Neuer Datenschutzkodex der EGBA
Der europäische Glücksspielverband EGBA (European Gaming and Betting Association) hat einen neuen Verhaltenskodex zum Datenschutz und zur Einhaltung der allgemeinen EU-Datenschutzverordnung 2016/679 (GDPR) veröffentlicht. Der Kodex ist eine der ersten branchenspezifischen Selbstregulierungsinitiativen in Europa, die die Einhaltung der GDPR unterstützt. Wie sehen die Maßnahmen im Detail aus?
Betreiber wollen EU unterstützen
Die EGBA hat in Eigenregie einen neuen Datenschutzkodex zur Wahrung der EU-Vorschriften im Online Glücksspiel eingeführt. Zu den Hintergründen erklärte Generalsekretär Maarten Haijer, dass die Themen Datenschutz, Schutz der Privatsphäre und Nutzung personenbezogener Daten , immer bedeutendere Rollen im Leben vieler europäischer Bürger spielen. In diesem Sinne habe man den Kodex anlässlich des zweijährigen Jubiläums der GDPR veröffentlicht.
Laut Haijer dient der Kodex vor allem zum Schutz der persönlichen Daten von rund 16,5 Millionen Glücksspielkunden. Darüber hinaus will man demonstrieren, dass die EU-Verordnungen unterstützt werden . Dabei ist das Glücksspiel einer der ersten Industriesektoren Europas, der einen Selbstregulierungskodex eingeführt hat, welcher die Einhaltung der GDPR unterstützt.
Der Veröffentlichung ging eine Konsultation mit den EGBA-Mitgliedern voraus, die im Januar dieses Jahres begann. Nach den hier beschlossenen Vorschriften, müssen die Betreiber künftig eine Reihe spezieller Kernbereiche abdecken , zum Beispiel Datenkartierung, Analyse der gesetzlichen Grundlagen, Risikobewertung, Dokumentation und Überprüfung, Bewertung und Änderung. Außerdem verpflichten sich die Mitglieder dazu, alle Datenerhebungen rechtmäßig, fair und transparent aufzubereiten.
Datenzuordnung und Analyse
Von den Betreibern wird erwartet, dass sie eine Datenkartierung vornehmen, um alle in ihrem Besitz befindlichen Informationen, einschließlich der persönlichen Daten der Spieler, zu überprüfen. Die EGBA fügte hinzu, dass hierfür keine spezifischen Vorlagen existieren , welche befolgt werden müssen. Die Betreiber sind selbst dazu angehalten, entsprechende Übersichten und Konzepte zu entwickeln, um die Vorgabe zu erfüllen.
Obwohl es keine Pflichtklausel ist, empfiehlt die EGBA darüber hinaus, stets die Quellen der persönlichen Daten anzugeben, ebenso Informationen darüber, wo die Daten gespeichert sind und zu welchem Zweck sie verwendet werden . Sobald diese Zuordnungsphase abgeschlossen ist, müssen die Betreiber eine Analyse durchführen, um festzustellen, ob ihre Datenverarbeitung rechtmäßig ist. Diese Analyse sollte sämtliche Verarbeitungsaktivitäten dokumentieren.
Überprüfung durch regelmäßige Audits
Im Anschluss an die Analyse müssen die Betreiber eine weitere Risikobewertung durchführen, um sich anderer Risiken wie Datenrechtsverletzungen oder Sicherheitslücken bewusst zu werden. Außerdem geht es darum, festzustellen, inwieweit personenbezogene Daten nicht benötigt werden oder ob sie in keinem Verhältnis zu etwaigen Risiken stehen .
Die Betreiber müssen außerdem über eine fortlaufende Dokumentation verfügen, aus welcher hervorgeht, dass sie den Kodex jederzeit einhalten. Bestehen muss die Doku aus den selbst angefertigten Datenkarten, der GDPR-pflichtigen Aufzeichnung aller Verarbeitungen sowie aus einer Richtlinie, die sowohl die Steuerung der Datenverarbeitungsaktivitäten als auch die Überprüfung und Pflege der Karte umfasst.
Doch damit nicht genug. Schließlich müssen die Betreiber ihre Datenpolitik durch regelmäßige interne und externe Audits überprüfen, bewerten und ändern lassen. Die im Rahmen eines Audits verwendeten Konformitätsnachweise müssen für einen Zeitraum von mindestens 3 Jahren aufbewahrt werden.
Spieler müssen Speicherung zustimmen
Die EGBA-Mitglieder, zu denen unter anderem Bet365, Betsson, Kindred und William Hill gehören, dürfen Daten nur sammeln, wenn im Vorfeld die Zustimmung der Spieler auf eine Art eingeholt wurde, die klar und eindeutig durch Maßnahmen wie das Ankreuzen eines Kästchens gekennzeichnet ist. Laut Kodex muss den Spielern periodisch auch ein leicht nachvollziehbarer Weg zum Entzug der Einwilligung gewährt werden.
Damit die Datensätze fair sind, sollten sie nur für die angegebenen Zwecke verwendet werden. So dürfen zum Beispiel Daten, die zum Zweck der Geldwäschebekämpfung gesammelt wurden , nicht bei der Versendung von Marketingmitteilungen genutzt werden. Zur Wahrung maximaler Transparenz, müssen den Spielern außerdem alle relevanten Datenverarbeitungen, die Gründe dafür und die Gesetze, die das Vorgehen unterstützen, auf zugängliche Weise erklärt werden.
Erweiterung des Kundeservices
Die Betreiber dürfen Informationen über die Datenerhebung lediglich zurückhalten, wenn dies für eine laufende Untersuchung erforderlich ist. Die EGBA fügte hinzu, dass die Daten nicht länger als notwendig gespeichert werden sollten. Zudem sollten Daten nach dem Ende der Geschäftsbeziehung mit einem Spieler nicht weiter aufbewahrt werden sollten, es sei denn, es besteht eine gesetzliche Verpflichtung, sie länger aufzubewahren.
Der Kodex sorgt auch für eine Erweiterung des Kundenservices. Denn die Spieler müssen ihre eigenen Daten anfordern können. Für das Personal stehen spezielle Schulungen an . Diese sollen dazu dienen, die Anfragen zu identifizieren und zu eskalieren. Im Falle von Verlusten oder Verstößen, zum Beispiel durch Cyberattacken , müssen die Betreiber Antwortteams bilden und die Kunden innerhalb von 72 Stunden kontaktieren.
Der neue Kodex wurde nun der maltesischen Datenschutzbehörde vorgelegt , um sicherzustellen, dass er mit der GDPR der EU übereinstimmt. Mit dem Schritt setzt sich die EGBA dieses Jahr schon zum zweiten Mal für höchste Industriestandards im Online Glücksspielsektor ein. Ob der Kodex die Freigabe der Behörde erhält, bleibt vorerst noch abzuwarten.