colorito: Ich sehe allerdings nicht, inwiefern die Zustimmung zu "Marketing-Mitteilungen von GOG Sp. z o.o. per Email" GOG zum Weiterverkauf von Daten berechtigt, was hier immer wieder vage behauptet wird. Ich habe schon vor einigen Wochen gefragt, ob es dazu konkrete Hinweise in der Datenschutzrichtlinie gibt. Darauf kam dann aber keine Antwort mehr.
Weitergabe, nicht Weiterverkauf. Von Verkauf steht tatsächlich nichts drin, aber auch das muss nichts heißen.
Natürlich kann nach einer Anonymisierung oder Pseudonymisierung eines Marketingprofils dieses grundsätzlich immer auch verkauft werden. Solange die Daten nicht mehr mit Dir in Verbindung gebracht werden können ist das auch okay. Nur wurde GOG bekanntermaßen erst kürzlich gehackt.
Im Zweifel ist es daher ratsam vorsichtshalber immer davon auszugehen, dass unbefugte Dritte an deine Daten früher oder später eben doch herankommen (könnten).
Beim Vorgehen wie es hinsichtlich der "Geschenke" jetzt ist, sehe ich 3 weitere wesentliche Punkte die meiner Meinung nach problematisch sind:
Erstens kann man sich nicht solche Sachen wie das Erstellen von personalisierten Marketingprofilen einfach per Datenschutzvereinbarung stillschweigend abnicken lassen. So wie das hier umgesetzt ist, handelt es sich meiner Ansicht nach nicht um eine informierte Einwilligung, denn JEDE Nutzung bedarf ausdrücklich der Zustimmung und zwar jede Nutzung einzeln (was hier nicht passiert). (Meine persönliche Meinung, keine Rechtsberatung.)
Da hilft auch nicht zu schreiben, dass diese Profile doch gar keine rechtlichen Konsequenzen hätten, denn das ist einerseits falsch (wenn die Polizei kommt und das Profil einsackt hat es ja doch Konsequenzen). Andererseits ist das eine Null-Aussage, denn die Verwendung für bestimmte Ratings auf welche hier angespielt wird ist sowieso gesetzlich verboten.
Zweitens ist es nach Datenschutzgrundverordnung grundsätzlich unzulässig Geschenke an Werbeeinwilligungen zu knüpfen. Da gab es zwar eine Gerichtsentscheidung eines Amtsgerichtes die das wieder etwas relativierte, ABER das ist alles andere als ein Freifahrtschein, sondern an enge Regeln geknüpft:
A) Dies betrifft ausdrücklich nur GEWINNSPIELE, bei denen es zum Teil um signifikante Geld- und Sachpreise geht.
B) Kinder unter 16 Jahren können schon ganz grundsätzlich keine rechtskräftige Einwilligung in die Verwendung ihrer Daten für Marketingzwecke abgeben, weil sie regelmäßig nicht in der Lage sind die Tragweite einer Einwilligung vollständig zu durchschauen. Somit sind die Voraussetzungen für eine rechtskräftige Einwilligung schon von Alters wegen nicht gegeben.
C) Sobald sich ein Angebot in nicht unwesentlichem Umfang an Personen unter 16 Jahren richtet - was bei Spielen immer der Fall sein dürfte - ist die Kopplung auch dann unzulässig, wenn zusätzlich auch Personen über 16 angesprochen werden. Da gab es soweit ich informiert bin sogar gleich mehrere Urteile dazu.
Drittens bleibt es problematisch, dass überhaupt Profile erstellt werden und man sich vorbehält diese im Ausland zu speichern und zu verarbeiten, auch noch mit dem Hinweis, dass diese dort durch deutsches Recht nicht geschützt wären. Sorry, aber das ist doch der Supergau: Wie kann man denn in eine Datenschutzerklärung sinngemäß schreiben: "Ach und übrigens schieben wir deine Daten in die USA, wo alles was wir dir gerade erzählt haben nicht greift und die mit deinen Daten machen können was sie wollen - aber selbstverständlich haben wir denen gesagt, dass das ganz ganz doll doof ist und sie haben uns ihr Indianerehrenwort gegeben, dass sie es nicht machen".
Selbst dann, wenn man hinterher die Einwilligung widerruft - wobei allen hier bewusst sein sollte, dass ein Widerruf keinesfalls sofort greifen muss, sondern "aus technischen Gründen" gern auch mal erst ein oder zwei Wochen später - bedeutet die Verarbeitung durch Dritte im Nicht-EU-Ausland, dass in dem Moment die Daten zunächst erstmal weg sind und nicht wieder kommen. Ob Dritte auf der anderen Seite des großen Teichs die dann wieder löschen nur weil ihr das wollt ist nicht garantiert, denn die Amis bspw. verfahren hier nach dem Motto "finders keepers", das heißt, nach deren Rechtsauffassung sind sie als Firma Eigentümer der Daten über Dich und Du hast da leider gar nichts zu melden.
Dabei geht es wie gesagt nicht um Newsletter, sondern es geht um Marketingprofile. Marketingprofile können nämlich richtig doll Kohle wert sein, wenn solche Profile bspw. so beschaffen sind, dass sie für die Zielgruppenselektion benutzt werden können. Insbesondere dann, wenn sie im Nicht-EU-Ausland um weitere Daten angereichert werden. Je mehr eine Firma über euch weiß und je ausgefeilter dadurch die Zielgruppen werden, um so mehr sind Werbetreibende ggf. bereit dafür zu zahlen, dich als Zielgruppe anzusprechen. Bis dahin ist das noch nicht sooo dramatisch. Im schlimmsten Fall wirst du halt just-in-time an einer Art Börse meistbietend verhökert mit automatischen Tradingalgorithmen. Problematisch wird das Ganze aber, wenn jemand an solche Marketingprofile herankommt, der euch schlecht gesonnen ist. Denn wenn mehrere Quellen solcher Daten miteinander verknüpft werden erhalten Firmen eventuell tiefere Einblicke in euer Privatleben als selbst eure Eltern oder Ehepartner. Wenn Hacker an so etwas herankommen und es an Kriminelle verticken, könnten Kriminelle im Zweifel euch damit tatsächlich schaden.
Womit wir dann wieder auf Anfang wären: Es ist verdammt schwer nachzuvollziehen, in was genau man dabei eigentlich alles einwilligt und wie die Risiken und Nebenwirkungen konkret aussehen.
Ich persönlich glaube nicht einmal zwingend, dass GOG wirklich irgendetwas mit den Daten anstellt, was mir persönlich gefährlich werden könnte. Aber: Ich weiß es offen gestanden einfach nicht.
Das Einzige was ich 100% weiß: Es sind immer jene Daten am sichersten, die gar nicht erst erhoben werden.
