DSG-VO Checkliste für Spieleentwickler
DSG-VO oder im Englischen GDPR (General Data Protection Regulation) ist ein anspruchsvolles Datenschutz- und Sicherheitsgesetz, das von der Europäischen Union verabschiedet wurde. Darüber hinaus bezieht sich diese Verordnung auch auf die Übertragung personenbezogener Daten außerhalb der EU und der EWR-Zonen, mit einigen Einschränkungen: Natürlich liegt der Fokus dieser Verordnung auf dem Schutz der europäischen Einwohner.
Spieleentwickler veröffentlichen ihre Produkte hauptsächlich in der ganzen Welt. In einfachen Worten: Wenn Du die Daten von mindestens einem Einwohner der EU verarbeitest, dann musst Du die DSG-VO einhalten, um diesem einen User seine Daten zu schützen. Da gibt es keine Ausnahmen! Auch wenn du deinen Sitz NICHT in der EU hast.
Glaube bitte nicht, dass mein Vorschlag, DSG-VO konform zu werden, nur ein guter gut gemeinter Ratschlag ist. Ich habe 2018 meine Prüfung beim Tüv Nord als Datenschutzbeauftragter abgelegt und arbeite seit 3 Jahren als zertifizierter externer Konzern-Datenschutzbeauftragter und seit über 5 Jahren als Datenschutz und IT-Schicherheits Berater für kleine und große Unternehmen in und außerhalb der Spieleentwicklungs Branche. In der Tat sind die Bußgelder drakonisch und ein Spiel auf öffentlichen Markt hat schnell die 100k Nutzer geknackt. Werden diese Daten entwendet und der Datenschutzverstoß nicht gemeldet, dann kann dieses Versäumnis zu einigen Problemen für Dich und/oder dein Unternehmen führen. Die Geldstrafen für die Nichteinhaltung der DSG-VO sind hoch: entweder 4 % des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro. Bei Werbung in deinem Spiel, werden die Informationen deiner Nutzer weitergeleitet, auch dies muss klar dokumentiert werden, denn auch ein nicht einhalten dieser Verplichtungen kann zu einem unschönen Bußgeld oder einer Abmahnung führen, sollte das Unternehmen sich in Deutschland befinden.
Aber man sollte sich nun auch nicht zu große Sorgen machen: Wenn Deine App/Spiel mit der DSG-VO übereinstimmt, sollte es keine Probleme geben.
Wie kann man Werbung in der App platzieren, ohne die Privatsphäre der Nutzer zu verletzen?
Personalisiert oder nicht?
Das Wichtigste zuerst: Als Spieleentwickler musst Du entscheiden, welche Art von Werbung Du in der App schalten (oder zulassen): personalisierte oder nicht-personalisierte. Nicht-personalisierte Anzeigen basieren nicht auf dem bisherigen Verhalten eines Benutzers. Daher werden in diesem Fall keine persönlichen Daten gesammelt. Diese Anzeigen basieren nicht auf den Präferenzen des Nutzers und sind daher nicht so effektiv. Es gibt einen großen Vorteil: Du trägst nicht die Last der Verantwortung für die Verarbeitung von persönlichen Daten. Dazu muss man sagen, dass eine IP-Adresse schon als personenbezogenes Datum gilt. Bitte prüfe immer, ob dein Dienstleister keine IP Adressen abruft.
Wer von uns möchte Geld für Werbung ausgeben und dann die Conversion nicht optimieren können? genau, keiner. Aus dieser Überlegung heraus entscheiden sich die meisten Entwickler für personalisierte Anzeigen. Dazu müssen diese persönliche Daten Deiner Nutzer an Dritte weitergeben. Die folgenden Tipps werden dir dabei helfen, die Vorgaben der DSG-VO besser zu verstehen und einzuhalten.
Überprüfung der Anzeigendienste
Nachdem Du nun personalisierte Anzeigen für Deine Werbestrategie ausgewählt hast, musst Du sicherstellen, dass Deine Partner zuverlässig sind. Höchstwahrscheinlich wirst Du externe Dienste für die Anzeigenschaltung nutzen. Du musst dir darüber im Klaren sein, wo die Daten gespeichert werden und wer die Kontrolle über die übertragenen Daten haben wird.
Es ist ein Fehler anzunehmen, dass alle Drittanbieter und SDKs, die mit Deiner App verbunden sind, DSG-VO-konform sind (auch wenn diese Dir das versprechen). DU als Entwickler oder als Geschäftsführer bist verantwortlich für alle Datenschutzverletzungen, die bei einem Deiner Drittanbieter auftreten und zu einem Leck bei den Daten Deiner Nutzer führen. Du solltest sicherstellen, dass alle Datenverarbeitungen und -übertragungen durch Dritte mit der DSG-VO/GDPR in Einklang stehen. Außerdem trägst Du die Verantwortung für die Datensicherheitsmaßnahmen Dritter. Um Ärger zu vermeiden, solltest Du Deine Partner über deren Datenschutzrichtlinien und -bedingungen befragen, insbesondere bevor die eigentliche Verarbeitung beginnt.
Stelle sicher, dass Du Deine Werbepartner sorgfältig überprüft hast.
Schriftliche AVV ist ein Muss
Eine Datenverarbeitungsvereinbarung/Auftragsverarbeitungsvertrag/Data Processing Agreements ist ein rechtsverbindlicher Vertrag, der die Rechte und Pflichten jeder Partei in Bezug auf den Schutz personenbezogener Daten festlegt. Wenn Du Dir einenDienstleister ausgewählt hast, solltest Du mit ihm eine AVV(DPA) unterzeichnen. Schriftliche Verträge zwischen Deinem Unternehmen und Deinen Datenverarbeitern, die Rollen und Verantwortlichkeiten zuweisen, sind eine wichtige Praxis, die von der DSGVO gefordert wird. (Du bist bei der DSG-VO in der Beweispflicht)
Du musst mit jedem der Werbedienste eine Datenverarbeitungsvereinbarung/Auftragsverarbeitungsvertrag/Data Processing Agreements abschließen, um eine umfassende DSG-VO-Konformität zu erreichen. Beachte bitte, dass dies eine Menge Zeit in Anspruch nimmt, aber es ist auch einer der grundlegendsten Schritte um die Konformität zu erlangen und entscheidend, um Bußgelder zu vermeiden.
Was sagt die DSG-VO zu dem Vertrag mit den Auftragsverarbeiter?
Das regelt Art 28.3 der DSG-VO:
“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter”
Mehr zu den Auftragsverarbeiter? Hier der Link zum Artikel 28 der DSG-VO
Werbung für Kinder – Besonderer Schutz der Daten
Erwägungsgrund 38 der DSG-VO besagt, dass Kinder einen besonderen Schutz verdienen, wenn ihre personenbezogenen Daten für Marketingzwecke verwendet werden, da sie sich der betreffenden Risiken, Konsequenzen und Schutzmaßnahmen möglicherweise weniger bewusst sind.
Es gibt keine strengen Einschränkungen für Werbung für Kinder, aber wir sollten bei Kindern den gesunden Menschenverstand einsetzen und nicht große Dollarzeichen in den Augen herumtragen. Kinder neigen dazu, unüberlegter zu handeln. Kinder geben Dir leider recht schnell persönlichen Daten, wie z. B. eine E-Mail-Adresse oder Informationen über ihre Hobbys, ohne die Konsequenzen im Hinterkopf zu bedenken. Du bist Dir möglicherweise nicht bewusst, dass die Dienstleister diese Daten nutzen, um Kinder gezielt anzusprechen und den einen oder anderen Euro über gezielte Werbung zu erwirtschaften. Darüber hinaus verstehen Kinder vielleicht nicht einmal, was Werbung ist und wie sie funktioniert. Deswegen solltest Du Dir immer überlegen, ob Du auch Kinder in dein Targeting integrieren möchtest. Ausserdem musst du beim Verkauf von Waren an Kinder auf deine Allgemeine Geschäftsbedingungen achten, da auch hier Probleme auf dich warten könnten.
Kinder können Werbung erhalten, die sie nicht wollen oder auf die sie nicht vorbereitet sind, was dazu führen kann, dass Kinder Geld für Waren ausgeben, die sie nicht nutzen oder sich nicht leisten können. Wenn Du also die persönlichen Daten eines Kindes für Werbung verwenden möchtest, solltest Du darauf achten, wie Du diese Risiken abmildern könntest. Diese Maßnahmen müssen auch in deinem Datenschutzmanagementsystem/Datenschutztagebuch dokumentiert werden und mit klarer und einfacher Sprache in der Datenschutzerklärung zu finden sein.
Denke auch daran, dass die DSG-VO spezifische Anforderungen in Bezug auf die klare Sprache, die elterliche Zustimmung und die Rechte von Minderjährigen festgelegt hat.
Deine Werbung darf Leichtgläubigkeit, Loyalität, Verletzlichkeit oder Unerfahrenheit von Kindern nicht ausnutzen. Du darfst bei Kindern nicht zu einem ungesunden Lebensstil anregen.
Sichtbarkeit und Transparenz
Erwägungsgrund 58 der DSG-VO besagt, dass der Grundsatz der Transparenz verlangt, dass alle Informationen, die sich an die Öffentlichkeit oder an die betroffene Person richten, prägnant, leicht zugänglich und leicht verständlich sein müssen, und dass eine klare und einfache Sprache und gegebenenfalls zusätzlich eine Visualisierung verwendet werden muss. Dies gilt insbesondere für Kinder, die schwer verständliche Informationen nicht wahrnehmen können.
Mit einfachen Worten, die Datenschutzerklärung sollte keine übermäßig juristische, technische oder fachliche Sprache enthalten: alles sollte auch für ein Kind klar sein. Alle Informationen sollten kostenlos zur Verfügung gestellt werden (es sei denn, sie sind übermäßig oder stark wiederholend) und sollten nicht davon abhängen, ob der Kunde den Dienst nutzen möchte oder nicht.