Ein Sicherheitsforscher überprüft, welche Daten "Pokémon Go" sammelt und wohin diese geschickt werden. Er ist erschrocken, wie gierig die App persönliche Informationen abgreift und weiterleitet. Sein Fazit: "Tschüss Privatsphäre!"

In jedem Land, in dem es freigeschaltet wird, springt "Pokémon Go" sofort an die Spitzen der Download-Charts. Weltweit ist eine "Pokémania" ausgebrochen, der Millionen Spieler verfallen sind. Der Erfolg der App ist so groß, dass der zuvor schwächelnde Aktienkurs von Nintendo sich innerhalb weniger Tage mehr als verdoppelt hat. Das japanische Unternehmen ist jetzt wieder mehr wert als Sony. Dabei streicht die Firma nur einen Teil der Gewinne ein.

"Pokémon Go" wurde im Oktober 2015 von Nintendo, der Pokémon Company und Google ins Leben gerufen. Außerdem ist das Spiel trotz angebotener In-App-Käufe grundsätzlich gratis spielbar - was auch sehr viele Nutzer tun. Warum also feiern Anleger das Spiel so euphorisch?

Je genauer, desto besser

Es geht um die sogenannte Währung der Zukunft: Daten. Je mehr Daten über einen Nutzer gesammelt werden und je persönlicher und genauer sie sind, umso zielgerichteter können Unternehmen wie Google Werbungen platzieren. Mit entsprechenden Daten ist es auch möglich, Kampagnen zu verifizieren, Trends zu analysieren oder sogar gesellschaftliche Entwicklungen vorauszusehen. Das Stichwort ist zwar "Big Data", aber einfach möglichst viele Daten zu sammeln, bringt den Werbetreibenden wenig. Die Qualität muss stimmen. "Je genauer Standortdaten sind, desto besser", schreibt das auf mobile Werbung spezialisierte Unternehmen Smaato. Postleitzahlen sind okay, GPS-Daten perfekt. Allgemein zahlten Anzeigenkunden deutlich mehr, wenn Apps oder andere Publisher zusätzlich zu vielen Zugriffen präzise Daten liefern. Dazu gehört auch das Geschlecht des Nutzers.

Besser als "Pokémon Go" kann man diese Bedürfnisse kaum befriedigen, weiß Sicherheitsforscher Mike Kuketz. Er hat die Android-App des Spiels analysiert, um herauszufinden, welche Daten von den Spielern im Hintergrund erhoben werden und - so weit wie möglich - wer sie auswerten darf.

Fragwürdige Klauseln

Es beginnt mit den Datenschutzbedingungen. "Wir könnten gesammelte Informationen und nicht-identifizierende Informationen Drittanbietern zu Forschungs- und Analysezwecken, demografischen Erhebungen und ähnlichen, anderen Zwecken offenlegen", steht darin. Niantic nimmt sich auch das Recht heraus, alle gesammelten Daten in den USA zu speichern und an Regierungsbehörden oder sogar "privat Beteiligte" weiterzugeben, um Gesetze durchzusetzen und einzuhalten. Jurist Henry Krasemann kritisiert im Computermagazin "c't" außerdem, dass Nutzer darauf verzichten, Unstimmigkeiten gerichtlich klären zu lassen, wenn sie nicht innerhalb von 30 Tagen widersprechen. Mit deutschem Recht sei dies kaum vereinbar, schreibt er.

Viel gravierender ist allerdings, was Kuketz bei der Analyse der gesammelten Daten entdeckt hat. Für eine vereinfachte Zusammenfassung verweist der Sicherheitsforscher auf die Webseite "Mobilsicher". Kaum verwunderlich ist, dass Niantic permanent die Position der Spieler ermittelt und speichert. Lässt ein Nutzer die App den ganzen Tag im Hintergrund laufen, zeichnet sie ein vollständiges Bewegungsprofil auf. Das Unternehmen erlaubt sich, die Ortsdaten "zur Verbesserung und Personalisierung des Dienstes" zu analysieren. Dabei werden auch Informationen aufgezeichnet, mit denen sich ein Nutzer identifizieren lässt - vor allem dann, wenn er sich mit seinem Google-Konto anmeldet. Schlauer ist es hier, ein Pokémon-Trainer-Konto mit einer völlig neuen E-Mail-Adresse anzulegen. Hat man sich bereits mit dem Google-Konto angemeldet, kann man in seinen Kontoeinstellungen der Niantic-App den Zugriff wieder entziehen.

Niantic leitet Daten weiter

Was die meisten Spieler nicht wissen: "Pokémon Go" überträgt Daten laufend zu Servern von verschiedenen Unternehmen, die in der Datenschutzerklärung nicht genannt werden. "Für den eigentlichen Spielbetrieb sind diese Datenübertragungen unserer Einschätzung nach nicht nötig", schreibt "Mobilsicher". Drei Firmen wurden identifiziert, die unter anderem Nutzeranalysen verkaufen: Unity Technologies, Apteligent und Upsight. Diese Unternehmen erhalten von Niantic nicht nur Informationen zum Smartphone. Wird das Google-Konto verwendet, bekommt Apteligent den Spielernamen, an Upsight übermittelt Niantic sogar das detaillierte Spielverhalten.

Der App-Entwickler selbst sammelt laut Kuketz ebenfalls personenbezogene Daten wie Namen, E-Mail-Adresse, Telefonnummer oder GPS-Positionen. Um herauszufinden, was der App-Entwickler sonst noch abgreift, müsste er illegal vorgehen, schreibt er. "Der begeisterte Pokémon Go Spieler hat folglich keine Möglichkeit, nachzuverfolgen, wann, wohin und wer eigentlich Daten von ihm sammelt beziehungsweise auswertet." Möchte ein Spieler nicht, dass Drittanbieter seine Daten erhalten, muss er per E-Mail widersprechen (pokemongo-privacy@nianticlabs.com).

Der Sicherheitsforscher wundert sich, wie schnell Nutzer alle Privatsphäre-Bedenken über Bord werfen, um beim großen Hype mitzuspielen. "Die Gefahren der Überwachung und der Manipulation werden dem Spielspaß geopfert", schreibt er. "Wer Pokémon Go spielt, der muss sich ganz klar vor Augen führen: Du bist das Produkt. Ist das den meisten Leuten heute tatsächlich schon egal?"