Mobile Anwendungen sind einer der beiden Bereiche, die im Inspektionsplan 2022 des Präsidenten des Amtes für den Schutz personenbezogener Daten für den Privatsektor abgedeckt werden. Leider ist Spieleentwicklern oft nicht bewusst, wie viele personenbezogene Daten sie – über die von Mitarbeitern oder Auftragnehmern hinaus – verarbeiten, was dazu führt, dass sie die gesetzlichen Bestimmungen in diesem Bereich, insbesondere die DSGVO*, missachten.

Welche Daten können verarbeitet werden?

Per Definition sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine identifizierbare Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie Name, Kennnummer, Standortdaten, Online-Kennung usw., identifiziert werden kann. Der Umfang der in einem bestimmten Spiel verarbeiteten personenbezogenen Daten kann variieren, es lassen sich jedoch mehrere Hauptkategorien unterscheiden:

a) Benutzerkontodaten – z. B. Name, Nachname, Bild, Adresse
b) Zahlungsdaten – z. B. im Zusammenhang mit Mikrozahlungen
c) Daten zu technischen Hardware- und Softwareparametern – z. B. Hardware-Spezifikationen, IP-Adressen, MAC-Adressen, UDID
d) Daten zur Spieleraktivität im Spiel – z. B. die häufigsten Spielereinstellungen, ausgewählte Optionen
e) Kundendienstdaten – z. B. Beschwerden und Probleme, die von Spielern bezüglich Bugs, dem Verhalten anderer Spieler, Fehlermeldungen usw. gemeldet werden
f) In-Game-Kommunikationsdaten – z. B. aus Chats
g) Spielerstatistikdaten – z. B. zur Erstellung von Ranglisten

Ausgewählte Aufgaben

Ein Verantwortlicher für die Verarbeitung personenbezogener Daten muss zahlreiche in der DSGVO festgelegte Pflichten und Grundsätze einhalten. Einige davon sind nachfolgend aufgeführt.

Rechtmäßigkeit der Verarbeitung – Jede Verarbeitung personenbezogener Daten muss auf einer ordnungsgemäßen Rechtsgrundlage beruhen. Es ist unzulässig, Einwilligungen übermäßig einzuholen, wenn dies nicht erforderlich ist. Weitere anwendbare Rechtsgrundlagen sind die Notwendigkeit der Vertragserfüllung oder die berechtigten Interessen des Verantwortlichen.

Informationspflicht – Jeder Spieler bzw. Nutzer muss über verschiedene Aspekte im Zusammenhang mit personenbezogenen Daten informiert werden. Diese Informationen müssen spätestens zum Zeitpunkt der Datenerhebung bereitgestellt werden. Daher muss die Art und Weise und der Zeitpunkt der Anzeige der Mitteilung oder Datenschutzerklärung sorgfältig gestaltet sein.

Nutzung durch Kinder – Bei der Erhebung personenbezogener Daten von Kindern, wie es häufig bei Spielen der Fall ist, gelten zusätzliche Anforderungen. Dazu gehören die Verwendung einer einfachen und verständlichen Sprache und gegebenenfalls die Überprüfung der Einwilligung der Eltern zur Datenverarbeitung.

Risikobasierter Ansatz

Die Durchführung jedes Projekts, das die Verarbeitung personenbezogener Daten beinhaltet, muss auf einer Risikobewertung basieren. Diese Bewertung belegt (gemäß dem Rechenschaftspflichtprinzip), dass geeignete technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung getroffen wurden. Die allgemeine Verpflichtung zur Überwachung von Risiken für Rechte und Freiheiten ergibt sich aus Artikel 24 Absatz 1 DSGVO.

Darüber hinaus schreibt Artikel 25 der DSGVO vor, dass bereits in der Planungsphase eines Prozesses eine Risikobewertung durchgeführt werden muss. Diese Annahme dient der Überprüfung, ob die geplanten Maßnahmen zur Umsetzung der Anforderungen dem Niveau der identifizierten Risiken, die mit der Datenverarbeitung verbunden sein können, angemessen sind. Eine solche Vorbewertung ermöglicht zudem die Beurteilung, ob in einer bestimmten Situation eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, d. h. die sogenannte „vertiefende Risikoanalyse“ gemäß Artikel 35 DSGVO.

Die Durchführung einer Risikoanalyse und einer Datenschutz-Folgenabschätzung sollte in erster Linie dazu dienen, Organisationen dabei zu helfen, sensible Bereiche zu identifizieren, die besonders anfällig für negative Auswirkungen sind. Dies ermöglicht es ihnen nicht nur, die Einhaltung von Vorschriften sicherzustellen, sondern vor allem jene Prozesselemente zu priorisieren, die effektivere Sicherheitsmaßnahmen und einen höheren technischen und organisatorischen Ressourcenaufwand erfordern. Darüber hinaus prüft die Organisation, ob die Nutzer ihre Rechte und Freiheiten effektiv ausüben können (z. B. Widerruf der Einwilligung, Aktualisierung oder Berichtigung von Daten, Widerspruchsrecht, Recht auf Datenübertragbarkeit usw.).

Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

* Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU L. 2016, Nr. 119, S. 1, in der geänderten Fassung).
** E. Lejman-Widz, „Datenschutz in der Glücksspielbranche. Was Sie beachten sollten“, Euro Info Bulletin 10 (213) 2021

Autor:


|

Reihenherausgeber:


|

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 12