Datenschutz bei Streaming-Anbietern und Social-Media-Plattformen ist ein datenschutzrechtlicher Dauerbrenner. Doch wie steht es bei der beliebten Streaming-Plattform für Games „Twitch“ in Sachen Datenschutz im Rahmen ihrer Angebote?
Der Inhalt im Überblick
Was ist Twitch?
Twitch ist eine vor allem von Videospielern benutzte Plattform, auf der die Nutzer verschiedene Anwendungen streamen können. Fans von Videospielen können dabei ohne eigenen Account live ihren Lieblingsspielern beim Spielen zusehen. So wird Twitch auch oft als YouTube für Gaming bezeichnet.
Twitch wird nicht nur als Spieleplattform, sondern auch für Streams von Live-Events oder Q&A-Runden genutzt. Von den so entstandenen Videos können sowohl Streamer als auch Zuschauer Clips erstellen.
2014 kaufte Amazon den Dienst auf. Seither gibt es die Möglichkeit, das Amazon-Konto mit Twitch zu verknüpfen, um so exklusive Inhalte für ausgewählte Spiele zu erhalten (Twitch Prime Programm).
Die Nutzung von Twitch ist grundsätzlich kostenfrei. Man kann allerdings auch für je rund 5 Euro im Monat Streamer abonnieren, oder diese mit einzelnen „Trinkgeldern“ unterstützen. Der Großteil der Erlöse geht dabei an die Streamer. Neben der Webseite gibt es auch noch die Twitch-App, sodass man auch unterwegs nicht auf Twitch verzichten muss.
Welche Daten sammelt Twitch über die Nutzer und wozu?
Datenschutzrichtlinie auf der Streaming-Plattform
Letztes Jahr haben wir uns im Rahmen eines Beitrags bereits mit Datenschutzerklärungen verschiedener Streaming-Anbieter beschäftigt und dabei hohen Anpassungsbedarf hinsichtlich der Grundanforderungen an Artikel 12 ff. DSGVO festgestellt. Auch Noyb, die Initiative von Max Schrems, hat sich in einem Arbeitspapier intensiv mit den Datenschutzhinweisen der Streaming-Plattformen auseinandergesetzt. So entstand eine Übersicht mit Gegenüberstellung anhand der Erfordernisse von Artikel 13 DSGVO.
Twitch taucht in dieser Aufstellung nicht auf. Daher haben wir uns die Datenschutzerklärung von Twitch anhand der Anforderungen des Artikel 13 DSGVO nun einmal genauer angeschaut:
- Name und Kontaktdaten des Verantwortlichen
Twitch Interactive, Inc. gibt in der Privacy Notice (LINK) als Geschäftsadresse und für Anfragen 350 Bush Street, 2nd Floor, San Francisco, CA 94104, USA, sowie als E-Mail-Kontakt privacy@twitch.tv an. Außerdem hat Twitch Interactive Inc. die schwedische Twitch Sweden AB olstjärnegatan 14, 417 56 Gothenburg als EU-Representant im Sinne des Artikel 27 DSGVO benannt.
- Kontaktdaten des Datenschutzbeauftragten
Diese sind nicht gesondert genannt. Vielmehr wird hier wohl der Verweis auf privacy@twitch.tv zum Datenschutzbeauftragten führen.
- Zwecke der Verarbeitung
Die Datenschutzerklärung nennt eine Reihe von Zwecken für unterschiedliche Verarbeitungsformen, spricht aber im Abschnitt „Von Twitch erfasste personenbezogene Daten“ hinsichtlich automatisch erfasster Daten von einer Datenverarbeitung „unter anderem zu folgenden Zwecken“. Es ist daher nicht von einer vollständigen Nennung aller Zwecke der Verarbeitung auszugehen.
- Rechtsgrundlage für die Verarbeitung
Im Abschnitt „Nutzung personenbezogener Daten durch Twitch“ positioniert sich Twitch zu Rechtsgrundlagen wie folgt:„Twitch richtet sich bei der Verarbeitung deiner personenbezogenen Daten nach Rechtsgrundlagen, soweit dies gesetzlich zulässig ist, insbesondere zur Einhaltung vertraglicher Verpflichtungen, im Hinblick auf die Vorbereitung von Vertragsabschlüssen sowie zur Einhaltung rechtlicher Pflichten, deiner Zustimmung und der berechtigten Interessen von Twitch.“Weitere Ausführungen zu Rechtsgrundlagen oder gar eine Zuordnung zu konkreten Datenverarbeitungen erfolgen nicht.
- Bei berechtigten Interessen: Was sind diese Interessen?
Twitch erläutert nicht, welche Interessen sich hinter dem Begriff berechtigte Interessen verbergen. Eine Interessenabwägung erfolgt auch nicht.
- Verknüpfung Zwecke, Rechtsgrundlage, Kategorien
Zwecke, Rechtsgrundlage und Kategorien werden nicht verknüpft.
- Weitergabe der Daten
Die Datenschutzerklärung enthält einen Abschnitt zur „Weitergabe personenbezogener Daten durch Twitch“, bleibt auch hier relativ wage. So werden unter anderem Daten an „Affiliates“ weitergegeben. Welche Unternehmen genau unter den Begriff fallen, wird nicht weiter ausgeführt.
- Übermittlung von Daten außerhalb der EU/EWR
Im Abschnitt „Internationale Datenübertragungen“ lässt sich Twitch zu Datenübertragungen in Drittstaaten wie folgt ein:„Von Twitch erfasste Informationen können in deiner Region, in den Vereinigten Staaten (zum Beispiel in unseren großen Rechenzentren) oder in jedem anderen Land gespeichert und verarbeitet werden, in dem Twitch bzw. Affiliates, Tochtergesellschaften, Partner oder Dienstleister ihren Sitz haben oder über Einrichtungen verfügen. Wenn wir solchen Einrichtungen Informationen über dich zur Verfügung stellen, ergreifen wir geeignete Maßnahmen, um sicherzustellen, dass deine Daten angemessen und gemäß diesem Datenschutzhinweis sowie gültiger Gesetze geschützt werden.“Daraus wird klar, dass personenbezogene Daten bei Twitch weltweit verarbeitet und weitergegeben werden können. Die Information an welche Unternehmen in Drittstaaten die Daten konkret weitergeben werden, bleibt die Datenschutzerklärung aber schuldig.Hinsichtlich der Drittstaatentransfer-Problematik äußert sich die Datenschutzerklärung im Punkt „Weitergabe (…)“ zudem wie folgt:„Twitch kann Benutzerinformationen weitergeben, wenn wir in gutem Glauben der Ansicht sind, dass die Weitergabe erforderlich ist, um bundes- und gesamtstaatliche Gesetze der USA und sonstige anwendbare Gesetze weltweit zu erfüllen (z. B. im Land deines Wohnsitzes) oder einer gerichtlichen, richterlichen oder behördlichen Anordnung oder Subpoena-Anordnung auf die rechtlich erforderliche Weise nachzukommen.“
Hier blitzt auf jeden Fall das Thema EuGH-Urteil in Sachen Schrems II durch. Einen Zugriff durch US-Behörden scheint Twitch nicht ausschließen zu wollen.
- Speicherdauer
Auch im Rahmen der Ausführungen zur Speicherung der Daten bleiben die Ausführungen oberflächlich:„Twitch speichert die Daten zu deiner Nutzung von Twitch so lange, wie dies erforderlich ist, um die entsprechenden Zwecke zu erfüllen, die in diesem Datenschutzhinweis beschrieben sind und soweit dies rechtlich erforderlich (oder zugelassen) ist, etwa für steuerliche und buchhalterische oder andere Zwecke, über die wir dich informieren. Wenn du uns aufforderst, dein Benutzerkonto zu sperren und deine Profildaten zu löschen, löschen wir alle Daten, zu deren Aufbewahrung wir laut geltendem Recht nicht verpflichtet oder berechtigt sind.“
- Informationen über DSGVO-Rechte
Hinsichtlich der Betroffenenrechte verweist die Datenschutzerklärung auf die Unterseite „Privacy Choices“ auf der eine Reihe von Möglichkeiten seine Rechte wahrzunehmen. Konkreten Bezug auf die DSGVO wird dabei allerdings nicht genommen.
- Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling
Es wird im Punkt „Rechte der betroffenen Person“ nur dargelegt, dass man das Recht hat Informationen über eine mögliche Profilbildung einzufordern, nicht ob diese tatsächlich stattfindet oder nicht.
Prime Gaming und andere verknüpfte Spielekonten für Drops
Im Rahmen des Prime Gamings kann man sein Konto mit einer ganzen Reihe weiterer Konten bei anderen Anbietern ( z.B. mit Electronic Arts, Blizzard Entertainment u.a.) verknüpfen, um so z.B. virtuelle Gegenstände zu erhalten. Inwiefern in diesem Rahmen Daten weitergeben werden ist weder aus der Datenschutzerklärung von Twitch noch aus der Datenschutzerklärung von Amazon transparent ersichtlich. Klar ist, dass mit der Verknüpfung mit Sicherheit eine Vielzahl personenbezogener Daten zwischen den Anbietern ausgetauscht werden.
Datenschutzeinstellungen im Twitch-Benutzerkonto
Folgende datenschutzfreundliche Twitch Datenschutzeinstellungen in den „Privacy Choices“ sind empfehlenswert:
- Das Teilen von Aktivitäten mit Freunden deaktivieren.
- Dein Konto von deinen anderen Konten und Diensten (z. B. Blizzard Battle.net, Steam oder League of Legends) trennen und das Teilen von Benutzerdaten zwischen den Twitch-Diensten und diesen Konten und Diensten per Opt-out deaktivieren.
- Deine Genehmigung zur Freigabe deiner Daten mit einer Erweiterung widerrufen.
- Dich von E-Mail- oder Push-Benachrichtigungen abmelden, die sich nicht auf Transaktionen beziehen.
- Dich von Marketing-E-Mails von Twitch abmelden.
- Ad-Tracking auf dem Mobilgerät deaktivieren.
- Dich von der Nachverfolgung durch teilnehmende Werbenetzwerke und Anzeigenserver Dritter abmelden.
- Erfahre mehr über Nielsen Services oder melde dich in Verbindung mit deiner Nutzung der Twitch-Dienste ab (über Privatsphäre Einstellungen).
Hinsichtlich der Verknüpfung mit dem Amazon-Konto ist an eine Deaktivierung der interessenbezogenen Werbung auf der Webseite von Amazon zu denken.
Streamen auf Twitch: Was ist beim Datenschutz zu beachten?
Gemeinsame Verantwortlichkeit
Im Rahmen des EuGH-Urteils zu Facebook-Fanpages hat der Gerichtshof in seinem Urteil wie folgt Stellung zur gemeinsamen Verantwortlichkeit durch Fanpage-Betreiber und Facebook genommen:
„Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. […]
Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
Etwas konkreter zu den jeweiligen Pflichten führt auch noch die Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit für den „Gefällt mir Button“ aus, dass sowohl die erforderliche Einwilligung für die Verarbeitung durch den Websitebetreiber einzuholen, als auch die Informationspflichten von ihm zu erfüllen sind. Dies jedoch nur in Bezug auf den Vorgang oder die Vorgänge, für den bzw. für die dieser tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet.
Beachtet man nun, dass der Streamer bei Twitch Einblick in die Metriken bekommt und darüber hinaus ab „Partnerstatus“ an der von Amazon ausgespielten Werbung mitverdient, zeigen sich hier die Parallelen zum Facebook-Fanpage-Urteil. Es deutet daher viel daraufhin, dass das Verhältnis zwischen Streamer und Twitch auch als gemeinsame Verantwortlichkeit einzuordnen ist. Damit wäre zwischen Twitch und den Streamern jeweils ein den Anforderungen des Artikel 26 DSGVO entsprechender Vertrag zu schließen. Darin sollte geregelt werden, welche Partei für die Erfüllung der Informationspflichten nach Artikel 13 DSGVO zuständig ist. Betroffene können nach Artikel 26 Abs. 3 DSGVO ihre Rechte gegenüber beiden Parteien geltend machen.
Impressum und Datenschutzerklärung
Twitch ist als Telemedium im Sinne von § 1 Abs. 1 TMG einzustufen. Daher besteht eine Impressumspflicht nach § 5 TMG für kommerzielle Nutzer, wenn das Social-Media-Profil nicht nur einmalig bzw. kurzfristig betrieben wird.
Darüber hinaus muss entsprechend der Ausführungen aus dem EuGH-Urteil zu Facebook-Fanpages, auch durch Twitch-Nutzer in einer Datenschutzerklärung über die gemeinsame Verantwortlichkeit und die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DSGVO informiert werden. Datenschutzhinweise und Impressum sollten nicht mehr als zwei Klicks vom Hauptmenü zur Verfügung gestellt werden (sog. Zwei-Klick-Regel). Weitere Hinweise zur datenschutzkonformen Gestaltung einer Datenschutzerklärung für Social-Media-Dienste finden Sie im folgenden Beitrag.
IRL-Streaming
Seit 2016 bietet Twitch die Kategorie „IRL-Streaming“ an. IRL bedeutet „In Real Life“ und heißt übersetzt „im echten Leben“. Der Streamer nimmt in diesem Rahmen seine Zuschauer mit in sein „echtes Leben“ außerhalb der Spielewelt. Aufgrund der Unkontrollierbarkeit der Umgebung beim Streamen vom Gehsteig aus, ergeben sich für diese Art des Streamens eine ganze Reihe von rechtlichen Folgefragen, denen ein Streamer im Vorfeld eines IRL-Stream Beachtung schenken sollte. Dies sind unter anderem:
- die Persönlichkeitsrechte der gefilmten Personen (vgl. Ausführungen zu Bildern)
- Urheberrechte
- Live-Streaming kann unter bestimmten Umständen als zulassungspflichtiger Rundfunk eingeordnet werden
Schlussfolgerungen für Streamer und User
Twitch und Datenschutz ist eine Verbindung mit Verbesserungspotential. Streamern ist anzuraten sich mit den Urteilen des EuGH zur gemeinsamen Verantwortlichkeit im Zusammenhang mit Facebook auseinanderzusetzen. Im Zweifel sollte ein Impressum und transparente Datenschutzhinweise vorgehalten werden. Für User hingegen empfiehlt sich, in jedem Fall datenschutzfreundliche Einstellungen zu wählen.