Ratgeber

Pokémon GO: Tipps zu Sicherheit und Datenschutz

Ein Artikel von , veröffentlicht am 15.07.2016, bearbeitet am25.07.2016

Die App Pokémon GO ist schwer in Mode: Mehr als zehn Millionen mal wurde das Spiel bereits installiert. Doch die App ist auch ein geschickter Datensammler. Und: personenbezogene Daten gehen auch an Unternehmen, deren Namen die Nutzer nie erfahren.

Das neue Spiel Pokémon GO bringt jede Menge Spaß. Doch gerade weil die App virtuelle und anfassbare Welt miteinander verbindet, sollte man einen Blick hinter die Kulissen werfen. Wir geben Ihnen die wichtigsten Fakten zum Spiel.

Das Spielprinzip

Bei dem Spiel geht es darum, Spielfiguren, sogenannte Pokémon, zu fangen und gegeneinander kämpfen zu lassen. Die Hersteller des Spiels haben dazu an bestimmten geografischen Punkten auf einer virtuellen Landkarte Spielfiguren platziert. Wenn man sich mit seinem Smartphone fortbewegt und einen solchen Punkt erreicht, erscheint die Spielfigur auf dem Display und man kann es fangen. An anderen Punkten, sogenannten Pokéstops, kann man virtuelle Gegenstände für das Spiel einsammeln.

Wer steckt dahinter

Herausgeber von Pokémon GO ist die Firma Niantic Inc. mit Sitz in San Francisco, USA. Kopf der Firma ist John Hanke, der früher bei Google für Google Earth zuständig war. Niantic gehörte bis 2015 zu Google und trennte sich dann auf formaler Ebene. Das Spiel Pokémon GO entwickelte Niantic in Partnerschaft mit den japanischen Firmen Nintendo und The Pokémon Company. Google ist weitherhin Investor bei Niantic Inc.

Geschäftsmodell

Die App ist kostenlos. Spieler können sich aber durch In-App-Käufe bestimmte Vorteile verschaffen. Nach der Datenschutzerklärung ist die Verwendung von Nutzerdaten für Marketing-Zwecke ausdrücklich vorgesehen. Datenhandel dürfte also eine zweite Einnahmequelle sein. Niantic kündigte an, dass in Zukunft auch Geschäfte oder Unternehmen gegen Geld eigene Pokéstops einrichten könnten, um Kunden anzuziehen oder Werbung zu schalten.

Gefälschte Apps

Sicherheitsforscher von RisKIQ und ESET haben in 21 App-Stores 215 gefälschte Pokémon-Apps gefunden. Einige davon auch in Googles Play-Store. Sie haben oft Namen wie "Pokémon Ultra" oder "Guidebook for Pokémon" und geben sich als Varianten oder Erweiterungen des Spiels aus. Viele davon haben sich als handfeste Schadprogramme entpuppt. Achten Sie daher darauf, die originale Version von Niantic zu laden, und lassen Sie die Finger von Zusatz-Apps oder Varianten.

Ortsdaten und Google Maps

Pokémon GO funktioniert nur, wenn man dem Spiele-Anbieter, also Niantic, permanent seinen Aufenthaltsort mitteilt. Niantic behält sich in seiner Datenschutzerklärung vor, diese Ortsdaten zu speichern und „zur Verbesserung und Personalisierung des Dienstes“ zu analysieren.

Niantic sammelt auch Informationen, mit denen sich auf die echte Identität schließen lässt. Spieler haben zwei Möglichkeiten, um sich für das Spiel anzumelden: entweder mit einem Pokémon-Trainerkonto mit E-Mail-Adresse und Passwort oder mit einem existierenden Google-Konto. In diesem letzten Fall erfährt Niantic den Namen des Google-Kontos und kann die Aufenthaltsdaten mit dieser Identität verknüpfen. Die App nutzt das Kartenmaterial von Google Maps. Google erfährt somit sehr wahrscheinlich nicht nur, wo man sich wann befindet, sondern auch, dass man dort Pokémon GO gespielt hat.

Weitere Firmen

Pokémon GO nimmt vor und während des Spielens Verbindung zu Servern von verschiedenen Unternehmen auf und überträgt Daten. Diese Unternehmen werden in der Datenschutzerklärung nicht genannt. Für den eigentlichen Spielbetrieb sind diese Datenübertragungen unserer Einschätzung nach nicht nötig.

In Tests von Sicherheitsexperte und mobilsicher-Autor Mike Kuketz wurden Verbindungen zu Servern folgender Firmen festgestellt:

  • Unity Technologies: Firmensitz Kalifornien, USA. Liefert die 3D-Grafik-Funktion für viele Computer- und Smartphone-Spiele. Die Firma betreibt auch einen Daten-Analyse-Dienst und einen Werbedienst, um interessenbezogene Werbung auszuspielen.
  • Apteligent Inc.: Firmensitz Kalifornien, USA. Bietet Nutzeranalysen in Echtzeit an.
  • Upsight Inc.: Firmensitz Kalifornien, USA. Klassischer Tracking- und Marketing-Dienst. Die Firma bietet auch die Analyse von Nutzerdaten an und entwirft mit den Daten Profile für gezieltes Marketing.

An diese Firmen werden zum einen Gerätedaten übertragen, zum Beispiel eine eindeutige Gerätekennung (UUID), Geräte-Modell, Hersteller, Betriebssystem-Version, aber auch die Speicherauslastung, Länderkennung und welcher Mobilfunkanbieter genutzt wird.

Wenn Sie sich mit Ihrem Google-Konto anmelden, wird der Name, den Sie im Google-Konto angegeben haben, und der Spielername an Apteligent Inc. übermittelt. An Upsight wird das detaillierte Spielverhalten übermittelt, zum Beispiel einzelne Spielzüge, besuchte Pokéstops, Level und so weiter.

Die vollständigen Rohdaten der Tests finden Sie auf der Homepage von Mike Kuketz.
.

Niantic

Welche Daten genau an Niantic gehen, konnten wir im Test nicht festestellen, da diese Verbindung verschlüsselt ist. Laut Datenschutzerklärung sammelt Niantic Geräteinformationen, Ortsdaten, E-Mail-Adresse des Anmeldekontos, übermittelte Daten wie zum Beispiel den Spielernamen und natürlich den gesamten Spielverlauf.

Weitergabe von Daten an Behörden und an Dritte

In seiner Datenschutzerklärung behält sich Niantic in einem recht weitreichenden Absatz vor, sämtliche Nutzerdaten an Behörden und auch an andere Dritte weiterzugeben:

... wenn wir es nach unserem eigenen Ermessen für notwendig und angemessen erachten: (a) um auf Ansprüche, Gerichtsprozesse (einschließlich Vorladungen) zu reagieren; (b) um unser Eigentum, unsere Rechte und unsere Sicherheit, sowie das Eigentum, die Rechte und die Sicherheit von Dritten oder der allgemeinen Öffentlichkeit zu schützen; und (c) um jegliche Aktivität, die wir als illegal, unethisch oder rechtlich anfechtbar erachten, aufzudecken und zu stoppen.

Opt-out

Laut Datenschutzerklärung kann man der Bereitstellung von Nutzerdaten an Drittanbieter widersprechen, indem man eine entsprechende Mail an pokemongo-privacy@nianticlabs.com schickt.

Unser Tipp

Legen Sie sich für den Spielespaß ein eigenes Google-Konto oder ein Konto im Pokémon-Trainer-Club an. Wählen Sie dafür eine E-Mail-Adresse, die Ihren echten Namen nicht verrät. Wählen Sie einen Spielernamen, der nicht auf Ihre echte Identität hinweist.

Überlegen Sie sich, welche geografischen Bereiche Sie den Spiele-Herstellern nicht mitteilen wollen, zum Beispiel den Ort, wo Sie wohnen. Gewöhnen Sie sich an, die App einige Kilometer davor auszuschalten.

Lästige Poké-Stops

An welchen Orten sich Poké-Stops befinden, entscheiden die Hersteller des Spiels. Manchmal tauchen solche Stops, oder auch Arenen, an unpassenden Orten auf, zum Beispiel auf Friedhöfen, oder auf Privatgrundstücken. Wenn Sie sich durch einen solchen Punkt zum Beispiel in Ihrem Garten gestört fühlen, können Sie bei Niantic beantragen, dass der Punkt entfernt wird. Klicken Sie dazu auf diesen Link und füllen Sie das Formular aus.

Fazit

Aus Datenschutzperspektive ist diese App eher nicht empfehlenswert. Wohin sich andere Spiele-Apps verbinden und welche Daten dabei übertragen werden, lesen Sie in unseren App-Rezensionen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Browser und Suchmaschinen 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Sie haben sich von der Google-Suche verabschiedet, möchten aber auf die Suchleiste auf dem Startbildschirm Ihres Smartphones nicht verzichten? Kein Problem mit Simple Search! In dieses nützliche kleine Werkzeug lässt sich jede Suchmaschine einbauen.

Mehr
Ratgeber 

Passwortsperre für Google Drive bei iOS einrichten

Auch Nutzer von Apples iOS bewahren sensible Daten auf Google Drive auf, die geschützt werden sollten. Dafür lässt sich auf dem iPhone oder iPad ein Sicherheitscode vorschalten. Wir zeigen, wie man die vierstellige Zahlenkombination einrichtet oder ändert.

Mehr
App-Test 

Heimweg-App WayGuard kurz vorgestellt

WayGuard bietet einen 24-Stunden-Begleitservice für den Heimweg und beschäftigt dazu ein eigenes Team. Hinter der kostenlosen App steht der Versicherungskonzern AXA. Die App ist einfach zu bedienen, bindet aber auch Facebook- und Google-Dienste ein.

Mehr
Browser und Suchmaschinen 

Ratgeber: So surfen Sie anonym mit Tor (Android)

Wer im Internet surft, hinterlässt Spuren. Das Anonymisierungsnetzwerk Tor kann helfen, diese zu verschleiern. Wie Sie den Tor-Browser auf Ihrem Android-Gerät installieren und nutzen können, erklären wir hier Schritt für Schritt.

Mehr