(Zuletzt aktualisiert am 25. Januar 2021)
Online-Glücksspielunternehmen verarbeiten unweigerlich personenbezogene Daten ihrer Kunden. Personen mit Sitz in der EU oder Dienstleistungen für Einzelpersonen in der EU werden von der DSGVO und möglicherweise den nationalen Datenschutzgesetzen erfasst. Als stark regulierter Sektor müssen Online-Glücksspielunternehmen auch in anderen Bereichen Gesetze einhalten, unter anderem in Bezug auf Geldwäschebekämpfung (AML) und Betrugsprävention.
Glücksspielregulierung und GDPR
Das Information Commissioner’s Office (ICO) ist verantwortlich für die Regulierung der Gesetzgebung und die Herausgabe von Leitlinien dazu.
Sowohl die Glücksspielkommission als auch das ICO erkennen an, dass eine effektive Nutzung personenbezogener Daten wichtig ist, um Probleme wie problematisches Glücksspiel und Verbrechen im Zusammenhang mit Glücksspielen anzugehen. Die GDPR soll die Betreiber nicht daran hindern, Maßnahmen zu ergreifen, die im öffentlichen Interesse oder zur Erfüllung gesetzlicher Verpflichtungen erforderlich sind. Dementsprechend erwarten wir nicht, dass Sie plötzlich aufhören, das zu tun, was Sie für diese Zwecke tun.
Einhaltung mit GDPR
GDPR führt eine Reihe von Änderungen an bestehenden Datenschutzgesetzen ein. Diese Änderungen umfassen Verbesserungen bei der Art und Weise, wie Unternehmen personenbezogene Daten verwalten müssen, sowie neue Rechte für Personen, auf die Daten zuzugreifen und diese herauszufordern, die Unternehmen über sie haben.
Rechtmäßige Grundlage
Die geeigneten rechtlichen Grundlagen für verschiedene Verarbeitungsvorgänge:
∙ Kontodaten – Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich, an dem der Spieler beteiligt ist.
∙ Einhaltung der Bestimmungen zur Bekämpfung der Geldwäsche (AML) und verantwortungsvoller Glücksspielverpflichtungen – Die Verarbeitung ist erforderlich, um einer gesetzlichen Verpflichtung nachzukommen, der der Betreiber unterliegt.
∙ Schritte zum Schutz der Gesundheit und Sicherheit eines Spielers (z. B. wenn der Bediener informiert wird, dass ein Suizidrisiko besteht und die zuständigen Behörden informiert werden müssen) – Die Verarbeitung ist für eine Aufgabe erforderlich, die im öffentlichen Interesse ausgeführt wird, oder für die Verarbeitung, die zum Schutz der vitalen Interessen des Spielers erforderlich ist.
Zustimmung
Die Betreiber machen die Erbringung von Dienstleistungen nicht von der Zustimmung des Spielers zur Datenverarbeitung abhängig. Es heißt jedoch, dass Betreiber Anreize für die Zustimmung schaffen können, beispielsweise Marketing-E-Mails über Bonusaktionen zu erhalten, vorausgesetzt, es gibt keine Strafe für die Nichteinwilligung. Es wird betont, dass das Fehlen einer Belohnung oder eines Bonus keine Strafe darstellt.
Berechtigte Interessen
Es gibt eine Reihe von Operationen, die der Kodex vorschlägt und die auf berechtigten Interessen des Betreibers beruhen können, sofern eine berechtigte Interessenbewertung erfolgt. Sie beinhalten:
∙ Systemtests und Sicherheitsmaßnahmen
∙ Aufdeckung von Betrug mit Spielerkonten
∙ Analyse von Trends und Prognosen in der Player-Datenbank (vorausgesetzt, dies basiert nicht auf Cookies)
∙ Aufzeichnungen zur Qualitätssicherung und potenziellen Streitbeilegung aufrufen ∙ Kundensegmentierung für Werbe- und Direktmarketingzwecke – zum Beispiel um zu wissen, welche Kunden im Gegensatz zum Casino Sportwetten sind
∙ Einrichtung eines VIP-Status basierend auf der Spielhistorie, um den Kunden besondere Vorteile zu bieten
∙ Chatbot, um Kundenanfragen oder -anfragen an die betreffende Person zu richten. Spezielle Kategoriedaten
Im Allgemeinen sollten Betreiber nur in sehr begrenzten Fällen (sensible) Spielerdaten der speziellen Kategorie speichern. In dem angegebenen Beispiel gibt ein VIP-Kunde seinem Kundenbetreuer Einzelheiten zu einem medizinischen Eingriff bekannt. Der Kodex fragt, ob der Betreiber diese Informationen aufbewahren müsste, und schlägt vor, dass er in diesem Fall möglicherweise eine ausdrückliche Zustimmung erhalten oder sich auf die Tatsache verlassen kann, dass sich die Person offensichtlich dafür entschieden hat, die Informationen zu veröffentlichen.
Transparenz
Während die GDPR Transparenz über die Art der Verarbeitung und Verwendung der personenbezogenen Daten vorschreibt, nennt der Kodex mehrere Ausnahmen, die wahrscheinlich gelten. Die Betreiber müssen keine Datenverarbeitungsvorgänge offenlegen, wenn dies eine laufende Untersuchung oder die gesetzlichen Verpflichtungen der Betreiber beeinträchtigen könnte. Dies kann Verarbeitungsvorgänge im Zusammenhang mit mutmaßlichem Betrug oder AML-Straftaten oder Risikobewertungen und Steuererhebungen umfassen.
Datenminimierung
Das Prinzip der Datenminimierung – dass nicht mehr Daten erfasst werden sollten, als für einen bestimmten Zweck benötigt wird – kann im Widerspruch zu anderen Anforderungen an die Datenerfassung von Betreibern stehen. Der Kodex weist darauf hin, dass die Anforderungen an die Bekämpfung der Geldwäsche, der Terrorismusfinanzierung (TF) und des verantwortungsvollen Glücksspiels (RG) „nach dem Prinzip der Datenmaximierung“ funktionieren. Die Betreiber müssen so viele Informationen wie möglich sammeln und aufbewahren, um eine detaillierte Analyse durchführen zu können. Um diesen Konflikt zu bewältigen, müssen die Betreiber laut Kodex konkurrierende Rechte und Regulierungsbehörden in Einklang bringen. „Sie sollten berücksichtigen, dass die Betreiber bei der Erhebung und Verarbeitung personenbezogener Daten flexibel sein müssen, um sehr umfangreiche AML- / Regulierungspflichten zu erfüllen.“
Dies ist zwar richtig, aber das GDPR-Minimierungsprinzip ist nicht so widersprüchlich, wie es der Kodex annimmt. Es erfordert, dass die Daten „angemessen relevant und auf das beschränkt sind, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Dies schließt das Sammeln großer
Datenmengen nicht aus, wenn dies legitim ist, beispielsweise weil der Betreiber einer gesetzlichen Verpflichtung unterliegt.
Recht auf Löschung
Nach der GDPR haben betroffene Personen das Recht, die Löschung ihrer personenbezogenen Daten (einschließlich Daten, die für die Einhaltung gesetzlicher Vorschriften relevant sein können) zu verlangen.
Speicherbeschränkung
AML und andere Gesetze verlangen erneut, dass Betreiber Kundendaten für bestimmte Zeiträume aufbewahren, die länger sein können als von Kunden erwartet. Der Kodex besagt, dass die Einhaltung der Vorratsdatenspeicherung einen branchenspezifischen Ansatz erfordert, insbesondere wenn der Beginn einer Aufbewahrungsfrist festgelegt wird. Wenn Konten auf Kundenwunsch oder vom Betreiber geschlossen werden, beginnt die Aufbewahrungsfrist mit dem Zeitpunkt der Schließung.
Die Branchenpraxis besteht darin, Kundenkonten auf unbestimmte Zeit offen zu halten, auch wenn das Konto inaktiv ist. Dies bedeutet, dass die Betreiber klar definieren müssen, wann die Aufbewahrungsfristen beginnen, um das Prinzip der Speicherbeschränkung gemäß der GDPR einzuhalten, wonach personenbezogene Daten in Bezug auf den Zweck, für den sie verarbeitet werden, nicht länger als nötig gespeichert werden dürfen. AML und andere Anforderungen können dann festlegen, wie lange die Daten aufbewahrt werden. Dies ist in den EU-Mitgliedstaaten unterschiedlich.
Branchenspezifische Probleme, die das Recht auf Löschung beeinträchtigen, hängen mit Fragen der Datenminimierung und Speicherbeschränkung zusammen. In einigen Fällen können andere Gesetze vorschreiben, dass die Daten für AML-, RG- und Betrugsprüfungen aufbewahrt werden.
Datenportabilität
Der Kodex geht detailliert darauf ein, wie das Datenübertragungsrecht wirksam werden kann, erinnert die Betreiber jedoch daran, dass sein Umfang begrenzt ist. Es enthält personenbezogene Daten, die auf der Grundlage einer Einwilligung verarbeitet wurden oder für einen Vertrag erforderlich sind, jedoch nicht beispielsweise Analysen zur Ermittlung der den Spielern angebotenen Boni. Dies bedeutet, dass Betreiber nicht garantieren können, dass einem Spieler, der seine Daten auf einen anderen Betreiber portiert, gleichwertige Boni angeboten werden.
Profilerstellung und automatisierte Entscheidungen
Die GDPR gibt Einzelpersonen das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich bedeutende Auswirkungen auf sie hat. Der Kodex schlägt vor, dass eine automatisierte Entscheidung rechtliche Auswirkungen haben würde, wenn ein Spieler von einer zuständigen Behörde überwacht wird. Man könnte sagen, dass eine automatisierte Entscheidung einen ähnlich signifikanten Effekt hat, wenn sie die Umstände, das Verhalten oder die Entscheidungen des Spielers beeinflussen kann.
Datenaustausch und -übertragung
Der Kodex betont erneut, dass Online-Glücksspielunternehmen möglicherweise aufgefordert werden, personenbezogene Daten an die Polizei und andere öffentliche Stellen zu übermitteln. Die Betreiber müssen die Gültigkeit der Anfragen bewerten, sollten jedoch auf sie reagieren, wenn sie die erforderlichen Mindestinformationen enthalten – eine Erläuterung der Gründe für die Anforderung
der Daten, eine Spezifikation der angeforderten Daten und, soweit möglich, eine Rechtsgrundlage für die Anforderung der Daten Daten.
Die Betreiber müssen die örtlichen gesetzlichen Anforderungen in diesem Bereich sowie die GDPR berücksichtigen.
Pseudonymisierung
Der Kodex erinnert die Betreiber daran, dass die Pseudonymisierung ein nützliches Instrument zum Schutz personenbezogener Daten ist, die Daten jedoch personenbezogene Daten bleiben. Anschließend kann die Pseudonymisierung in einigen Fällen „das Risiko einer Identifizierung vollständig verringern“. Diese Aussage sollte mit einiger Vorsicht behandelt werden. Wenn Daten pseudonymisiert sind, bleiben sie personenbezogene Daten, das Risiko einer erneuten Identifizierung wird jedoch erheblich verringert. Nur wenn Daten anonymisiert werden, wird das Risiko vollständig reduziert.
Fallstudien
Der Kodex enthält eine Reihe von Fallstudien, in denen jeweils besonders relevante Bereiche der GDPR hervorgehoben werden. Es umfasst VIPs, problematisches Glücksspiel, Direktmarketing und Betrugserkennung. Obwohl die Fallstudien nicht umfassend sind, sind sie nützliche Erinnerungen an einige der wichtigsten zu berücksichtigenden Themen.