Nr. 37/2007 vom 13.09.2007

Freiwillig durchleuchtet

Vertrauensselig geben SpielerInnen allerlei Daten an: E-Mail-Adressen, Geburtsdatum, Hobbys. Das Fussballspiel «Hattrick» zeigt: Das Missbrauchspotenzial ist enorm.

Von Esther Banz und Jerome Senden

Jeder sein eigener Fussballtrainer! Spieler kaufen, trainieren, tauschen, teuer weiterverkaufen! An Meisterschaften teilnehmen! Gewinnen und aufsteigen! Und das alles erst noch gratis! «Hattrick» ist spannend. Macht süchtig. «Hattrick» wird heute von weltweit nahezu einer Million Menschen gespielt. In der Schweiz sind es derzeit fast 50 000 aktive Mitglieder - wohl in keinem anderen Land der Welt gibt es prozentual so viele «Hattrick»-Fans.

Wer mitspielt, gibt ein paar Dinge von sich preis: Name, Adresse, Geburtsdatum und E-Mail. Diese Angaben werden gespeichert - und sie bleiben es, auch wenn der Spieler oder die Spielerin sich längst aus der «Hattrick»-Welt verabschiedet hat. Auch alle IP-Adressen, unter der sich eine UserIn eingeloggt hat, bleiben im System. Ebenso im internen Mailsystem verschickte Nachrichten an andere UserInnen, und darüber hinaus alle jemals verwendeten Passwörter und ebenso alle fehlgeschlagenen Log-In-Versuche.

Unverschlüsselte Passwörter

Besonders Letzteres ist problematisch. In Datenschutzfragen wenig sensibilisierten Menschen ist zuzutrauen, dass sie ein- und dasselbe Passwort für verschiedene Konten benutzen, dass also ihr Passwort für den Bankomaten das genau gleiche ist wie jenes, mit dem sie sich bei Internetdiensten anmelden. Wären all diese Passwort-Log-Ins überall verschlüsselt, könnte man sagen: Nun gut, wird schon schiefgehen. Aber dem ist nicht immer so. Auch bei Hattrick werden die Passwörter in der Datenbank abgelegt - bislang unverschlüsselt.

Auf all die Daten haben bei Hattrick sogenannte Gamemaster Zugriff. Gamemaster sind Spielverwalter, die für den reibungslosen Spielbetrieb sorgen, Neuanmeldungen bearbeiten, Betrüger suchen, Fehler beheben. 300 Gamemaster arbeiten weltweit ehrenamtlich für Hattrick. Sie haben auch auf die Daten aller bereits ausgetretenen SpielerInnen Zugriff - weltweit. Das machten kürzlich zwei Ex-Gamemaster in der deutschen Onlinezeitung «Netzeitung» publik.

Besonders problematisch: Die Gamemaster waren angewiesen worden, die SpielerInnen im Dunkeln darüber zu lassen, dass ihre Daten gespeichert werden, zeitlich unbeschränkt. Hattrick schloss mit seinen ehrenamtlich tätigen HelferInnen nicht mal einen Vertrag ab, der sie beispielsweise verpflichten würde, all die persönlichen Daten der SpielerInnen streng vertraulich zu behandeln.

Ist das kompatibel mit den Schweizer Datenschutzbestimmungen? Welche Gesetze sind überhaupt relevant? Beide Fragen sind nicht einfach zu klären, denn Hattrick Ltd. ist ein international verzweigtes Unternehmen: Seit 2003 ist die ehemals schwedische Firma in Gibraltar angemeldet. Die Server des Spiels wiederum hat sie im November 2006 in die Schweiz verlegt. Für den Betrieb und die Weiterentwicklung der Spiele hingegen ist die im Jahr 2000 gegründete Stockholmer Firma Extralives zuständig.

Laut Eliane Schmid, wissenschaftlicher Mitarbeiterin des Eidgenössischen Datenschutzbeauftragten (EDÖB), ist nicht allein der Unternehmenssitz ausschlaggebend für die Zuständigkeit der Datenschutzbehörde; das schweizerische Recht zieht auch in Betracht, wo über Zweck und Inhalt einer Datensammlung bestimmt wird. Das ist im Fall von Hattrick in Gibraltar.

Anstrengende Verteidigung

Dort sieht die sogenannte Gibraltar Data Protection Ordinance 2004, kurz DPO, unter anderem vor, dass sich jedes Unternehmen, das persönliche Daten sammelt, registrieren lässt. Es müssen detaillierte Angaben über die Art der gesammelten Daten und den Personenkreis, der darauf Zugriff hat, gemacht werden. Hattrick Ltd. ist in dem online einsehbaren Register aber nicht zu finden.

Hattrick hat umgehend auf die in der «Netzeitung» verbreiteten Vorwürfe reagiert. Im spielinternen Forum gestand die Firma die Fehler ein und gelobte Besserung. Konkret würden künftig die Passwörter der SpielerInnen nur noch verschlüsselt angezeigt, und mit den Gamemastern würden nach dem Datenschutzgesetz in Gibraltar Verträge, sogenannte Non-Disclosure-Agreements, abgeschlossen. Bis zum heutigen Tag gibt es aber laut Auskunft eines aktiven Gamemasters noch immer keinen solchen Vertrag.

Gemäss EDÖB ist vor allem die Datenspeicherung über die Zeitdauer der Teilnahme am Spiel hinaus - ausser es gebe dafür einen triftigen Grund - nicht mit dem schweizerischen Datenschutzgesetz kompatibel. Es bräuchte dazu die Einwilligung der betroffenen Personen. Die Betreiber von «Hattrick» lassen ihre ehemaligen SpielerInnen aber nicht einmal wissen, dass ihre Daten gespeichert bleiben. Und diese würden nicht einfach nur vor sich hindösen, sondern aktiv gebraucht, behauptet ein ehemaliger Gamemaster, der in einem Blog anonym offizielle Handlungsanleitungen für Gamemaster veröffentlicht hat. Darin steht auch, dass die Freiwilligen angehalten werden, bei Anmeldungen die «angegebenen Adressdaten mithilfe des Telefonbuchs zu überprüfen».

Kann man sich gegen diese Handhabungen wehren - und sogar auf die Hilfe der eidgenössischen Datenschützer hoffen? Die Antworten der JuristInnen des EDÖB sind lang - und zurückhaltend. Das Wichtigste in Kürze:

• Wenn die Firma ihren Sitz im Ausland hat, ist es enorm schwierig und aufwendig, gegen sie vorzugehen. Auch der Umstand, dass die Server in der Schweiz stehen, vermag für sich genommen keine Zuständigkeit des EDÖB zu begründen.

• Wer will, dass seine Daten gelöscht werden, richtet ein schriftliches Begehren an die betreffende Firma. Sinnvollerweise sollte in diesem Schreiben ausgeführt werden, dass man von der Anwendbarkeit des Schweizer Datenschutzgesetzes ausgehe und dass nach hiesigem Recht ein Anspruch auf die Datenlöschung bestehe. Es besteht auch die Möglichkeit, gerichtlich vorzugehen, und zwar vor einem Schweizer Gericht. Das kann jedoch angesichts der Internationalität des Falles mühsam sein.

• Die Datenlöschung ist im Wesentlichen Vertrauenssache, selbst wenn die DatenbearbeiterInnen in die Zuständigkeit des EDÖB fallen. Der EDÖB ist keine polizeiliche Behörde und kann daher auch nicht unangemeldet Überprüfungen von Datensammlungen durchführen. Im vorliegenden Fall der Hattrick Ltd. kann das EDÖB aber für Schweizer Betroffene beratend tätig sein.

• Gamemaster von Onlinespielen müssen, obwohl es sich nicht um besonders schützenswerte Personendaten handelt, einen sorgfältigen Umgang mit den Daten pflegen. Es besteht bei allen ungenügend geschützten Personendaten ein Missbrauchspotenzial (zum Beispiel Zweckentfremdung für Marketing).

Alles, wirklich alles

Aber, sagt Eliane Schmid vom EDÖB, die SpielerInnen geben ihre Daten freiwillig her - und das in vielen Fällen recht sorglos. «Viele Leute neigen dazu, den Datenschutz hintanzustellen, wenn sie sich Gewinnchancen bei einem Wettbewerb oder irgendeinen anderen Komfort versprechen.» Diese Einschätzung teilt der renommierte Experte für Datensicherheit, Bruce Schneier: «Wenn jemand an einem Spiel nur dringend teilnehmen will, dann wird er für sich Gründe finden, die es ihm ermöglichen, dem dahinter stehenden Unternehmen zu vertrauen.» Das sei doch recht erstaunlich, findet der US-Amerikaner, denn «man muss davon ausgehen, dass diese Unternehmen alles, wirklich alles sammeln und speichern».

Wenn Ihnen der unabhängige und kritische Journalismus der WOZ etwas wert ist, können Sie uns gerne spontan finanziell unterstützen:

Überweisung

PC-Konto 87-39737-0
BIC POFICHBEXXX
IBAN CH04 0900 0000 8703 9737 0
Verwendungszweck Spende woz.ch