Allgemeine Datenschutzverordnung (GDPR)

(Zuletzt aktualisiert am 25. Januar 2021) 

Online-Glücksspielunternehmen verarbeiten unweigerlich personenbezogene Daten ihrer Kunden.  Personen mit Sitz in der EU oder Dienstleistungen für Einzelpersonen in der EU werden von der DSGVO  und möglicherweise den nationalen Datenschutzgesetzen erfasst. Als stark regulierter Sektor müssen  Online-Glücksspielunternehmen auch in anderen Bereichen Gesetze einhalten, unter anderem in  Bezug auf Geldwäschebekämpfung (AML) und Betrugsprävention. 

Glücksspielregulierung und GDPR 

Das Information Commissioner’s Office (ICO) ist verantwortlich für die Regulierung der Gesetzgebung  und die Herausgabe von Leitlinien dazu. 

Sowohl die Glücksspielkommission als auch das ICO erkennen an, dass eine effektive Nutzung  personenbezogener Daten wichtig ist, um Probleme wie problematisches Glücksspiel und Verbrechen  im Zusammenhang mit Glücksspielen anzugehen. Die GDPR soll die Betreiber nicht daran hindern,  Maßnahmen zu ergreifen, die im öffentlichen Interesse oder zur Erfüllung gesetzlicher  Verpflichtungen erforderlich sind. Dementsprechend erwarten wir nicht, dass Sie plötzlich aufhören,  das zu tun, was Sie für diese Zwecke tun. 

Einhaltung mit GDPR 

GDPR führt eine Reihe von Änderungen an bestehenden Datenschutzgesetzen ein. Diese Änderungen umfassen Verbesserungen bei der Art und Weise, wie Unternehmen personenbezogene Daten  verwalten müssen, sowie neue Rechte für Personen, auf die Daten zuzugreifen und diese  herauszufordern, die Unternehmen über sie haben. 

Rechtmäßige Grundlage 

Die geeigneten rechtlichen Grundlagen für verschiedene Verarbeitungsvorgänge: 

Kontodaten – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, an dem der  Spieler beteiligt ist. 

Einhaltung der Bestimmungen zur Bekämpfung der Geldwäsche (AML) und  verantwortungsvoller Glücksspielverpflichtungen – Die Verarbeitung ist erforderlich, um  einer gesetzlichen Verpflichtung nachzukommen, der der Betreiber unterliegt. 

Schritte zum Schutz der Gesundheit und Sicherheit eines Spielers (z. B. wenn der Bediener  informiert wird, dass ein Suizidrisiko besteht und die zuständigen Behörden informiert  werden müssen) – Die Verarbeitung ist für eine Aufgabe erforderlich, die im öffentlichen  Interesse ausgeführt wird, oder für die Verarbeitung, die zum Schutz der vitalen Interessen  des Spielers erforderlich ist. 

Zustimmung 

Die Betreiber machen die Erbringung von Dienstleistungen nicht von der Zustimmung des Spielers zur  Datenverarbeitung abhängig. Es heißt jedoch, dass Betreiber Anreize für die Zustimmung schaffen  können, beispielsweise Marketing-E-Mails über Bonusaktionen zu erhalten, vorausgesetzt, es gibt  keine Strafe für die Nichteinwilligung. Es wird betont, dass das Fehlen einer Belohnung oder eines  Bonus keine Strafe darstellt.

Berechtigte Interessen 

Es gibt eine Reihe von Operationen, die der Kodex vorschlägt und die auf berechtigten Interessen des  Betreibers beruhen können, sofern eine berechtigte Interessenbewertung erfolgt. Sie beinhalten: 

∙ Systemtests und Sicherheitsmaßnahmen 

∙ Aufdeckung von Betrug mit Spielerkonten 

∙ Analyse von Trends und Prognosen in der Player-Datenbank (vorausgesetzt, dies basiert nicht  auf Cookies) 

∙ Aufzeichnungen zur Qualitätssicherung und potenziellen Streitbeilegung aufrufen ∙ Kundensegmentierung für Werbe- und Direktmarketingzwecke – zum Beispiel um zu wissen,  welche Kunden im Gegensatz zum Casino Sportwetten sind 

∙ Einrichtung eines VIP-Status basierend auf der Spielhistorie, um den Kunden besondere  Vorteile zu bieten 

∙ Chatbot, um Kundenanfragen oder -anfragen an die betreffende Person zu richten. Spezielle Kategoriedaten 

Im Allgemeinen sollten Betreiber nur in sehr begrenzten Fällen (sensible) Spielerdaten der speziellen  Kategorie speichern. In dem angegebenen Beispiel gibt ein VIP-Kunde seinem Kundenbetreuer  Einzelheiten zu einem medizinischen Eingriff bekannt. Der Kodex fragt, ob der Betreiber diese  Informationen aufbewahren müsste, und schlägt vor, dass er in diesem Fall möglicherweise eine  ausdrückliche Zustimmung erhalten oder sich auf die Tatsache verlassen kann, dass sich die Person  offensichtlich dafür entschieden hat, die Informationen zu veröffentlichen. 

Transparenz 

Während die GDPR Transparenz über die Art der Verarbeitung und Verwendung der  personenbezogenen Daten vorschreibt, nennt der Kodex mehrere Ausnahmen, die wahrscheinlich gelten. Die Betreiber müssen keine Datenverarbeitungsvorgänge offenlegen, wenn dies eine laufende  Untersuchung oder die gesetzlichen Verpflichtungen der Betreiber beeinträchtigen könnte. Dies kann  Verarbeitungsvorgänge im Zusammenhang mit mutmaßlichem Betrug oder AML-Straftaten oder  Risikobewertungen und Steuererhebungen umfassen. 

Datenminimierung 

Das Prinzip der Datenminimierung – dass nicht mehr Daten erfasst werden sollten, als für einen  bestimmten Zweck benötigt wird – kann im Widerspruch zu anderen Anforderungen an die  Datenerfassung von Betreibern stehen. Der Kodex weist darauf hin, dass die Anforderungen an die  Bekämpfung der Geldwäsche, der Terrorismusfinanzierung (TF) und des verantwortungsvollen  Glücksspiels (RG) „nach dem Prinzip der Datenmaximierung“ funktionieren. Die Betreiber müssen so  viele Informationen wie möglich sammeln und aufbewahren, um eine detaillierte Analyse durchführen  zu können. Um diesen Konflikt zu bewältigen, müssen die Betreiber laut Kodex konkurrierende Rechte  und Regulierungsbehörden in Einklang bringen. „Sie sollten berücksichtigen, dass die Betreiber bei der  Erhebung und Verarbeitung personenbezogener Daten flexibel sein müssen, um sehr umfangreiche  AML- / Regulierungspflichten zu erfüllen.“ 

Dies ist zwar richtig, aber das GDPR-Minimierungsprinzip ist nicht so widersprüchlich, wie es der Kodex  annimmt. Es erfordert, dass die Daten „angemessen relevant und auf das beschränkt sind, was für die  Zwecke, für die sie verarbeitet werden, erforderlich ist“. Dies schließt das Sammeln großer 

Datenmengen nicht aus, wenn dies legitim ist, beispielsweise weil der Betreiber einer gesetzlichen  Verpflichtung unterliegt. 

Recht auf Löschung 

Nach der GDPR haben betroffene Personen das Recht, die Löschung ihrer personenbezogenen Daten  (einschließlich Daten, die für die Einhaltung gesetzlicher Vorschriften relevant sein können) zu  verlangen. 

Speicherbeschränkung 

AML und andere Gesetze verlangen erneut, dass Betreiber Kundendaten für bestimmte Zeiträume  aufbewahren, die länger sein können als von Kunden erwartet. Der Kodex besagt, dass die Einhaltung  der Vorratsdatenspeicherung einen branchenspezifischen Ansatz erfordert, insbesondere wenn der  Beginn einer Aufbewahrungsfrist festgelegt wird. Wenn Konten auf Kundenwunsch oder vom  Betreiber geschlossen werden, beginnt die Aufbewahrungsfrist mit dem Zeitpunkt der Schließung. 

Die Branchenpraxis besteht darin, Kundenkonten auf unbestimmte Zeit offen zu halten, auch wenn  das Konto inaktiv ist. Dies bedeutet, dass die Betreiber klar definieren müssen, wann die  Aufbewahrungsfristen beginnen, um das Prinzip der Speicherbeschränkung gemäß der GDPR einzuhalten, wonach personenbezogene Daten in Bezug auf den Zweck, für den sie verarbeitet  werden, nicht länger als nötig gespeichert werden dürfen. AML und andere Anforderungen können  dann festlegen, wie lange die Daten aufbewahrt werden. Dies ist in den EU-Mitgliedstaaten  unterschiedlich. 

Branchenspezifische Probleme, die das Recht auf Löschung beeinträchtigen, hängen mit Fragen der  Datenminimierung und Speicherbeschränkung zusammen. In einigen Fällen können andere Gesetze  vorschreiben, dass die Daten für AML-, RG- und Betrugsprüfungen aufbewahrt werden. 

Datenportabilität 

Der Kodex geht detailliert darauf ein, wie das Datenübertragungsrecht wirksam werden kann, erinnert  die Betreiber jedoch daran, dass sein Umfang begrenzt ist. Es enthält personenbezogene Daten, die  auf der Grundlage einer Einwilligung verarbeitet wurden oder für einen Vertrag erforderlich sind,  jedoch nicht beispielsweise Analysen zur Ermittlung der den Spielern angebotenen Boni. Dies  bedeutet, dass Betreiber nicht garantieren können, dass einem Spieler, der seine Daten auf einen  anderen Betreiber portiert, gleichwertige Boni angeboten werden. 

Profilerstellung und automatisierte Entscheidungen 

Die GDPR gibt Einzelpersonen das Recht, nicht einer ausschließlich automatisierten Entscheidung  unterworfen zu werden, die rechtliche oder ähnlich bedeutende Auswirkungen auf sie hat. Der Kodex  schlägt vor, dass eine automatisierte Entscheidung rechtliche Auswirkungen haben würde, wenn ein  Spieler von einer zuständigen Behörde überwacht wird. Man könnte sagen, dass eine automatisierte  Entscheidung einen ähnlich signifikanten Effekt hat, wenn sie die Umstände, das Verhalten oder die  Entscheidungen des Spielers beeinflussen kann. 

Datenaustausch und -übertragung 

Der Kodex betont erneut, dass Online-Glücksspielunternehmen möglicherweise aufgefordert werden,  personenbezogene Daten an die Polizei und andere öffentliche Stellen zu übermitteln. Die Betreiber  müssen die Gültigkeit der Anfragen bewerten, sollten jedoch auf sie reagieren, wenn sie die  erforderlichen Mindestinformationen enthalten – eine Erläuterung der Gründe für die Anforderung 

der Daten, eine Spezifikation der angeforderten Daten und, soweit möglich, eine Rechtsgrundlage für  die Anforderung der Daten Daten. 

Die Betreiber müssen die örtlichen gesetzlichen Anforderungen in diesem Bereich sowie die GDPR berücksichtigen. 

Pseudonymisierung 

Der Kodex erinnert die Betreiber daran, dass die Pseudonymisierung ein nützliches Instrument zum  Schutz personenbezogener Daten ist, die Daten jedoch personenbezogene Daten bleiben.  Anschließend kann die Pseudonymisierung in einigen Fällen „das Risiko einer Identifizierung  vollständig verringern“. Diese Aussage sollte mit einiger Vorsicht behandelt werden. Wenn Daten  pseudonymisiert sind, bleiben sie personenbezogene Daten, das Risiko einer erneuten Identifizierung  wird jedoch erheblich verringert. Nur wenn Daten anonymisiert werden, wird das Risiko vollständig  reduziert. 

Fallstudien 

Der Kodex enthält eine Reihe von Fallstudien, in denen jeweils besonders relevante Bereiche der GDPR hervorgehoben werden. Es umfasst VIPs, problematisches Glücksspiel, Direktmarketing und  Betrugserkennung. Obwohl die Fallstudien nicht umfassend sind, sind sie nützliche Erinnerungen an  einige der wichtigsten zu berücksichtigenden Themen.