Schwammig, unzureichend und irreführend - Datenschutzrichtlinien des Epic Games Store weisen erhebliche Mängel auf

Die Datenschutzbestimmungen des Epic Games Store beherbergen einige fragwürdige Passagen. In der derzeitigen Form dürfte Epic damit gegen die DSGVO verstoßen.

von Martin Dietrich,
19.12.2018 12:40 Uhr

Der Epic Games Store bietet für Entwickler bessere Konditionen als beispielsweise Steam. Der Datenschutz lässt aber noch zu wünschen übrig.Der Epic Games Store bietet für Entwickler bessere Konditionen als beispielsweise Steam. Der Datenschutz lässt aber noch zu wünschen übrig.

Mit ihrem ersten eigenen Store hat Epic Games vor Kurzem zum großen Angriff auf Steam geblasen und sich weiter von ihrer ursprünglichen Rolle als reiner Entwickler und Engine-Hersteller emanzipiert. Laut mehreren unabhängigen Juristen, mit denen GameStar in den letzten Tagen gesprochen hat, erfüllen jedoch die Datenschutzbestimmungen aktuell nicht die Ansprüche, die die Europäische Union an datensammelnde Unternehmen stellt.

Die Richtlinien von Epic sind zum Teil stark verklausuliert, schwammig und in der derzeitigen Form schlichtweg nicht zulässig. So ist unklar, welche Unternehmen Zugang zu den Spieledateien haben und inwieweit Epic personenbezogene Daten an dritte Stellen weiterleitet.

So funktioniert der Epic Games Store: Bessere Raten für Entwickler, mehr Kontrolle über die eigene Seite

Die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) spricht in ihren Gesetzestexten explizit davon, dass Unternehmen ihre Datenschutztexte eindeutig und verständlich formulieren müssen. Den Endverbrauchern soll klar sein, was mit ihren Daten passiert und wo sie gespeichert werden. Weil sich Epic an EU-Kunden richtet und deren Daten verarbeitet, müssen sie sich an das EU-Datenschutzniveau halten.

Unternehmen sollen datenschonend handeln und nur das speichern, was zur Erfüllung eines Kaufvertrages vonnöten ist. Also zum Beispiel die Accountdaten eines Nutzers, solange dieses Konto aktiv ist und nicht gelöscht wurde. Alles, was darüber hinaus geht, benötigt eine extra Einwilligung. Eben diese Grundsätze missachten die Epic-Richtlinien.

Die Gebühren im Store sind für Entwickler sehr attraktiv. Epic zwackt sich nur 12 Prozent des Umsatzes ab.Die Gebühren im Store sind für Entwickler sehr attraktiv. Epic zwackt sich nur 12 Prozent des Umsatzes ab.

Unkonkrete Angaben

Die Vorwürfe eines nicht mit EU-Recht konformen Datenschutzes sind zuerst über Reddit aufgetaucht. Ein Spieler, der laut eigenen Angaben über entsprechende Kenntnisse verfügt, bemängelte den Datenschutztext von Epic.

So gibt Epic an, dass sie personenbezogene Daten »an unsere Tochterunternehmen, an mit uns verbundene Unternehmen, an Dienstanbieter und an Geschäftspartner weitergeben«. Dabei geht Epic aber nicht näher darauf ein, welche Unternehmen das denn genau seien. So könnte mit Geschäftspartner auch der chinesische Internetgigant Tencent gemeint sein. Dieser hatte vor einigen Jahren etwa die Hälfte der Epic-Aktien erworben und sitzt seitdem im Verwaltungsrat des Entwicklers. Gehen die Spielerdaten also auch nach China? Das lassen die Richtlinien offen.

Als wir dem Juristen Henry Krasemann vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein einige dieser Passagen zeigen, meint er dazu: »Das ist dieses typisch amerikanische Datenschutz-AGB-Geschwurbel, was selten präzise ist.« Es wird versucht, sich möglichst alle Wege offen zu lassen und alles damit abzudecken, sagt Krasemann.

Preisschlacht der Online-Stores: Discord Store verlangt ab 2019 weniger Gebühren als Epic

Weitergabe von Daten an externe Unternehmen

Epics Schludrigkeit setzt sich in weiteren Abschnitten der Datenschutzrichtlinie fort. Nicht nur beim Kauf gehen die eigenen Daten unter Umständen an die Entwickler: »Wenn der Entwickler oder Publisher sein Spiel aus dem Epic Games Shop entfernt, werden wir personenbezogene Daten auch an diese unabhängigen Publisher oder Entwickler weitergeben, soweit dies zur Unterstützung Ihres weiteren Spielablaufs auf einer anderen Plattform erforderlich ist.«

Hier ist wieder unklar, was mit den Daten der Spieler passiert. Erstellt Epic also einfach einen Account auf einer anderen Store-Plattform wie Steam und überträgt die Spielelizenz, wenn das gekaufte Spiel nicht mehr auf dem Epic Games Store unterstützt wird? Wird der Spieler vorher gefragt, ob er das möchte? Die Datenschutzbestimmungen bleiben vage und vieldeutig.

Ebenso herrscht beim Thema Social Media große Unsicherheit. Epic schreibt: »Wir geben Daten über Ihre Person und Ihre Kontakte in sozialen Netzwerken eventuell weiter, wenn Sie und diese Kontakte die gleichen sozialen Funktionen unserer Spiele und Anwendungen nutzen.«

Plus-Report: Datenschutz in Spielen - Ein Datenschatz zum Zugreifen

Unter welchen Umständen das »eventuell« gilt und welche Informationen aus den sozialen Medien verarbeitet werden, lässt sich nur erahnen. Um sich bei Epic anzumelden, kann man entweder einen eigenen Account erstellen oder nutzt dazu beispielsweise sein Facebook-Konto. Daraufhin erscheint die Meldung, dass Epic Zugriff auf das öffentliche Profil, Freundeslisten und Email-Adressen erhält. Die wenigsten Nutzer dürften jetzt ausreichend darüber informiert sein, was Epic mit den Facebook-Daten anstellen kann, sagt auch Alex Goldberg von der Anwaltskanzlei Siebert Goldberg:

»Diese Zustimmung muss umfassend, informierend und verständlich sein. Da müsste in einfachen Worten erklärt werden, was denn genau passiert im Rahmen einer Einwilligung. Und das ist bei Facebook so intransparent, dass man überhaupt nicht weiß, was mit den Daten passiert. Deswegen ist immer die Frage: Kann so eine Einwilligung überhaupt wirksam sein?«

Epic ist aber bei weitem nicht das einzige Unternehmen, dass ein derlei externes Anmeldesystem über Facebook als Option anbietet. Im Verbund mit der löchrigen Datenschutzerklärung sollte ein jeder Nutzer hier aber besonders vorsichtig sein.

Durch den riesen Erfolg von Fortnite konnte Epic einen eigenen Store aufziehen.Durch den riesen Erfolg von Fortnite konnte Epic einen eigenen Store aufziehen.

Überarbeitungen sind nötig

In den Richtlinien finden sich noch weitere fragwürdige Formulierungen. Zwar scheinen die Verfasser die DSGVO im Hinterkopf gehabt zu haben, wirklich umgesetzt wurde sie jedoch nicht. Gerade die dürftige Erläuterung der Verwendungszwecke der Spielerdaten stößt bei Datenschutz-Experten auf Unverständnis.

»Da sind noch sehr, sehr viele Stolpersteine drin«, sagt Marian Härtel, Rechtsanwalt mit Fokus auf den Bereich Gaming, E-Sport und Streaming. »Zweifel gehen immer zu Lasten des Datenschutzstellers.« Noch deutlich wird Alex Goldberg: »Was den Datenschutz angeht, sehe ich hier wirklich schwarz.«

Weitaus weniger problematisch ist die Rückgabe-Funktion im Epic Games Store. Im Internet kursieren ebenfalls einige Vorwürfe, dass die Entwickler hier nicht nach EU-Recht handeln und es pro Jahr nur zweimal erlauben, ein Spiel zurückzugeben. Ein Epic-Mitarbeiter bestätigte uns gegenüber jedoch, dass diese Begrenzung derzeit noch gar nicht aktiv ist und sie auch anders funktioniert als befürchtet.

Derzeit wird jede Rückgabe manuell von Epic geprüft. Dazu muss ein Spieler den Support kontaktieren und seine Kauf-ID mitteilen. Liegt der Spielekauf nicht mehr als 14 Tage zurück, erhält der Spieler sein Geld wieder, egal wie lange er zuvor den Titel gespielt hat. Bei Steam existiert beispielsweise bei Rückgaben eine Spielzeitbegrenzung von zwei Stunden.

Etwa in einem halben Jahr soll bei Epic dieser Prozess durch ein automatisches System ergänzt werden. Pro Jahr dürfen Store-Nutzer dann zweimal ihr gekauftes Spiel innerhalb von 14 Tagen zurückgeben, ohne eine Überprüfung durch Epic. Es werden keine Fragen gestellt. Damit sich kein Spieler aufgrund der fehlenden Begrenzung der Spielzeit sein Geld immer wieder zurückerstatten lässt, wird es nach den zwei automatischen Rückgaben aber wieder eine manuelle Überprüfung geben.

Angriff auf Steam - Warum der Epic Store die erste echte Konkurrenz für Valve ist (Video) 14:31 Angriff auf Steam - Warum der Epic Store die erste echte Konkurrenz für Valve ist (Video)

So reagiert Epic bisher auf die Vorwürfe

Wir haben Epic Games kontaktiert und um eine Stellungsnahme gebeten. Noch bevor uns eine Antwort erreichte, wurden die Datenschutzrichtlinien aktualisiert. Viele der hier bemängelten Punkte gelten jedoch noch immer, einen Fehler haben die Entwickler aber bereits ausgemerzt: So versteckte sie zuvor eine Zustimmung zur Weitergabe von Kontaktdaten im Bestellprozess.

Wer nämlich beim Bezahlen im Store nicht aufpasste, verpasste eine wichtige Abfrage. Kurz vor der Bestätigung des Kaufes informierte einen Epic darüber, dass der Spieler vom Hersteller Nachrichten zu anderen Produkten oder Diensten erhalten wird.

Er landete zuzusagen auf der Email-Liste des Entwicklers oder Publishers. Wollte man dies nicht, musste ein entsprechendes Feld angekreuzt werden. Standardmäßig war die Kontaktweitergabe also aktiv. Das war nicht zulässig. Mittlerweile hat man hier nachgebessert und setzt nicht mehr einfach eine Zustimmung voraus. Wer seine Email mit Entwicklern und Publishern teilen will, muss dieser Weitergabe nun separat bewilligen.

Bis jetzt haben sich die Entwickler noch nicht bei uns gemeldet. Sobald das Statement von Epic Games eintrifft, werden wir diesen Artikel ergänzen.

Neuer Kaufvorgang Kurz vor dem Kauf eines Spiels im Epic Games Store können die Spieler auswählen, ob sie ihre Kontaktdaten mit dem Entwickler teilen wollen. Bis vor Kurzem sah dieser Punkt noch anders aus...

Alter Kaufvorgang ...zuvor mussten Spieler bestätigen, dass sie ihre Kontaktdaten nicht teilen wollen.


Kommentare(88)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen