Diese Datenschutzerklärung informiert über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Candyland-Casino-Marke im Rahmen der Bereitstellung von Dienstleistungen für Spieler in Deutschland. Sie legt die Grundsätze der Datenverarbeitung dar, die auf Transparenz, rechtmäßiger Verarbeitung und Einhaltung der geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des deutschen Glücksspielstaatsvertrags (GlüStV), basieren. Die Erklärung beschreibt die Verfahren zur Kontenführung, zur Erfüllung gesetzlicher Pflichten sowie die technisch-organisatorischen Maßnahmen zum Schutz der Daten. Zweck dieses Dokuments ist es, eine faktische und administrative Grundlage für das Verständnis der Datenpraktiken zu schaffen, ohne subjektive Bewertungen oder werbliche Aussagen zu enthalten.
Erhobene Datenkategorien und Informationsarten
Die Candyland-Plattform verarbeitet verschiedene Kategorien personenbezogener Daten, die im Rahmen der Nutzung des Dienstes anfallen. Die Registrierung erfordert die Angabe von Vor- und Nachnamen, dem Geburtsdatum, der Wohnanschrift sowie einer gültigen E-Mail-Adresse und einer Telefonnummer. Diese Daten dienen der eindeutigen Identifikation des Spielers und der Erfüllung der gesetzlichen Altersverifikationspflichten.
- Identifikationsdaten: Hierzu zählen Ausweisdokumente wie Personalausweis oder Reisepass, die im Rahmen des Identifizierungsverfahrens (Know-Your-Customer, KYC) hochgeladen werden.
- Transaktionsinformationen: Einzahlungs- und Auszahlungsdaten, Transaktionsverläufe, Spielverhalten sowie historische Guthabenstände werden erfasst.
- Technische Daten: IP-Adressen, Gerätekennungen, Browser-Typ und -Version, Zugriffszeiten sowie Log-Daten, die bei der Nutzung der Website oder der mobilen Anwendung anfallen.
- Compliance-bezogene Aufzeichnungen: Korrespondenz im Zusammenhang mit Selbstausschlüssen, Limits oder Anfragen zur Verantwortungsspielmechanik sowie Dokumente zur Überprüfung der Identität und des Wohnsitzes.
Ferner können Daten über die Nutzung von Bonusprogrammen oder Treueaktionen aufgezeichnet werden, sofern diese freiwillig in Anspruch genommen werden. Die Erhebung beschränkt sich auf das für den Betrieb und die rechtliche Einhaltung erforderliche Maß. Eine darüber hinausgehende Sammlung, etwa von sensiblen Daten im Sinne des Art. 9 DSGVO, findet nicht statt, es sei denn, dies ist gesetzlich vorgeschrieben oder durch eine separate Einwilligung gedeckt.
Verwendungszwecke und Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten durch die Candyland-Marke erfolgt ausschließlich auf Basis der in der DSGVO normierten Rechtsgrundlagen. Die Hauptzwecke umfassen die Identitäts- und Altersprüfung zur Erfüllung der gesetzlichen Vorgaben des Glücksspielrechts, die Abwicklung von Spielgeldtransfers, die Durchführung von Sicherheitsüberprüfungen zur Betrugsprävention sowie die Wartung und Optimierung der technischen Plattform.
Die Rechtsgrundlage für die Kontoführung und die Abwicklung von Spieltransaktionen ist die Erfüllung des Vertragsverhältnisses gemäß Art. 6 Abs. 1 lit. b DSGVO. Die Verarbeitung von Identifikationsdokumenten und die Durchführung von AML-Prüfungen (Anti-Geldwäsche) erfolgen zur Erfüllung rechtlicher Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit dem GlüStV und dem Geldwäschegesetz (GwG).
Das legitime Interesse des Datenverarbeiters gemäß Art. 6 Abs. 1 lit. f DSGVO liegt insbesondere in der Sicherung der Netzwerkintegrität, der Abwehr von Cyber-Angriffen und der Analyse von Spielverhalten zur Früherkennung von problematischem Spielverhalten. Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO wird eingeholt, wenn Daten für optionale Funktionen wie personalisierte Marketingaktivitäten oder nicht zwingend erforderliche Datenverarbeitungen genutzt werden sollen. Eine Verarbeitung über die genannten Zwecke hinaus erfolgt nicht.
Datenspeicherung, technische Sicherheitsmaßnahmen und Aufbewahrungsfristen
Die Speicherung der personenbezogenen Daten erfolgt in Rechenzentren innerhalb der Europäischen Union, um das Datenschutzniveau gemäß DSGVO zu gewährleisten. Die Candyland-Plattform setzt technisch-organisatorische Maßnahmen ein, die dem aktuellen Stand der Technik entsprechen. Hierzu gehören Verschlüsselungsprotokolle (TLS 1.2 oder höher) für die Datenübertragung, Firewalls, Intrusion-Detection-Systeme sowie die Pseudonymisierung von Daten dort, wo es für die Verarbeitungszwecke möglich ist.
| Kategorie | Maßnahme | Beschreibung |
|---|---|---|
| Zugangskontrolle | Rollenspezifische Berechtigungen | Mitarbeiter haben nur Zugriff auf Daten, die für ihre Tätigkeit erforderlich sind. |
| Speicherverschlüsselung | AES-256 | Daten auf Servern sind mit einem symmetrischen Verschlüsselungsverfahren gesichert. |
| Netzwerksicherheit | Segmentierung und Überwachung | Getrennte Netzwerke für Datenbanken und Anwendungsserver. |
Die Aufbewahrungsfristen richten sich nach den gesetzlichen Vorgaben des GwG, das eine Aufbewahrung von Identifikations- und Transaktionsdaten für mindestens fünf Jahre nach Beendigung des Geschäftsvorgangs vorschreibt. Für Steuerunterlagen gilt eine Frist von zehn Jahren gemäß Abgabenordnung (AO). Daten, die für die Erfüllung des Vertrags nicht mehr erforderlich sind und keiner gesetzlichen Aufbewahrungspflicht unterliegen, werden gemäß der betrieblichen Datenlöschrichtlinie innerhalb von dreißig Tagen nach Wegfall des Verarbeitungszwecks gelöscht oder anonymisiert. Die Löschung erfolgt automationsgestützt unter Dokumentation des Vorgangs.
Rechte der betroffenen Personen und Verfahren zur Datenauskunft
Jeder Spieler hat das Recht, gemäß Art. 15 DSGVO eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Bei Vorliegen einer solchen Verarbeitung besteht ein Anspruch auf Auskunft über die verarbeiteten Daten, die Verarbeitungszwecke, die Kategorien der Daten sowie die geplanten Speicherfristen. Die Auskunft wird in einem gängigen elektronischen Format zur Verfügung gestellt.
Darüber hinaus können betroffene Personen die Berichtigung unrichtiger Daten nach Art. 16 DSGVO, die Löschung nach Art. 17 DSGVO (sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen) sowie die Einschränkung der Verarbeitung gemäß Art. 18 DSGVO beantragen. Das Widerspruchsrecht nach Art. 21 DSGVO kann gegen Verarbeitungen geltend gemacht werden, die auf dem berechtigten Interesse des Verantwortlichen beruhen, insbesondere bei Direktmarketing. Das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO ermöglicht es, die bereitgestellten Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
Alle Anträge müssen schriftlich an den Datenschutzbeauftragten des Verantwortlichen gerichtet werden. Die Identität des Antragstellers wird vor Bearbeitung durch Vorlage eines gültigen Ausweisdokuments oder einer Video-Identifikationsprüfung überprüft. Dies dient dem Schutz vor unbefugtem Datenzugriff. Die Antwortfrist beträgt in der Regel einen Monat, kann jedoch bei komplexen Anfragen um zwei weitere Monate verlängert werden, sofern der Antragsteller über diese Verlängerung informiert wird. Im Falle von Verstößen gegen datenschutzrechtliche Bestimmungen kann die betroffene Person eine Beschwerde bei der zuständigen Aufsichtsbehörde, dem Berliner Beauftragten für Datenschutz und Informationsfreiheit, einreichen.
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)

