Bezüglich des Drittanbierprogramms zur Auslesung der Account-ID

[NocteObducta]

Ich habe den Trubel um dieser Drittanbiertprogramm mitbekommen und für mich stellt sich hier die Frage, weil die Account-ID nicht von Square Enix im richtigen Maße geschützt wird, müsste hier doch ein Verstoß gegen die DSGVO vorliegen oder etwa nicht? Die Account-ID ist genau jeweils einer Person zuzuordnen, ähnlich wie eine IP-Adresse. Ich bin kein Experte auf dem Gebiet der DSGVO, deswegen hier meine Frage diesbezüglich.

[Leer]

Kurz und knapp: Nein.

Lang:
Die Account-ID allein stellt keinen DSGVO-Verstoß dar, da sie ohne weitere Informationen keinen direkten Personenbezug herstellt. Erst in Kombination mit anderen Daten, die eine Person identifizieren können, wird sie relevant. Square Enix wäre nur verpflichtet, die ID zu schützen, wenn sie tatsächlich personenbezogene Daten darstellt und missbraucht werden könnte.

[RicaRuin]

Zu euch beiden ja und nein.

Ein wenig ist SE schuld daran, dass das Plugin überhaupt in der Form existieren konnte - Grund ist die Änderung im Blacklist System. Dadurch, dass man jetzt auch sagen kann, man möchte alle weiteren Charaktere eines bestimmten Spielers auch gleich blocken, muss ein Datenaustausch stattfinden, welche Charaktere zu welchem Spieler-Account gehören. Soweit, so notwendig. Allerdings, und das ist das große Problem, sendet dieses neue System dann wohl die Daten vom Server an den Spiel-Client, und dort liest dann das Add-On aus.

Aber ich sehe das noch nicht als Verstoß gegen die DSGVO. Mehr als eine unbeabsichtigte Panne, die aber im Interesse aller Spieler gefixed werden sol... muss.

[NocteObducta]

Naja eine IP-Adresse ist ohne weitere Informationen auch kein direkter Personenbezug. Fällt trotzdem unter DSGVO. Deswegen halt meine Frage. Müsste bei der Account-ID ja genauso greifen.

[Leer]

Naja eine IP-Adresse ist ohne weitere Informationen auch kein direkter Personenbezug. Fällt trotzdem unter DSGVO. Deswegen halt meine Frage. Müsste bei der Account-ID ja genauso greifen.

Das stimmt so nicht ganz. Eine IP-Adresse fällt unter die DSGVO, weil sie in vielen Fällen direkt oder indirekt eine natürliche Person identifizieren kann – z. B. über den Internetanbieter oder durch Kombination mit anderen Daten.

Eine Account-ID allein hingegen hat keinen Personenbezug, wenn sie nicht mit weiteren Informationen verknüpft wird, wie z. B. einem Namen, einer E-Mail-Adresse oder anderen Daten, die Rückschlüsse auf eine Person ermöglichen. Solange die Account-ID nur eine interne Referenz bleibt und nicht mit personenbezogenen Daten verbunden wird, fällt sie nicht unter die DSGVO. Es fehlt hier der direkte oder indirekte Personenbezug, den die DSGVO voraussetzt.

[NocteObducta]

Das stimmt so nicht ganz. Eine IP-Adresse fällt unter die DSGVO, weil sie in vielen Fällen direkt oder indirekt eine natürliche Person identifizieren kann – z. B. über den Internetanbieter oder durch Kombination mit anderen Daten.

Eine Account-ID allein hingegen hat keinen Personenbezug, wenn sie nicht mit weiteren Informationen verknüpft wird, wie z. B. einem Namen, einer E-Mail-Adresse oder anderen Daten, die Rückschlüsse auf eine Person ermöglichen. Solange die Account-ID nur eine interne Referenz bleibt und nicht mit personenbezogenen Daten verbunden wird, fällt sie nicht unter die DSGVO. Es fehlt hier der direkte oder indirekte Personenbezug, den die DSGVO voraussetzt.

Ja das versteh ich, aber man muss doch trotzdem seinen Namen und andere Daten angeben wenn man ein Abo abschließen will, keine Ahnung wie es bei Crysta oder über Steam ist. Hierbei gibt es dann doch eine Verbindung zwischen Account-ID und Personenbezug.

[Leer]

....

Okay, stell dir vor, die Account-ID ist wie eine Nummer auf einem Schlüssel. Diese Nummer sagt nichts über die Person aus, die den Schlüssel benutzt – sie ist einfach nur da, um den Schlüssel zu identifizieren.

Die persönlichen Daten, wie dein Name oder deine Zahlungsinfos, sind sicher in einem separaten Tresor bei Square Enix. Nur Square Enix weiß, welcher Schlüssel zu welchem Tresor gehört. Solange niemand diesen Tresor aufmacht oder die Verbindung offenlegt, bleibt die Account-ID nur eine harmlose Information ohne Bezug zu dir als Person. Das ist der Unterschied – und genau deshalb fällt sie alleine nicht unter die DSGVO.

[Dicentis]

Also ich habe schon den ersten Cheater gefunden, der meine Account-ID gnadenlos ausliest und mich im PvP extrem nervt, indem er mich mehrfach unsinniger Weise mit Markern und Emotes zuspammt (Ganz besonders, wenn sie absichtlich das gegnerische Team auf mich hetzt und dann BEsen Emotes durchführt oder mehrfach auf meine Leiche rumspringt). Egal, mit welchem Charakter ich ins PvP gehe. Heute hat sie das schon direkt beim ersten Treffen mit Themis abgezogen. Schon mehrfach reportet, wegen Trollings, Beleidigungen und Cheatings. SE macht nichts dagegen leider.

Kurz und knapp:
Das Cheating Programm wird schon von einigen feigen Spielern verwendet.


P.S. zu der Account ID:
Wenn die Cheater das schon auslesen können, wird es evtl nicht mehr lange dauern bis sie tiefer ins System greifen und dann die richtigen Personendaten rausziehen können! Das traue ich denen erst Recht zu. Den meisten solcher Cheater ist es egal, ob sie ihren Account verlieren, solange sie die Daten bekommen, die sie wollen.

Solange SE nichts dagegen macht, desto größer und extremer wird das Problem!

[GiR_Zippo]

P.S. zu der Account ID:
Wenn die Cheater das schon auslesen können, wird es evtl nicht mehr lange dauern bis sie tiefer ins System greifen und dann die richtigen Personendaten rausziehen können! Das traue ich denen erst Recht zu. Den meisten solcher Cheater ist es egal, ob sie ihren Account verlieren, solange sie die Daten bekommen, die sie wollen.

Die Datenbanken für Dienst- und Spielaccount sind getrennt.
Der Client kann dir mit den Daten nicht dienen. Bei den alten WoW-Systemen wurde das ähnlich gemacht, der Realm- und Worldserver hatten 2 getrennte Datenbanken, in der Accountdatenbank standen lediglich AccountID, UserName, PasswordHash und der SessionHash. Der Client hat deine Credentials verschlüsselt übertragen und auf das OK vom Server gewartet, bekam aber nur den SessionHash zurück welchen er nutze um sich bei Worldserver anzumelden.
Der Hash wurde vom Realmserver generiert und in die Datenbank geschrieben und war nur so lange gültig wie du eingelogged warst.
Der Worldserver hatte nur deine Charardaten und den Bezug zu deiner AccountID, aber keine deiner Bezahloptionen oder IRL Daten vom Account. Es sei denn du hast in Briefen so etwas an andere versendet.

Ein ähnliches Verfahren wird auch hier angewendet. Da ich nun davon ausgehe (in meinem Leichtsinn) dass SE ihre Server einigermaßen vernünftig aufgebaut hat, sollte der Server selbst nichts von deinen Bezahloptionen und anderen Daten wissen, lediglich wieviel Spielzeit du hast und ob der Account gebannt ist. Diese Infos werden hoffentlich von einem Task außerhalb des Servers mit dem Dienstaccount abgeglichen.
Von dieser Seite ist da wohl recht wenig zu befürchten.

Man kann natürlich in den Besitz deines Dienstaccounts kommen, dafür braucht man keine Tools oder Plugins.
Ist doch viel einfacher diese 300Mil Raffle fake SE-Forumlinks via PN zu schicken und Leute draufklicken zu lassen, gegen den Hoster kann SE nichts machen, der liegt in Südafrika und der Spaß wird jetzt sogar via Cloudflare geschützt.
Also warum sich die Mühe machen, wenn die Leute freiwillig die Daten rausrücken?
Eine andere Möglichkeit ist den Support davon zu überzeugen, dass der Account den du willst dir gehört, du aber nur die Daten vergessen hast oder ihn dir jemand geklaut hat.
(Da muss ich eine Lanze für SEs sehr restriktive Supportpolik brechen, denn sonst wären schon einige Accounts weg. Ja Valve ich schaue zu euch rüber)

[GiR_Zippo]

Im Moment scheinen sich aber 2 Dinge ganz böse zu überschneiden:
Das Stalkerplugin und SEs halbherzige Umsetzung der Blacklist.

Die Blacklist einfach im Client zu lösen, indem man homöopathisch den Char im Client invisible setzt war eine sehr gute Idee:
2% Effort : 0% Effectiveness (/slowclap)

Die bessere Variante wäre gewesen es im Server zu lösen, am besten in der Sessionroutine in der die Clientdaten rausgeschickt werden.
OutMessage -> IsBlacklisted ? drop : MsqQueue
Und das selbe bei dem Spieler, welchen du geblockt hast, Problem gelöst, von dem Spieler bekommst du 0 Daten und er keine mehr von dir.

Nachteil:
- mehr Last auf dem Server
- es muss bei allen Inhaltssuchen berücksichtigt werden, damit ihr dann nicht mehr zusammen in einen Inhalt kommt. (Verzögert bei machen, mit ihren 50 Personen auf der Blacklist, den Inhaltsfinder erheblich)
- was passiert mit dem Marketboard, Items noch anzeigen und kaufen lassen. Ja? Nein?
- was ist mit den hergestellten Items von der Person auf der Blacklist, selbst über Dritte gehandelt. Aus dem Inventory löschen? Hersteller auf unknown ändern?

Jetzt kommst das Problem mit dem tollen Plugin: Es sammelt die Daten von allen die mitmachen und speichert sie inne Datenbank (wenn ich das richtig gelesen hatte).
Nun kann der Spieler auf der Blacklist fast in Echtzeit, dank anderen sehen wo du bist, er kann zwar nicht eingreifen (Blacklisted), aber seine Kollegen können ja an seiner Stelle einspringen.

Wer jetzt denkt: Easy, wir bannen das Plugin dann ist Ruhe.
Leider nein, stalken ging schon immer, dank dem Lodestone, da brachte auch kein Charrename etwas.

Was man allerdings machen kann ist einfach sein Lodestoneprofil auf private zu stellen. Dann ist schon einmal die Lodestoneabfrage zu.