Online-Wetten und DSGVO – das müs­sen Sie wis­sen

Nach zähen und jah­re­lan­gen Verhandlungen haben sich die euro­päi­schen Mitgliedstaaten im Dezember 2015 auf die neue EU-Datenschutz-Grundverordnung (EU-DSGVO oder DSGVO) geei­nigt. Dieses Gesetz führt zu einer Vereinheitlichung des euro­päi­sches Datenschutzrechtes und been­det bis­her bestehen­de natio­na­le Datenschutzbestimmungen. Welche Auswirkungen das für Unternehmen – wie zum Beispiel Anbieter von Online-Wetten – hat, lesen Sie im fol­gen­den Artikel.

Online-Wetten und DSGVO – das müs­sen Sie wis­sen

Was ist die DSGVO?

Die DSGVO ist eine euro­päi­sche Verordnung und Teil der EU-Datenschutzreform, die von der Europäischen Kommission im Januar 2012 vor­ge­stellt wur­de. Die neue Verordnung ver­ein­heit­licht EU-weit die Regeln zur Verarbeitung per­so­nen­be­zo­ge­ner Daten durch Privat-Unternehmen und öffent­li­chen Stellen wie bei­spiels­wei­se Behörden oder Organisationen. Ziel der neu­en DSGVO ist der freie Datenverkehr inner­halb der EU (Art. 1 Abs. 3 DSGVO) und der Schutz per­so­nen­be­zo­ge­ner Daten für EU-Bürger (Art. 1 Abs. 2 DSGVO).

Die DSGVO ersetzt die seit 1995 stam­men­de Verordnung (Richtlinie 95/​46/​EG zum Schutz natür­li­cher Personen bei der Verarbeitung per­so­nen­be­zo­ge­ner Daten und zum frei­en Datenverkehr). Die neue Grundverordnung trat zum 24.Mai 2016 in Kraft und fin­det am 25. Mai 2018 ihre euro­pa­wei­te Anwendung. Die neue DSGVO ersetzt das bestehen­de deut­sche Datenschutzrecht – bie­tet aber Möglichkeiten von sog. „Öffnungsklauseln“ an, in denen ein­zel­ne Staaten bestimm­te Aspekte des Datenschutzes auf natio­na­ler Ebene anpas­sen kön­nen.

Wo fin­det die DSGVO Anwendung?

Art. 2 Abs. 1 der DSGVO defi­niert den Anwendungsbereich der neu­en EU-Grundverordnung: „Diese Verordnung gilt für die ganz oder teil­wei­se auto­ma­ti­sier­te Verarbeitung per­so­nen­be­zo­ge­ner Daten sowie für die nicht­au­to­ma­ti­sier­te Verarbeitung per­so­nen­be­zo­ge­ner Daten, die in einem Dateisystem gespei­chert sind oder gespei­chert wer­den sol­len.“

Vereinfacht gesagt, gilt die neue DSGVO für alle, die per­so­nen­be­zo­ge­ne Daten von User ver­ar­bei­ten – also Blogs, Online-Wettanbieter, News-Portale, Online-Shops aber auch Social-Media-Plattformen wie Facebook, YouTube oder Instagram. Auch Cloudanbieter sind von der neu­en DSGVO betrof­fen.

Wichtig: Ab Mai 2018 muss laut neu­er Verordnung jedes Unternehmen, wel­ches pri­mär die Erhebung und Verarbeitung von Kundendaten zur Erfüllung des Geschäftszwecks betreibt, einen Datenschutzbeauftragten benen­nen.

In den ver­gan­ge­nen Monaten wie­sen vor allem Datenschutzrechtler und IT-Experten dar­auf hin, dass eine über­wie­gen­de Mehrheit deut­scher Unternehmen die DSGVO immer noch nicht umge­setzt haben.

Inhaltlich glie­dert sich die neue Verordnung in 99 Artikeln, die in elf Kapitel unter­teilt sind:

  • Kap. 1: Allgemeine Bestimmungen
  • Kap. 2: Grundsätze
  • Kap. 3: Rechte der betrof­fe­nen Personen
  • Kap. 4: Verantwortlicher und Auftragsverarbeiter
  • Kap. 5: Übermittlung per­so­nen­be­zo­ge­ner Daten an Drittländer oder an inter­na­tio­na­le Organisationen
  • Kap. 6: Unabhängige Aufsichtsbehörden
  • Kap. 7: Zusammenarbeit und Kohärenz
  • Kap. 8: Rechtbehelfe, Haftung und Sanktionen
  • Kap. 9: Vorschriften für beson­de­re Verarbeitungssituationen
  • Kap. 10: Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kap. 11: Schlussbestimmungen

Rechtmäßigkeit der Verarbeitung

Art. 6 Abs 1 der DSGVO regelt die Rechtmäßigkeit der Verarbeitung per­so­nen­be­zo­ge­ner Daten. Eine Rechtmäßigkeit der Verarbeitung per­so­nen­be­zo­ge­ner Daten ist dem­nach gege­ben, wenn:

  • Die Einwilligung der betrof­fe­nen Person vor­liegt
  • Sie zur Erfüllung eines Vertrages oder zur Durchführung vor­ver­trag­li­cher Maßnahmen dient
  • Zur Erfüllung einer recht­li­chen Verpflichtung führt
  • Sie zum Schutze lebens­wich­ti­ger Interessen führt
  • Zur Wahrnehmung einer Aufgabe, die im öffent­li­chen Interesse liegt oder in Ausübung öffent­li­cher Gewalt oder
  • Aufgrund einer Interessenabwägung erfor­der­lich ist

Welche Strafen sieht die neue DSGVO vor?

Halten sich Unternehmer nicht an die neue DSGVO, kön­nen Bußgelder von bis zu 20 Millionen Euro bzw. 4% des jähr­li­chen welt­wei­ten Umsatzes ver­hängt wer­den (Art. 83 DSGVO). Dokumentiert ein Unternehmen zum Beispiel die Aufzeichnungen der Daten in der fal­schen Abfolge oder führt kei­ne Folgeabschätzung bei Datenverlust durch, kann ein Bußgeld von 2% des jähr­li­chen, welt­wei­ten Umsatzes ver­hängt wer­den.

Welche Prozesse und Dokumente muss ich über­prü­fen?

Unternehmen soll­ten schleu­nigst über­prü­fen, wel­che per­so­nen­be­zo­ge­ne Daten erho­ben und ver­ar­bei­tet wer­den, denn die neue DSGVO führt eine Reihe von Dokumentationspflichten ein. So sol­len Nutzer mit der neu­en EU-Datenschutz-Grundverordnung u. a. über­prü­fen kön­nen, wel­che per­so­nen­be­zo­ge­nen Daten erho­ben, ver­ar­bei­tet und genutzt wur­den. Diese Informationen muss jeder User auf der Website des betref­fen­den Unternehmens ein­se­hen kön­nen. Nach Art. 30 der DSGVO müs­sen Unternehmer ein Verzeichnis aller Verarbeitungstätigkeiten von per­so­nen­be­zo­ge­nen Daten füh­ren.

Achtung: Die neue Informationspflicht gilt jetzt auch für Unternehmen mit weni­ger als 250 Mitarbeiter. Das heißt: Auch Arztpraxen, Handwerker oder Apotheker müs­sen spä­tes­tens ab dem 25. Mai ein Verzeichnis aller Verarbeitungstätigkeiten von per­so­nen­be­zo­ge­nen Daten füh­ren.

Sind Anbieter von Online-Wetten DSGVO-kon­form?

Da die meis­ten Anbieter von Online-Wetten ihren Sitz auf Malta oder in Luxemburg haben, gel­ten auch für die­se Unternehmen die neue DSGVO. Und selbst, wenn das Land nicht zur EU gehö­ren wür­de (Beispiel Großbritannien oder Schweiz), gel­ten auch für die­se Unternehmer die neue DSGVO, da die­se Unternehmen Dienste auch für Bürger in EU-Länder anbie­ten.

Online-Wetten-Anbieter erhe­ben und ver­ar­bei­ten nicht nur per­so­nen­be­zo­ge­ne Daten, son­dern ver­wal­ten zusätz­lich sen­si­ble Informationen wir Bankdaten und Transferbuchungsdaten. Werden die­se Daten von Dritten gestoh­len, müs­sen Wett-Anbieter dies unver­züg­lich mel­den und eine Folgeabschätzung bei Datenverlust abge­ben.

Die Frage, ob Anbieter von Online-Wetten DSGVO-kon­form sind, ist daher abhän­gig von deren bis­her umge­setz­ten Maßnahmen. Für die­se Anbieter gel­ten die glei­chen Rechte und Pflichten wie für ande­re Unternehmer auch. (Bestellung eines Datenschutzbeauftragten, Verzeichnis aller ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten). Interessant wird es bei der Aufsichtsbehörde: Da jedes Land eine eigen­stän­di­ge Aufsichtsbehörde für die neue EU-Datenschutz-Grundverordnung besitzt, müs­sen sich deut­sche Kunden von Online-Wetten-Anbieter an die jewei­li­ge Aufsichtsbehörde wen­den, in des­sen Land der Wett-Anbieter sei­nen Sitz hat. Gerade bei recht­li­chen Fragen kann dies auf Verbraucherseite für Konflikte sor­gen.

Fazit

Die neue EU-Datenschutz-Grundverordnung trifft Wett-Anbieter und ande­re Unternehmen glei­cher­ma­ßen hart. Denn die neu­en Vorschriften sehen nicht nur erheb­li­che Strafen bei Nichteinhaltung der Vorschriften vor, son­dern erhö­hen den Arbeitsaufwand in der Aufzeichnung der ver­ar­bei­ten­den Daten. Kritiker wei­sen zudem auf die vie­len Öffnungsklauseln hin, die bis­her aus­ge­han­delt wur­den. Für Unternehmer bedeu­tet dies: noch mehr Unsicherheiten und eine Verwässerung der DSGVO. Juristen attes­tie­ren daher der neu­en Grundverordnung eher den Charakter einer Richtlinie als einer weg­wei­sen­den Verordnung.