Gaming-DSGVO: Risiken steigen – diese Fälle aus 2025 belegen es

Im April 2025 reichte die NGO NOYB (None of Your Business) eine formelle GDPR-Beschwerde gegen Ubisoft ein – eines der meistdiskutierten Gaming-DSGVO-Verfahren des Jahres.

Der Vorwurf: Ubisoft zwingt Nutzer:innen, selbst für reine Singleplayer-Spiele (z. B. Assassin’s Creed, Far Cry, Prince of Persia) online zu sein. Damit sammelt das Unternehmen Daten über Startzeiten, Spielverhalten und Sitzungsdauer. Innerhalb von zehn Minuten bauten die Spiele bis zu 150 Serververbindungen auf – unter anderem zu Google, Amazon und Datadog.

NOYB sieht hierin einen klaren Verstoß gegen Art. 6(1) DSGVO: keine Einwilligung, keine Notwendigkeit. Besonders brisant: Es existiert ein versteckter Offline-Modus.
Mit einem Umsatz von über 2 Milliarden € könnte Ubisoft laut GDPR-Bußgeldrahmen bis zu 92 Millionen € Strafe drohen.

Ein Symbolfall für einen wachsenden Trend: Spiele als Datenpipeline – ganz gleich, ob es nötig ist oder nicht.

Im Mai 2025 rückte Nintendo mit der Switch 2 in den Fokus. Das neue Feature GameChat erlaubt Video- und Audio-Sharing – und laut aktualisierter Datenschutzrichtlinie auch Mitschnitte „zur Sicherheit der Nutzer:innen“.

Nintendo erklärt, dass Aufnahmen manuell ausgelöst und auf drei Minuten begrenzt seien. Dennoch gilt: Audio- und Videodaten sind personenbezogene Daten. Ihre Verarbeitung erfordert eine klare, freiwillige Einwilligung.

Weitere DSGVO-Aspekte:

• GameChat setzt Nintendo Online und eine verifizierte Telefonnummer voraus.
• Für unter 16-Jährige ist elterliche Zustimmung erforderlich.
• Unklar bleibt, ob Nutzer:innen der Aufzeichnung vollständig widersprechen können.

Unter der Gaming-DSGVO  gelten strenge Prinzipien:
Datenminimierung, Zweckbindung und Transparenz. Spieler:innen müssen wissen, wann sie aufgezeichnet werden, warum, wie lange und wer Zugriff erhält. „Sicherheit“ allein ist keine ausreichende Rechtsgrundlage. Ohne klaren Opt-in kann die Datenerhebung unzulässig sein.

Nintendo zeigt damit ein zentrales Problem: Viele Spiele sammeln Daten, ohne echte Kontrolle oder Wahlfreiheit zu bieten.

Ebenfalls im Mai 2025 löste 2K Games mit der Borderlands-Reihe einen Sturm der Entrüstung aus. Eine neue EULA (End User License Agreement) gewährte dem Publisher offenbar Root-Zugriff auf Spielerrechner – und weitreichende Datensammlung (Hardware, Browseraktivität, persönliche Infos).

Die Community reagierte mit Review-Bombing und Spionage-Vorwürfen.
Auch wenn manche Anschuldigungen übertrieben waren, verdeutlicht der Fall: Intransparente Datenschutzpraktiken untergraben das Vertrauen.

Nach der Gaming-DSGVO gilt:

• Anti-Cheat-Software darf nur notwendige Daten erfassen.
• „Einwilligungen“ in EULAs sind nicht freiwillig, wenn man das Spiel sonst nicht nutzen kann.
• Ohne klare Zweckbeschreibung und Opt-out fehlt die rechtliche Grundlage.

Das Muster wiederholt sich: Datenschutz wird in EULAs versteckt, anstatt transparent kommuniziert zu werden.

Die Fälle Ubisoft, Nintendo und 2K zeigen: Datenschutz ist oft Nebensache – obwohl die Gaming-DSGVO  klare Grenzen setzt.
Ob serverseitige Pings, Audioaufnahmen oder Root-Zugriffe – vieles geschieht ohne klare Notwendigkeit oder Transparenz.

Die DSGVO fordert:

• Notwendigkeit: Daten nur, wenn sie für die Funktion zwingend sind.
• Datenminimierung & Zweckbindung: Keine Sammelwut ohne klaren Zweck.
• Rechtsgrundlage: Echte Einwilligung (Opt-in) oder belegbares berechtigtes Interesse mit Opt-out.
• Transparenz: Spieler:innen müssen verstehen, was passiert.

In der Praxis aber bleibt vieles unklar, und Einwilligung ist oft nur ein Klick ohne Wahl. Das widerspricht dem Geist der DSGVO – und gefährdet das Vertrauen der Community.

Der öffentliche Druck wächst, und die Aufsichten werden folgen.
Für Studios ist die Botschaft klar: Gaming-DSGVO bedeutet nicht Bürokratie, sondern Vertrauen.

Jetzt ist die Zeit, auf Privacy-by-Design zu setzen – also Datenschutz von Anfang an ins Spieldesign einzubauen.

Datenschutz-Compliance ist kein Häkchen, sondern ein Wettbewerbsvorteil.

 Erfahre mehr über unsere All-in-One-Compliance-Lösung und wie du Datenschutz im Gaming einfach umsetzt.

Dürfen Spiele mich offline tracken?
Nicht immer. Nach der DSGVO gilt Datenminimierung: Nur das, was für die Funktion nötig ist, darf erhoben werden. Offline-Tracking ohne Einwilligung kann ein Verstoß sein.

Dürfen Spiele meine Stimme oder mein Video ohne Erlaubnis aufzeichnen?
Nein. Audio und Video sind personenbezogene Daten. Ohne klare, freiwillige Einwilligung ist eine Aufzeichnung nicht zulässig.

Kann ich eine Datenschutzrichtlinie ablehnen und trotzdem spielen?
Viele Spiele erzwingen Zustimmung. Diese gebündelte Einwilligung ist problematisch. Du darfst die Verarbeitung nicht notwendiger Daten (z. B. Analytics, Werbung) ablehnen.

Was müssen Entwickler für DSGVO-Compliance tun?
 Privacy by Design, klare Opt-ins, nur notwendige Datenerhebung, volle Transparenz über Zweck, Dauer und Datenkategorien.

Darf Anti-Cheat-Software alles auf meinem PC sehen?
Nein. Systemweite Zugriffe oder Kernel-Level-Tools sind kritisch. Nur was zwingend nötig ist, darf erhoben werden.

Gilt die DSGVO auch für Studios außerhalb der EU?
Ja. Gaming-DSGVO  gilt, sobald Spiele EU-Spieler:innen ansprechen oder deren Daten verarbeiten.

Reicht eine EULA als Einwilligung?
Nein. Eine Einwilligung muss frei, informiert und spezifisch sein. In langen EULAs versteckte Zustimmungen sind ungültig.

Dürfen Publisher den Zugang verweigern, wenn ich Tracking ablehne?
Nur wenn das Tracking zwingend notwendig ist. Bei nicht essenziellen Daten kann eine Sperre die Freiwilligkeit verletzen.