Anti-Cheat-Software: Datenschutz & Recht | IT-Medienrecht

Erfahren Sie, welche datenschutzrechtlichen Risiken Anti-Cheat-Software birgt. Informieren Sie sich über die rechtlichen Hintergründe &…

Das Wichtigste in Kürze

  • Anti-Cheat-Software greift tief in die Systeme der Spieler ein und bedarf einer klaren Rechtsgrundlage nach DSGVO und TDDDG.
  • Als Rechtsgrundlagen dienen primär die Vertragserfüllung oder das berechtigte Interesse, wobei strenge Verhältnismäßigkeit und Datensparsamkeit zu beachten sind.
  • Vollautomatische Bann-Entscheidungen sind nach Art. 22 DSGVO problematisch und erfordern in der Regel menschliche Überprüfung.
  • § 25 TDDDG erlaubt das Auslesen von Geräteinformationen ohne Einwilligung nur, wenn dies "unbedingt erforderlich" für den Dienst ist.
  • Aufsichtsbehörden fordern Transparenz und minimierte Datenerhebung, erkennen aber auch die Notwendigkeit des Schutzes von Anti-Cheat-Algorithmen an.

Anti-Cheat-Software und Datenschutz: Rechtliche Risiken und Gestaltungsmöglichkeiten in der Gaming-Branche

Moderne Mehrspieler-Games kämpfen täglich gegen Cheating. Hierbei handelt es sich um unerlaubte Tricks oder Hacks, mit denen sich einzelne Spieler einen unfairen Vorteil verschaffen. Um ihre Spielwelten fair zu halten, setzen Anbieter auf Anti-Cheat-Software, die tief ins System der Spieler eingreifen kann. Dies wirft jedoch erhebliche datenschutzrechtliche Fragen auf.

Dieser Beitrag beleuchtet, wie Anti-Cheat-Technologien (z.B. Kernel-Driver, Verhaltensanalysen und clientseitige Überwachung) rechtlich einzuordnen sind. Zudem werden bestehende Risiken und Möglichkeiten für eine datenschutzkonforme Gestaltung erörtert. Darüber hinaus wird thematisiert, ob ein nicht funktionierendes Anti-Cheat- oder Anti-Kopierschutzsystem als Sachmangel nach deutschem Zivilrecht gelten kann.

Anti-Cheat-Technologien und ihre datenschutzrechtliche Relevanz

Grafik: Funktionsweise und datenschutzrechtliche Relevanz von Anti-Cheat-Technologien
Verschiedene Anti-Cheat-Technologien greifen auf unterschiedliche Weise in Spielersysteme ein, um Betrug zu erkennen.

Anti-Cheat-Systeme nutzen heutzutage oft tiefgreifende technische Mittel. Manche Spiele installieren Kernel-Treiber, die mit weitreichenden Systemrechten nach Cheat-Software suchen. Andere Lösungen überwachen das Spielerverhalten durch Analytics.

Sie protokollieren Mausbewegungen, Tastenanschläge oder Spielstatistiken, um auffällige Muster zu erkennen. Auch ein clientseitiges Scannen von Speicher und laufenden Prozessen wird eingesetzt, um Manipulationen am Spielclient oder unautorisierte Programme (z.B. Aim-Bots, Wallhacks) aufzudecken. All diese Maßnahmen dienen legitimen Zwecken.

Insbesondere zielen sie auf die Integrität des Spiels und den Schutz der ehrlichen Spielerschaft ab. Allerdings greifen sie unweigerlich in die Privatsphäre der Nutzer ein. Sie erheben Daten direkt auf dem Endgerät des Spielers und erstellen teils detaillierte Profile über dessen Nutzungsverhalten.

Aus Sicht des Datenschutzes stellen diese Eingriffe erhebliche Maßnahmen dar. Sie bedürfen einer Rechtsgrundlage und einer sorgfältigen Abwägung. Mehr zu datenschutzrechtlichen Änderungen finden Sie in unserem Beitrag zu den Neuerungen im Datenschutzrecht.

Zulässige Datenverarbeitung: Rechtsgrundlagen für Anti-Cheat-Maßnahmen

RechtsgrundlageBeschreibungVoraussetzungen/BesonderheitenAnwendbarkeit bei Anti-Cheat
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)Datenverarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.Fairplay muss explizit im Vertrag oder den Nutzungsbedingungen als Leistungsbestandteil vereinbart sein.Gute Argumente, wenn ein betrugsfreies Spielerlebnis vertraglich geschuldet ist.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.Erhebliche Interessenabwägung notwendig. Datenerhebung muss zwingend zur Cheat-Erkennung nötig sein (Datensparsamkeit, Zweckbindung). Menschliche Kontrollmechanismen und Transparenz sind wichtig.Häufig genutzte Grundlage, da Anbieter ein legitimes Interesse an der Integrität des Spiels haben.

Bei jeder Datenverarbeitung durch Anti-Cheat-Systeme stellt sich zunächst die Frage nach der Rechtmäßigkeit nach der DSGVO. Eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) der Spieler scheidet in der Praxis meist aus. Kaum ein Cheater wird aktiv einwilligen, überwacht zu werden. Zudem wäre eine Einwilligung kaum freiwillig, wenn das Spiel ohne Anti-Cheat nicht nutzbar ist.

Deshalb stützen sich Anbieter in der Regel auf andere Erlaubnistatbestände:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Neben der DSGVO ist in Deutschland § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG, vormals TTDSG) zu beachten. Diese Norm schützt die Vertraulichkeit von Endgeräten und verlangt grundsätzlich eine Einwilligung, bevor Informationen aus dem Gerät des Nutzers ausgelesen werden. Anti-Cheat-Tools, die z.B. Hardware-IDs auslesen oder Speicher scannen, fallen unter diese Vorschrift.

Allerdings sieht § 25 Abs. 2 Nr. 2 TDDDG eine Ausnahme vor: Keine Einwilligung ist nötig, wenn der Zugriff "unbedingt erforderlich" ist, um den vom Nutzer ausdrücklich gewünschten Telemediendienst bereitzustellen. Die deutschen Aufsichtsbehörden (Datenschutzkonferenz) haben klargestellt, dass Anti-Cheat-Maßnahmen unter diese Betrugspräventions-Klausel fallen können.

Im Multiplayer-Spiel erwartet der durchschnittliche Nutzer ein gewisses Maß an Cheat-Schutz als Teil des Angebots. Ist ein technischer Zugriff (etwa Auslesen einer Hardware-ID für einen Hardware-Bann) technisch zwingend notwendig, um ein faires Spiel zu ermöglichen, kann dies ohne Einwilligung zulässig sein. Dennoch interpretieren die Behörden "unbedingt erforderlich" restriktiv. Der Eingriff muss technisch wirklich unabdingbar und angemessen sein, um den Dienst wie gewünscht betreiben zu können.

Automatisierte Bannentscheidungen und Art. 22 DSGVO

Ein zentraler Streitpunkt ist, was passiert, wenn die Anti-Cheat-Software anschlägt. Führt sie automatisch zu Sanktionen wie einer Spielsperre oder einem dauerhaften Bann des Nutzerkontos? Solche Entscheidungen haben für betroffene Spieler erhebliche Folgen.

Dazu gehören finanzielle Verluste (bezahlte Spiele oder In-Game-Käufe gehen verloren) und der Ausschluss aus der Community. Datenschutzrechtlich spricht man hier von einer automatisierten Entscheidung mit erheblicher Auswirkung, die unter Art. 22 Abs. 1 DSGVO fällt. Nach dieser Vorschrift hat jede Person das Recht, „nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die erheblich beeinträchtigt“. Vollautomatische Banns ohne menschliches Zutun sind daher grundsätzlich unzulässig, sofern keine Ausnahme greift.

Die DSGVO kennt in Art. 22 Abs. 2 allerdings enge Ausnahmefälle, in denen automatisierte Entscheidungen erlaubt sind:

  1. wenn sie für den Abschluss oder die Erfüllung eines Vertrags mit der betroffenen Person erforderlich sind,
  2. wenn sie aufgrund ausdrücklicher Einwilligung erfolgen, oder
  3. wenn sie durch eine gesetzliche Regelung erlaubt sind (letzteres ist im Bereich Gaming bisher nicht der Fall).

Auf Anti-Cheat-Banns lässt sich nur schwer eine dieser Ausnahmen anwenden. Eine Einwilligung der Spieler liegt – wie oben dargestellt – selten vor. Ob ein automatischer Bann „für die Vertragserfüllung erforderlich“ ist, wird kontrovers diskutiert. Man kann argumentieren, dass ohne rigorose automatische Sperren das Produkt nicht vertragsgemäß (cheat-frei) funktioniert.

Allerdings legt die Rechtsprechung strenge Maßstäbe an. Der EuGH hat Ende 2023 (Urt. v. 07.12.2023, C-634/21 – SCHUFA) entschieden, dass automatisierte Score-Berechnungen mit erheblichen Auswirkungen nur bei ausdrücklicher Einwilligung oder wirklicher Vertragsnotwendigkeit zulässig sind. Diese Grundsätze dürften auch für automatisierte Cheat-Erkennungen gelten. Im Zweifel sollten Anbieter daher nicht allein auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bauen. Dieses kann zwar eine Verarbeitung erlauben, aber Art. 22 als spezielleres Verbot automatisierter Entscheidungen geht vor.

In der Praxis empfiehlt es sich dringend, menschliche Kontrollinstanzen einzubauen. Entscheidet die Anti-Cheat-Software über einen Bann, sollte vor der endgültigen Sanktion zumindest eine geschulte Person den Fall überprüfen können. Ein schlichtes „Abnicken“ der Maschinenentscheidung reicht nicht.

Der menschliche Entscheider muss einen Ermessensspielraum haben und Anhaltspunkte würdigen können (z.B. ob ein erkannter Cheat eventuell ein Fehlalarm sein könnte). Viele Spielebetreiber richten hierfür Ticket- und Einspruchssysteme ein. Spieler werden zunächst vorläufig gesperrt und können Einspruch einlegen, woraufhin Mitarbeiter den Vorgang prüfen.

So wird aus der automatisierten Erkennung letztlich eine mitbestimmte Entscheidung, die Art. 22 DSGVO eher gerecht wird. Diese Vorgehensweise dient nicht nur dem Datenschutz, sondern auch der Akzeptanz in der Community – denn fehlerhafte Banns lassen sich so korrigieren.

Zu beachten ist, dass der Gesetzgeber und die Aufsichtsbehörden das Thema automatisierte Entscheidungen verstärkt im Blick haben. In Deutschland wird derzeit über eine Anpassung des Bundesdatenschutzgesetzes diskutiert (Entwurf § 37a BDSG), die klarere Regeln für Scoring und automatisierte Entscheidungen schaffen soll.

Stand jetzt sieht der Entwurf keine spezielle Erlaubnis für Anti-Cheat-Systeme vor. Er enthält aber z.B. ein Verbot rein automatisierter Entscheidungen gegenüber Minderjährigen. Sollte dies Gesetz werden, dürfte ein automatischer Bann von Jugendlichen ohne menschliche Prüfung unzulässig sein. Spielebetreiber müssen also die Entwicklung der Rechtslage im Auge behalten und ihre Anti-Cheat-Prozesse gegebenenfalls an neue Vorgaben anpassen.

Aufsichtsbehörden und aktuelle Entwicklungen (2025)

Datenschutzaufsichtsbehörden in Europa zeigen Verständnis für das Spannungsfeld zwischen Cheat-Bekämpfung und Datenschutz. Sie tendieren jedoch zu strengen Anforderungen an Transparenz und Verhältnismäßigkeit. In Deutschland hat die Datenschutzkonferenz (DSK) – das Gremium der Aufsichtsbehörden – in einer Orientierungshilfe betont, dass Anti-Cheat-Maßnahmen grundsätzlich legitime Betrugsprävention darstellen.

Das Auslesen von Geräteinformationen (wie Hardware-IDs oder laufende Prozesse) wird unter bestimmten Umständen als zulässig erachtet. Dies gilt, sofern die oben genannte Ausnahme des § 25 Abs. 2 Nr. 2 TDDDG greift. Wichtig ist aus Behördensicht, dass der Umfang der Datenerhebung auf das erforderliche Minimum begrenzt bleibt und die Nutzer darüber nicht im Dunkeln gelassen werden.

In der Praxis bedeutet das: Ein Anti-Cheat-Tool, das etwa permanent alle privaten Dateien scannt, würde auf massiven Widerstand der Aufsichtsbehörden stoßen. Hingegen wird das Auslesen einzelner eindeutiger Hardware-Kennungen oder spezifischer Speicheradressen eher akzeptiert, wenn dies nötig ist, um bekannte Cheats zu identifizieren. Die Behörden erwarten von Anbietern auch eine Risikoabwägung im Vorfeld.

Es muss geklärt werden: Welche Daten sollen wofür genutzt werden? Gibt es mildere Mittel? Diese Überlegungen sollten dokumentiert werden (Stichwort Accountability nach Art. 5 Abs. 2 DSGVO).

Interessant sind aktuelle Entscheidungen zum Umgang mit Anti-Cheat-Daten. Die dänische Datenschutzbehörde etwa hat 2022 einem Spieleunternehmen erlaubt, Details zu seinen Anti-Cheat-Algorithmen im Rahmen eines Auskunftsersuchens nicht herauszugeben. Die Begründung: Zu viel Offenlegung würde Cheatern Einblick in die Schutzmaßnahmen geben und so die Effektivität des Systems untergraben – zum Nachteil sowohl des Unternehmens als auch der ehrlichen Spieler.

Dieser praxisnahe Ansatz signalisiert, dass Geheimhaltungsinteressen bei Anti-Cheat-Systemen anerkannt werden, solange der Grundsatz der Datensicherheit und Integrität des Spiels auf dem Spiel steht. Auch die europäischen Datenschutzausschüsse (etwa der EDSA) haben in Leitlinien anklingen lassen, dass Transparenzpflichten nicht so weit gehen dürfen, dass man gewissermaßen eine Gebrauchsanleitung für Cheater liefern muss.

Dennoch gilt: Komplett von Transparenz befreien diese Überlegungen nicht. Spieler haben ein Recht zu erfahren, dass und in groben Zügen wie ihre Daten zur Cheat-Erkennung verarbeitet werden. Die Tendenz der Aufsichtsbehörden im Jahr 2025 geht dahin, klare Informationspflichten einzufordern.

Dies könnte etwa durch Datenschutzerklärungen geschehen, die Anti-Cheat-Scanning als Verarbeitungstätigkeit benennen, sowie Hinweise in Nutzungsbedingungen. Gleichzeitig unterstützen die Behörden aber Maßnahmen, die die Sicherheit der Anti-Cheat-Systeme schützen. Beispielsweise können genaue Algorithmen oder Schwellenwerte unter Berufung auf Geschäftsgeheimnisse unter Verschluss bleiben. Insgesamt zeichnen die Aufsichtsbehörden ein Bild: Anti-Cheat ist zulässig und wichtig, aber bitte privacy by design – mit Augenmaß und Offenheit gegenüber den Spielern.

Auskunftsersuchen von Spielern: DSGVO vs. Anti-Cheat-Geheimnisse

Spieler, die einen Bann erhalten oder schlicht wissen möchten, welche Daten ein Spiel über sie gesammelt hat, können ein Auskunftsverlangen nach Art. 15 DSGVO stellen. Damit fordern sie Einsicht in die verarbeiteten personenbezogenen Daten – inklusive solcher, die durch Anti-Cheat-Software erhoben wurden. Für Anbieter stellt sich hier ein heikles Problem.

Einerseits besteht grundsätzlich die Pflicht, den Betroffenen umfassend über seine gespeicherten Daten zu informieren. Andererseits könnten allzu detaillierte Angaben über Anti-Cheat-Logs oder Erkennungsmechanismen einem Cheater genau das Wissen liefern, um das System künftig zu umgehen. Weitere Informationen zu Meldepflichten bei Datenlecks finden Sie in unserem Beitrag zum Datenleck in der Startup-Praxis.

Die Rechtspraxis zeigt Lösungswege auf. Zum einen darf ein Auskunftsersuchen missbräuchlich sein. Wenn ersichtlich ist, dass ein Spieler den Auskunftsanspruch nur vorschiebt, um an interne Anti-Cheat-Informationen zu gelangen (also Zwecke verfolgt, die außerhalb des Datenschutzes liegen), kann der Anspruch verweigert werden. Deutsche Gerichte haben betont, dass die DSGVO nicht als Werkzeug für fachfremde Anliegen missbraucht werden darf.

Zum anderen schützt Art. 15 DSGVO nicht die Geschäftsgeheimnisse des Anbieters. So ist ein Spieleunternehmen nicht verpflichtet, im Rahmen der Datenauskunft seine Anti-Cheat-Software im Detail offenzulegen, sofern diese Informationen als vertrauliche Geschäftsgeheimnisse oder sicherheitsrelevante Interna zu qualifizieren sind. Es reicht in solchen Fällen, dem Anfragenden die grundlegenden Daten mitzuteilen (z.B. dass bestimmte Gerätedaten, Log-in-Zeiten, erkannte Anomalien etc. zu seiner Person gespeichert sind), ohne die genaue Funktionsweise der Cheat-Erkennung preiszugeben.

In der Praxis empfiehlt es sich, auf Auskunftsersuchen zeitnah und transparent zu reagieren, aber eben wohlabgewogen. Spieler sollten erfahren, welche Kategorien personenbezogener Daten im Anti-Cheat-Prozess verarbeitet wurden (z.B. Hardware-ID, Prozesslisten, auffällige Spielstatistiken) und ob eine automatisierte Entscheidung getroffen wurde. Weitergehende Informationen – etwa die internen Schwellenwerte, ab wann das System „anschlägt“, oder welche Prüfschritte genau abliefen – können verweigert werden, wenn ihre Herausgabe die Wirksamkeit der Sicherheitsmaßnahmen gefährden würde.

Im Antwortschreiben sollte dies dann auch sachlich begründet werden. Diese Vorgehensweise stimmt mit den Tendenzen der Aufsichtsbehörden überein, wie der erwähnte dänische Fall zeigt: Transparenz ja, aber kein Offenbarungseid, der Cheatern in die Hände spielt.

Datenschutzkonforme Gestaltung von Anti-Cheat-Systemen

Angesichts der rechtlichen Vorgaben sollten Spieleentwickler und -betreiber Anti-Cheat-Maßnahmen von Anfang an datenschutzfreundlich ausgestalten. Dies entspricht dem Prinzip des Privacy by Design. Einige bewährte Ansätze in diesem Kontext sind:

Transparente Richtlinien

Datensparsamkeit und Anonymisierung

Optionale „Privacy-Modes“

Klare Prozesse und Schutzmechanismen

Durch diese und ähnliche Maßnahmen kann ein Unternehmen zeigen, dass es den Spagat zwischen Sicherheit und Privatsphäre beherrscht. Ein datenschutzkonformes Anti-Cheat-System ist nicht nur rechtlich abgesichert, sondern stärkt auch die Reputation bei einer spieleraffinen Kundschaft, die Datenschutz zunehmend zu schätzen weiß. Dies ist besonders relevant für SaaS-Lösungen.

Anti-Cheat als Qualitätsmerkmal: Gewährleistungsfragen nach BGB

Abschließend lohnt ein Blick ins Zivilrecht. Kann ein unzureichendes oder nicht funktionierendes Anti-Cheat-System sogar einen Sachmangel darstellen, der Gewährleistungsansprüche der Käufer auslöst? Diese Frage ist neuartig, gewinnt aber an Bedeutung, da Online-Spiele faktisch nur mit funktionierendem Cheatschutz ihren Zweck erfüllen.

Nach deutschem Recht muss ein gekauftes Produkt die vereinbarte Beschaffenheit und die üblichen Erwartungen erfüllen. Für digitale Produkte – wozu Computerspiele zählen – regelt dies § 327e BGB. Ein digitales Produkt ist mangelfrei, wenn es bei Bereitstellung den subjektiven Anforderungen (also dem vertraglich Vereinbarten) und den objektiven Anforderungen (dem, was ein Käufer vernünftigerweise erwarten kann) entspricht. Funktionalität und Sicherheit zählen ausdrücklich zu diesen Qualitätsmerkmalen.

Übertragen auf Online-Spiele bedeutet das: Wenn der Hersteller ein bestimmtes Anti-Cheat-System zusichert oder in der Produktbeschreibung mit „hoher Sicherheit vor Cheatern“ wirbt, muss diese Erwartung auch erfüllt werden. Versagt das System völlig – etwa weil es technisch mangelhaft ist oder gar nicht erst aktiv umgesetzt wurde – könnte man argumentieren, das Spiel weiche von der geschuldeten Beschaffenheit ab.

Der Spielspaß und die fairen Wettbewerbsbedingungen gehören bei Multiplayer-Titeln zum Kern der Leistung. Ist ein Spiel z.B. wegen massiver Cheater-Probleme praktisch ungenießbar, liegt möglicherweise ein Mangel vor, da es sich nicht zur gewöhnlichen Verwendung eignet (vgl. § 327e Abs. 3 Nr. 1–2 BGB: Eignung zur gewöhnlichen Verwendung und übliche Beschaffenheit). Dies betrifft auch die Mangelhaftigkeit von SaaS-Lösungen.

Die Rechtslage hierzu ist allerdings nicht durch Urteile geklärt und in der Literatur umstritten. Traditionell wurde bei Offline-Spielen diskutiert, ob z.B. ein strikter Kopierschutz einen Mangel darstellt. Dies wurde meist verneint, solange das Spiel läuft, da der Kopierschutz primär den Hersteller schützt, nicht den Käufer.

Im Gegensatz dazu betrifft ein fehlender Cheat-Schutz direkt die Verbraucherinteressen. Bei einem Online-Spiel kauft der Nutzer nicht nur Software, sondern Zugang zu einer Gemeinschaft, in der Fairness ein implizites Versprechen ist. Gerade im Zeitalter der Software as a Service und regelmäßiger Updates spricht vieles dafür, dass ein Anbieter auch für die Aufrechterhaltung des Spielgleichgewichts sorgen muss.

Die neuen Regeln verpflichten Hersteller, digitale Produkte aktuell und sicher zu halten (§ 327f BGB sieht etwa Update-Pflichten vor). Bleiben dringend erforderliche Anti-Cheat-Updates aus und öffnen so Tür und Tor für Betrüger, könnte darin ein Verstoß gegen die Aktualisierungspflicht und damit ein Sachmangel liegen.

In der Praxis dürfte ein Gewährleistungsfall wegen fehlgeschlagenem Anti-Cheat selten reklamiert werden. Die meisten Spieler werden eher den Frust im Forum äußern als juristisch Mängel rügen. Doch theoretisch könnte ein Käufer, dem ein Spiel als „kompetitiv und cheat-geschützt“ verkauft wurde, bei eklatantem Versagen des Systems Rechte geltend machen (z.B. Minderung des Kaufpreises oder Rücktritt).

Anbieter sollten diese Perspektive im Hinterkopf behalten, insbesondere wenn in Marketing und Produktversprechen stark mit Cheat-Sicherheit geworben wird. Überzogene Versprechen könnten am Ende nicht nur Image-, sondern auch rechtliche Konsequenzen haben.

Fazit

Anti-Cheat-Software bewegt sich im Spannungsfeld zwischen fairer Spieleerfahrung und Datenschutz. Für Anbieter aus der Games- und Softwarebranche ist es unerlässlich, die rechtlichen Leitplanken zu kennen. Die Verarbeitung von Spieldaten und Gerätemerkmalen zur Betrugsbekämpfung ist in aller Regel aus berechtigtem Interesse erlaubt – doch es gelten enge Grenzen.

Vollautomatische Bannentscheidungen ohne menschliche Prüfung bergen erhebliche Risiken unter der DSGVO. Die Datenschutzaufsichtsbehörden unterstützen zwar den Kampf gegen Cheater, fordern aber Transparenz, Verhältnismäßigkeit sowie technische und organisatorische Vorkehrungen zum Schutz der Spielerdaten. Unternehmen sollten auf Auskunftsersuchen vorbereitet sein und dabei einen Mittelweg finden, der die Rechte der Spieler wahrt, ohne die eigenen Sicherheitsmechanismen preiszugeben.

Häufig gestellte Fragen

Welche gängigen Anti-Cheat-Technologien gibt es und welche datenschutzrechtliche Relevanz haben sie?
Gängige Anti-Cheat-Technologien umfassen Kernel-Treiber, Verhaltensanalysen und clientseitiges Scannen von Speicher und Prozessen. Diese greifen tief in die Systeme der Spieler ein, erheben Daten direkt vom Endgerät und erstellen Nutzungsprofile, was erhebliche datenschutzrechtliche Fragen aufwirft und eine Rechtsgrundlage erfordert.
Auf welche Rechtsgrundlagen stützen sich Spieleanbieter bei der Datenverarbeitung durch Anti-Cheat-Systeme?
Spieleanbieter stützen sich meist auf die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), da ein betrugsfreies Spielerlebnis Teil der vertraglichen Leistung sein kann, oder auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), um die Integrität des Spiels zu wahren und wirtschaftlichen Schaden abzuwenden.
Sind vollautomatische Bann-Entscheidungen durch Anti-Cheat-Software nach der DSGVO zulässig?
Vollautomatische Bann-Entscheidungen ohne menschliches Zutun sind nach Art. 22 Abs. 1 DSGVO grundsätzlich unzulässig, da sie erhebliche Auswirkungen für die Spieler haben. Ausnahmen sind eng gefasst und schwer anzuwenden; menschliche Kontrollinstanzen sind dringend empfohlen.
Welche Rolle spielt § 25 TDDDG im Kontext von Anti-Cheat-Software?
§ 25 TDDDG schützt die Vertraulichkeit von Endgeräten und verlangt grundsätzlich eine Einwilligung für das Auslesen von Informationen. Eine Ausnahme besteht, wenn der Zugriff "unbedingt erforderlich" ist, um den gewünschten Telemediendienst bereitzustellen, was unter restriktiven Bedingungen auch für Anti-Cheat-Maßnahmen gelten kann.
Prozess bei automatisierten Bannentscheidungen 1 Anti-Cheat-Software schlägt an 2 Automatisierte Entscheidung mit erheblicher Auswirkung (Art. 22 Abs. 1 DSGVO) 3 Grundsätzlich unzulässig, sofern keine Ausnahme greift 4 Empfehlung: Menschliche Kontrollinstanz einbauen (z.B. vorläufige Sperre,Einspruchsmöglichkeit) 5 Menschlicher Entscheider prüft Fall mit Ermessensspielraum 6 Endgültige Entscheidung (Bann oder Aufhebung)
Prozess bei automatisierten Bannentscheidungen