Electronic Arts: "Battlefield"-Spieler beobachten EAs Software-Spion

Wer neue Blockbuster-Titel von Electronic Arts auf einem PC spielen will, muss ein Zusatzprogramm installieren, das die Festplatte scannt. Kunden haben das Verhalten der Schnüffelsoftware beobachtet: Sie durchsucht angeblich auch private Verzeichnisse, etwa mit Steuerunterlagen.

In den Lizenzbestimmungen seiner Zusatzsoftware Origin räumt sich der Spielehersteller Electronic Arts (EA) weitreichende Rechte ein, die Computer seiner Kunden zu durchsuchen. Die Software darf auf den Kunden-Rechnern "Lizenzrechte für einige oder alle EA-Produkte prüfen", aber auch Informationen über "Computer, Hardware, Medien, Software" die "Nutzung der Anwendung" sammeln und an EA und nicht näher bezeichnete Partner übertragen. Laut Nutzungsbedingungen darf EA die gesammelten Daten auch zu "Marketingzwecken" nutzen.

Kunden sind empört über diese Spionagesoftware. Einige Nutzer haben untersucht, welche Dateien auf ihrem Computer die EA-Software untersucht. Sie ließen das Microsoft-Dienstprogramm " Process Monitor " laufen und protokollierten so eigenen Angaben zufolge das Verhalten der EA-Software namens Origin. Einem Nutzer zufolge durchsuchte Origin bei ihm auch das Verzeichnis eines Programms für die Steuererklärung . Ein anderer Nutzer dokumentiert in einem Screenshot, dass Origin Backups seines Handys auf der Festplatte durchsuchte und Dateien mit Telefonbuchkontakten  und Kalendereinträgen scannte.

Das Unternehmen hat Fragen von SPIEGEL ONLINE zu diesen Vorfällen sowie zum Umfang und Zweck der Datensammlung bis zur Veröffentlichung dieses Artikels nicht beantwortet.

Bei der Bewertung dieser Screenshots sollte man vorsichtig sein: Auch wenn man davon ausgeht, dass die Screenshots echt sind, sagt das noch nichts über das Vorgehen der EA-Software aus. Es ist denkbar, dass das Überwachungsprogramm beispielsweise lediglich die Dateinamen erfasst und den Zeitpunkt der letzten Veränderung. Es ist unklar, ob die Software auf Inhalte zurückgreift.

Völlig offen ist, welche Informationen die EA-Kontrollsoftware an den Konzern überträgt. Vielleicht sucht das Programm lediglich auf dem gesamten Rechnern nach installierten EA-Spielen, um dann gegebenenfalls zu prüfen, ob es sich um Raubkopien handelt. Der Schutz vor Raubkopien ist auch für andere Spiele-Publisher einer von mehreren Gründen, solche Netzwerk-Zusatzsoftware einzusetzen. Ubisoft beispielsweise erntete vor einiger Zeit Entrüstung, als es die Verpflichtung einführte, zum Spielen mit dem PC eine Internetverbindung zu Ubistoft-Servern aufrechtzuerhalten - die dann prompt unter dem ersten Ansturm kollabierten und Spieler so aus ihren gekauften und bezahlten Spielen aussperrten.

EA nutzt die Amazon-Cloud

Ein anderer Origin-Nutzer hat eine interessante Entdeckung gemacht: Die Origin-Software sendet offenbar Dateien an Amazons Cloud-Server. Allerdings dokumentiert der Screenshot  - vorausgesetzt, dass er echt ist - nicht, welche Daten übertragen und empfangen werden.

Es kann sein, dass die Origin-Software lediglich bei der Installation Daten von Amazons Server nachlädt, wo Electronic Arts Speicherplatz allein zu diesem Zweck angemietet hat. EA nutzt Amazons Cloud-Dienst offenbar, um bestimmte, öffentlich zugängliche Daten  zu speichern. Unklar ist, ob das Unternehmen die Amazon-Cloud noch für andere Zwecke nutzt.

Origin-Software ist Pflicht bei PC-Bestsellern

Die Installation der Zusatz-Software ist bei den PC-Versionen einer Reihe von neuen EA-Spielen verpflichtend. Dazu gehören der Kriegsshooter "Battlefield 3" sowie die Fußballspiele "Fifa 12" und "Fußball Manager 12".

Die bisher geltenden Lizenzbestimmungen der Origin-Software dürften dem sogenannten Safe-Harbor-Abkommen widersprechen. Zum Hintergrund: Die EG-Datenschutzrichtlinie von 1998 verbietet es grundsätzlich, personenbezogene Daten aus EG-Mitgliedstaaten in Länder zu übertragen, die kein vergleichbares Datenschutzniveau haben. Der Safe-Harbor-Pakt mit den USA ermöglicht eine Ausnahmeregelung: Wenn Unternehmen sich den Regeln dieses Vertrags unterwerfen, dürfen sie in den Vereinigten Staaten personenbezogene Daten auch aus Deutschland verarbeiten.

Electronic Arts hat sich im Jahr 2001 verpflichtet , personenbezogene Informationen von Kunden nur nach ausdrücklicher Zustimmung ("opt-in") an Partnerunternehmen weiterzugeben. In dem Origin-Lizenzabkommen , dem Nutzer bei der Installation der Software zustimmen, steht allerdings unter anderem, der Kunde gestatte "EA und seinen Partnern" das "Sammeln, Nutzen, Speichern und Übertragen" von technischen und verwandten Informationen, die den Computer (einschließlich IP-Adresse), das Betriebssystem und Softwarenutzung identifizieren. Eine allgemeine Zustimmung zu einem mehrseitigen Lizenzabkommen dürfte kaum als ausdrückliche Zustimmung zur Datenweitergabe im Sinne des Safe-Harbor-Abkommens gelten.

EA deklariert Benutzernamen als nicht personenbezogen

Ob es sich bei IP-Adressen um personenbezogene Daten handelt, ist in Deutschland rechtlich nicht abschließend geklärt. EA hingegen erklärt in seinen Datenschutzrichtlinien  eine Menge von Daten per se für nicht personenbezogen (und damit frei zur Verarbeitung durch Drittanbieter):

• Geräte-IDs von Computern / Mobiltelefonen
• Internet Protocol (IP)-Adresse
• Netzwerk-Media Access Control (MAC)-Adresse
• Benutzername
• Benutzer-ID

Wo diese Daten in welcher Form und zu welchem Zwecken verarbeitet werden, geht aus den Datenschutzrichtlinien nicht klar hervor. EA teilt lediglich mit, man speichere und verarbeite Daten in den Vereinigten Staaten und "Ländern innerhalb und außerhalb der Europäischen Union und Asien".

Mitarbeiter des Landesbeauftragten für den Datenschutz in Nordrhein-Westfalen sind in Kontakt mit EA, am Mittwoch wird dem Unternehmen ein Fragenkatalog zur Erhebung und Verwendung von Daten beim umstrittenen Origin-Dienst übermittelt. Den Einsatz der Software hat die Firma nicht vorab mit der Behörde abgesprochen.