Datenschützer legten Beschwerde gegen Ubisoft ein

Die Pflicht zum Verbinden mit dem Internet gelte auch, wenn es gar keine Online-Funktion im jeweiligen Spiel gebe. Unter anderem würde das Unternehmen Daten darüber sammeln, wann man ein Spiel starte, wie lange es benutzt wird und wann es beendet wird. Die NGO, die mit vollem Namen "None Of Your Business" heißt ("Geht Dich Nichts An"), habe selbst auf Nachfrage keine Erklärung von Ubisoft für diese Vorgangsweise erhalten. "Nach Artikel 6(1) DSGVO (Anm. Datenschutz-Grundverordnung) dürfte es keine gültige Rechtsgrundlage für die willkürliche Erhebung solcher Daten geben", hieß es in der Aussendung.

Laut noyb seien die meisten Spiele des Unternehmens auf Einzelspiel-Erlebnisse ausgelegt. Trotzdem würden die Zocker gezwungen werden, sich mit einem Ubisoft-Konto anzumelden, bevor sie ein gekauftes Spiel tatsächlich benutzen können. Dies sei auch beim Beschwerdeführer der Fall gewesen nach dem Erwerb des Ubisoft-Spiels Far Cry Primal. Nach dem Kauf auf dem Online-Marktplatz Steam wollte er es offline starten. Dies ist aber nicht möglich. Er war gezwungen, sich in ein Ubisoft-Konto einzuloggen.

"Stell dir vor, der Monopoly-Mann säße an deinem Tisch und würde sich jedes Mal Notizen machen, wenn du ein Brettspiel spielen willst. Bei Videospielen ist das Realität. Oft ist es sogar egal, ob die Spiele offline oder online gespielt werden. Solange du eine aktive Internetverbindung hast, werden deine Daten gesammelt und ausgewertet", sagte Joakim Söderberg, Datenschutzjurist bei noyb.

150 Mal Verbindung zu externen Servern in nur zehn Minuten

Ein verpflichtendes Auskunftsersuchen des Beschwerdeführers brachte großen Informationsaustausch ans Licht. Ubisoft gab an, eine eindeutige Kennung des Beschwerdeführers zu haben, ebenso Informationen darüber, wann das jeweilige Spiel gestartet und beendet wurde. Der Beschwerdeführer stellte zudem fest, dass in einem Zeitraum von nur zehn Minuten 150 Mal eine Verbindung zu externen Servern hergestellt wurde. "Zu den Datenempfängern gehören Google, Amazon und das US-Softwareunternehmen Datadog", so noyb.

Der Kundendienst der Firma gab auf Nachfrage an, lediglich eine Eigentumsüberprüfung beim Start des Spiels durchzuführen. Für weitere Informationen wurde der Beschwerdeführer an die Endbenutzer-Lizenzvereinbarung (EULA) sowie an die Datenschutzrichtlinie des Unternehmens verwiesen. Dort bestätigt Ubisoft, dass es persönliche Daten sammelt und "Analysetools von Drittanbietern" verwendet und dass es Spieldaten sowie "Anmelde- und Browsingdaten" erfasst.

Eingewilligt dazu hat der Beschwerdeführer aber nie. "Gemäß Artikel 6(1) DSGVO bedeutet dies, dass die Verarbeitung notwendig sein muss, um rechtmäßig zu sein. Das ist beim Beschwerdeführer nicht der Fall", so noyb. Nachdem er das Spiel gekauft hat, sei der Besitz bereits bestätigt worden.

Versteckte Option

Zudem zeigte sich bei der Recherche, dass Ubisoft eine "versteckte" Option habe, um das Spiel offline zu starten. Das zeige für noyb, dass die Verarbeitung persönlicher Daten als Standardeinstellung nicht wirklich nötig sei. Und selbst wenn dies der Fall wäre, würde es noch immer nicht die Datenerfassung während des Gamens erklären, hieß es in der Aussendung. Es sei nicht legal, standardmäßig Berichte von den PCs ohne ausdrückliche Einwilligung zu senden, so die NGO rund um Max Schrems.

"Videospiele sind teuer - aber das hält Unternehmen wie Ubisoft nicht davon ab, ihre Kund:innen zu zwingen, Offline-Spiele unnötigerweise online zu spielen. Das Vorgehen von Ubisoft ist eindeutig rechtswidrig und muss gestoppt werden", erklärte Lisa Steinfeld, Datenschutzjuristin bei noyb.

Beschwerde in Österreich eingebracht

Noyb habe daher eine DSGVO-Beschwerde bei der österreichischen Datenschutzbehörde DSB eingereicht. "Wir fordern Ubisoft deshalb auf, alle persönlichen Daten des Beschwerdeführers zu löschen und die weitere rechtswidrige Verarbeitung einzustellen. Zu guter Letzt schlagen wir der Behörde außerdem die Verhängung einer Strafe vor", so die NGO. Ausgehend von Ubisofts Jahresumsatz in Höhe von mehr als zwei Milliarden Euro könne die Datenschutzbehörde laut Angaben von noyb eine Strafe von bis zu 92 Millionen verhängen.