Gambiva Casino Datenschutzrichtlinie

Geltungsbereich und Begriffsbestimmungen

Diese Datenschutzrichtlinie regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von casino-gambiva.de sowie damit verbundenen Diensten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich Kennungen wie Name, Online Kennungen oder Standortdaten. Verantwortlicher im Sinne der Datenschutz Grundverordnung ist der Betreiber der Website, der über Zwecke und Mittel der Verarbeitung entscheidet. Soweit Dienste Dritter eingebunden werden, können diese als eigenständige Verantwortliche oder als Auftragsverarbeiter tätig werden, abhängig von der jeweiligen Integrationsform. Diese Regelungen gelten für Website Zugriffe, Konto Funktionen, Kommunikationskanäle und Sicherheitsprüfungen, unabhängig davon, ob die Nutzung über Desktop, mobile Endgeräte oder Apps erfolgt. Soweit besondere Regelungen für einzelne Verarbeitungsvorgänge gelten, werden diese innerhalb dieser Datenschutzrichtlinie näher erläutert.

Regulatorischer Rahmen und Grundsätze der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt nach Maßgabe der Datenschutz Grundverordnung, des Bundesdatenschutzgesetzes sowie einschlägiger telemedien und telekommunikationsrechtlicher Vorgaben in Deutschland. Maßgebliche Grundsätze sind Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Gambiva Casino stellt sicher, dass nur solche Daten verarbeitet werden, die für einen konkret festgelegten Zweck erforderlich sind und dass Zugriffsrechte nach dem Need to know Prinzip beschränkt werden. Soweit eine Interessenabwägung als Rechtsgrundlage herangezogen wird, werden die betroffenen Rechte und Freiheiten in einer dokumentierten Abwägung berücksichtigt. Personenbezogene Daten werden nicht für unvereinbare Zwecke weiterverarbeitet, es sei denn, eine gesetzliche Erlaubnis oder eine wirksame Einwilligung liegt vor. Diese Datenschutzrichtlinie ist so ausgestaltet, dass die Vorgaben zu Rechenschaftspflichten und Nachweisbarkeit organisatorisch abgebildet werden.

Kategorien personenbezogener Daten

Gambiva Casino verarbeitet Stammdaten wie Name, Geburtsdatum, Staatsangehörigkeit und Kontaktdaten, soweit diese für Konto Einrichtung, Identitätsprüfung oder Kommunikation erforderlich sind. Ferner können Vertrags und Transaktionsdaten verarbeitet werden, insbesondere Einzahlungs und Auszahlungsangaben, Zahlungsstatus, interne Referenznummern sowie Protokolle zur Betrugsprävention. Technische Nutzungsdaten fallen beim Besuch der Website an, beispielsweise IP Adresse, Geräteinformationen, Browserdaten, Zeitstempel, Log Dateien sowie eindeutige Kennungen, die für Sicherheit und Stabilität notwendig sind. Kommunikationsdaten können entstehen, wenn Support Anfragen über Formulare, E Mail oder andere Kanäle gestellt werden, einschließlich Inhaltsdaten und Metadaten. Soweit gesetzlich erforderlich, können Verifikationsdaten und Dokumente verarbeitet werden, etwa zur Altersprüfung ab 18 Jahren oder zur Erfüllung regulatorischer Sorgfaltspflichten. Sensible Daten im Sinne von Artikel 9 Datenschutz Grundverordnung werden grundsätzlich nicht gezielt erhoben, es sei denn, eine ausdrückliche gesetzliche Pflicht oder eine ausdrücklich erteilte Einwilligung macht dies im Einzelfall erforderlich.

Erhebungswege und technische Quellen

Die Datenerhebung erfolgt operativ über Eingabemasken, Registrierungsprozesse, Verifikationsabläufe sowie über Interaktionen innerhalb des Nutzerkontos. Zusätzlich entstehen Daten durch automatisierte Protokollierung beim Zugriff auf die Systeme, wobei Server Log Dateien zur Fehleranalyse, Missbrauchserkennung und zur Sicherstellung der Systemverfügbarkeit herangezogen werden. Soweit Zahlungsdienste eingebunden sind, werden erforderliche Daten für die Zahlungsabwicklung über sichere Schnittstellen übermittelt, wobei die jeweiligen Zahlungsanbieter eigenständige Pflichten nach dem Zahlungsdiensterecht erfüllen. Drittquellen können eingebunden werden, wenn eine Identitätsprüfung, Betrugsprävention oder gesetzlich gebotene Sanktionslistenprüfung erfolgt; der Umfang richtet sich nach dem jeweiligen Prüfzweck. Die Datenschutzrichtlinie erfasst auch Daten, die durch Sicherheitsmechanismen wie Rate Limiting, Captcha Lösungen oder Anomalieerkennung generiert werden, sofern diese personenbezogen sind. Eine darüber hinausgehende Erhebung findet nicht statt, sofern sie nicht zur Erfüllung eines konkreten, rechtmäßigen Zwecks erforderlich und dokumentiert ist.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Grundlage von Artikel 6 Absatz 1 Buchstabe b Datenschutz Grundverordnung, soweit sie für die Anbahnung oder Durchführung eines Vertragsverhältnisses erforderlich ist, etwa zur Kontoverwaltung oder zur Durchführung angeforderter Transaktionen. Zur Erfüllung rechtlicher Pflichten nach Artikel 6 Absatz 1 Buchstabe c Datenschutz Grundverordnung können Verarbeitungen erforderlich sein, beispielsweise zur Erfüllung steuerlicher Aufbewahrungspflichten oder zur Einhaltung regulatorischer Sorgfaltsanforderungen. Soweit eine Einwilligung eingeholt wird, stützt sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a Datenschutz Grundverordnung; dies betrifft insbesondere optionale Tracking Funktionen oder bestimmte Kommunikationsformen. Auf Grundlage von Artikel 6 Absatz 1 Buchstabe f Datenschutz Grundverordnung kann eine Verarbeitung erfolgen, wenn ein berechtigtes Interesse an der Sicherstellung der IT Sicherheit, der Betrugsprävention oder der Rechtsdurchsetzung besteht und keine überwiegenden Interessen der betroffenen Person entgegenstehen. Für einzelne Verarbeitungsvorgänge kann ergänzend eine nationale Rechtsgrundlage maßgeblich sein, soweit diese im Einklang mit der Datenschutz Grundverordnung steht. Die Auswahl und Dokumentation der Rechtsgrundlage erfolgt pro Verarbeitungstätigkeit und wird im Rahmen interner Verzeichnisse nach Artikel 30 Datenschutz Grundverordnung nachvollziehbar gehalten.

Zwecke der Verarbeitung und funktionale Notwendigkeit

Die Verarbeitung erfolgt, um die Nutzung der Website zu ermöglichen, Konten zu verwalten und angeforderte Dienste zuverlässig bereitzustellen. Darüber hinaus werden Daten verarbeitet, um Identitäts und Altersprüfungen durchzuführen, Missbrauch zu verhindern sowie die Einhaltung interner Compliance Anforderungen sicherzustellen. Technische Nutzungsdaten werden zur Gewährleistung der Systemsicherheit, zur Fehlerdiagnose und zur Optimierung der Stabilität der Plattform eingesetzt, ohne dass daraus zwingend ein Profiling im Sinne automatisierter Einzelfallentscheidungen abgeleitet wird. Soweit gesetzliche Nachweis und Dokumentationspflichten bestehen, werden Daten zur Erfüllung dieser Pflichten verarbeitet und revisionssicher vorgehalten. Kommunikationsdaten werden zur Bearbeitung von Support Anliegen, zur Qualitätskontrolle sowie zur Nachweisführung bei Streitfällen genutzt. Die Datenschutzrichtlinie beschreibt diese Zweckbindungen verbindlich; eine Zweckänderung erfolgt nur unter Beachtung der gesetzlichen Voraussetzungen und unter Berücksichtigung etwaiger Informationspflichten.

Cookies, Protokolle und ähnliche Technologien

Cookies und ähnliche Technologien dienen der technischen Bereitstellung der Website, der Sitzungsverwaltung und der Absicherung gegen unbefugte Zugriffe. Daneben können funktionale Cookies eingesetzt werden, um Spracheinstellungen oder Sicherheitspräferenzen zu speichern, wobei die Speicherdauer je nach Zweck variieren kann, beispielsweise 24 Stunden für Sitzungs Cookies oder bis zu 12 Monate für bestimmte Präferenz Cookies. Die Datenschutzrichtlinie stellt klar, dass nicht erforderliche Cookies nur gesetzt werden, wenn hierfür eine wirksame Einwilligung vorliegt und die Auswahl jederzeit anpassbar ist. Log Daten werden serverseitig verarbeitet, um Angriffe zu erkennen, Fehlfunktionen nachzuvollziehen und die Integrität von Transaktionen zu gewährleisten. Soweit Analyse oder Reichweitenmessungen stattfinden, werden diese auf das erforderliche Maß beschränkt und möglichst unter Einsatz von Pseudonymisierung durchgeführt. Eine Zusammenführung von Cookie Kennungen mit Klardaten erfolgt nur, wenn dies für Sicherheitszwecke zwingend erforderlich ist oder eine entsprechende Rechtsgrundlage vorliegt.

Weitergabe von Daten und Empfängerkategorien

Eine Übermittlung personenbezogener Daten erfolgt nur, soweit sie zur Vertragserfüllung, zur Einhaltung rechtlicher Pflichten oder zur Wahrung berechtigter Interessen erforderlich ist. Empfänger können technische Dienstleister sein, die Hosting, Wartung, Support Systeme oder Sicherheitsdienste bereitstellen und in der Regel als Auftragsverarbeiter nach Artikel 28 Datenschutz Grundverordnung eingebunden werden. Zahlungsdienstleister können Daten als eigenständige Verantwortliche verarbeiten, soweit sie zur Abwicklung von Zahlungen oder zur Betrugsprävention gesetzlich verpflichtet sind. Eine Offenlegung gegenüber Behörden oder Gerichten kann erfolgen, wenn eine gesetzliche Verpflichtung besteht oder eine rechtmäßige Anordnung vorliegt; dies umfasst auch Auskunftsersuchen im Rahmen straf oder ordnungsrechtlicher Verfahren. Rechtsberater, Wirtschaftsprüfer oder Inkassodienstleister können Empfänger sein, soweit dies zur Rechtsdurchsetzung oder zur Erfüllung gesetzlicher Anforderungen notwendig ist. Gambiva Kasino stellt sicher, dass vertragliche und organisatorische Maßnahmen die Vertraulichkeit wahren und dass nur die für den jeweiligen Zweck erforderlichen Daten übermittelt werden.

Speicherung, Aufbewahrung und Löschung

Für die Dauer eines aktiven Kontos werden personenbezogene Daten grundsätzlich gespeichert, soweit sie für die Bereitstellung der Dienste und die Sicherheit des Betriebs erforderlich sind. Nach Kontoschließung werden Daten gelöscht oder anonymisiert, sobald keine Aufbewahrungspflichten oder überwiegenden berechtigten Interessen mehr bestehen; dies wird anhand dokumentierter Kriterien geprüft. Bestimmte Daten unterliegen gesetzlichen Aufbewahrungsfristen, die typischerweise 6 Jahre oder 10 Jahre betragen können, insbesondere bei handels und steuerrechtlich relevanten Unterlagen. Sicherheitsrelevante Protokolldaten können für einen begrenzten Zeitraum gespeichert werden, beispielsweise 90 Tage, sofern dies zur Abwehr von Angriffen, zur Aufklärung von Missbrauch oder zur Wiederherstellung der Systemsicherheit erforderlich ist. Support und Kommunikationsvorgänge können je nach Streitfallrisiko und Nachweiserfordernis für 36 Monate aufbewahrt werden, soweit dies zur Rechtsverteidigung sachlich erforderlich ist. Die Datenschutzrichtlinie verlangt, dass Löschkonzepte regelmäßig überprüft werden und dass Sperrungen erfolgen, wenn Daten zwar aufzubewahren sind, jedoch nicht mehr für operative Zwecke genutzt werden dürfen.

Internationale Datenübermittlungen

Soweit Dienstleister außerhalb des Europäischen Wirtschaftsraums eingesetzt werden, erfolgt eine Übermittlung nur unter Einhaltung der gesetzlichen Anforderungen an Drittlandtransfers. Dazu zählen insbesondere Angemessenheitsbeschlüsse der Europäischen Kommission oder geeignete Garantien wie Standardvertragsklauseln, ergänzt um erforderliche technische und organisatorische Maßnahmen. Übermittlungen werden auf das notwendige Minimum beschränkt und nach Möglichkeit unter Einsatz von Verschlüsselung während der Übertragung durchgeführt. Eine Risikobewertung wird dokumentiert, wenn die Rechtsordnung des Empfängerlandes Auswirkungen auf das Schutzniveau haben kann. Sofern eine Übermittlung auf Einwilligung gestützt wird, erfolgt dies nur in eng begrenzten Ausnahmefällen und unter vorheriger Information über potenzielle Risiken. Gambiva Kasino berücksichtigt bei der Auswahl von Empfängern die Nachweisbarkeit von Compliance Maßnahmen und die Möglichkeit zur Durchsetzung von Betroffenenrechten.

Technische und organisatorische Sicherheitsmaßnahmen

Zum Schutz personenbezogener Daten werden angemessene technische und organisatorische Maßnahmen umgesetzt, die sich am Risiko für Rechte und Freiheiten natürlicher Personen orientieren. Hierzu zählen Zugriffskontrollen, Rollen und Berechtigungskonzepte, Protokollierung sicherheitsrelevanter Ereignisse sowie Verschlüsselung bei der Übertragung und, soweit angemessen, bei der Speicherung. Sicherheitsmaßnahmen werden regelmäßig überprüft, insbesondere nach Systemänderungen, Sicherheitsvorfällen oder neuen Bedrohungslagen, und in internen Verfahren dokumentiert. Für besonders schutzbedürftige Vorgänge, etwa Kontowiederherstellung oder Änderungen von Kontodaten, können zusätzliche Verifikationsschritte vorgesehen sein. Die Wirksamkeit von Kontrollen wird stichprobenartig geprüft, wobei als interne Zielgröße eine Abdeckung von mindestens 95 Prozent der kritischen Systeme durch definierte Patch und Monitoring Prozesse angestrebt wird. Die Datenschutzrichtlinie sieht zudem vor, dass Verletzungen des Schutzes personenbezogener Daten nach den gesetzlichen Vorgaben bewertet und, sofern erforderlich, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Rechte betroffener Personen und Datenschutzrichtlinie

Aus der Datenschutz Grundverordnung ergeben sich Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie das Recht auf Widerspruch gegen bestimmte Verarbeitungen. Die Ausübung dieser Rechte erfolgt nach Maßgabe der gesetzlichen Voraussetzungen, insbesondere wenn die Verarbeitung auf berechtigten Interessen beruht oder wenn eine Einwilligung widerrufen wird. Ein Widerruf einer Einwilligung wirkt für die Zukunft und lässt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt. Soweit Anträge gestellt werden, wird die Bearbeitung grundsätzlich innerhalb von 30 Tagen vorgenommen; bei komplexen Sachverhalten kann sich die Frist im gesetzlich zulässigen Rahmen verlängern. Für die Identifizierung können geeignete Nachweise verlangt werden, um eine unbefugte Datenoffenlegung zu verhindern, wobei der Umfang der Nachweise auf das erforderliche Minimum beschränkt bleibt. Gambiva Kasino informiert darüber, dass ein Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde in Deutschland besteht, wenn eine betroffene Person die Verarbeitung als rechtswidrig ansieht.

Kontakt, Anfragen und Änderungen der Datenschutzrichtlinie

Diese Datenschutzrichtlinie legt die Verfahren für Datenschutzanfragen, Auskunftsersuchen und sonstige Betroffenenanträge verbindlich fest und dient zugleich der nachvollziehbaren Dokumentation der Informationspflichten. Anfragen können über die auf casino-gambiva.de veröffentlichten Kontaktwege eingereicht werden; zur sicheren Zuordnung kann eine Verifizierung in 2 Schritten verlangt werden, wenn dies zur Identitätsfeststellung erforderlich ist. Die Bearbeitung erfolgt strukturiert, wobei interne Zuständigkeiten, Prüfpfade und Eskalationsstufen definiert sind, um eine fristgerechte Erledigung sicherzustellen. Soweit eine Datenkopie bereitgestellt wird, erfolgt dies grundsätzlich in einem gängigen elektronischen Format, sofern nicht besondere Umstände eine andere Bereitstellung erforderlich machen. Die Datenschutzrichtlinie kann geändert werden, wenn rechtliche Vorgaben, technische Entwicklungen, organisatorische Anpassungen oder Änderungen der Verarbeitungstätigkeiten dies notwendig machen; jede Änderung wird mit einem Aktualisierungsdatum kenntlich gemacht und inhaltlich begründet, soweit dies zur Transparenz erforderlich ist. Gambiva Kasino bestätigt mit dieser Datenschutzrichtlinie die fortlaufende Verpflichtung zur Einhaltung der Datenschutz Grundverordnung, zur Umsetzung angemessener Datenschutz Bestimmungen und zur regelmäßigen Überprüfung von Prozessen, sodass ein rechtmäßiges, zweckgebundenes und verhältnismäßiges Datenschutzniveau gewährleistet bleibt; dabei werden Informationspflichten bei wesentlichen Änderungen beachtet und Betroffenenrechte auch im Änderungsfall ohne unangemessene Verzögerung umgesetzt.