Wenige Sektoren sind wirtschaftlich und technisch so dynamisch wie die Games-Branche. Eine ähnliche Dynamik entfaltet allerdings in letzter Zeit auch die rechtliche Regulierung, die Entwicklung, Vertrieb und – insbesondere bei sog. live service games – dauerhaften Betrieb von Videospielen sowie von Gaming-Hardware betrifft. Das gekonnte Navigieren der rechtlichen Rahmenbedingungen wird so für den wirtschaftlichen und manchmal sogar den künstlerischen Erfolg eines Spiels immer wichtiger.
In diesem-Beitrag geben wir einen Überblick über wichtige rechtliche Trends, die auf die Gaming-Branche zukommen.
„Hey! Listen!“ – Videospiele und Datenschutz
Videospiele lassen sich kaum noch anonym spielen. Ob über einen Account in einem Games-Store oder bei einem Konsolenhersteller oder direkt beim Spieleanbieter, der Spieler ist schnell identifiziert und löst so, wenn er sich in der EU befindet, die Anwendbarkeit der Datenschutz-Grundverordnung aus.
Insbesondere bei Online-Spielen kommt das Spielerlebnis nicht ohne die Verarbeitung großer Mengen personenbezogener Daten des Spielers und das Teilen dieser Daten und mit anderen Spielern – u.U. in aller Welt – aus. Die über den Account personenbeziehbaren Daten wie Name, (IP-)Adresse, Kontaktdaten, Zahlungsdaten und natürlich Daten über die Nutzung des Spiels werden jedoch nicht nur zur Bereitstellung des Spiels verarbeitet. Oft sind diese Daten auch die Grundlage, um gegen Cheating und anderen Missbrauch vorzugehen, das Spiel(erlebnis) zu verbessern und/oder Werbung zu betreiben (zu Werbung noch unter Ziff. 2). Dabei wirken oft mehrere Akteure zusammen, vom Spieleanbieter über dessen Dienstleister bis hin zu Werbenetzwerken, was u.U. zum Abschluss komplexer datenschutzrechtlicher Verträge verpflichtet.
Die Spielerlebnisse werden zudem immer individueller und sozialer, sodass die über Spieler erhobenen Daten immer sensibler werden – von individuellen „Skin“-Kombinationen über Kommunikationsdaten, die Spieler in game miteinander austauschen bis hin zu virtuellen Avataren. Hierüber transparent und adressatengerecht zu informieren, wie es das Datenschutzrecht fordert, ist insbesondere bei einer internationalen Spielerschaft unterschiedlichen Alters eine Herausforderung. Dass das Spielerlebnis immer häufiger über Soziale Medien oder Streaming-Plattformen wie öffentlich geteilt wird, bedeutet zudem oft selbst bei der Verwendung von Pseudonymen (z.B. tags oder handles) die Herstellung eines Personenbezugs, sodass Datenschutzrecht immer öfter anwendbar ist.
Die Einhaltung datenschutzrechtlicher Anforderungen betrifft daher immer mehr Akteure der Games-Branche, vom Entwickler bis hin zum erfolgreichen Let’s Player. Und mit der zunehmenden Expertise (und mutmaßlich dem Berufseintritt jüngerer Kohorten) bei den Datenschutzaufsichtsbehörden steigt auch das Risiko von Aufsichtsmaßnahmen. So verhängte die spanische Datenschutzaufsichtsbehörde im Dezember 2023 ein Bußgeld in Höhe von 90.000 Euro gegen ein chinesisches Unternehmen wegen Missachtung des Grundsatzes der Datenminimierung und der Datensicherheit beim Einsatz freiwilliger Moderatoren in einem Online-Forum zu Videospielen.
„This is my favourite store on the Citadel.“ – Werbung und Kommerzialisierung
Sog. free-to-play games lassen sich oft nur durch Microtransactions oder eben, wie andere kostenlose Online-Angebote auch, durch Werbung finanzieren. Dabei ist personalisierte Werbung in aller Regel deutlich ertragreicher als nicht personalisierte Werbung, Tracking- und Retargeting-Technologien eine große Rolle spielen. Deren Einsatz erfordert datenschutzrechtlich typischerweise besondere Sorgfalt, insbesondere im Hinblick auf das Einholen datenschutzrechtlicher Einwilligungen. Spieleanbieter, die eine solche Kommerzialisierungsstrategie verfolgen, sollten insbesondere die aktuelle Debatte um das „Pay or Okay“-Modell verfolgen. Dessen datenschutzrechtliche Zulässigkeit stellen die europäischen Datenschutzaufsichtsbehörden (EDSA) in Frage. Wenn Nutzer nur die Wahl bleibt, für ein Spiel zu zahlen oder in die Verarbeitung ihrer Daten einzuwilligen, dann liegt nach Ansicht der EDSA in den meisten Fällen mangels echter Wahlmöglichkeit keine wirksame Einwilligung vor. Ob das der Fall ist, ist allerdings stets im Einzelfall zu analysieren.
„Nothing is true, everything is permitted.“ – Videospiele als Vermittlungsdienste nach dem Digital Services Act
Der am 17. Februar 2024 in Kraft getretene Digital Services Act („DSA“) soll Hass und andere illegale Inhalte von Online-Plattformen und anderen Vermittlungsdiensten verbannen, und verpflichtet die Anbieter solcher Dienste daher unter Androhung hoher Bußgelder und Schadensersatzansprüche zu umfangreichen Transparenz- und Moderationsmaßnahmen. Im Mai 2024 hat auch die deutsche Aufsichtsbehörde ihre Arbeit aufgenommen.
Hass und Hetze begegnet man in Online-Chats und Lobbys in Videospielen leider nicht selten. Anbieter von Online-Spielen sollten daher sorgfältig prüfen, inwieweit sie durch ihre Spiele in den Anwendungsbereich des DSA fallen, weil sie ihren Nutzern einen Ort zum (öffentlichen) Austausch von Informationen bieten. Content Moderation ist für viele dieser Anbieter nichts Neues, das gesetzliche Compliance-Korsett des DSA wird aber in vielen Fällen Anpassungen der Moderationssysteme sowie der Allgemeinen Geschäftsbedingungen verlangen.
Gerade wenn sich ein Spiel, das als Vermittlungsdienst nach dem DSA einzuordnen ist, an Minderjährige richtet, müssen Anbieter spezifische Maßnahmen zu ihrem Schutz umsetzen. Zu den Einzelheiten läuft aktuell ein Konsultationsverfahren der EU Kommission. In jedem Fall müssen manipulative Designs im User Interface (sog. „dark patterns“) vermieden werden, und bestimmte Werbeeinschränkungen sind einzuhalten.
„Wanting something does not give you the right to have it." – KI-Einsatz in der Spielentwicklung
Mithilfe generativer KI können Entwickler künstliche Bilder und Grafiken erzeugen, Dialogtexte entwerfen oder Softwarecode entwickeln. Daneben ist es möglich, durch live-generierte Inhalte ein für jeden Spieler individuelles Spielerlebnis zu schaffen. Entwicklern sollte allerdings bewusst sein, welche rechtlichen Risiken der Einsatz von generativer KI birgt.
- So sind KI-generierte Inhalte regelmäßig mangels persönlicher geistiger Schöpfung (§ 2 Abs. 2 UrhG) nicht urheberrechtlich geschützt und damit im Zweifel von Dritten ohne Lizenz uneingeschränkt nutzbar. Entwickler können jedoch durch eine hinreichende Überarbeitung Urheberrechte an den KI-generierten Inhalten erlangen, sofern sie eine eigene schöpferische Leistung erbringen. Des Weiteren können Inhalte urheberrechtlich geschützt sein, wenn Entwickler generative KI als bloßes Werkzeug zur Erstellung von Inhalten einsetzen und die KI kaum einen eigenen Spielraum hat. Entwickler sollten unbearbeitete KI-generierte Inhalte deshalb nur für untergeordnete Spielinhalte verwenden und insbesondere etwa bei wichtigen Charakteren oder Setting auf einen urheberrechtlichen Schutz achten.
- Darüber hinaus können KI-generierte Inhalte ihrerseits Urheberrechte Dritter verletzen. Das stellt für Entwickler ein erhebliches Haftungsrisiko dar. Valve weigerte sich aufgrund nicht abschätzbarer Haftungsrisiken zwischenzeitlich, Spiele mit KI-generierten Inhalten über Steam zu vertreiben. Inzwischen hat Valve diese Policy gelockert, verlangt aber von Entwicklern u.a. offenzulegen, ob sie KI-generierte Inhalte verwendet und welche Schutzmaßnahmen sie gegen Urheberrechtsverletzungen ergriffen haben. Entwickler sollten daher genau dokumentieren, ob und wie KI-generierte Inhalte verwendet werden. Darüber hinaus sollten sie prüfen, ob Schutzmaßnahmen zur Vermeidung von Urheberrechtsverletzungen, beispielsweise sog. Output-Control, durch den jeweiligen Anbieter des eingesetzten KI-Systems implementiert wurden. Ferner kann es hilfreich sein, eigene Plagiatssoftware zur Überprüfung der generierten Inhalte einzusetzen.
- Bei geheimen Inhalten, wie z.B. Story- oder Plotdetails, kann es sichum Geschäftsgeheimnisse des Unternehmens (§ 2 Nr. 1 GeschGehG) handeln. Wenn Entwickler solche vor der Veröffentlichung eines neuen Spiels in KI-Systeme einspeisen, besteht die Gefahr, dass in KI-Systeme eingegebene Inhalte anderen Nutzern, zum Beispiel bei der Verwendung ähnlicher Prompts, angezeigt werden, wenn das KI-System aus den jeweiligen Eingaben lernt. Die geleakten Informationen können so ihren Status als Geschäftsgeheimnis verlieren. Deshalb sollten Entwickler darauf achten, Geschäftsgeheimnisse ausreichend zu schützen. Helfen kann hier eine interne Compliance-Richtlinie, die festlegt, welche Informationen in externe KI-Systeme eingespeist werden dürfen. Außerdem bieten viele KI-Anbieter inzwischen an, Eingabedaten, einschließlich vertraulicher Informationen, nicht für KI-Trainingszwecke zu verwenden (sog. Zero Retention).
„Everything not saved will be lost.“5 – Verwertungsgesellschaft für Games (VHG) als künftige Games-GEMA?
Wenn Videospiele vor der eigenen Community live oder auf Abruf gestreamt werden, geschieht dies meist unlizenziert. Die meisten Publisher dulden das Streamen ihrer Spiele aufgrund der positiven Werbewirkung. Aber auch zu privaten Zwecken nehmen Spieler eigene Let’s Plays auf oder erstellen Screenshots von Spielen. Diese nicht mit Erwerbsabsicht vorgenommenen Vervielfältigungen sind grundsätzlich als Kopie zum privaten Gebrauch gem. § 53 UrhG urheberrechtlich zulässig. Bislang werden in diesen Fällen regelmäßig keine Ansprüche auf angemessene Vergütung nach § 54 UrhG gegen Hersteller von Geräten oder Speichermedien, die zur Vornahme solcher Vervielfältigungen benutzt werden, geltend gemacht. Zur effektiven Durchsetzung dieses Vergütungsanspruchs gründete der Verband der deutschen Games-Branche jedoch im Mai 2023 die Verwertungsgesellschaft für die Hersteller von Games („VHG“). So sollen Entwickler und Publisher von Videospielen durch einen Wahrnehmungsvertrag der VHG das Recht einräumen können, diesen Anspruch für sie durchzusetzen. Allerdings ist weiterhin offen, ob das Deutsche Patent- und Markenamt die hierfür erforderliche Zulassung erteilen wird. Die weitere Entwicklung zur VHG sollten Betroffene aufmerksam verfolgen.
„It’s dangerous to go alone! Take this.“6 – Zukünftige Regulierung durch Data Act, Cyber Resilience Act, und AI Act
- Der Data Act, der ab September 2025 anwendbar sein wird, ist besonders für Hersteller bzw. Verkäufer und Anbieter von vernetzten Geräten und damit verbundenen Diensten relevant. In der Games-Branche können vor allem Spielekonsolen, VR-Brillen und andere Gaming-Hardware darunterfallen, bei deren Nutzung Daten anfallen (die nicht personenbezogen sein müssen). Unter dem Data Act erhält der Nutzer einen Anspruch auf Zugang (und Zugangsgewährung an Dritte) sowie Nutzung der so anfallenden Daten, während der Dateninhaber nicht personenbezogene Daten nur noch im Rahmen einer Lizenz nutzen darf, die er sich vom Nutzer einräumen lassen muss. Was für die Hersteller eine Bedrohung ihrer Datenhoheit darstellt, kann für Aftermarket-Anbieter eine Gelegenheit sein, um Zubehör und ergänzende bzw. sogar konkurrierende Dienste zu entwickeln. Des Weiteren sieht der Data Act neue Informationspflichten und Regelungen für die Inhalte von Datenverträgen vor (siehe unser detailliertes Q&A). Auch hier drohen in Zukunft bei Verstößen Bußgelder und Schadensersatzansprüche.
- Der Anfang 2024 verabschiedete Cyber Resilience Act hat sich zum Ziel gesetzt, erstmals einen europaweit einheitlichen Cybersecurity-Standard für „Produkte mit digitalen Elementen“ zu etablieren. Spätestens drei Jahre nach Inkrafttreten der Verordnung haben alle Daten verarbeitenden Produkte eine CE-Kennzeichnung tragen, um anzuzeigen, dass sie dem neuen Standard entsprechen. Herstellern solcher Produkte, wozu sowohl Soft- als auch Hardwareprodukte zählen (in der Games-Branche also sowohl Spiele selbst als auch Endgeräte wie Konsolen, VR-Brillen oder Controller), werden dazu diverse Pflichten im Hinblick auf Design, Entwicklung und Wartung auferlegt. Der Umfang dieser Pflichten hängt dabei im Wesentlichen von einer Risikoanalyse ab, die der Hersteller durchführen und dokumentieren muss. Besonders belastend kann für Entwickler und Hersteller hierbei die Pflicht sein, über den gesamten Lebenszyklus des Produkts oder mindestens für fünf Jahre die Risikobewertung aktuell und die Cybersicherheitsmaßnahmen angemessen zu halten (sog. Vulnerability Management). Auch die Meldepflichten bei Cybersicherheitsvorfällen, die sehr kurze Fristen von 24 Stunden für Erstmeldungen vorsehen, bergen Compliance-Risiken. Vergleichbare Pflichten ergeben sich für die sog. „Einführer“ digitaler Produkte, also Importeure, die Produkte mit digitalen Elementen außereuropäischer Unternehmen in der EU in Verkehr bringen. Auch sie müssen grundsätzlich sicherstellen, dass die von ihnen eingeführten Produkte die Sicherheitsstandards des Cyber Resilience Acts einhalten.
- Jenseits der oben (unter Ziff. 4) erwähnten Use Cases für generative KI in Videospielen sind andere KI-gestützte Anwendungen in vielen Videospielen bereits gang und gäbe, insbesondere bei Anti-Cheating-Maßnahmen. Anfang August 2024 trat der AI Act in Kraft, dessen nun in mehrmonatigen Abständen gestaffelt zur Anwendung kommende Regelungen die Entwicklung und den Einsatz von KI-Systemen betreffen. Schwerpunkt ist insbesondere der transparente sowie diskriminierungsfreie Einsatz von KI-Systemen. Umfasst ist aber auch der richtige Umgang mit Risiken, die speziell durch KI-Anwendungen entstehen und ein Verbot von KI-Praktiken, die inakzeptable Risiken bergen. Wie bei den anderen beschriebenen Verordnungen der EU gilt auch hier der Refrain, dass bei Verstößen empfindliche Bußgelder drohen.
- Diese bevorstehenden Regelungen unterstreichen die Notwendigkeit für alle Unternehmen in der Games-Branche, sich über die neuesten rechtlichen Entwicklungen zu informieren und sich früh und strategisch auf das gesetzliche Umfeld einzustellen, um sowohl Chancen zu nutzen als auch Risiken zu minimieren.
Anmerkung zu Zitaten: Die in diesem Beitrag verwendeten Zitate stammen aus den folgenden Quellen:
Headline: Tav in Baldur’s Gate 3 von Larian Studios, https://www.zleague.gg/theportal/unveiling-baldurs-gate-3-easter-eggs-a-closer-look/;
Unterüberschrift 1: Navi in Ocarania of Time von Nintendo, https://www.gamesradar.com/hey-listen-shigeru-miyamoto-didnt-like-navi-from-ocarina-of-time-either/;
Unterüberschrift 2: Commander Shepard in Mass Effect 2 von Bioware, https://knowyourmeme.com/memes/im-commander-shepard;
Unterüberschrift 3: Aus dem Credo der Assassinen in Assassin’s Creed von Ubisoft, https://assassinscreed.fandom.com/wiki/The_Creed;
Unterüberschrift 4: Ezio Auditore in Assassin‘s Creed 2, https://screenrant.com/assassins-creed-ezio-best-quotes/;
Unterüberschrift 5: Nintendo „Quit screen“-Nachricht, https://www.eurogamer.net/everything-not-saved-will-be-lost;
Unterüberschrift 6: Dialog aus The Legend of Zelda, https://en.wikipedia.org/wiki/It%27s_dangerous_to_go_alone