Sie bearbeiten Neuanmeldungen, suchen Betrüger, beheben die Folgen kleinerer Bugs. Und sie haben im Rahmen dieser Aufgaben Zugriff auf die Daten der derzeit aktiven 950.000 Mitspieler aus aller Welt - und auf Millionen Daten ehemaliger User. Um welche Daten es sich handelt, hätte der normale User nie erfahren.

Daten, Daten, Daten: Eine Bildschirmwand auf der Cebit Foto: Rainer Jensen dpa

Die Datenschutzerklärung des Betreiberunternehmens Hattrick Ltd. ist bemerkenswert schwammig und muss bei der Anmeldung nicht akzeptiert werden. IPs würden gespeichert, heißt es dort. «Alle weiteren Informationen, die Du direkt oder indirekt in Hattrick kreierst oder erhältst werden als In-Game-Informationen gesehen und dürfen von uns im Rahmen des Spielbetriebs, inklusive Überprüfungen von Cheating [Mogelei, d. Red.], Betrug oder kriminellen Aktivitäten, benutzt und gesammelt werden.»

Wie umfangreich die tatsächlich gespeicherten Daten sind, geht aus internen Handlungsanweisungen an die Hattrick-Gamemaster hervor, die im Februar 2007 in dem anonym betriebenen Blog htsecrets veröffentlicht wurden. Sie zeigen, wie akribisch User bei Hattrick ausgeforscht werden und wie penibel darauf geachtet wird, dass dies ohne ihr Wissen geschieht.

Zu den persönlichen Daten, die von Hattrick gespeichert werden und auf die jeder Game-Master freien Zugriff hat, gehören demnach nicht nur Name, Adresse, Geburtsdatum und E-Mailadresse. Gespeichert werden außerdem alle IP-Adressen, unter der sich ein User jemals eingeloggt hat, der jeweils benutzte Rechner- und Browsertyp, über das interne Mailsystem verschickte Nachrichten an andere User, die gelesenen Foren, alle fehlgeschlagenen LogIn-Versuche sowie alle jemals verwendeten Passwörter, die unverschlüsselt und im Klartext in der Datenbank abgelegt werden - inklusive irrtümlich eingegebener Passwörter, die der User vielleicht in einem anderen Spiel oder für andere Anwendungen benutzt.

Die unverschlüsselte Speicherung von Passwörtern ist besonders heikel. Sicherheitsexperten wie Jörg Horn von der IT-Firma Utimaco empfehlen grundsätzlich eine Verschlüsselung, zum Beispiel als Schutz vor Hacker-Angriffen. Schließlich nutzen viele Online-Surfer trotz aller Warnungen selbst für Bankgeschäfte nur ein Standardpasswort. Entsprechend leicht könnten unverschlüsselt gespeicherte Passwörter missbraucht werden.

Bei Hattrick ist die interne Anweisung allerdings unmissverständlich, so dass der Nutzer keine Chance hat, sein im Klartext dort gespeichertes Passwort vor etwaigem Missbrauch zu schützen: «Um es ganz klar zu machen, kein User, der nicht gleichzeitig auch Game-Master ist, sollte jemals erfahren, dass wir in der Lage sind, private Mails zu lesen, Passwörter zu sehen (...) etc. Es ist sehr wichtig, dass diese Regel äußerst strikt gehandhabt wird.»

Auch das von den Game-Masters benutzte Admin-Tool, mit dessen Hilfe nicht nur Cheating-Verdachtsfälle, sondern auch neu angemeldete User überprüft werden, gilt als Geheimsache. Die Administrations-Webseite, auf die nur Game-Master und Entwickler Zugriff haben, ist mit den Datenbanken verbunden, in denen die verschiedenen Userdaten gespeichert werden. Mit ihrer Hilfe ist es möglich, zum Beispiel bei der Überprüfung von Neuanmeldungen, eine Art Rasterfahndung durchzuführen.

Dazu ist unter anderem ein Abgleich der IP-, der E-Mailadresse und des angegebenen Passworts mit den gespeicherten Daten der aktiven und inaktiven User vorgesehen. Eine schriftliche Verpflichtung zur Verschwiegenheit, wie etwa ein so genanntes Non Disclose-Agreement, musste trotz der einsehbaren Datenfülle bisher kein Game-Master unterschreiben. «Aber selbst wenn jetzt Verträge geschlossen würden, bleibt die Tatsache, dass hunderte Leute jahrelang illegal Zugriff auf persönliche Userdaten hatten», sagt ein deutschsprachiger Game-Master, der erst vor einigen Monaten seine Tätigkeit beendete und anonym bleiben will, Netzeitung.de.

Die Daten zu missbrauchen sei ganz einfach, ergänzt ein anderer ehemaliger Game-Master im Gespräch mit Netzeitung.de: «Adressen, Passwörter, E-Mailadressen - alles liegt offen herum. Ein Script würde genügen, um in den Besitz einer schönen Datensammlung von mehr als einer Million online-game-affinen Menschen zu gelangen.» Selbst persönliche Vorlieben und Hobbys seien gespeichert, weil Hattrick den Usern, die für Extra-Features bezahlen, mittels eines detaillierten Fragebogens Hilfe bei der Suche nach passenden Interessengruppen anbietet.

Der User weiß von alledem nichts, denn Diskussionen um die den Game-Masters zur Verfügung stehenden Instrumente sind in den Hattrick-Foren verboten.

Herauszufinden, welches Landesgesetz für Hattrick zuständig ist, ist gar nicht so einfach. Das Spiel wird offiziell von der in Gibraltar ansässigen Hattrick Ltd betrieben. Die Server stehen dagegen in der Schweiz. Und für den Betrieb und die Weiterentwicklung ist die im Jahr 2000 gegründete Stockholmer Firma Extralives, die außerdem die Popstar-Simulation Popomundo, das Basketball-Game Buzzerbeater und das Cricketspiel Battrick betreibt, zuständig.

Firmen, die im EU-Land Gibraltar registriert sind, unterliegen den dortigen Datenschutz-Gesetzen, erklärt Maurice Hook, Sprecher der Datenschutzbehörde Gibraltar. Die so genannte Gibraltar Data Protection Ordinance 2004, kurz DPO, sieht unter anderem vor, dass jedes Unternehmen, das persönliche Daten sammelt, sich beim Data Protection Commissar meldet und im eigens dazu geschaffenen Register einträgt.

Dort müssen detaillierte Angaben über die Art der gesammelten Daten und den Personenkreis, der darauf Zugriff hat, gemacht werden. Außerdem wird erfasst, in welchem Land sich die Server mit den Daten befinden. Hattrick Limited ist in dem online einsehbaren Register nicht zu finden.

Dürfen ehrenamtlich Tätige nach der DPO überhaupt Daten einsehen und verarbeiten? «Ja», sagt Maurice Hook, verweist aber gleichzeitig auf Artikel 11.3 des Gesetzes. Der schreibt vor, dass mit jeder Person, die für ein auf Gibraltar ansässiges Unternehmen als so genannter Data Processor tätig ist, ein schriftlicher Vertrag geschlossen werden muss. «Niemand darf ohne Vertrag persönliche Daten bearbeiten. Gibt es keinen Vertrag, dann macht sich das Unternehmen strafbar.»

Verstöße gegen diese Vorschrift gelten auf Gibraltar nicht als Kavaliersdelikt, die in den Artikeln 34 und 35 aufgeführten Strafen reichen bis hin zur kompletten Löschung der Datensammlung.