Welche Herausforderungen bringt die EU-Datenschutzgrundverordnung (DSGVO) für die Online-Gaming-Branche mit sich?
Zu den Herausforderungen, die die DSGVO mit sich bringt, gehören zum Teil widersprüchliche regulatorische Anforderungen, der Missbrauch der Rechte von betroffenen Personen durch Spieler und Herausforderungen beim Datenaustausch mit Werbenetzwerken. Als Reaktion darauf hat die European Gaming and Betting Association (EGBA) kürzlich eine Rücksprache zu ihrem Entwurf eines Verhaltenskodex für die Einhaltung der DSGVO angestossen.
In diesem Blogartikel schauen wir uns häufige Datenschutzfehler und -herausforderungen sowie branchenspezifische Lösungen für die Einhaltung der DSGVO in der Gaming Industrie an, welche mit bewährten Verfahren und dem vorgeschlagenen EGBA-Verhaltenskodex übereinstimmen.
Welche Schritte können Gaming-Firmen unternehmen, um ihre Risiken für DSGVO Verstösse zu minimieren?
1. Data Mapping (Datenzuordnung) für jedes Spiel durchführen
Eine erste Herausforderung für Gaming-Betreiber mit komplexen Umgebungen ist sich einen Überblick über alle Datenflüsse in Bezug auf personenbezogene Daten zu verschaffen und diese zu identifizieren, insbesondere wenn sie an Werbenetzwerken teilnehmen. Zu den allgemeinen Compliance-Verpflichtungen gehört die Aufzeichnung aller Datenverarbeitungsaktivitäten und Datenschutzanfragen und dass eine rechtmässige Grundlage für jede Datenverarbeitung besteht.
Die Gaming-Industry ist ein stark regulierter Sektor, was bedeutet, dass Betreiber den vielen Verpflichtungen unterliegen, die ihnen durch nationale Glücksspielgesetze und Lizenzbedingungen, Anti-Geldwäsche-Gesetze (AML), Regeln für verantwortungsvolles Glücksspiel und Verhaltensregeln auferlegt werden. In der Praxis bedeutet das, dass bestimmte Arten von Daten länger aufbewahrt werden müssen, als es die DSGVO es normalerweise erlauben würde. Die Diversifizierung der Daten, die notwendig ist, um gleichzeitig die Anforderungen von AML, Glücksspielgesetzen und anderen gesetzlichen Aufbewahrungspflichten, die von Land zu Land unterschiedlich sind, zu erfüllen und auszubalancieren, bedeutet zusätzlichen Aufwand. Zudem müssen die Änderungen in aktuellen Systemen und Prozessen implementiert werden, um die Anforderungen vollständig zu erfüllen.
2. Die rechtmässige Grundlage für die Datenverarbeitung identifizieren und die Zustimmung der Spieler ordentlich verwalten
Online-Spielerakquise, Profiling, die Verwendung von Cookies und Nachverfolgung von Aktivitäten sind ein grosser Teil der Marketingstrategien von Spielbetreibern. Um Spiele kostenlos anbieten zu können, setzen viele Betreiber auf sogenannte Werbenetzwerke (Ad-Networks). Die meisten dieser Aktivitäten erfordern die ausdrückliche Einwilligung der Spieler als Rechtsgrundlage. Der Widerruf der Zustimmung zur Datenverarbeitung ist durch die DSGVO vollumfänglich erlaubt. Was den Betreibern nicht erlaubt ist, ist es die Bereitstellung ihrer Dienste ohne eine solche Zustimmung zu verweigern (es sei denn, die Daten sind für den Betrieb oder für die Einhaltung gesetzlicher und regulatorischer Anforderungen notwendig).
Die DSGVO setzt einen hohen Standard für die Einwilligung von betroffenen Personen: Die Einwilligung muss “freiwillig, spezifisch, informiert und unzweideutig” sein. In der Praxis bedeutet das für Einwilligungsmechanismen Folgendes:
- Eindeutige Bejahung: Die Einwilligung muss immer durch eine aktive Bewegung oder Erklärung gegeben werden, z. B. durch nicht vorher angekreuzte Opt-in-Boxen, die von der betroffenen Person aktiv ausgewählt werden müssen.
- Freiwillig gegeben: Die Betreiber dürfen den Spielern keine Anreize oder eine bessere Nutzererfahrung als Gegenleistung für ihre Teilnahme an Marketingmassnahmen anbieten.
- Überprüfbarkeit: Die Einwilligung sollte als eine fortlaufende und aktiv verwaltete Entscheidung verstanden werden und nicht als ein einmaliges Compliance-Kästchen zum Ankreuzen und Ablegen. Die Zustimmung muss überprüfbar sein und sollte nach vier Jahren als nicht gültig betrachtet werden.
- Granular: Wo es möglich ist, sollten Betreiber granulare Opt-in-Optionen anbieten, um die Zustimmung zu verschiedenen Arten der Verarbeitung separat zu erteilen.
- Dokumentiert: Betreiber sollten umfangreiche Aufzeichnungen über Einwilligungen führen. Es muss dokumentiert werden, wann die Einwilligung erteilt oder zurückgezogen wurde, wie die Einwilligung erteilt oder zurückgezogen wurde und welche Informationen der Spieler zu diesem Zeitpunkt erhalten hat (z. B. welche Version der Datenschutzrichtlinie).
- Benannt: Die Betreiber sollten die Organisation, die Marke, die Unternehmensgruppe und alle Dritten, die sich auf die Einwilligung berufen müssen, benennen.
- Nicht gebündelt: Einwilligungsanfragen müssen von anderen Bedingungen und Konditionen getrennt sein. Die Einwilligung sollte keine Vorbedingung für die Anmeldung zu einem Dienst sein. Zum Beispiel ist es nicht notwendig, einem Spieler Werbung anzuzeigen oder seine persönlichen Daten in einem Data-Mining-Verfahren zu verwenden, um ihm ein Wettkonto zur Verfügung zu stellen.
- Einfach zu widerrufen: Der Betreiber sollte einfache und effektive Verwaltungsmechanismen haben. Wenn die Datenverarbeitung auf einer Einwilligung beruht, so wird der Widerruf dieser Einwilligung ebenfalls die personenbezogenen Daten, die von Auftragsverarbeitern oder Unterauftragsverarbeitern im Zusammenhang mit der Einwilligung verarbeitet werden, betreffen.
Wenn die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wird, sollten die Betreiber sicherstellen, dass die Spieler in der Lage sind, die Einwilligung jederzeit zu widerrufen. Einige gängige Mechanismen für den Widerruf der Einwilligung sind die folgenden:
- Marketing-E-Mails: Wenn Spieler dem Erhalt von Marketing-E-Mails zugestimmt haben, können sie den Abmeldelink am Ende jeder Marketing-E-Mail verwenden.
- Marketing-SMS-Nachrichten: Senden Sie eine SMS mit dem Text “STOP” an eine in einer SMS angegebene Nummer.
- Präferenz-Management-Center: Spieler können sich bei ihren Konten anmelden und ihre Zustimmung verwalten, indem sie ihr Präferenz-Center besuchen.
3. Das Recht zur Datenübertragbarkeit integrieren
Spieleanbieter müssen möglicherweise anspruchsvolle Softwareänderungen vornehmen, um sicherzustellen, dass die Spieler ihre Datenschutzrechte im Sinne der DSGVO wahrnehmen können. Das Recht auf Datenübertragbarkeit ist ein besonders kniffliges Thema.
Das Recht auf Datenübertragbarkeit erlaubt es Einzelpersonen, ihre personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Unter Art. 20 GDPR haben Spieler das Recht, dass ein Betreiber ihre personenbezogenen Daten an einen anderen Datenverantwortlichen durch verschiedene Mittel wie direkten Download oder Datenübertragung über eine API sendet. Dieses Recht gilt nur für Daten, deren Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, wenn die Verarbeitung mit automatisierten Mitteln erfolgt und wenn die Daten vom Spieler dem Betreiber zur Verfügung gestellt wurden. Die folgenden Daten sind vom Recht auf Datenübertragbarkeit betroffen:
- Personenbezogene Daten, die der Spieler bei der Registrierung angegeben hat.
- Personenbezogene Daten, die der Spieler im Rahmen der Geschäftsbeziehung zwischen Spieler und Betreiber an den Betreiber weitergegeben hat.
- Personenbezogene Daten, die der Betreiber aus der Beobachtung der Aktivitäten des Spielers generiert hat (z.B. Aktivitätsprotokolle, Historie der Website-Nutzung etc.).
Das Recht auf Datenübertragbarkeit umfasst jedoch nur die personenbezogenen Daten, bei denen die Rechtfertigung für die Verarbeitung durch eine Einwilligung oder einen Vertrag besteht. Davon ausgenommen sind, z. B. Daten, die zur Wahrung berechtigter Interessen oder zur Erfüllung rechtlicher Verpflichtungen verarbeitet werden. Dies könnten beispielsweise folgende Daten sein:
- Ergebnisse einer algorithmischen Analyse des Spielverhaltens von Spielern.
- Daten von Spielern, die im Rahmen der Anti-Geldwäsche-Verpflichtungen der Betreiber verarbeitet werden.
Wie sieht die Zukunft für die Glücksspielindustrie aus?
Der Erfolg eines jeden Glücksspielanbieters hängt auch von seiner Fähigkeit ab, personenbezogene Daten zu nutzen. Dementsprechend sind die Betreiber in diesem Sektor von den jüngsten Änderungen durch die DSGVO erheblich betroffen. Die EGBA ist ein erster grosser Schritt in Richtung eines standardisierten Ansatzes für den Umgang mit den Spielerdaten. Das Mapping der Datenströme für jedes Spiel, die Einbettung von Mechanismen zur Verwaltung von Einwilligungen und die Trennung von Daten, die nicht der Datenübertragbarkeit unterliegen, sind wichtige Schritte für Betreiber, um die DSGVO-Compliance sicherzustellen.