by DonCall
Geschrieben am Freitag, 23.04.2021 10:34 Datenschutz DSGVO beim Spielen@Gamingbanner
Was es im Hinblick auf die DSGVO und Datenschutz bei Gaming-Communitys zu beachten gibt. Hinweise, Leitfaden, HowTos, Eigene Meinung, Praxisbeispiele
An dieser Stelle möchte ich darauf hinweisen, dass ich hiermit keinerlei Rechtsberatung anbiete. Der nachfolgende Text ist nach bestem Wissen und Gewissen von mir geschrieben worden. Wenn man meinen Tipps befolgt, heißt es nicht, dass man 100% alles richtig macht. Aber ich denke, mit meinen Tipps und Hinweisen macht man es richtiger, als wenn man garnichts macht! Ich möchte mit diesem Text erreichen, dass man seine eigene Arbeit oder Tätigkeit einmal mit den kritischen Augen eines Externen betrachtet! Oder einfach mal über das Thema nachdenkt.
Die DSGVO, die Datenschutzgrundverordnung gilt im Prinzip für alle, die personenbezogene Daten verarbeiten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Diese weite Definition erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter.
Also ... könnt Ihr die Frage nun selbst beantworten? Nein? Die Antwort ist: Sie gilt für alle! ... also alle, die irgendwie und irgendwo irgendwas über Personen speichern oder speichern lassen.
Jede Gamingcommunity betreibt eine Webseite. Klar. Wie soll sich sonst die Community nach außen hin präsentieren. Auch wenn die Webseite in reinem HTML mit ein paar Bildchen ist, so speichert doch der Server zumindest in Logs-Dateien die Verbindungsdaten der Benutzer. Darunter auch die IP Adresse, welche zu den personenbezogenen Daten gehört.
Nur sind Webseiten heute nicht einfach nur HTML mit Bildern. Es sind komplexe Konstrukte, basieren auf diversen CMS und verwenden oder binden verschiedene Techniken mit ein. So sind dort beispielhaft ein paar zu nennen:
Die DSGVO verlangt jetzt, dass der Betreiber der Webseite den Besucher der Webseite genau darüber aufklärt, welche Daten er erhebt, wofür diese genutzt werden, wer die Daten bekommt und warum er die Daten überhaupt braucht. Du musst also eine Datenschutzerklärung auf deine Webseite packen. Und zwar so, dass diese mit maximal 2 Klicks von überall aus erreichbar ist. Also am besten im Footer als Link "Datenschutzerklärung". Es gibt im Internet einige Datenschutz-Generatoren. Diese kannst du benutzen. Lese aber genau durch, was dort drin steht. Denn, du musst dich auch daran halten.
Oben habe ich schon die Server-Log-Dateien angesprochen. Diese speichern Verbindungsdaten vom Besucher auf eurer Webseite. Ob Ihr die Daten verarbeiten dürft und ob ihr dazu eine Einwilligung des Besuchers braucht, regelt Art. 6 Nr. 1 DSGVO. Hier sind für Community-Webseiten eigentlich nur die Punkte a), b), c) und f) am wichtigsten. Die Speicherung der Logdaten geschieht aufgrund des berechtigtem Interesses (f) des Betreibers. Z.B. um DDOS Attacken zu erkennen. Kommentare und Diskussionen lassen sich mit Absatz b) begründen, da es sich um die Erfüllung eines Vertrages handelt. Der Benutzer will ja einen Beitrag schreiben, also müsst ihr auch Daten speichern dürfen. Bei allen anderen o.g. Punkten handelt es sich fast ausschließlich um Datenerhebungen für die Ihr eine Einwilligung der Benutzer nach Absatz a) braucht. Wenn ihr Rechnungen schreibt oder einen Shop betreibt, müsst ihr von Gesetzes wegen noch weitere Daten speichern. Hier kommt dann Absatz c) zum tragen. Hier nochmal im Überblick:
Daten an Dritte weitergeben ist erstmal pauschal zu prüfen. Und besonderst, wenn Daten in unsichere Drittländer (USA) gehen! Ihr könnt das auch nicht mit dem berechtigtem Interesse begründen. Es bedarf IMMER der Einwilligung des Besuchers bei euch. Aber was ist denn eine Datenweitergabe an Dritte?
Schaut auch hier einmal mit den Augen eines Externen auf eure Webseite. Was braucht es wirklich, damit eure Webseite funktioniert. Ihr habt einen Webserver. Der speichert Daten. Das dürft ihr auch machen. Ihr bindet Google Fonts ein, damit eine tolle Schriftart verwendet werden kann. Brauche ich das um die Webseite zu benutzen? Wohl nicht. Solange die Schriftart als Datei auf eurem Server liegt ist das aber kein Problem. Ihr habt aber Google Fonts eingebunden? Hmm ... jetzt weiß auch der Google Fonts Server in den USA, über die Verbindungsdaten eures Besuchers Bescheid! Um das zu machen, müsst ihr erst eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a. DSGVO beim Besucher einholen. Willigt dieser ein, könnt Ihr die Schriftart aus den USA laden. Lehnt er ab, müsst ihr schauen, dass eine Standardschriftart geladen wird.
Die Einwilligung braucht ihr für alles, was 1. Nicht auf eurem Server liegt und 2. Nicht unbedingt zum Betrieb der Webseite nötig ist.
Der eine oder andere, der nicht komplett auf den Datenschutz scheißt, hat bestimmt mitbekommen, dass das Privacy Shield gefallen ist. Ich will nicht erklären, was das ist, bzw. war, sondern nur darauf hinweisen, dass man sich bei der Datenübertragung in Drittländer nicht mehr darauf berufen kann. Innerhalb der EU regelt alles die DSGVO. Außerhalb der EU gibt es Vereinbarungen mit Ländern, damit auch diese die Daten von EU-Bürgern entsprechend der DSGVO verarbeiten und schützen. Und für die USA gibt es z. Zt. keine gültige Vereinbarung.
Als beispiel für eine massive Datenübertragung in unsichere Drittländer ist hier Google Analytics zu nennen. Um das benutzen zu dürfen, braucht ihr ZWINGEND eine Einwilligung der Besucher. Ohne die geht nix! Also noch nicht einmal das Javascript von Goolge Analytics auf der Webseite einbinden!
Dann braucht Ihr auch noch einen Auftragsverarbeitungsvertrag mit Google. Denn Google verarbeitet für Euch die Daten.
Übrigens. Wenn ihr eure Webseite nicht auf einem eignen Root-Server betreibt, benötigt ihr auch mit eurem Webhoster einen Auftragsverarbeitungsvertrag. Ihr habt einen Gameserver auf einem vHost Anbieter? Hey! Der verarbeitet ja auch Daten von allen Benutzern: Auftragsverarbeitungsvertrag ist auch hier evtl von nöten. Ihr nutzt Discord? Denk mal drüber nach!
Am sichersten ist es tatsächlich lauter Root-Server für alles zu nutzen. Denn dann liegt die Datenhoheit bei euch und nicht bei Dritten! Ich habe leider selbst auf eine Frage keine Antwort gefunden: Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Serverprovider, wenn ich einen Root-Server bei diesem gemietet habe, aber der Hoster für mich die DDOS-Protection übernimmt? Dann speichert und verarbeitet er ja die IP Adressen meiner Besucher in meinem Auftrag? oder nicht?
Artikel 30 der DSGVO besagt euch, dass Ihr ein Verzeichnis von Verarbeitungstätigkeiten anlegen müsst. So muss jeder Verantwortliche ein Verzeichnis haben, dass Art. 30 genügt. Also, je mehr Menschen mit der Verarbeitung von personenbezogenen Daten auf eurer Webseite zu tun haben, desto mehr Verzeichnisse braucht ihr und müsst ihr pflegen. Vieleicht merkt man an diesem Punkt ein wenig, worauf die DSGVO eigentlich (auch) hinaus will. Ihr sollt mal drüber nachdenken, WER Zugriff auf Daten hat und ob er das überhaupt braucht!
Das ist tatsächlich ein wichtiges Dokument. Sollte ein Besucher eurer Seite von seinen Betroffenenrechten gebrauch machen, sollte in diesem Dokument stehen, was, wer, wo und bis wann es zu erledigen ist.
Beispiel: Ein ganz einfaches Beispiel wäre, dass ein Mitglied heiratet und seinen Namen ändern möchte. Es wäre jetzt eine TOM in der definiert ist, wie das funktioniert. Klar. Der Name steht in irgend einer Datenbank auf dem Webserver. Aber ist er auch noch an anderer Stelle gespeichert? Buchhaltungssoftware, in Datenbanken Dritter? Vieleicht beim Steuerberater oder in Liefer- und Rechnungsadressen? Aus den TOMs sollte eigentlich ersichtlich werden, wo Daten gespeichert sind. Wie diese Daten geschützt sind (Passwortverschlüsselung, Passwortgeschützte Bereiche, Zugangskontrollen, ...) wer darauf Zugriff hat, wann diese gelöscht werden können oder müssen? Es gibt einige Anleitungen im Internet und meine Auflistung hier ist definitiv nicht vollständig. Aber ein Katalog mit TOMs, der ordentlich geführt ist, macht euch das Leben einfacher.
Ich möchte jetzt einmal ein paar Webseiten anschauen. Ich nehme zum Vergleich einfach auch Multigaming Communitys und suche genau nach diesem Wortlauf in Google und schaue mir die ersten drei Ergenbisse an. Ich nutze dafür FireFox und habe einfach die Netzwerkanalyse offen. Da sieht man sehr genau, wohin meine Daten gehen und ob ich gefragt wurde, ob ich das will.
Ergebnis Nr 1:
Es wird
geladen. Das ist eine Menge und ich wurde NICHT gefragt, ob ich das möchte. Ich werfe einen Blick in die Datenschutzerklärung.
Als Verantwortlicher ist hier eine Privatperson eingetragen. Im Impressum ist sogar die Adresse als Bild hinterlegt und dann auch noch so komsich verschwommen. Das ist leider auch STRENGSTENS VERBOTEN! und verstößt gegen die Impressumspfilcht! Weiter: Es gib einen Eintrag zu Google Analytics. Hier wird sich auf Art. 6 Abs. 1 lit. f. DSGVO und dem Privacy Shield berufen. Das ist sowas von komplett falsch!!!
Die anderen Einbindungen werden überhaupt nicht erwähnt. Der Anbieter bewegt sich hier nicht nur auf sehr dünnem Eis, sondern auf gar keinem Eis! Er sollte dringenst die Datenschutzerklärung anpassen und sich die Einwilligung der Besucher einholen, bevor er o.g. einbindet!
Ich bin nochmal auf einen Games Eintrag gegangen. Es sind folgende Dienste zusätzlich geladen
Auch hier keine Einwilligung von mir ...
Note: 6
Ergebnis Nr. 2:
Ach du schei*e ... okay. Es wird folgendes geladen:
Auch hier wurde ich nicht gefragt! Was soll das? Okay ... ich schaue in die Datenschutzerklärung. Übrigens werde ich darauf hingewiesen, dass die Webseite Cookies benutzt um mein Surferlebnis zu verbessern. Ich sehe gerade, dass ich auf einen kleinen Textlink klicken kann, um Datenschutzeinstellungen einzustellen. Google Fonts wird hier als "WIRD BENÖTIGT" dargestellt. FALSCH! "Youtube Video" und "Tracking" ist vorausgewählt ... FAAAAAALSCH! Aber "Google Maps" ist nicht vorausgewählt ... lol? Okay. Ich deaktiviere jetzt mal "Youtube Video" und "Tracking" und schaue in der Netzwerkanalyse, ob das was bringt.
Nein, es bringt nichts. Youtube und Google Analytics laden trotzdem. Wozu dann die Wahlmöglichkeit? Ich schau mal kurz im Quelltext, ob die für Google Analytics wenigstens meine IP anonymisieren. Nö, machen die nicht. So, jetzt aber ab in die Datenschutzerklärung.
Wo ist denn die Datenschutzerklärung? Wo ist denn das Impressum? Häh? Bin ich blind? Achso da. Man muss erst diesen falschen Cookiebanner wegklicken um Datenschutzerklärung und Impressum zu sehen! Das wird ja immer geiler bei den Jungs! Lustig ist der erste Satz: "Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst" ... ich fühle mich gerade ins Gesicht geschlagen! Okay, weiter... es wird auch hier fälschlicherweise auf Art. 6 Abs. 1 lit. f. DSGVO berufen. Richtig wäre hier Art. 6 Abs. 1 lit. a. DSGVO! Es wird auch auf das Privacy Shield hingewiesen, welches nicht mehr existiert und bei Google Analytics auf ein Opt-Out-Cookie verlinkt. Leider genügt das nicht. Man benötigt Opt-In bevor es überhaupt läd. Den Rest schau ich mir nicht mehr an. Ich muss erstmal meine Tastatur von meinem Erbrochenem reinigen.
Note: 6
Ergebnis Nr. 3
Oh. Was sehen meine trocken Datenschützeraugen da. Es läd eine Community, die sich über ein Forum organisiert. Ich werde nichts gefragt und es laden folgende Dienste:
Das ist schonmal weniger als bei den anderen beiden. Mal in die Datenschutzerklärung schauen. Diese wird hier unter "Disclaimer" verlinkt. Das ist schon fast grenzwertig, aber man kann Gamern ein gewisses "Englischwissen" vorwerfen. Trotzdem leben wir ja immerhin in Deutschland! Da darf man gerne "Datenschutz" schreiben. Gut. Der Anbieter sagt, das er alles rein Privat betreibt, keine Einnahmen erzielt und personenbezogene Daten nicht an Dritte weitergegeben werden. Hmm... Doch! Google und Twitch, bis jetzt! Mal weiter lesen. hmm.. Das er Google nutzt um jQuery einzubinden sagt er nicht, auch Twitch ist nicht genannt. Die Erklärung sieht ohnehin einfach von einem anderen Anbieter kopiert aus. Außerdem ist sie kaum lesbar, da nicht formatiert. Es ist ein zusammenhängender Endlossatz. Wenigstens die E-Mail-Adresse an die ich mich wenden kann, wenn ich meine Daten löschen möchte ist sehr lustig.
Note: 5
Eins mach ich noch, weils so lustig ist. Ergebnis Nr. 4
Ui. Die Webseite läd ja mal spontan. Nur 414 verschiedene Anfragen und ca. 21 MB und über 20 Sekunden später bin ich auf der Startseite. Mich lächelt ein Cookiebanner an. Es erlaubt mir "Alle akzeptieren", "Nur funktionale Cookies" und "Einstellungen anzeigen". Das sieht schon mal gut aus. Bevor ich da aber klicke, schaue ich mal in der Netzwerkanalyse nach, was geladen ist, ohne das ich "ja" gesagt habe.
Wie gesagt. Ich habe noch nicht auf "Alle akzeptieren" geklickt. Ich klick jetzt mal auf "Einstellungen anzeigen". Ich sehe jetzt, das "Funktional" aktiviert ist und "Marketing" deaktiviert ist. Ähm ... nein! Analytics und der ganze Rest sind doch schon geladen. Ich klick mal auf "Nur funktionale Cookies". Es passiert nichts. Ich lade die Seite mal neu. Es laden trotzdem alle Sachen ... wozu das Cookiebanner mit Funktionen zum ablehnen, wenn alles beim Starten schon läd und nach dem ablehnen immer noch da ist? Ich schau mal in die Datenschutzerklärung.
Es wird einiges genannt. Zwar komplett falsch, wie bei den anderen auch, und einiges felht einfach ... so finde ich nichts über Discord. Okay. Im Impressum steht eine Privatperson die explizit sagt, dass es sich um eine non-profit Webseite handelt. Nur das schützt einen auch nicht.
Note: 6
Okay. Der Letzte. Ergebnis Nr. 5:
Die Seite läd nach ein paar Sekunden und ca. 700kb an Daten. Es kommt kein Datenschutzhinweis und kein PopUp. Das macht skeptisch. Ich schaue in die Netzwerkanalyse. Es laden folgende Dienste ohne meine Einwilligung:
Es läd nix. Vorbildlich. Ich schaue mal in die Datenschutzerklärung. Es handelt sich um einen Verein. Der Impressumspflicht wird ordentlich nachgegangen. Es werden alle Rechtsgrundlagen ordentlich aufgeführt. Hübsch. Mal nach gesetzten Cookies schauen. Irgendwo muss doch ein Haken sein. Es gibt ein PHPSESID Cookie. Super! Wem gehört diese Vorbildliche Seite?
Ach, das ist ja unsere :-) Daher ohne Bewertung!
Bitte bitte bitte tretet den Datenschutz nicht mit Füßen. Beachtet geltende Verordnungen und Gesetze. Befolgt diese oder lasst es sein! Macht euch doch einfach mal ein wenig im Internet schlau. Soviel Arbeit ist das nicht. Und mal Hand aufs Herz. Braucht man, um mit anderen Leuten zusammen zu spielen Google Analytics? Braucht man für eine Webseite Google Tagmanager? Muss man wegen ein paar Besuchern gleich alles über CDNs laden und nicht auf dem eigenen Server liegen haben? Holt euch bitte bevor ihr irgendwas einbindet das Einverständnis des Besuchers. Und wenn ihr dann z.B. Youtube einbindet ... dann bitte doch in der Youtube-Nocookie Variante. Es kann doch nicht so schwer sein!
Falls sich ein Verantwortlicher von den o.g. Beispielen angesprochen fühlt, kann er gerne Kontakt zu mir aufnehmen. Ich unterstütze gerne bei der Umsetzung von geltendem Recht und Gesetz in Deutschland! Aber auch hier ohne Gewähr und nur nach bestem Wissen und Gewissen. Ich bin kein Rechtsanwalt. Nur jemand, der sich mehr für Datenschutz interessiert, als so manch anderer.
Vielen Dank für eure Aufmerksamkeit.