Electronic Arts "Battlefield"-Spieler beobachten EAs Software-Spion

Wer neue Blockbuster-Titel von Electronic Arts auf einem PC spielen will, muss ein Zusatzprogramm installieren, das die Festplatte scannt. Kunden haben das Verhalten der Schnüffelsoftware beobachtet: Sie durchsucht angeblich auch private Verzeichnisse, etwa mit Steuerunterlagen.

Von

Electronic Arts

In den Lizenzbestimmungen seiner Zusatzsoftware Origin räumt sich der Spielehersteller Electronic Arts (EA) weitreichende Rechte ein, die Computer seiner Kunden zu durchsuchen. Die Software darf auf den Kunden-Rechnern "Lizenzrechte für einige oder alle EA-Produkte prüfen", aber auch Informationen über "Computer, Hardware, Medien, Software" die "Nutzung der Anwendung" sammeln und an EA und nicht näher bezeichnete Partner übertragen. Laut Nutzungsbedingungen darf EA die gesammelten Daten auch zu "Marketingzwecken" nutzen.

Kunden sind empört über diese Spionagesoftware. Einige Nutzer haben untersucht, welche Dateien auf ihrem Computer die EA-Software untersucht. Sie ließen das Microsoft-Dienstprogramm " Process Monitor" laufen und protokollierten so eigenen Angaben zufolge das Verhalten der EA-Software namens Origin. Einem Nutzer zufolge durchsuchte Origin bei ihm auch das Verzeichnis eines Programms für die Steuererklärung. Ein anderer Nutzer dokumentiert in einem Screenshot, dass Origin Backups seines Handys auf der Festplatte durchsuchte und Dateien mit Telefonbuchkontakten und Kalendereinträgen scannte.

Das Unternehmen hat Fragen von SPIEGEL ONLINE zu diesen Vorfällen sowie zum Umfang und Zweck der Datensammlung bis zur Veröffentlichung dieses Artikels nicht beantwortet.

Bei der Bewertung dieser Screenshots sollte man vorsichtig sein: Auch wenn man davon ausgeht, dass die Screenshots echt sind, sagt das noch nichts über das Vorgehen der EA-Software aus. Es ist denkbar, dass das Überwachungsprogramm beispielsweise lediglich die Dateinamen erfasst und den Zeitpunkt der letzten Veränderung. Es ist unklar, ob die Software auf Inhalte zurückgreift.

Völlig offen ist, welche Informationen die EA-Kontrollsoftware an den Konzern überträgt. Vielleicht sucht das Programm lediglich auf dem gesamten Rechnern nach installierten EA-Spielen, um dann gegebenenfalls zu prüfen, ob es sich um Raubkopien handelt. Der Schutz vor Raubkopien ist auch für andere Spiele-Publisher einer von mehreren Gründen, solche Netzwerk-Zusatzsoftware einzusetzen. Ubisoft beispielsweise erntete vor einiger Zeit Entrüstung, als es die Verpflichtung einführte, zum Spielen mit dem PC eine Internetverbindung zu Ubistoft-Servern aufrechtzuerhalten - die dann prompt unter dem ersten Ansturm kollabierten und Spieler so aus ihren gekauften und bezahlten Spielen aussperrten.

EA nutzt die Amazon-Cloud

Ein anderer Origin-Nutzer hat eine interessante Entdeckung gemacht: Die Origin-Software sendet offenbar Dateien an Amazons Cloud-Server. Allerdings dokumentiert der Screenshot - vorausgesetzt, dass er echt ist - nicht, welche Daten übertragen und empfangen werden.

Es kann sein, dass die Origin-Software lediglich bei der Installation Daten von Amazons Server nachlädt, wo Electronic Arts Speicherplatz allein zu diesem Zweck angemietet hat. EA nutzt Amazons Cloud-Dienst offenbar, um bestimmte, öffentlich zugängliche Daten zu speichern. Unklar ist, ob das Unternehmen die Amazon-Cloud noch für andere Zwecke nutzt.

Origin-Software ist Pflicht bei PC-Bestsellern

Die Installation der Zusatz-Software ist bei den PC-Versionen einer Reihe von neuen EA-Spielen verpflichtend. Dazu gehören der Kriegsshooter "Battlefield 3" sowie die Fußballspiele "Fifa 12" und "Fußball Manager 12".

Die bisher geltenden Lizenzbestimmungen der Origin-Software dürften dem sogenannten Safe-Harbor-Abkommen widersprechen. Zum Hintergrund: Die EG-Datenschutzrichtlinie von 1998 verbietet es grundsätzlich, personenbezogene Daten aus EG-Mitgliedstaaten in Länder zu übertragen, die kein vergleichbares Datenschutzniveau haben. Der Safe-Harbor-Pakt mit den USA ermöglicht eine Ausnahmeregelung: Wenn Unternehmen sich den Regeln dieses Vertrags unterwerfen, dürfen sie in den Vereinigten Staaten personenbezogene Daten auch aus Deutschland verarbeiten.

Electronic Arts hat sich im Jahr 2001 verpflichtet, personenbezogene Informationen von Kunden nur nach ausdrücklicher Zustimmung ("opt-in") an Partnerunternehmen weiterzugeben. In dem Origin-Lizenzabkommen, dem Nutzer bei der Installation der Software zustimmen, steht allerdings unter anderem, der Kunde gestatte "EA und seinen Partnern" das "Sammeln, Nutzen, Speichern und Übertragen" von technischen und verwandten Informationen, die den Computer (einschließlich IP-Adresse), das Betriebssystem und Softwarenutzung identifizieren. Eine allgemeine Zustimmung zu einem mehrseitigen Lizenzabkommen dürfte kaum als ausdrückliche Zustimmung zur Datenweitergabe im Sinne des Safe-Harbor-Abkommens gelten.

EA deklariert Benutzernamen als nicht personenbezogen

Ob es sich bei IP-Adressen um personenbezogene Daten handelt, ist in Deutschland rechtlich nicht abschließend geklärt. EA hingegen erklärt in seinen Datenschutzrichtlinien eine Menge von Daten per se für nicht personenbezogen (und damit frei zur Verarbeitung durch Drittanbieter):

  • Geräte-IDs von Computern / Mobiltelefonen
  • Internet Protocol (IP)-Adresse
  • Netzwerk-Media Access Control (MAC)-Adresse
  • Benutzername
  • Benutzer-ID

Wo diese Daten in welcher Form und zu welchem Zwecken verarbeitet werden, geht aus den Datenschutzrichtlinien nicht klar hervor. EA teilt lediglich mit, man speichere und verarbeite Daten in den Vereinigten Staaten und "Ländern innerhalb und außerhalb der Europäischen Union und Asien".

Mitarbeiter des Landesbeauftragten für den Datenschutz in Nordrhein-Westfalen sind in Kontakt mit EA, am Mittwoch wird dem Unternehmen ein Fragenkatalog zur Erhebung und Verwendung von Daten beim umstrittenen Origin-Dienst übermittelt. Den Einsatz der Software hat die Firma nicht vorab mit der Behörde abgesprochen.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 74 Beiträge
Alle Kommentare öffnen
Seite 1
verspiegelung 31.10.2011
1. Wie ... unerwartet.
Was sollte denn die Software sonst machen, wenn sie auf der Suche nach kopierten EA-Programmen ist? Ein Virenscanner z.B. wird auch alle Dateien durchsehen, denn nur weil ein Programme iexplorer.exe heißt, sagt noch nichts darüber aus, was drin ist. Wie sich das rechtlich oder PR-mäßig auswirken wird, steht wieder auf einem ganz anderen Blatt... meint: (verspiegelung)
franzmeier 31.10.2011
2. Bei der Interpretation der Daten muss man gar nicht vorsichtig sein:
Das Video hier zeigt ziemlich deutlich wo das Problem liegt. Orgin wühlt sich munter durch Verzeichnisse mit sensiblen Daten wie medizinischen Datenbanken oder Chatprotokollen: http://www.youtube.com/watch?v=6lGUOFjMuQA Es spielt keine Rolle ob "Origin" lediglich Dateinamen ausspioniert und auf Dateiattribute wie Erstelldatum und Änderungdsatum zugreift. Bereits aus der Software auf dem Computer kann man seine Schlüsse ziehen. Darum gehts ja wohl laut EULA auch: Informationen über die auf dem PC installierte Software sammeln und diese zu Marketingzwecke auswerten. Wer spielt gerne, wer hat Businesssoftware installiert, auf welche Interessen lässt die installierte Software schließen. Das hier spriecht ein deutliche Sprache: "Du gestattest EA und seinen Partnern das Sammeln, Nutzen, Speichern und Übertragen von technischen und verwandten Informationen, die deinen Computer (einschließlich IP-Adresse), dein Betriebssystem, deine Nutzung der Anwendung (einschließlich erfolgreicher Installation und/oder Deinstallation), Software, Software-Nutzung und deine Hardware-Peripherie identifizieren, um die Bereitstellung von Software-Updates, dynamischen Inhalten, Produktunterstützung und anderen Diensten, einschließlich Online-Diensten, zu erleichtern. EA kann diese Daten ebenfalls in Verbindung mit personenbezogenen Informationen zu Marketingzwecken und zur Verbesserung seiner Produkte und Dienste nutzen. Des Weiteren können wir diese Daten in einer Form, die keine persönliche Identifizierung ermöglicht, an uns verpflichtete Drittunternehmen weitergeben." D.h. es werden Daten über die Software UND der SOFTWARE-NUTZUNG gesammelt. Zu Marketingzwecken. Diese werden PERSONENBEZOGEN gespeichert und lediglich bei der Weitergabe an Dritte anonymisiert. Das EA die EULA inzwischen ein paar mal angepasst hat ändert nichts: Denn die Software ist immer noch die gleiche.
MirkoG 31.10.2011
3. War's das EA?
Vielen Dank für den weiteren Artikel zu diesem traurigen, ja erschreckendem Thema. Wie oder was oder ob EA mit diesen Daten etwas anfängt kann man doch getrost vernachlässigen. Allein die Tatsache, dass sie diese Daten anfassen, das sie die Dreistigkeit besitzen dort "rumzuschnüffeln" sucht seines Gleichen. Wenn ich in Zeiten, wo man Sony Kreditinformationen über Kunden klaut, auf die Verantwortung solcher Unternehmen schaue, diese Daten auch sicher zu verwahren, bekomme ich ein ganz mieses Gefühl im Bauch. Dieses Thema kann man nicht hoch genug hängen. Es ist kein Eingriff in meine Privatsphäre, es ist ein direkter Angriff. Ironischerweise erfolgt dieser Angriff aber auf den zahlenden Kunden! Nicht auf diejenigen, die sich illegale Kopien zu eigen machen. Nein, der Kunde der das Produkt kauft, der EA das Vertrauen entgegenbringt, wird zum Opfer. Er, der 50 EUR investiert hat, könnte ja noch illegal EA Spiele haben. Wird also unter Generalverdacht gestellt und muss seine Privatsphäre entblößen. Man vertraut EA und seinen Produkten und wird dafür mit Spionage und Misstrauen abgestraft. Ich kann den Schreiber dieses Artikels verstehen, wenn er die Echtheit dieser ganzen Posse in Frage stellt, denn es fällt einem wirklich schwer, dies alles zu glauben...
joerg.bleuel 31.10.2011
4. Big Brother is watching YOU
Mit welchem Recht erklärt EA eine IP-Adresse und vor allem eine MAC-Adresse zu "nicht personenbezogene Daten" ? Das erinnert mich an eine für sich selbst legalisierte Art der Datenvorratsspeicherung. Eine MAC-Adresse kann ich zwar fälschen, macht der normale User aber nicht. Alle regen sich über einen Staatstrojaner auf, aber EA legalisiert sich seine Überwachung selbst. Ob EA nun wie beschrieben auch andere Dateien Scannt ( Telefonbücher o. ä. ) lasse ich ersteinmal dahingestellt. Unsere Bundesregierung holt sich oft genug eine blutige Nase vor dem Verfassungsgericht, weil sie mit ihren Ideen zur Überwachung der Bürger zu weit geht. EA nimmt das einfach in seine EULA auf, und deklariert Daten so, wie sie meinen das es richtig ist. Wir gehen einer Zukunft entgegen die mir immer weniger gefällt, weil das geltende Recht, und damit meine ich den Datenschutz und das Recht auf information über die eigenen Daten und deren unverfälschtheit immer weiter ausgehölt wird. Die Bürger sollten besser auf ihre Daten aufpassen, sonst wissen die Unternehmen wie Google und Facebook mehr über einen als man selbst.
spieglingjoe 31.10.2011
5. Strafe
Es fehlt im Datenschutzbereich an wirksamen Strafen. Ein Möglichkeit wäre das jeder Verstoss einen Schadenersatz für das Opfer auslöst, etwa 100€. Dann haben sich die Probleme gleich gelöst. J
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.