Der Glücksspielstaatsvertrag 2021 sieht zur Verhinderung von Glücksspielsucht und zur Bekämpfung des Betrugs- und Kriminalitätsgefährdungspotenzials von Glücksspielen zahlreiche Maßnahmen vor, die in Konflikt mit dem Datenschutzrecht geraten. In diesem Beitrag wollen wir einen Blick in einige der aus datenschutzrechtlicher Sicht relevantesten Aspekte dieser Norm werfen.
Glücksspiele unterliegen strengen Marktregulierungen
Glücksspiele werden seit Jahrhunderten aufgrund ihrer zahlreichen sozialschädlichen Folgen von der Staatsmacht als demeritorische Güter betrachtet, deren Konsum durch Marktregulierungen kontrolliert und verringert werden soll. Denn Glücksspiele bergen Suchtgefahren, die den Spielern, ihrem sozialen Umfeld und der Gesellschaft insgesamt erheblichen Schaden zufügen können. Ziel der staatlichen Markteingriffe ist allerdings nicht nur die Verhinderung von Glücksspielsucht und Wettsucht, sondern auch die Bekämpfung ihrer Betrugs- und Kriminalitätsgefährdungspotentialen. Glücksspiele zeigen insbesondere eine ausgeprägte Anfälligkeit für Geldwäsche.
Zur Eindämmung der von den Glücksspielen ausgehenden Gefahren haben die 16 Bundesländer mit dem Glücksspielstaatsvertrag 2021 (GlüStV 2021) einen gesetzlichen Rahmen für die Veranstaltung von Glücksspielen in Deutschland geschaffen. Neben den Bestimmungen des Glücksspielstaatsvertrages 2021 sind zudem die im jeweiligen Land geltenden länderspezifischen Regelungen und Ausführungsgesetze zu beachten, die den Glücksspielstaatsvertrag näher konkretisieren.
Der Begriff des Glücksspiels ist in § 3 GlüStV 2021 legal definiert. Danach liegt ein Glücksspiel vor, wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Der Anwendungsbereich des GlüStV 2021 erstreckt sich auf Spielbanken, Spielhallen, Gaststätten, Pferdewetten, Sportwetten, virtuelle Automatenspiele, Online-Poker, Online-Casinospiele, Lotterien, Gewinnspiele im Rundfunk, usw.
Kollision zwischen dem GlüStV 2021 und der DSGVO
Um die Bürger und Bürgerinnen der Bundesrepublik vor Spielsucht zu schützen, erlegt der Glücksspielstaatsvertrag 2021 der zuständige Glücksspielbehörde der Länder die Pflicht auf, drei Zentraldateien mit zahlreichen personenbezogenen Daten von Spielern zu führen.
Die Limitdatei
Gemäß § 6a und 6b GlüStV müssen Veranstalter und Vermittler von öffentlichen Glücksspielen im Internet für jeden Spieler ein Spielkonto einrichten. Die Spieler müssen sich beim Anbieter registrieren, welcher die Angaben des Spielers anhand geeigneter Maßnahmen zu überprüfen hat. Damit soll es verhindert werden, dass Minderjährige an den Spielen teilnehmen.
Bei der Registrierung müssen Spieler gemäß § 6c Abs. 1 S. 2 GlüStV 2021 ein anbieterübergreifendes Einzahlungslimit festlegen, welches aber das Einzahlungslimit von 1000 Euro im Monat nicht übersteigen darf. Zur Überwachung des Einzahlungslimits ist die zuständige Behörde gemäß Art. 6c Abs. 4 GlüStV 2021 dazu verpflichtet, in einer zentralen Datei zur Limitüberwachung personenbezogene Daten von jedem Spieler zu verarbeiten. Die Anbieter von Glücksspielen haben nach § 6c Abs. 5 GlüStV 2021 vor Abschluss jedes Einzahlungsvorgangs die Identifikationsdaten des Spielers sowie die Höhe der beabsichtigten Einzahlung an die Limitdatei zu übermitteln.
Folgende personenbezogene Daten müssen in der Datei verarbeitet werden:
- Familiennamen, Vornamen, Geburtsnamen,
- Geburtsdatum,
- Geburtsort,
- Anschrift,
- Höhe des vom Spieler festgelegten anbieterübergreifenden Einzahlungslimits,
- Datum der Festlegung des Limits,
- Höhe und Datum der getätigten Einzahlungen und
- Gesamtbetrag der getätigten Einzahlungen
Die Übermittlung dieser personenbezogenen Daten durch die Anbieter von Online-Glücksspielen in die Limitdatei stellt damit eine rechtfertigungsbedürftige Datenverarbeitung dar. Diese erfolgt vorliegend zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit Art. 6c Abs. 4 GlüStV 2021.
Die Sperrdatei
Aus Gründen der Suchtprävention sind Veranstalter und Vermittler von Glücksspielen dazu verpflichtet, gesperrte Spieler von der Teilnahme an öffentlichen Glücksspielen auszuschließen. Zum Spielerschutz wird das spielformübergreifende, bundesweite Instrument des Spielersperrsystems OASIS gemäß § 8 Abs. 1 GlüStV 2021 geschaffen, welches eine Liste mit den bundesweit gesperrten Spielern enthält.
Gemäß Art. 8 Abs. 3 S. 1 GlüStV 2021 sind Veranstalter von Glücksspielen verpflichtet, spielwillige Personen anhand eines Ausweises oder einer ähnlichen Identitätskontrolle zu identifizieren und einen Abgleich mit dem Spielersperrsystem OASIS nach § 23 GlüStV 2021 durchzuführen. Beim Spielersperrsystem OASIS erhält der Veranstalter nach Eingabe des Namens, des Vornamens und des Geburtsdatums des Spielers entweder die Antwort „Der Spieler ist nicht gesperrt“ oder „Der Spieler ist gesperrt“. Sowohl die Selbstsperre als auch die Fremdsperre sind möglich, aber die Dauer der Sperre muss mindestens ein Jahr betragen.
Dies stellt somit eine Verarbeitung von personenbezogenen Daten dar, die zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen nach Art. 6 Abs. 1 lit. c DSGVO erfolgt. Gemäß dem Datenminimierungsprinzip und dem Speicherbegrenzungsgrundsatz müssen die in diesem Zusammenhang erhobenen personenbezogenen Daten gelöscht werden, sobald die Identifizierung des Spielers und der Abgleich mit der Sperrdatei vollzogen ist.
Die Aktivitätsdatei
Zur Vermeidung von parallelen Spielen im Internet müssen die zuständigen Behörden gemäß §6h GlüStV 2021 eine Datei mit folgenden personenbezogenen Daten über die Spieler führen: Familienname, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Anschrift und ob er aktiv geschaltet ist.
Umfangreiche Speicherung auf Vorrat?
Gemäß dem Prinzip der Datenminimierung müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Eine anlasslose Vorratsspeicherung von personenbezogenen Daten ist unzulässig. In diesem Zusammenhang erscheint es fraglich, ob die Führung von drei umfangreichen Zentraldateien mit Informationen zu allen Spielern (auch zu denjenigen, die keine Spielsucht gezeigt haben) mit den Anforderungen des Datenschutzes vereinbar ist.
Financial Blocking
Die Veranstaltung von Glücksspielen in Deutschland ist gemäß § 4 GlüStV 2021 zur Eindämmung der Glücksspielgefahren monopolartig organisiert: Glücksspiele dürfen nur dann veranstalten werden, wenn eine Erlaubnis oder Konzession der zuständigen Landesbehörde erteilt wurde. Zur Verhinderung von illegalen Glücksspielen sieht § 9 Abs. 1 Nr. 4 GlüStV 2021 seinerseits vor, dass die zuständige Glücksspielaufsicht
„den am Zahlungsverkehr Beteiligten, insbesondere den Kredit- und Finanzdienstleistungsinstituten, nach vorheriger Bekanntgabe unerlaubter Glücksspielangebote die Mitwirkung an Zahlungen für unerlaubtes Glücksspiel und an Auszahlungen aus unerlaubtem Glücksspiel untersagen kann.“
An wen richtet sich das Gesetz und was umfasst das Verbot?
Normadressaten des § 9 Abs. 1 Nr. 4 GlüStV 2021 sind alle am Zahlungsverkehr Beteiligten. Darunter fallen unter anderem Zahlungsdienstleister im Sinne von § 1 ZAG, Kreditinstitute gemäß § 1 Abs. 1 KWG und Finanzdienstleistungsinstitute nach § 1 Abs. 1 lit a KWG.
Das Verbot umfasst sowohl Einzahlungen beim illegalen Glücksspielanbieter für die Teilnahme an Glücksspielen als auch Auszahlungen an Spieler im Falle eines Gewinnes. Für die Umsetzung dieses Verbots kommen unterschiedliche Maßnahmen in Betracht: die Veröffentlichung von schwarzen Listen, die Sperrung des Bankkontos von Veranstaltern und von Spielern, die Unterbindung von Überweisungen und das Verbot der Durchführung von Transaktionen mit bestimmten Merchant Category Codes.
Unvereinbarkeit des Financial Blockings mit dem Datenschutzrecht
Zur Implementierung des Financial Blockings müssen Finanzdienstleister und Zahlungsdienstleister personenbezogene Daten verarbeiten. Zahlungsinstitute sind gemäß dem Geldwäschegesetz und dem sogenannten Know-Your-Customer-Prinzip verpflichtet, zahlreiche personenbezogene Daten von natürlichen Personen zu erheben. Die Weiterverarbeitung dieser zunächst zu anderen Zwecken erhobenen personenbezogenen Daten stellt dann eine Zweckänderung dar, für die die Voraussetzungen des Art. 6 Abs. 4 DSGVO erfüllt sein müssen. Ob dies hier der Fall ist, können wir dahinstehen lassen, da es anhand der ursprünglich erhobenen Daten für den Zahlungsdienstleister nicht erkennbar sein wird, ob die Voraussetzungen für die Untersagung einer Transaktion gegeben sind oder nicht. Denn er muss auch wissen, ob das Spiel im Ausland oder Inland stattgefunden hat, ob die Teilnahme am Spiel legal war, ob eine Erlaubnis für das Spiel erteilt wurde oder nicht, usw.
Die Verarbeitung dieser zusätzlichen personenbezogenen Daten kann nicht auf die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen gemäß Art. 6 Abs. 1 lit. c DSGVO gestützt werden, da § 9 Abs. 1 S.3 Nr. 4 GlüStV die Anforderungen des Art. 6 Abs. 3 DSGVO nicht erfüllt. Denn eine ständige und prophylaktische Überwachung sämtlicher Kunden durch die Finanzdienstleister im Hinblick auf die Teilnahme an illegalen Glücksspielen ist in jedem Fall unverhältnismäßig. Eine solche Datenverarbeitung kann auch nicht auf Grundlage eines berechtigten Interesses im Sinne von Art. 6 Abs. 1 lit. f DSGVO erfolgen, weil die Grundrechte und Grundfreiheiten der Betroffenen angesichts der Intensität des Engriffes vorliegend überwiegen.
Aus dem Gesagten folgt, dass die zusätzliche Erhebung von personenbezogenen Daten zur Umsetzung des Financial Blockings auf keine Rechtsgrundlage gestützt werden kann, sodass eine datenschutzkonforme Umsetzung des Financial Blockings unmöglich erscheint.
Verantwortliche müssen ihre Datenschutzpflichten im Blick haben
Glücksspielanbieter sind verpflichtet, umfangreiche personenbezogene Daten von Spielern zu erheben und zu übermitteln. Darüber hinaus unterliegen sie in diesem Zusammenhang zahlreichen datenschutzrechtlichen Normen. Sie sind daher gut beraten, frühzeitig einen Datenschutzbeauftragten einzuschalten. Aufgrund der geschilderten datenschutzrechtlichen Probleme erscheint die Finanzsperre nicht als wirksames Mittel zur Bekämpfung des illegalen Glücksspiels, da sie in hohem Maße in die Grundrechte und -freiheiten der Kunden eingreift. Es bleibt abzuwarten, inwieweit diese Bestimmung zur Anwendung kommen wird.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de