Diese Datenschutzerklärung informiert über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Gdfplay-Gruppe im Rahmen der Nutzung der Spielplattform. Sie erläutert die Verarbeitungstätigkeiten gemäß der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Das Dokument dient der transparenten Darstellung der Datenhandhabung, der rechtmäßigen Verarbeitungszwecke sowie der vertraglichen und gesetzlichen Verpflichtungen. Es umfasst die Bereiche Kontoverwaltung, Transaktionsabwicklung und Identitätsprüfung. Die beschriebenen Maßnahmen gewährleisten die Einhaltung der regulatorischen Anforderungen der zuständigen Aufsichtsbehörden durch technische und organisatorische Vorgaben.

1. Erhebung und Kategorien verarbeiteter Informationen

Die Gdfplay-Plattform erhebt personenbezogene Daten in mehreren Kategorien aus verschiedenen Quellen. Primär erfolgt die Datenerhebung direkt über das Registrierungsformular, bei dem der Nutzer Pflichtangaben wie vollständigen Namen, Geburtsdatum, Wohnanschrift sowie elektronische Kontaktdaten bereitstellt. Identifikationsdaten umfassen Ausweiskopien (Personalausweis oder Reisepass) und Nachweise der Meldeadresse, die gespeichert werden, sofern eine Identitätsprüfung nach dem Geldwäschegesetz (GwG) erforderlich ist.

Transaktionsinformationen werden bei Einzahlungen und Auszahlungen aufgezeichnet. Diese umfassen Zahlungsmittel, Transaktionsbeträge sowie Zeitstempel. Technische Daten wie IP-Adresse, Geräte- und Browserkennungen (User-Agent), Protokolldaten des Spielzugriffs sowie Standortdaten werden bei jeder Nutzung der Webseite erhoben. Ferner werden Kommunikationsverläufe aus dem Kundenservice (E-Mail, Live-Chat) archiviert. Compliance-bezogene Aufzeichnungen beinhalten Spieldaten zur Erfüllung der gesetzlichen Melde- und Präventionspflichten, insbesondere im Kontext der Spielsuchtprävention und der Bekämpfung von Geldwäsche.

2. Zweckbestimmung und Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten dient primär der Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO. Dies umfasst die Durchführung von Spielverträgen, die Abwicklung von Zahlungen sowie die Kontoverwaltung. Die Identitätsüberprüfung und die Protokollierung von Transaktionen basieren auf gesetzlichen Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO, insbesondere durch das Geldwäschegesetz (GwG) und die Glücksspielstaatsverträge (GlüStV).

Einwilligungen gemäß Art. 6 Abs. 1 lit. a DSGVO werden für die Verarbeitung von Daten zu Marketingzwecken (z. B. Bonusangebote) eingeholt, wobei die Einwilligung jederzeit widerrufbar ist. Das berechtigte Interesse des Verantwortlichen nach Art. 6 Abs. 1 lit. f DSGVO wird zur Gewährleistung der Systemsicherheit, zur Betrugsbekämpfung und zur Optimierung der IT-Infrastruktur herangezogen.

Darüber hinaus dient die Datenverwendung der Erfüllung von Meldepflichten gegenüber Aufsichtsbehörden und der Speicherung von Kommunikationsdaten im Rahmen der Kundenbetreuung. Keine Datenverarbeitung erfolgt für automatisierte Entscheidungsfindungen im Sinne des Art. 22 DSGVO.

3. Datenspeicherung, Sicherheitsvorkehrungen und Aufbewahrungsfristen

Die Speicherung der personenbezogenen Daten erfolgt auf Servern innerhalb der Europäischen Union, die durch Zugangskontrollen und Firewalls geschützt sind. Verschlüsselungsprotokolle (TLS 1.3) werden für die Übertragung von Daten zwischen dem Endgerät des Nutzers und dem Spielsystem eingesetzt. Zugriffsberechtigungen auf die Datenbanken sind rollenbasiert und durch Zwei-Faktor-Authentifizierung gesichert. Regelmäßige Penetrationstests und Sicherheitsaudits dienen der Überprüfung der Schutzmaßnahmen.

Die Aufbewahrungsfristen richten sich nach den gesetzlichen Vorgaben. Für vertragsrelevante Daten und Transaktionsaufzeichnungen beträgt die Aufbewahrungsdauer sechs Jahre nach Vertragsende gemäß § 147 Abgabenordnung. Identitätsnachweise und Compliance-Dokumente werden für die Dauer von fünf Jahren nach Schließung des Spielerkontos archiviert. Technische Protokolldaten (Server-Logs) werden nach maximal 90 Tagen automatisch gelöscht, es sei denn, sie sind für die Nachverfolgung von Sicherheitsvorfällen erforderlich.

Nach Ablauf der jeweiligen Fristen werden die Daten unwiderruflich gelöscht oder anonymisiert. Die Implementierung eines Data-Governance-Frameworks stellt sicher, dass Löschfristen systematisch überwacht und automatisiert umgesetzt werden. Der Austausch von Datenträgern und die physische Sicherung der Rechenzentren erfolgen nach ISO 27001-Standards.

4. Betroffenenrechte und Verfahren zur Datenauskunft

Der Nutzer (betroffene Person) hat das Recht, gemäß Art. 15 DSGVO eine Bestätigung über die Verarbeitung seiner Daten sowie eine Kopie der verarbeiteten Informationen zu erhalten. Bei Unrichtigkeit der Daten besteht nach Art. 16 DSGVO ein Anspruch auf Berichtigung. Das Recht auf Löschung gemäß Art. 17 DSGVO greift, sofern keine gesetzliche Aufbewahrungspflicht oder ein anderer rechtlicher Verarbeitungsgrund (wie die Erfüllung von Geldwäschevorschriften) entgegensteht.

Die Einschränkung der Verarbeitung nach Art. 18 DSGVO kann beantragt werden, wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist. Der Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO ist möglich, sofern die Verarbeitung auf berechtigtem Interesse beruht. Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO erlaubt es dem Nutzer, seine bereitgestellten Daten in einem maschinenlesbaren Format zu erhalten. Für die Bearbeitung von Anfragen ist eine eindeutige Identitätsfeststellung des Antragstellers erforderlich; hierzu wird die Vorlage einer Kopie des Ausweisdokuments verlangt, wobei die Daten nach Abschluss der Prüfung gelöscht werden.