Vandaag, noyb een klacht ingediend tegen de Franse ontwikkelaar en uitgever van videogames Ubisoft (bekend van Assassins Creed, Far Cry, Prince of Persia). Het bedrijf dwingt zijn klanten om verbinding te maken met het internet telkens als ze een singleplayer game starten. Dit is zelfs het geval als het spel geen online functies heeft. Hierdoor kan Ubisoft het gamegedrag van mensen verzamelen. Het bedrijf verzamelt onder andere gegevens over wanneer je een spel start, hoe lang je het speelt en wanneer je het afsluit. Zelfs nadat de klager expliciet vroeg waarom hij gedwongen wordt online te zijn, heeft Ubisoft niet bekendgemaakt waarom dit gebeurt. Volgens artikel 6(1) GDPR lijkt er geen geldige wettelijke basis te zijn om dergelijke gebruikersgegevens willekeurig te verzamelen.
Offline games - met verplichting om online te zijn. De meeste videospellen van de Franse ontwikkelaar en uitgever Ubisoft zijn ontworpen rond een singleplayer-ervaring. Tot de populairste spellen in deze categorie behoren Assassins Creed, Far Cry en Prince of Persia. Hoewel deze spellen kunnen worden gespeeld zonder ooit interactie met andere spelers, dwingt Ubisoft pc-spelers om verbinding te maken met internet en in te loggen op een Ubisoft-account voordat ze een gekocht spel daadwerkelijk kunnen spelen. Dit overkwam ook de klager: Nadat hij het Ubisoft-spel "Far Cry Primal" had gekocht op de online marktplaats Steam, probeerde hij het spel te starten terwijl hij offline was. In plaats daarvan moest hij inloggen op een Ubisoft-account voordat hij kon beginnen met spelen.
Joakim Söderberg, advocaat gegevensbescherming bij noyb: "Stel je voor dat de Monopoly-man bij je aan tafel zou zitten en aantekeningen zou maken telkens als je een bordspel wilt spelen met je familie of vrienden. Nou, dat is de realiteit van videospellen. Vaak maakt het niet eens uit of de spellen online of offline worden gespeeld. Zolang je een open internetverbinding hebt wanneer je speelt, worden je gegevens verzameld en geanalyseerd."
Geheime gegevensverzameling. Om meer te weten te komen over Ubisofts praktijken op het gebied van gegevensverzameling en tracking, diende de klager een inzageverzoek in op grond van artikel 15 GDPR. Ubisoft antwoordde met informatie zoals een unieke identificatiecode voor de klager en informatie over wanneer hij het spel opstartte, hoe lang het liep en wanneer hij het spel afsloot. Omdat hij een technisch onderlegd persoon is, onderzocht de klager bovendien welke gegevens er precies naar Ubisoft werden gestuurd tijdens het spelen. De klager ontdekte dat het spel in een periode van slechts 10 minuten 150 keer verbinding maakte met externe servers. Onder de ontvangers van de gegevens van de klager waren: Google, Amazon en het Amerikaanse softwarebedrijf Datadog.
Een kat-en-muisspel om meer informatie te krijgen. In een poging om meer te weten te komen, nam de klager ook contact op met de klantenservice van Ubisoft. In het antwoord beweerde Ubisoft dat het alleen een eigendomscontrole uitvoert bij de lancering. Voor al het andere werd de klager verwezen naar de licentieovereenkomst voor eindgebruikers (EULA) en het privacybeleid van het bedrijf. Daar bevestigt Ubisoft dat het persoonlijke gegevens verzamelt "om U een betere spelervaring te bieden"en dat het gebruik maakt van "analysetools van derden gebruikt om informatie te verzamelen over de spelgewoonten van jou en andere gebruikers en het gebruik van het product" en dat het "spelgegevens" verzamelt evenals "aanmeldings- en surfgegevens" verzamelt.
Niet noodzakelijk - en dus onwettig. Het zit zo: De klager heeft nooit toestemming gegeven voor deze verwerking. Volgens artikel 6(1) GDPR betekent dit dat de verwerking alleen legaal is als deze noodzakelijk is - wat niet het geval is voor de klager. Aangezien het spel op Steam is gekocht, is het eigendom al bevestigd. Bovendien biedt Ubisoft een (verborgen) optie om het spel offline te spelen, waaruit blijkt dat de verwerking van alle persoonlijke gegevens in de standaardopstelling eigenlijk niet nodig is. En zelfs als dat wel zo zou zijn, zou dat het verzamelen van gegevens tijdens het spelen van een spel niet verklaren. Als Ubisoft gegevens wil om een spel te verbeteren, kan het gebruikers gewoon om toestemming vragen. Het bedrijf kan spelers ook vragen of ze individuele bugrapporten naar de servers willen sturen. Het lijkt echter niet legaal om de pc van een gebruiker standaard constant rapporten te laten versturen.
Lisa Steinfeld, advocaat gegevensbescherming bij noyb: "Videogames zijn duur - maar dat weerhoudt bedrijven als Ubisoft er niet van om hun klanten te dwingen offline games onnodig online te spelen, alleen maar zodat ze meer geld kunnen verdienen door hun gedrag te volgen. De acties van Ubisoft zijn duidelijk onwettig en moeten worden gestopt."
Klacht ingediend in Oostenrijk. noyb heeft daarom een GDPR-klacht ingediend bij de Oostenrijkse autoriteit voor gegevensbescherming (DSB). We verzoeken de DSB te verklaren dat Ubisoft artikel 6(1) GDPR heeft geschonden met haar verwerking van persoonsgegevens zonder geldige rechtsgrondslag. Daarnaast verzoeken we Ubisoft om alle persoonlijke gegevens van de klager die zijn verwerkt zonder geldige wettelijke basis te verwijderen - en dat het bedrijf verdere onrechtmatige verwerking staakt. Tot slot stellen we voor dat de gegevensbeschermingsautoriteit een administratieve boete oplegt. Op basis van Ubisofts omzet van meer dan € 2 miljardzou de gegevensbeschermingsautoriteit een boete van maximaal € 92 miljoen kunnen opleggen.
