, wo automatisierte Systeme eine personalisierte Monetarisierung festlegen oder psychologisch wirksame Kaufanreize gezielt ausspielen, könnte zudem die Schwelle des Art. 22 DSGVO erreicht sein.
Vielen Dank für diesen tollen Artikel. Eine Frage: Würden Sie das Einteilen der Spieler in „Ränge“, die auf Spielleistungen in kompetitiven Spielen basieren auch als Profiling klassifizieren?
Wahrscheinlich nicht. In der Definition des Profilings spielt das Wort „bewerten“ eine zentrale Rolle. Beim Profiling werden verfügbare personenbezogene Daten bewertet, um daraus neue Erkenntnisse über eine Person zu gewinnen. Auch das verfolgte Ziel ist entscheidend. Spiel- und Finanzdaten einer Person können beispielsweise dahingehend bewertet werden, ob diese Person besonders empfänglich für bestimmte Skins oder andere Items ist, um ihr diese gezielt anzubieten. Die Einteilung von Personen in Ränge mit dem Ziel eines fairen Matchmakings stellt hingegen eher eine Kategorisierung als eine Bewertung dar, da hierbei nicht zwangsläufig neue Erkenntnisse über die Person gewonnen werden. Je nach angewandter Methode und Zielsetzung lässt sich diese Frage jedoch vortrefflich diskutieren.