Salta al contenuto
News

Glücksspiele: CNIL/ANJ-Leitfaden für DSGVO und Datenverarbeitung von Spielern

Glücksspiele: CNIL/ANJ-Leitfaden für DSGVO und Datenverarbeitung von Spielern

Auf einen Blick

Betreiber im Glücksspielsektor müssen die Pflichten der DSGVO mit den sektorspezifischen Vorschriften abwägen. Die Autorité nationale des jeux (ANJ) und die CNIL haben einen praktischen Leitfaden veröffentlicht, um die Betreiber zu unterstützen. Das Dokument bietet Hinweise zur Anwendung der DSGVO bei der Verwaltung der Spielerdaten, einschließlich Profile, Prävention von exzessivem Spielen und Geldwäschebekämpfung.

Hintergrund

Am 02. Juli 2026 hat die Autorité nationale des jeux (ANJ) in enger Abstimmung mit der Commission nationale de l'informatique et des libertés (CNIL) einen Leitfaden für Glücksspiel- und Gewinnspielanbieter in Frankreich veröffentlicht. Diese Anbieter (Inhaber exklusiver Rechte, Online-Glücksspielanbieter, Casinos und Spielclubs) verarbeiten täglich ein erhebliches Volumen an personenbezogenen Daten von Spielern, wie Identität, Kontaktdaten, Bankdaten, Finanztransaktionen und Spielaktivitäten. Die Verarbeitung dieser Daten muss die DSGVO respektieren und gleichzeitig spezifische sektorale Pflichten erfüllen, wie die Prävention von exzessivem Spielen oder die Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Der Leitfaden hat keinen präskriptiven Charakter, sondern bietet Empfehlungen, um den Akteuren die Einhaltung zu erleichtern. Sein Anwendungsbereich umfasst ausschließlich die Verarbeitung personenbezogener Daten im Rahmen der Glücks- und Gewinnspielaktivitäten, die in die Zuständigkeit der ANJ fallen, unter Ausschluss von Verarbeitungen, die mit der allgemeinen Unternehmensverwaltung (Personalwesen, Buchhaltung) zusammenhängen.

Warum es wichtig ist

Dieser Leitfaden ist von grundlegender Bedeutung für Organisationen, die in regulierten Sektoren tätig sind, insbesondere solche, die sensible personenbezogene Daten oder Daten mit erheblichen sozialen Auswirkungen verarbeiten, wie der Glücksspielsektor. Er unterstreicht die Notwendigkeit, die strengen Bestimmungen der DSGVO mit spezifischen sektoralen rechtlichen Verpflichtungen, wie der Prävention von Spielsucht und der Geldwäschebekämpfung, in Einklang zu bringen. Er bietet ein praktisches Modell, wie angemessene Rechtsgrundlagen identifiziert, Datenspeicherfristen verwaltet und die Grundsätze der Datenminimierung und Verhältnismäßigkeit angewendet werden können – zentrale Aspekte für die DSGVO-Compliance und den Aufbau eines robusten und effektiven Datenschutzrahmens.

Was zu tun ist

  • Die geeignete Rechtsgrundlage für jeden Zweck der Spielerdatenverarbeitung ermitteln, einschließlich Kontoeröffnung und -verwaltung, Beschwerden, Treueprogramme und Statistiken.
  • Angemessene Datenaufbewahrungsfristen festlegen und anwenden, in Übereinstimmung mit sektorspezifischen Vorschriften (z.B. 6 Jahre nach Kontoschließung für bestimmte Daten) und der Lehre der CNIL für kommerzielle Prospektion und andere Verarbeitungen.
  • Datenverarbeitungen zur Prävention von exzessivem oder pathologischem Spielen implementieren, wobei die Grundsätze der Notwendigkeit, Verhältnismäßigkeit und Datenminimierung sicherzustellen sind.
  • Nicht systematisch alle Datenkategorien erheben; spezifische Daten (z.B. zur Einstellung des Spielers) nur bei signifikanten Ereignissen oder atypischem Verhalten erfassen.
  • In den Spielerakten nur die Existenz und die allgemeine Art von Warnungen (z.B. 'finanzielle Schwierigkeiten') festhalten, ohne den Austausch mit Familienmitgliedern vollständig zu transkribieren.
  • Sicherstellen, dass die Rechte der betroffenen Personen in allen Phasen der Datenverarbeitung vollständig respektiert werden.

Was zu vermeiden ist

  • Die willkürliche und systematische Erhebung aller Kategorien personenbezogener Spielerdaten vermeiden.
  • Gespräche oder sensible Austausche mit Familienmitgliedern der Spieler nicht vollständig in deren Akten transkribieren, sondern sich auf die Aufzeichnung der allgemeinen Art der Warnung beschränken.
  • Spezifische sektorale Vorschriften, die zusätzliche Pflichten über die DSGVO hinaus auferlegen, nicht ignorieren.

Praktische Auswirkungen

Für Organisationen, die in regulierten Sektoren tätig sind, wie dem Glücksspiel, erfordert die Anwendung der DSGVO eine sorgfältige Integration mit den spezifischen sektoralen Vorschriften. Dies impliziert die Notwendigkeit eines Daten-Governance-Rahmens, der den Schutz der Privatsphäre mit regulatorischen Zielen (z.B. Prävention von sozialem Schaden, Kriminalitätsbekämpfung) in Einklang bringt. Der Leitfaden schlägt einen kooperativen Ansatz zwischen den Behörden vor, um praktische Leitlinien anzubieten, die Unsicherheit für die Betreiber zu reduzieren und einen hohen Schutz für die Betroffenen zu fördern.

Zu vermeidende Fehler

  • Die Schnittmengen zwischen DSGVO und spezifischen sektoralen Vorschriften nicht berücksichtigen.
  • Personenbezogene Daten für unbestimmte oder übermäßige Zeiträume speichern.
  • Einen generalistischen Ansatz beim Datenschutz verfolgen, ohne die Besonderheiten des Sektors zu berücksichtigen.
  • Die Rechte der betroffenen Personen im Kontext der Schadensprävention oder Kriminalitätsbekämpfung ignorieren.

Fragen zur Selbsteinschätzung

  • Haben wir für jeden Zweck der Verarbeitung der Daten unserer Spieler, einschließlich derer zur Prävention von exzessivem Spielen, eine geeignete Rechtsgrundlage identifiziert?
  • Entsprechen unsere Datenaufbewahrungsrichtlinien sowohl der DSGVO als auch den spezifischen sektoralen Vorschriften, wie denen zur Geldwäschebekämpfung?
  • Wie gewährleisten wir die Grundsätze der Datenminimierung und Verhältnismäßigkeit bei der Erhebung und Verarbeitung von Daten zur Prävention von pathologischem Spielen?
  • Haben wir klare Verfahren zur Verwaltung der Rechte der betroffenen Personen (Zugang, Berichtigung, Löschung) in einem spezifischen sektoralen Kontext?
  • Ist unser Personal ausreichend zu den Besonderheiten der Datenverarbeitung im Glücksspielsektor und den Empfehlungen dieses Leitfadens geschult?

Verweise

Nationales Recht: RGPD (Regolamento Generale sulla Protezione dei Dati) · Regolamentazione settoriale dei giochi d'azzardo · Dottrina CNIL in materia di gestione delle attività commerciali

Zum Originalartikel auf CNIL (Francia) ↗

Lesen Sie auch