Minecraft Server und DSGVO – was muss ich als Betreiber beachten?

Die DSGVO (Datenschutz Grundverordnung) hat allgemein ein sehr großes Aufsehen erregt. Doch in welchem Verhältnis stehen Minecraft Server und DSGVO?
Vorab kann ich schon mal sagen, dass viele Punkte erst durch Gerichtsbeschlüsse geprägt werden müssen, bevor man weiß wie man es genau anzuwenden hat.
Trotzdem ist dieser Artikel für jeden Betreiber eines Minecraft Servers hoch interessant.

Die DSGVO – was ist das?

Die DSGVO ist die von der EU beschlossene Datenschutz Grundverordnung. Sie dient dazu Umgang mit personenbezogenen Daten zu regeln, und ist mit dem 25.05.2018 rechtswirksam geworden.

Die Datenschutzerklärung eines Minecraft Server

Jeder Minecraft-Server muss seine Datenschutzerklärung veröffentlichen. Egal ob es ein 4 oder 4000 Slot Server, ein Hobbyprojekt oder ein Kommerziell ausgerichtetes Projekt ist. Es werden Daten gespeichert, also muss eine Datenschutzerklärung her in der sich ein Nutzer über die Handhabung der Daten auf diesem Projekt informieren kann. Eine Datenschutzerklärung muss eine eigene Seite besitzen und darf nicht mit in das Impressum eingepflegt werden.
Dort muss neben vielen allgemeinen Informationen auch geregelt sein, wo welche Daten für welchen Zeitraum und zu welchem Zweck diese gespeichert werden. Eine solche Datenschutzerklärung sollte man nicht selbst schreiben und erst recht nicht von anderen Seiten kopieren! Hilfe zur Erstellung bekommt man bei Onlineanbietern wie z.B. eRecht24. Hier kann man durch Antworten auf Fragen eine vernünftige auf das Projekt angepasste Datenschutzerklärung erstellen. Wichtig hierbei ist, das es viele Punkte gibt die dort hinein müssen – ob einem das passt oder nicht.

Die Pflichten eines Minecraft Server

Nachdem man die Datenschutzerklärung veröffentlicht hat, ist es natürlich auch wichtig sich an diese zu halten. Dem entsprechend sollte man sich diese selbst durchgelesen haben und sichergehen, dass man sie auch verstanden hat. Zu diesem Zeitpunkt muss diese auch auf dem Server umgesetzt sein. Zum Beispiel muss man die in der Datenschutzerklärung angegebene Speicherzeit für Daten einhalten und den Server darauf angepasst haben. Zusätzlich nötige Umsetzungen werden im weiteren Artikel angesprochen.

Aktive Bestätigung der Spieler

Dieser Punkt ist so wichtig, dass ich ihn separat erwähnen möchte. Ein Spieler muss eure Datenschutzerklärung aktiv annehmen. Es reicht nicht irgendwo zu sagen “Wenn du auf unserem Server spielst akzeptierst du die Datenschutzerklärung”. Der Spieler muss auf ein Schild klicken oder etwas in den Chat schreiben um die Datenschutzerklärung zu akzeptieren. Diese Bestätigung am besten mit Spielername, UUID, IP, Datum und Uhrzeit abspeichern. Vorher solltet ihr nach Möglichkeit keine Daten des Spielers speichern.
Das ist auch nicht erst seit der DSGVO so zu handhaben. Bereits im Jahr 2014 hatte ich einen Termin bei der Datenschutzbehörde des Saarlandes, die mir diesen Punkt damals bereits verdeutlichte.

Ausgabe von Informationen

Ein Spieler hat durch die DSGVO das Recht eine schriftliche Information über die von ihm gespeicherten Daten zu bekommen – und das innerhalb einer kurzen Zeitspanne. Im Internet kursiert meistens die Zeitangabe von 48 Stunden herum. Das beinhaltet alle personenbezogenen Daten und die Daten die an diesige dran hängen. Wenn ihr also in einem Plugin speichert, dass ein Spieler ein Kit angefordert und bekommen hat, dann müsst ihr dem Spieler nicht nur sagen, dass dort sein Name gespeichert ist, sondern evtl auch seine UUID, welches Kit er genommen hat etc. Halt alle Daten die damit in Verbindung gespeichert sind. Vorher ist es jedoch eure Pflicht die Identität eines Spielers sicherzustellen.

Löschung von Daten

Ein Spieler hat auch das Recht die über ihn gespeicherten Daten löschen zu lassen. Man muss einem Spieler also die Möglichkeit geben, dass er seine Daten in Dateien sowie in Datenbanken löschen lassen kann. Hier ist es allerdings zu beachten, dass die DSGVO einen Spielraum lässt und man nicht alle Daten löschen muss. Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen müssen beispielsweise nicht gelöscht werden. Betroffen hiervon sind z.B. Daten von Strafen wie einem Ban. Wie genau und weitgehend dieser Punkt jedoch Anwendung findet werde ich in diesem Beitrag nicht erläutern. Dazu sollte man sich eine Rechtsberatung holen.

Weiteres

Neben dem Minecraft-Server selbst wird oft noch eine HomePage, ein Forum oder ein Shop betrieben. Für jeden der Punkte zählen weitere Bestimmungen die einzuhalten sind.