Damit das geschehen kann, braucht die Software umfassenden Zugriff auf den Computer. Handelt es sich um Spiele für Windows, kommt oft der Kernel-Modus ins Spiel. Kernel bezeichnet die höchste Ebene des Betriebssystems eines PC: Wer darauf Zugriff hat, hat auf alles Zugriff. Der oder die PC-User:in wird damit unter Umständen gläsern. Alles auf der Festplatte oder im Browser kann ausgelesen werden, Daten werden gesammelt oder Vorgänge blockiert.
Tiefer Eingriff in die Privatsphäre
Das macht die Software einerseits sehr effektiv, andererseits aber auch risikoreich für die Privatsphäre der Spielenden. Denn ein PC enthält unzählige sensible Daten über den oder die Nutzer:in. Wenn eine Software nun Zugriff auf all diese Informationen hat, können private Informationen wie geöffnete Internetseiten oder peinliche Fotos, beim Publisher landen.
Und sogar die Adressen von Servern können per Zugriff auf den DNS-Speicher ausgelesen werden. Das kann in manchen Fällen sogar Websites betreffen, die im Inkognito-Modus besucht wurden, wo davon ausgegangen werden kann, dass diese Websiteaufrufe privat bleiben sollen. Der Kernel-Modus kann darüber hinaus Infos über die Hardware in Erfahrung bringen oder gar die Systemfunktion kontrollieren.
Ist das die totale Überwachung?
Gamer sind sich häufig nicht darüber bewusst, dass die Anti-Cheat-Software dazu genutzt kann, sie umfassend zu überwachen. Zwar können die Entwickler:innen der Anti-Cheat-Software diese so herstellen, dass sie nur die notwendigsten Zugriffe erlaubt. Das kann zum Beispiel so umgesetzt werden, dass nur die Ergebnisse einer Suche an den Publisher übermittelt wird und eben nicht die Rohdaten, die während der Suche gesammelt werden.
Selbst dann ist aber die Möglichkeit eines Missbrauchs stets präsent; die Privatsphäre der Gamer:innen liegt offen und ist nur einen (Fehl-)Schritt davon entfernt, ohne Kontrollmöglichkeit des oder der Spieler:in ausgewertet zu werden.
Dass dies keine rein hypothetische Gefahr ist, zeigen Beispiele aus der Vergangenheit. So sorgte etwa Blizzard 2005 für einen Skandal, als ein IT-Sicherheitsforscher herausfand, dass ihre Anti-Cheat-Software viel mehr Daten auslas als nötig und infolgedessen von der Electronic Frontier Foundation als Spähsoftware eingeordnet wurde. Ähnlich dazu hat ein Mitarbeiter der eSports Entertainment Association 2013 unbefugt einen Bitcoin-Miner über die unternehmenseigene Anti-Cheat-Software auf die Rechner der Gamer:innen eingeschleust. In einem aktuellen Fall aus 2022 haben Hacker schließlich die Kernel-Treiber der Anti-Cheat-Software des Spiels Genshin Impact ausgenutzt, um Anti-Virus-Software auszutricksen und Schadsoftware auf den Rechnern der Gamer:innen zu installieren.
Dass der Einsatz client-seitiger Anti-Cheat-Software oft erhebliche Privatsphäre-Eingriffe zur Folge hat, folgt also nicht zwingend aus den Daten, die zwecks Cheat-Erkennung verarbeitet werden, sondern aus der Art des Systemzugriffs bzw. der Zugriffsmöglichkeit selbst.
Rechtslage: Wann Anti-Cheat-Software erlaubt ist
Paragraf 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) regelt, wann Programme auf den PC der Nutzer:innen zugreifen dürfen. Dieser erfordert grundsätzlich eine freiwillige, informierte und jederzeit widerrufbare Einwilligung. Davon gibt es nur zwei enge Ausnahmen. Eine davon greift, wenn der Zugriff unbedingt erforderlich ist, um den gewünschten Dienst bereitzustellen. In diesem Falle wäre es, das Mehrspielerspiel bereitzustellen.
Die herrschende Meinung sagt: Fair Play gehört zum Kern eines Mehrspieler-Spiels, also sei Anti-Cheat immer „unbedingt erforderlich“. Dafür spricht insbesondere, dass die deutschen Datenschutzbehörden davon ausgehen, dass Maßnahmen zur Betrugsprävention immer unbedingt erforderlich sind und Anti-Cheat letztlich betrugsartiges Spielverhalten unterbindet.
Aber: § 25 TDDDG verlangt als einfachgesetzliche Ausprägung der grund- und menschenrechtlich geschützten Privatsphäre Verhältnismäßigkeit, betont Frei.
Parallel zur Rechtsprechung des Europäischen Gerichtshofs zu Art. 6 Abs. 1 Buchstabe b der Datenschutz-Grundverordnung, der in einem ähnlichen Kontext auch von “erforderlich” spricht, solle ihm zufolge daher auch im Rahmen von § 25 TDDDG erforderlich sein, dass es keine im Vergleich zur Kernelmodus-Anti-Cheat-Software praktikablen und weniger einschneidenden Alternativen gibt, um Cheats im konkreten Spiel effektiv zu bekämpfen. Wichtig sei laut Frei, dass die Anforderungen an die Praktikabilität im bloßen Unterhaltungsspiel nicht überspannt werden. Der Durchschnittspieler möchte fair spielen können, aber nicht um jeden Preis. Praktikabel sei also nicht nur die bestmögliche, sondern auch eine ausreichende Anti-Cheat-Software, die zumindest verhindert, dass das Spiel von Cheatern „überflutet“ wird, aber dafür die Privatsphäre der Spieler besser wahrt.
Ist der Kernel-Modus überhaupt erforderlich?
Dies führe nach Frei zu folgender Abstufung: Jedenfalls zulässig sei der Zugriff allein auf Informationen im vom Spiel belegten Arbeitsspeicher. Denn darauf muss ohnehin zugegriffen werden, um das Mehrspielerspiel technisch zu ermöglichen. Ohne Einwilligung zulässig sei daher etwa die Untersuchung des Spielespeichers auf Manipulationen oder Anhaltspunkte für Cheat-Software.
Ist dies im Einzelfall nicht ausreichend, müsse geprüft werden, ob eine alternative oder zusätzliche Nutzung einer server-seitigen Anti-Cheat-Software hinreichend effektiv ist, die das Spielerverhalten auf Auffälligkeiten wie übermenschliche Reaktionsgeschwindigkeiten, prüft und damit ohne weitreichenden Zugriff auf den Spieler-PC auskommt. Das sei laut Frei meistens der Fall, da server-seitige Anti-Cheat-Software inzwischen – genau wie Kernel-Modus-Anti-Cheat – als hocheffektiv gelte.
Frei zufolge sei Kernel-Modus deshalb im bloßen Unterhaltungsspiel meist nicht unbedingt erforderlich – wenngleich es immer auf das konkrete Spiel, Anti-Cheat und die Maßnahmen ankomme, die während der Entwicklung getroffen werden, um den Privatsphäreeingriff zu reduzieren.
Fazit: Oft freiwillige Einwilligung notwendig
Für den Einsatz von Kernel-Modus-Anti-Cheat braucht der oder die Entwicklerin also meist eine freiwillige Einwilligung. Freiwilligkeit setzt voraus, dass die Einwilligung nicht automatisch in den AGBs enthalten– und damit unverhandelbar – ist und die Nutzung des Mehrspielerspiels darf auch nicht davon abhängig gemacht werden, ob der:die Gamer:in in den Zugriff auf den eigenen PC durch die Anti-Cheat-Software eingewilligt hat. Der oder die Spielerin muss also die Wahl haben zwischen Schutz auf Privatsphäre oder effektivem Anti-Cheat. Das wird zum Beispiel durch zwei getrennte Spielmodi gewährleistet: Einen Privatsphäre-Modus, in dem auf eingriffsintensive Anti-Cheat-Programme verzichtet wird bzw. andersherum einen kompetitiven Modus, bei dem ein starkes Anti-Cheat-Programm Fair Play für alle Gamer sichert.
Kernel-Modus-Anti-Cheat-Software kann helfen, Cheater zu stoppen – kann aber auch tief in die Privatsphäre und die Integrität des Spieler-PCs eingreifen. Wer Kernel-Modus-Anti-Cheat-Software einsetzt, sollte also transparent informieren und eine echte Wahl lassen.
