Anti-Cheat und der Datenschutz

Cheats gibt es schon so lange wie Computerspiele. Teilweise sind sie von den Entwicklern vorgesehen und einprogrammiert. Viele dürften den Cheatcode für das Spiel Sims kennen, um ohne weiteres an viel Geld zu kommen („Motherlode“). Es gibt aber zwei Arten von Cheats, die von den Entwicklern nicht vorgesehen sind. Diese beruhen auf Exploits, also der Ausnutzung von Softwarefehlern. Möglich ist auch eine Manipulation des Spielspeichers oder im Fall von Onlinespielen des Datenstroms zwischen Client und Server.Passiert dies in einem Offline-Spiel, wird kein Schaden angerichtet. Hieraus hat sich auch das Speedrunning ergeben, bei dem die Exploits eingesetzt werden, um ein Spiel möglichst schnell durchzuspielen. Durch diese Abkürzungen über die Softwarefehlern gelingt das Durchspielen von einigen Titeln in Minuten statt in mehreren Stunden. Es gibt aber auch „bösartige“ Cheats. Diese werden in Online-Spielen eingesetzt, um sich gegen andere Spieler einen unfairen Vorteil zu verschaffen, oder entgeltliche Dienstleistungen des Spielangebots zu beanspruchen, ohne dafür zu bezahlen. 

Für Publisher ist es deshalb von großer Bedeutung gegen solches Cheating vorzugehen. Passiert dies nicht, kann dies erhebliche Auswirkungen haben. So mancher Online-Titel wurde eingestellt, weil das Unternehmen das Cheating nicht unter Kontrolle bringen konnte und als Konsequenz einen kritischen Teil der Spieler schafft vergraulte.

Da im Kontext von Online-Spielen eine unüberschaubare Anzahl von Sachverhalten geprüft werden muss, braucht eine Anti-Cheat-Strategie automatisierte Mittel. In der Regel muss der Spielbetreiber Geräteinformationen und Datenströme des Spielers analysieren. Oft sind die Geräteinformationen nur Indizien und erlauben die Berechnung eines Wahrscheinlichkeitswerts, ob eine unzulässige Modifikation des Spielablauf stattfindet.

Bis zur Berechnung des Wahrscheinlichkeitswerts ist bereits das Auslesen der Geräteinformationen datenschutzrechtlich einzuordnen. Für das Auslesen aus dem Endgerät des Spielers braucht es eine Rechtsgrundlage nach dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG, früher TTDSG). Hier haben sich die Datenschutzaufsichtsbehörden für § 25 Abs. 2 Nr. 2 TDDDG als Rechtsgrundlage für das Auslesen von Endgeräten zur Betrugsprävention ausgesprochen (DSK Orientierungshilfe für Anbieter:innen von Telemedien in der Version 1.1 Rn. 72). Unter dem Begriff der Betrugsprävention werden auch Anti-Cheat-Maßnahmen fallen. 

Allerdings gelten für Anti-Cheat-Maßnahmen noch weitere Vorgaben, wenn ein Nutzer von einem Spiel ausgeschlossen wird und der Ausschluss maßgeblich auf einem Wahrscheinlichkeitswert der Anti-Cheat-Software beruht. Selbst eine manuelle Übernahme der automatischen Entscheidung muss immer noch die Vorgaben zum datenschutzrechtlichen Scoring erfüllen. Diese Vorgaben besagen, dass ein solches Scoring nur unter engen Voraussetzungen erlaubt ist. Unter anderem, aufgrund einer Einwilligung oder wenn es für die Durchführung eines Vertrags erforderlich ist. Bei Anti-Cheat-Maßnahmen wird der Cheater aber wohl kaum einwilligen, sich selbst überführen zu lassen. Auch die Vertrags-Ausnahme ist nur einschlägig, wenn entsprechende Klauseln vereinbart sind. Diese Vorgaben resultieren aus der neuen Rechtsprechung des EuGH zum SCHUFA-Score vom 7.12.2023 mit Aktenzeichen C-634/21. Zwar erfolgte die Entscheidung im Kontext der Kreditwürdigkeit, jedoch gilt die Begründung auch für Anti-Cheating-Software.

Eine mögliche Lösung für einen praktikablen und rechtssicheren Einsatz von Anti-Cheat-Maßnahmen wäre eine nationale Rechtsgrundlage wie sie zuletzt in erster Lesung im Bundestag in Form des § 37a BDSG-E diskutiert wurde. Eine ausdrückliche Erlaubnis für die Betrugsprävention oder Anti-Cheat-Maßnahmen enthält der aktuelle Entwurf nicht. Vielmehr macht dieser Entwurf eine weitere problematische Vorgabe. Wenn der Schädiger noch nicht volljährig ist, verbietet der aktuelle Entwurf des § 37a Abs. 2 Nr. 2 BDSG-E Entscheidungen aufgrund automatisierter Verarbeitungen umfassend. Der Ausschluss eines minderjährigen Spielers von einem Online-Spiel aufgrund der Analyse einer Anti-Cheat-Software könnte damit erschwert oder unmöglich gemacht werden. Dabei erfolgt der Einsatz von Cheats in Onlinespielen oft durch Minderjährige, die mangels geistiger Reife selbst dem Einsatz von Cheats in Online-Spielen zugeneigt sein können.

Als Lösung dieses Problems wäre es denkbar, nicht die Einwilligung vom minderjährigen Spieler einzuholen, sondern von den Eltern. Diese werden ein gesteigertes Interesse haben, dass ihr Kind oder Jugendlicher einem Unternehmen keinen wirtschaftlichen Schaden bereitet. Zudem kann auch nur so der minderjährige Spieler die pädagogisch wichtige Lektion lernen, dass sich das Schummeln nicht lohnt und mit negativen Konsequenzen verbunden ist. Der Jugendschutz würde vom Schutz der persönlichen Integrität sprechen. 

Darüber hinaus sieht der Entwurf zum BDSG eine Auskunftspflicht hinsichtlich der für die automatisierte Entscheidung hinzugezogenen Daten und Prioritäten vor. Dies könnte tatsächlich hochproblematisch sein, da solche Informationen die Umgehung der Sicherungsmaßnahmen ermöglichen könnten. Bisher gibt es dazu keine gerichtlichen Entscheidungen, jedoch zumindest eine behördliche Entscheidung. So hat die Dänische Datenschutzbehörde im Jahr 2022 entschieden, dass Unternehmen sich hier auf die nötige Geheimhaltung von Anti-Cheat-Maßnahmen berufen können, um Auskunftsansprüche hinsichtlich der Anti-Cheat-Maßnahmen zu verweigern. Begründet hat die Behörde ihre Entscheidung damit, dass sonst die die Effektivität der Schutzmaßnahmen zulasten des Unternehmens und aber auch aller anderer Nutzer beeinträchtigt werden würde. 

Der Beitrag wurde von Herrn RA Maximilian Kroker gemeinsam mit RA Kai Bodensiek erstellt